• Gemeente Geldermalsen

Maatregelen voor meer veiligheid website Geldermalsen

GELDERMALSEN Gemeente Geldermalsen heeft deze maand twee meldingen Datalekken gedaan bij de Autoriteit Persoonsgegevens waarvan één melding achteraf niet nodig bleek te zijn.

De eerste melding betreft het stemmen op leefbaarheidinitiatieven via SurveyMonkey waarbij gevraagd wordt om het burgerservicenummer (bsn). De tweede melding betreft de formulieren op de website www.geldermalsen.nl die via een onbeveiligde verbinding te bereiken waren.

De melding over het stemmen op leefbaarheidinitiatieven via SurveyMonkey bleek achteraf niet nodig. De Wet bescherming persoonsgegevens (Wbp) eist opslag van data in de Europese Economische Ruimte of in Zwitserland. De opslag van data in de Verenigde Staten van Amerika is gedekt door een Europees Verdrag: het EU-VS privacyshield. SurveyMonkey slaat de gegevens op op servers in Amerika. Er bleek geen wet te zijn overtreden.

De Amerikaanse inlichtingendiensten kunnen gebruik maken van opgeslagen gegevens als er een vermoeden bestaat van terroristische activiteiten. Bij de leefbaarheidinitiatieven lijkt de kans hierop nihil. Anders gezegd: de Amerikaanse autoriteiten hebben geen belangstelling voor gegevens die uitgevraagd zijn via SurveyMonkey. Bovendien is SurveyMonkey een internationaal gerenommeerd bedrijf.

De uitvraag via SurveyMonkey kent dus geen nadelige gevolgen voor betrokkenen.

ONVEILIGE VERBINDING Wat de tweede melding betreft, de mogelijkheid van onveilige verbinding bij het versturen van data via www.geldermalsen.nl, was er wél iets loos. De Wbp eist een passende beveiliging van de website. Ondanks dat de gemeentewebsite https-beveiligd is, hebben burgers een onbeveiligde weg kunnen kiezen door zelf gebruik te maken van een onbeveiligde wifi-verbinding. Tussen het klikken op de button 'versturen' en het moment dat het formulier aankomt bij de gemeentelijke server, is de informatie dan te onderscheppen door derden. Het gaat dan over een fractie van een seconde. Daarna zijn de gegevens opgeslagen in een beveiligde omgeving. De kans op misbruik is klein, maar niet uit te sluiten.

Op vrijdag 6 januari zijn maatregelen getroffen om dit onmogelijk te maken, aldus een woordvoerster van de gemeente. ,,We hebben de onbeveiligde manier (http://www.geldermalsen.nl) sinds maandag 9 januari afgesloten en pogingen om de onbeveiligde website te benaderen worden automatisch doorverwezen naar de beveiligde variant (https://www.geldermalsen.nl). Bij een beveiligde website worden alle gegevens van en naar de server van de gemeente versleuteld verzonden. De gemeente Geldermalsen maakt hiervoor gebruik van de laatste standaarden en certificaten."

Van november 2015 tot 9 januari 2017 zijn er 60 formulieren online ingevuld waarbij gevraagd wordt naar privacygevoelige informatie. Niet bekend is of zij zijn verzonden via een beveiligde of onbeveiligde verbinding. ,,We stelden maandag 16 januari de betrokkenen per mail op de hoogte. Ook hebben we op vrijdag 6 januari een melding Datalekken gedaan bij Autoriteit Persoongegevens."

,,Afgelopen jaar is er binnen de gemeente Geldermalsen veel aandacht geschonken aan informatieveiligheid. De iBewustzijn game van de Informatiebeveiligingsdienst (IBD) heeft alle medewerkers weer bewust gemaakt van de gevaren. Sinds oktober 2016 maken we gebruik van een SIEM (Security Informatie and Event Management) om afwijkingen in het netwerkverkeer te detecteren. Gedurende de hele periode zijn geen aanwijzingen gevonden dat het netwerkverkeer is onderschept. We blijven in de toekomst het netwerkverkeer detecteren op onregelmatigheden."