‘Nieuw klachtloket Schiphol na datalek’

Luchtvaart Gebruikersgegevens van het klachtenloket van Schiphol lagen op straat. Omwonenden eisen een nieuwe instantie.

BAS registreert geluidshinder.
BAS registreert geluidshinder. Foto Robin Utrecht

Omwonenden van Schiphol eisen vrijdag „een onafhankelijke klachteninstantie”, nu deze week is gebleken dat het bestaande online klachtenloket – het Bewoners Aanspreekpunt Schiphol (BAS) – slecht beveiligd was. Gegevens van 58.000 gebruikers waren eenvoudig toegankelijk op de verouderde website.

Dinsdag bleek uit onderzoek van cyberveiligheidsonderzoeker Wouter van Dongen dat de website van het geluidshindermeldpunt BAS – bezoekbas.nl – slecht beveiligd was. Van Dongen kreeg op „zeer eenvoudig wijze” toegang tot de klachtendatabase, waarin gegevens van onder meer werknemers van Schiphol, luchtverkeersleiders, wethouders en burgemeesters waren opgeslagen. Gebruikte wachtwoorden waren bovendien versleuteld met een verouderd algoritme en daardoor eenvoudig te kraken. Van Dongen ontdekte eerder beveiligingsproblemen bij Nederlandse banken en bij online overheidsdienstverlener DigiD.

Schiphol, dat samen met Luchtverkeersleiding Nederland in 2007 het initiatief nam voor het meldpunt, schakelde het klachtenloket na de melding van Van Dongen uit. Volgens een woordvoerder van de luchthaven zijn er vooralsnog geen aanwijzingen dat de gegevens van het BAS door anderen zijn misbruikt. „We kunnen het nog niet volledig uitsluiten.”

Het BAS heeft het mogelijke lek gemeld bij de Autoriteit Persoonsgegevens, zoals in dit soort gevallen verplicht is. Getroffen gebruikers worden geïnformeerd en aangeraden hun wachtwoord op andere sites te veranderen als ze het daar ook gebruiken, meldt Schiphol in een persbericht. Omwonenden met klachten over overlast kunnen die per e-mail of telefonisch doorgeven.

De bewonersdelegatie van de Omgevingsraad Schiphol (ORS) schrijft „zeer geschrokken te zijn” van de gebrekkige beveiliging van de klachtendatabase. Die „mocht ervan uitgaan dat Schiphol zorgvuldig zou omgaan met persoonlijke gegevens van klagers”.

„Het datalek vormt de aanleiding om te zeggen dat het nu écht anders moet”, zegt Matt Poelmans, woordvoerder namens de bewoners in de omgevingsraad. Zij vinden dat Schiphol zich beperkt tot het registreren van de klachten, zonder de onderliggende problemen op te lossen.

‘Met klacht gebeurt niets’

Schiphol had volgens Poelmans bovendien beloofd het melden van klachten te vereenvoudigen door dat op te nemen in de Schiphol-app, maar die functionaliteit is keer op keer uitgesteld. Poelmans: „Je hoort weleens dat een klacht een gratis advies voor bedrijven is, maar bij Schiphol worden ze alleen geregistreerd. Er gebeurt verder niets mee.” Schiphol herkent de belofte niet, maar stelt wel te werken aan een nieuwe, gemoderniseerde website van het BAS. Deze zou ongeveer half november in gebruik moeten worden genomen, aldus de website van Schiphol.

De omwonenden vinden volgens Poelmans dat de klachteninstantie helemaal onafhankelijk moet zijn „met een onafhankelijk bestuur dat toezicht houdt op de wijze waarop klachten afgehandeld worden”. Het bestuur wordt nu gevormd door één iemand van Schiphol en één iemand van Luchtverkeersleiding Nederland.

Volgens de luchthaven is het BAS „een onafhankelijk orgaan”. Schiphol: „Het BAS is ooit ontstaan op ons initiatief maar heeft eigen medewerkers, een eigen directeur en produceert onafhankelijke rapportages.”