De NL-Alert-app, waarmee het voor kwaadwillenden mogelijk was om de locatie van een gebruiker in kaart te brengen, bevat geen logboek van opgevraagde locatiegegevens, meldt minister Ferd Grapperhaus (Justitie en Veiligheid) woensdag in een Kamerbrief. Daardoor is technisch gezien niet uit te sluiten of iemand de kwetsbaarheid heeft misbruikt.

De kwestie kwam vrijdag publiekelijk aan het licht, nadat een dag eerder al bleek dat de NL-Alert-app een ander lek bevatte. Met behulp van een unieke gebruikerscode die te vinden was in de app, kon de actuele locatie van een appgebruiker achterhaald worden. Die informatie zou gebruikt kunnen worden om iemand te volgen.

Volgens de privacywet moeten gegevens goed beveiligd zijn, onder meer door te voorkomen dat Jan en alleman er toegang tot heeft. Het bijhouden van een logboek is niet verplicht, maar volgens de Autoriteit Persoonsgegevens (AP) in de meeste gevallen wel noodzakelijk.

"Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest", aldus de toezichthouder.

Grapperhaus erkent dat de beveiliging van de NL-Alert-app "boven elke twijfel verheven" moet zijn. Hoewel misbruik niet technisch uit te sluiten is, wijst de minister er in de brief wel op dat iemand toegang moest hebben tot de smartphone van het beoogde slachtoffer. Ook was de kwetsbaarheid niet publiek bekend, wat de kans op misbruik verkleint.

Zowel de eerste als de tweede kwetsbaarheid is in de meest recente versie van de NL-Alert-app verholpen. De update maakt de app echter onbruikbaar. Minister Grapperhaus adviseert gebruikers om de app te verwijderen. De reguliere NL-Alert wordt via een technische variant op sms verstuurd en is niet afhankelijk van een app.