Identiteitsfraude

Rijksdienst sussend over datalek

Tot mijn grote verbazing konden we vandaag lezen dat de Rijksdienst voor Identiteitsgegevens, onderdeel van het ministerie van Binnenlandse Zaken, van mening is dat de kans op identiteitsfraude door het datalek bij de GGD klein is. Op de eigen website:

“De kans op identiteitsfraude is klein. Met alleen het BSN en NAW-gegevens kunnen geen bankrekeningen worden geopend of telefoonabonnementen worden afgesloten. Dit is alleen mogelijk indien (een kopie van) het identiteitsdocument (paspoort, identiteitskaart of rijbewijs) of documentnummer bij het datalek is betrokken. Wel is het verstandig om alert te zijn op misbruik.”

Alsof er geen andere vormen van fraude zijn, die ernstige consequenties kunnen hebben voor mogelijke slachtoffers. En de beschikking hebben over het BSN nummer en NAW-gegevens is voor criminelen een beginpunt om allerlei mogelijkheden tot fraude te exploreren. Het is tamelijk schokkend dat juist de Rijksdienst voor Identiteitsgegevens hierover sussende woorden op hun website zet.

Documentnummer

Het wordt even terloops genoemd: het documentnummer. Dat is een officieel nummer dat op elk officieel document staat en dat veelvuldig door mensen aan anderen wordt verstrekt. Veel mensen weten inmiddels wel dat je niet zo maar een kopie van je paspoort, rijbewijs of identiteitsbewijs aan de campingbaas of hoteleigenaar moet verstrekken. Maar meestal ontkom je daar niet aan, wat de meesten dan nog wel doen is het BSN-nummer onleesbaar maken op de kopie. Er zijn dus veel documentnummers in omloop. Ook in gehackte datasets.

Identiteitsfraude

Identiteitsfraude is pas echt een probleem als het je overkomt. Zeker in een tijd waarin de overheid de burger toch al ziet als calculerend en frauderend. De verhalen van mensen die het is overkomen zijn schrijnend, vooral ook door hoe ze behandeld worden door overheidsinstellingen. De politie heeft er een speciale webpagina aan gewijd. Op deze pagina staan ook diverse tips om te voorkomen dat je slachtoffer wordt van identiteitsfraude. Je niet laten testen of vaccineren door de GGD staan er nog niet bij, overigens.

Discrepantie

Bovendien is er een enorme discrepantie: op de eigen website van de Rijksoverheid over welke organisaties een kopie mogen maken van identiteitsbewijzen en waar het dan om gaat:

“Een telecombedrijf mag uw legitimatiebewijs kopiëren of scannen, maar moet de pasfoto en het burgerservicenummer (BSN) afschermen.” Geen woord over het documentnummer! Sterker nog, de volgende tekst geeft aan dat men gewoon het documentnummer mag overnemen:

“Sommige bedrijven en organisaties zijn wettelijk verplicht een aantal gegevens van uw identiteitsbewijs over te nemen. De school of uw zorgverlener bijvoorbeeld. En het hotel en de camping waar u wilt overnachten. Uw ID-bewijs of een kopie afgeven, is dan niet nodig. Het soort legitimatiebewijs en het nummer ervan laten opschrijven is voldoende. Bijvoorbeeld: ‘Paspoort, NWLFR3706.’”

Aldus de letterlijke tekst op de website van de Rijksoverheid. Dus men mag gewoon het documentnummer vastleggen, en dat gebeurt dan dus ook. Meestal in een database waarbij het maar zeer de vraag is of deze voldoende beveiligd is..

Meldpunt

Er is nu wel een meldpunt ingericht voor mensen die het slachtoffer denken te zijn van identiteitsfraude.

Het is wel apart hoe de Rijksdienst voor Identiteitsgegevens zelf denkt over het BSN-nummer:

“In sommige gevallen wordt ook gevraagd om het BSN te wijzigen. De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein. Het BSN is een zogenaamd ‘informatie loos’ nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Het is in het geval van een datalek niet nodig om het BSN te veranderen.”

What the fuck? ‘Informatie loos’ nummer? Dat moet je eens vertellen aan alle slachtoffers van de kindertoeslagenaffaire, die nog steeds door allerlei overheidsinstanties beschouwd worden als fraudeur. Het is het meest belangrijke identificerend nummer van een Nederlands staatsburger. Als het zo ‘informatie loos’ is, ze doen alsof het gemakkelijk inwisselbaar is, waarom wordt er dan zo moeilijk over gedaan om een ander BSN-nummer te verstrekken omdat juist het BSN-nummer zo oneigenlijk wordt gebruikt om mensen als fraudeur aan te merken?

Doe iets aan dat kwetsbare BSN

In de column van Karin Spaink, ook afgedrukt in het Parool, haalt ze Martijn Leisink aan. Hij geeft inleiding cryptografie op de middelbare school en legt het op Twitter uit in een reeks berichten: ‘Het echte schandaal is dat je je eigen identiteit moet beschermen door een nummer geheim te houden dat je tegelijkertijd volgens de wet te pas en te onpas moet afgeven.’ Hij geeft ook een mogelijke oplossing aan: via je DigID zou iedereen beperkt geldige BSN’s kunnen aanmaken, gebonden aan een instantie, zodat het elders niet werkt.