Gelderland

De Gelderse SP wil opheldering over het gevonden lek in de provinciale site ervaarhetov.nl.
Journalist Brenno de Winter van de site Webwereld.nl slaagde erin om de gegevens van klanten die de website gebruiken in te zien. Hij kon dit doen nadat hij door een hacker was benaderd. De website is bedoeld om bus- en treinreizigers te wijzen op tariefacties en om de OV-chipkaart te verkopen. Door het lek kwamen de persoonlijke gegevens van 168.000 gebruikers beschikbaar. SP-statenlid Alex Mink wil opheldering over deze fout en over de maatregelen die de provincie gaat treffen om de website beter te beveiligen en zulke lekken te voorkomen.

SP-statenlid Alex Mink is boos over deze fout: “dit is al de zoveelste provinciale blunder rondom de invoering van de OV-chipkaart. Er worden continue fouten gemaakt bij de invoering van de kaart en dit is het zoveelste voorbeeld van het provinciale geblunder. Wanneer neemt de provincie haar reizigers eens serieus?”.

De SP heeft de volgende schriftelijke vragen ingediend:
UPDATE: Inmiddels zijn ook de antwoorden van het College van Gedeputeerde Staten hieronder bijgevoegd

Vraag 1:
Hoe is het mogelijk dat het lek op ervaarhetov.nl is ontstaan?
Antwoord:
De website werd in eerste instantie ontwikkeld om als informatie-site van marketingacties in het OV te functioneren. Later zijn daar andere functionaliteiten aan toegevoegd. Naar nu blijkt voldeed het veiligheidsniveau van de website niet aan de eisen die gesteld moeten worden aan een functionaliteit waarbij persoonsgegevens verzameld worden.

Vraag 2:
Waarom was er een melding van een journalist voor nodig om dit lek te ontdekken? Kan het college op hoofdlijnen inzicht geven in de gevolgde procedure om beveiligingslekken op deze site te voorkomen?
Antwoord:
Wij waren zelf niet op de hoogte van het feit dat het voor een hacker mogelijk was om toegang te verkrijgen tot de site. De bekendmaking van het hacken is door een journalist van Webwereld gemeld bij de provincie Gelderland. Toen is direct besloten de site uit de lucht te halen. De gehackte Ervaar het OV-website was op zowel server- database- als websiteniveau beveiligd tegen inbraak door middel van meerdere checks en unieke gebruikersnamen en wachtwoorden.

Vraag 3:
Wanneer denkt het college dat de problemen voldoende zijn opgelost?
Antwoord:
Het lek is gedicht omdat de website Ervaar het OV uit de lucht is gehaald. Inmiddels is een nieuwe eenvoudige site van Ervaar het OV online gezet. Op deze website in de huidige vorm kunnen geen NAW-gegevens worden achtergelaten. We streven er naar om begin juli een nieuwe website Ervaar het OV met de gewenste functionaliteiten live te hebben, die voldoet aan alle veiligheidseisen.

Vraag 4:
Is er sprake van enigerlei schade die door het lek kan zijn ontstaan?
Antwoord:
Nee, personen die NAW-gegevens op de website hebben ingevuld hebben daar geen nadelige gevolgen van ondervonden. De persoon die de website heeft gehackt, heeft laten weten dit gedaan te hebben om privacybescherming van burgers onder de aandacht te brengen en zeker niet om persoonsgegevens publiekelijk te maken.

Vraag 5:
Welke stappen worden er ondernomen om dergelijke incidenten te voorkomen?
Antwoord:
De nieuwe website van Ervaar het OV zal voldoen aan alle veiligheidseisen, zoals o.a. het beveiligd opslaan van data in een database met beveiligde verbinding. Wanneer de nieuwe site weer live gaat wordt een aantal securitychecks gehouden zoals onder andere een interne en een externe security audit. Wij volgen hierbij de richtlijnen van Govcert van het Ministerie van Binnenlandse zaken.

Vraag 6:
Is het college het met ons eens dat dit incident buitengewoon kwalijk is voor het vertrouwen in de invoering van de ov-chipkaart?
Antwoord:
De database van Ervaar het OV is geen OV-chipkaart database maar een database van NAWgegevens van personen die deel hebben genomen aan marketingacties van Ervaar het OV, waaronder twee OV-chipkaart acties (Dalkorting in Oost-Nederland en Gratis OV-chipkaart voor 65+ers in Gelderland). Echter bij deze twee acties werd doorgelinkt naar de landelijke website www.ov-chipkaart.nl, waartoe de hacker geen toegang heeft gekregen. Hoewel het accent in de media in eerste instantie helaas op de relatie met de OV-chipkaart lag, is het beeld dat de gegevens van aanvragers voor één of beide OV-chipkaartacties “op straat zouden liggen”, gecorrigeerd via o.a. de website van de provincie.

Vraag 7:
Wie is er uiteindelijk verantwoordelijk voor het functioneren van deze website?
Antwoord:
Wij zijn verantwoordelijk voor de website omdat de provincie Gelderland, mede namens de provincies Overijssel, Flevoland, de Stadsregio Anrhem Nijmegen en Regio Twente optreedt als opdrachtgever voor het bureau, dat de campagne Ervaar het OV uitvoert.

Vraag 8:
Is het college het met ons eens dat er een centrale regie moet worden gevoerd door de minister van Verkeer en Waterstaat bij de invoering van de OV-chipkaart?
Antwoord:
Nee, dat zijn wij niet met u eens. De Minister van Verkeer en Waterstaat heeft er voor gekozen om de verantwoordelijkheid voor de invoering van de OV-chipkaart neer te leggen bij de decentrale overheden. Deze partijen hebben dit proces inmiddels in gang gezet en stemmen regelmatig zaken af op het gebied van de implementatie, zowel in regionaal als in landelijk verband, zodat de samenhang geborgd is.

Omroep Gelderland: website ov-chipkaart ligt plat
Webwereld: OV-site lekt persoonlijke data 168.000 gebruikers