Persoonsgegevens militairen op straat door Strava: 'Dit is echt wel erg'
“Het is echt wel erg”, zegt Matthijs Koot, expert op het gebied van digitale gegevensbescherming en privacy. “Het gaat om de gegevens van meer dan duizend militairen en dat is een heleboel. Op deze manier zet je jezelf wel heel gemakkelijk op de radar van de vijand.”
Sportapp Strava
Voor het onderzoek keek Omroep Gelderland naar de app Strava. Dat is een sociaal medium waarop sporters hun prestaties delen. Op de website staan routes en staat per route vermeld wie daar hebben gelopen. Een aantal wandelpaden ligt op beveiligde terreinen van Defensie, waar alleen militairen of bezoekers met een toegangspas mogen rondlopen.
Omroep Gelderland keek ook naar de Brabantse defensielocaties en deelde de gegevens daarvan met de onderzoeksredactie van Omroep Brabant. Gebruikers die in de afgelopen twee jaar een wandeling hebben geregistreerd bij een Brabantse defensielocatie zijn meegenomen in dit onderzoek. Het gaat bijvoorbeeld om de Lunettenkazerne, Vliegbasis Woensdrecht, Vliegbasis Gilze-Rijen en Luitenant-generaal Bestkazerne.
Gegevens combineren
Volgens expert Koot is het eenvoudig om de namen van militairen die via Strava gevonden zijn te combineren met informatie die verkregen is via een datalek van bijvoorbeeld een webshop. “Dan weten ze dus ook je e-mailadres, telefoonnummer en woonadres”, zegt Koot.
“Als je als militair toegang hebt tot gebouwen, personen en systemen waar de vijand interesse voor kan hebben, dan moet je jezelf niet te veel in de kijker spelen. Dat geldt niet alleen als je op missie gaat in het buitenland, maar ook hier in Nederland."
Ook bij de KMA
Opvallend is dat meer dan 250 militairen van wie de gegevens op straat liggen, komen van de Koninklijke Militaire Academie in Breda. Daar worden de officieren van de Nederlandse strijdkrachten opgeleid en van hen zijn de persoonsgegevens nog gevoeliger dan van militairen van andere kazernes. Bijvoorbeeld omdat deze militairen vanwege de aard van hun werkzaamheden toegang hebben tot gevoelige of zelfs staatsgeheime informatie. En daarom een interessant doelwit zijn voor buitenlandse inlichtingendiensten.
Bij de vliegbasis in Volkel en bij de thuisbasis van de commando’s in de Engelbrecht van Nassaukazerne in Roosendaal gaat men beter om met de informatieveiligheid. Op deze locaties waren geen routes op Strava en lukte het niet om persoonsgegevens te achterhalen van militairen.
Gevaar voor de nationale veiligheid
De legerleiding waarschuwt militairen al jaren om voorzichtig te zijn bij het gebruik van sociale media en geen gegevens te delen waaruit blijkt dat ze voor defensie werkzaam zijn. Een woordvoerder van defensie zegt hierover: “De vijand zou deze informatie inderdaad kunnen misbruiken. Militairen worden dan onder druk gezet met alle mogelijke gevolgen vandien. Voor henzelf, hun familie, maar ook voor de nationale veiligheid.”
Ondanks de waarschuwing, is het vrij makkelijk om met de publiekelijke gegevens van Strava meer te weten te komen over de militairen. Met de volledige namen en foto’s op de Strava-profielen konden we van een aantal militairen bijvoorbeeld profielen op Facebook, Instagram en andere sociale media vinden.
Om hun gegevens af te schermen, kunnen sporters op Strava hun profiel privé maken. Alleen mensen die uitgenodigd zijn kunnen dan hun activiteiten zien. Ongeveer een kwart van de militairen heeft zo’n privé-account. Maar zelfs als een profiel is afgeschermd en activiteiten niet zichtbaar zijn, komen de namen nog steeds voor in de ranglijsten die Strava laat zien. En door op een profiel te klikken, is ook de profielfoto en eventueel de woonplaats zichtbaar.
Al vaker ophef
Het is niet de eerste keer dat het gebruik van sportapps onder militairen voor ophef zorgt. Eerder onthulde The Guardian al dat de locaties van geheime bases vindbaar waren via de app van Strava. Bellingcat en De Correspondent lukte het in 2018 om via de app van Polar de namen van militairen te achterhalen. Defensie heeft na die onthullingen de richtlijnen voor militairen aangescherpt.
Expert Matthijs Koot vraagt zich af wanneer Defensie hier nou eens iets van gaat leren. Volgens hem is er maar een manier om dit soort informatielekken te voorkomen. “Militairen zouden moeten stoppen met het op sociale media plaatsen van hun activiteiten op terreinen van defensie." En als ze dat toch per se willen? “Maak dan in ieder geval een account aan onder een andere naam.”
Wil je reageren op dit verhaal of heb je een tip? Mail de onderzoeksredactie of bereik ons 100 procent anoniem via Publeaks.
Reactie Defensie
Het ministerie van Defensie laat in een reactie weten dat het advies aan militairen is om hun profiel op slot te zetten, bepaalde apps niet op defensielocaties te gebruiken en niet herkenbaar als militair op dergelijke platforms aanwezig te zijn. De berichtgeving door Omroep Gelderland is voor defensie aanleiding om militairen extra te gaan wijzen op de risico’s van het delen van privé-informatie. Defensie zegt geen uitspraken te kunnen doen over eventuele extra beveiligingsmaatregelen die getroffen worden.
Verantwoording
Omroep Gelderland analyseerden gegevens op ranglijsten van acht verschillende militaire terreinen in Brabant. De gegevens werden gedeeld met de onderzoeksredactie van Omroep Brabant, die de gegevens verder bestudeerde. Het gaat om de Luitenant-generaal Bestkazerne, Generaal-majoor De Ruyter van Steveninckkazerne, Lunettenkazerne - Van Brederodekazerne, Vliegbasis Woensdrecht, Vliegbasis Volkel, Vliegbasis Gilze-Rijen, Engelbrecht van Nassaukazerne en de Koninklijke Militaire Academie. Van iedere ranglijst downloade Omroep Gelderland de profielen. Daarna verzamelde de omroep geautomatiseerd van ieder profiel op die ranglijst de gegevens. Alleen militairen die in de afgelopen twee jaar actief zijn geweest op de app, zijn meegenomen in het onderzoek.