Op 7 april is de gemeente Maastricht door een onderzoeksjournalist van het radioprogramma Argos geïnformeerd over een datalek bij kentekenherkenningscamera’s op drie plekken in Randwyck. Aan het Endepolsdomein, de Joseph Bechlaan en de Johan Willem Beyenlaan controleren camera’s automatisch de kentekens van voertuigen om sluipverkeer tegen te gaan. De camera’s en de kentekenherkenning zijn door de gemeente uitbesteed aan een externe partij, ARS Traffic & Transport Technology. De overeengekomen veiligheids- en privacyvoorschriften en afspraken over de bewaartermijnen zijn door dit bedrijf niet nageleefd.
Om welke gegevens gaat het?
Het datalek betrof een bestand met beelden afkomstig van verkeerscamera’s op verschillende locaties in het land, waaronder de camera’s in Randwyck. Het fotobestand was zonder autorisatie toegankelijk via een webserver. Dat is een inbreuk op de beveiliging. In het bestand waren duizenden unieke beelden opgeslagen afkomstig uit de periode 2017 tot en met 2021 uit verschillende gemeenten. Voor Maastricht gaat het om beelden van ongeveer 10.000 voertuigen. Het bestand had niet toegankelijk mogen zijn zonder autorisatie. Daarnaast hadden de beelden ook niet zo lang bewaard mogen worden. Ook zijn op sommige beelden fietsers en voetgangers (herkenbaar) in beeld.
Wat betekent dit voor betrokkenen?
Op de beelden zijn kentekens, locaties en tijdstippen te zien van voertuigen die de drie locaties in Randwyck passeren. Kentekens worden gekwalificeerd als persoonsgegevens volgens de Europese Algemene verordening gegevensbescherming (AVG) voor degenen die toegang hebben tot het kentekenregister. Het (privacy) risico voor betrokkenen is beperkt, omdat er verder geen persoonsgegevens toegankelijk zijn geweest. Ook is er geen aanwijzing dat het bestand door anderen (dan de journalist) is benaderd.
Wie is verantwoordelijk voor het datalek?
Volgens de AVG is de gemeente verantwoordelijk voor de verwerking van persoonsgegevens voor de handhaving van het sluipverkeer. De gemeente heeft met de leverancier van de verkeerscamera afspraken gemaakt over de informatiebeveiliging en het gebruik van de persoonsgegevens. Het datalek is strijdig met deze afspraken. De leverancier betreurt dit en doet nader onderzoek.
Herstelmaatregelen
De leverancier heeft direct op 7 april 2021 een einde gemaakt aan het datalek door het toepassen van adequate beveiligingsinstellingen. De gemeente heeft de camera’s tijdelijk buiten werking gesteld.
Maatregelen ter voorkoming van herhaling
De gemeente vindt dit een ernstige fout. Daarom beraadt de gemeente zich nog op vervolgstappen en de wijze van samenwerking met de leverancier binnen dit project. Indien de gemeente de overeenkomst met de leverancier voortzet, worden verscherpte controlemaatregelen en informatiebeveiligingseisen opgelegd. Andere camerasystemen van de gemeente zijn niet betrokken geweest bij dit datalek.
Melding bij de Autoriteit Persoonsgegevens
Zowel de gemeente als de leverancier hebben het beveiligingsincident gemeld bij de Autoriteit Persoonsgegevens.
Vragen?
Heeft u vragen naar aanleiding van dit bericht? Dan kunt u contact met ons opnemen via e-mail post@maastricht.nl.
