In het kader van "Lektober" publiceert Webwereld deze maand dagelijks een privacylek. Vandaag ligt de Raad van State onder vuur vanwege hun extranet. De partijen waar eigenlijk naar gewezen zou moeten worden zijn een groot aantal Nederlandse gemeenten: die hebben de toegangscodes voor de website van de Raad van State online gepubliceerd.
In een aantal eenvoudige stappen is het mogelijk om in te loggen op https://extranet.raadvanstate.nl en daar de inlog- en uploadhistorie te zien alsook om te pogen nieuwe bestanden te uploaden:
Volgens de Raad van State kan er geen misbruik gemaakt worden van het portaal, omdat er specifieke vereisten aan de bestanden worden gesteld. Die vereisten zijn weliswaar terug te vinden in de openbare handleiding, maar een woordvoerster van de Raad van State zegt op Tweakers dat er naast de loginggegevens ook nog een "sleutel" nodig is om bestanden te uploaden. Op Webwereld geeft het hoofd communicatie van de Raad van State nog aan dat IP-adressen achteraf gecontroleerd kunnen worden, maar dat lijkt me eerder een laatste redmiddel dan een adequate procedure om de authenticiteit van de bestanden te waarborgen.
De openheid die de gemeente nastreeft is bewonderenswaardig (en voldoet aan de actieve houding zoals die in de Wet openbaarheid van bestuur is vastgelegd) maar is niet secuur uitgevoerd, iets wat vaker voorkomt. Net als voor persoonsgegevens geldt dat inloggegevens uit zulke documenten gefilterd moeten worden. Tot nu toe is er naar aanleiding van dit "lek" nog niet gehandeld door zowel de gemeenten als de Raad van State: niet alleen staan de documenten met de inloggegevens nog online, maar ook werken de inloggegevens nog steeds. En dat laatste is iets waar de Raad van State dan weer wat aan zou kunnen doen...
