De gegevens die inwoners van Alkmaar en Bergen moeten verstrekken aan de Coöperatie Parkeerservice voor een parkeervergunning zijn mogelijk niet in veilige handen. Een inwoner van Egmond aan Zee die aan de bel trok bij de gemeente Bergen, vond gehoor bij wethouder Bekkering en wist de invoering van het digitale vergunningensysteem via Coöperatie Parkeerservice op het laatste moment tegen te houden.
De Egmonder informeerde de gemeente Bergen en Coöperatie Parkeerservice zelfs dat ethische hackers hem hadden gemeld dat het was gelukt om de ICT-systemen van de Coöperatie Parkeerservice binnen te dringen. Dat, plus de kritische vragen van de Egmonder over het privacybeleid van het bedrijf, waren belangrijke beweegredenen voor de gemeente Bergen om de invoering van het digitale parkeren op het laatste moment uit te stellen.
Gösta van Dam uit Egmond aan Zee heeft maandag een brief gestuurd aan de gemeenteraad, waarin hij verslag doet van zijn speurtocht en zijn zorgen uit over de veiligheid van zijn gegevens bij Parkeerservice. Van Dam noemt zichzelf een ‘kritische burger die zeer gehecht is aan de democratische rechtsstaat’.
Coöperatie Parkeerservice voert de parkeeradministratie uit voor vijftien gemeenten, waaronder enkele grote zoals Alkmaar, Amersfoort, Gouda, Hilversum, Hoogeveen, Zandvoort, Nieuwegein en Lelystad. Gegevens die burgers verstrekken voor de aanvraag van een parkeervergunning worden in de databases van het private bedrijf opgeslagen. Wie een deel van de gevraagde gegevens niet wil verstrekken aan het bedrijf, kan digitaal geen aanvraag indienen.
Van Dam vertrouwt private bedrijven niet met zijn persoonsgegevens. Zijn mening is dat de gegevens van burgers niet in veilige handen zijn bij externe bedrijven die door overheden worden ingeschakeld voor publieke taken. De komst van de Coöperatie Parkeerservice naar Bergen kon daarom op weinig enthousiasme rekenen bij de Egmonder. Hij nam de organisatie, de aanvraagprocedure en de privacy-garanties van Parkeerservice kritisch onder de loep.
Volgens hem bleek het te rammelen: “Parkeerservice vraagt een overdaad aan gegevens bij de aanvraag. Het bedrijf kan geen goede verklaring geven waarom ze zoveel informatie van burgers vragen”. Het bedrijf meent zelf dat alle gevraagde gegevens nodig zijn bij de beoordeling van een aanvraag en belooft de gemeenten en inwoners een goede beveiliging.
Van Dam vervolgt: “We krijgen steeds te horen dat we overal ons burgerservicenummer moeten afschermen. Een privaat bedrijf, Parkeerservice, vraagt daar om zonder dat ze kunnen uitleggen waarom het nodig is bij de aanvraag. Voor een parkeervergunning voor een tweede woning of vakantiehuisje moet je zelfs een koopcontract overleggen, zonder uitleg waarom dat niet met lichter geschut kan. Van de privacywetgeving moet de privacyverklaring op de website normaal gesproken antwoord geven op die vragen, maar Parkeerservice blijft hopeloos in gebreke”, zo licht Gösta van Dam zijn beweegredenen toe.
De kritische Egmonder betwijfelt dan ook of de gegevens bij het bedrijf veilig zijn. Gösta van Dam stelt: “Er werken geen ambtenaren die een ambtseed hebben afgelegd. Bij de GGD konden alle medewerkers en uitzendkrachten bij de landelijke databases. Enkelen verkochten de bestanden illegaal door op het Dark Web. In de gemeente Bergen wonen ook veel bekende en vermogende Nederlanders. Dit moet goed afgedicht zijn en anders moet je het niet doen!” .
Afgelopen week wilde hij weten of de beveiliging van de ICT-systemen van Parkeerservice wel op orde was. Hij vroeg twee ethische hackers om eens te proberen hoe ver ze kwamen. Veel te ver, volgens hem: “De beveiliging is daar voor een beetje hacker een peulenschil.” Van Dam is niet meteen naar de pers gestapt met zijn bevindingen, maar naar de organisaties zelf. Hij werd daarna woensdag gebeld door wethouder Bekkering. “De gemeente Bergen verdient een groot compliment hoe ze het hebben opgepakt. Het getuigt van lef om de invoering op het laatste moment uit te stellen. Chapeau.”
Wethouder Bekkering weerspreekt echter dat Van Dam het balletje aan het rollen bracht: “We waren er zelf ook al mee bezig. De kritische vragen van Van Dam hebben onze opvatting versterkt dat we meer tijd nodig hebben om de digitale parkeervergunningen zorgvuldig in te voeren”. Volgens hem zitten de zorgen vooral bij de garanties voor de privacy van de inwoners van Bergen en minder bij de ict-beveiliging van Parkeerservice. “De heer Van Dam overlegt geen bewijs van de computerinbraak, en kan ons ook nog niet in contact brengen met deze ethische hackers. Parkeerservice heeft een hoogstaand ISO27001-keurmerk, wat betekent dat ze de beveiliging heel goed op orde moeten hebben. Zonder bewijs van het tegendeel moet ik daarvan uitgaan.”
Directeur Arnold Geytenbeek van Coöperatie Parkeerservice meldt desgevraagd dat zijn bedrijf afgelopen week geen sporen kon vinden van een hack van hun computersystemen. Die hackers hebben zich ook nog niet bij Parkeerservice gemeld, wat doorgaans wel de werkwijze is van ethische hackers. “We weten van een inwoner van de gemeente Bergen die zich tot ons heeft gewend en beweerd dat de computerinbraak begin van de week heeft plaatsgevonden. We hebben echter meer gegevens nodig om dit verhaal te verifiëren. De melder heeft de hackers echter nog niet kunnen bereiken om deze details te verstrekken. Zonder sporen of nader bewijs betwijfelen wij of de inbraak heeft plaatsgevonden. ICT-beveiliging is voor ons topprioriteit.”
Saillant detail is dat de gemeente Alkmaar per 1 januari 2022 stopt met de Coöperatie Parkeerservice. Het bedrijf voldoet niet aan de verwachtingen van Alkmaar en diverse herkansingen leidden niet tot meer tevredenheid.