Kandidaat-raadslid Bram Talman belandde 15 februari per abuis op een webpagina van de gemeente Gouda die niet voor buitenstaanders toegankelijk mag zijn. Via deze pagina kon toegang worden verkregen tot bestanden waar persoonsgegevens van ambtenaren werkzaam bij de gemeente Gouda waren in te zien. Hier is direct melding van gemaakt bij de gemeente. Waarop binnen relatief korte tijd het lek door de gemeente is gedicht. Hierop zijn vragen gesteld door Bram Talman (kandidaat raadslid) ingediend door Zouhair Saddiki (raadslid).
“D66 maakt zich sterk voor privacy en digitale veiligheid. Daarom heeft raadslid Zouhair Saddiki de volgende vragen ingediend:
In februari 2018 is gebleken dat buitenstaanders door te zoeken naar de pagina waar de webcams van de gemeente bekeken kunnen worden (www.g0uda.nl) in de zoekresultaten toegang kunnen krijgen tot de applicatie Wie Zit Waar 3.0 via onder andere de webpagina: www.g0uda.nl/wzw/wzw3.html.
Een programma dat onder andere op een plattegrond weergeeft welke ambtenaren op welke werkplek ingelogd zijn en welke apparaten op het netwerk zijn aangesloten. Hierdoor is ook zichtbaar welke ambtenaren, inclusief foto van de desbetreffende ambtenaar en afdeling waarop deze werkzaam is, daar op welke werkplek aanwezig zijn.
De gegevens die worden gebruikt om deze overzichten te tonen staan in, wederom publiek toegankelijke, bestanden. In deze bestanden zijn onder andere opgenomen: de naam van het apparaat waarop de gebruiker is ingelogd, de inlognaam van de gebruiker, tijd waarop is ingelogd, tijd waarop is uitgelogd en diverse (andere) persoonsgegevens zoals geboortedata van medewerkers, mailadressen, telefoonnummers, datum uit dienst enzovoorts. Deze bestanden worden gegenereerd met data vanuit een beveiligde omgeving en hierna in een niet beveiligde omgeving geplaatst.
Uit de code van deze tool is op te maken dat deze applicatie bedoeld is voor gebruik op het intranet van de gemeente, niet het internet.
Dit incident roept vragen op over de ICT-beveiliging en -beleid van de gemeente. Immers, het beveiligingsniveau van het hele systeem is zo sterk als de zwakste schakel. Bovendien gaat per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in, die de Wet bescherming persoonsgegevens (Wbp) vervangt. De AVG stelt strengere eisen aan de omgang met privacy dan de huidige wetgeving in de vorm van de Wbp.
D66 maakt zich ernstig zorgen over bovenstaande situatie en stelt daarom conform artikel 38 van het Reglement van orde de volgende vragen:
Is het College op de hoogte van bovenstaande melding en zo ja, welke acties heeft het College met betrekking tot deze melding ondernomen?
Hoe kan het dat data vanuit een beveiligde omgeving in een niet-beveiligde omgeving terecht komt?
Kan het College aangeven welke keuzes gemaakt worden bij het wel of niet in-house ontwikkelen van software?
Op welke wijze wordt in-house ontwikkelde software aan beveiligingstests onderworpen?
Wat onderneemt het College om dergelijke situaties in de toekomst te voorkomen?
Hoe ver is de gemeente gevorderd met de implementatie van de AVG en wordt de deadline van 25 mei 2018 gehaald?”
