Datalek Kadaster staat voor breder probleem
Een analyse van de ernst van het datalek bij het Kadaster, dat het mogelijk maakte om adressen bij namen te vinden.
Het datalek bij het Kadaster staat voor een breder probleem. De overheid heeft veel openbare registers, waar mogelijk vergelijkbare risico’s spelen. De Autoriteit Persoonsgegevens wil dat ministeries aantonen dat ze hun registers goed beveiligen.
Zoeken op naam
In het Kadaster, een openbaar overheidsregister met informatie over panden en percelen, kan iedereen een adres opzoeken en zien wie de eigenaar is en wat er voor het pand of perceel is betaald. Maar alleen met een professioneel account kun je het besloten systeem van het Kadaster in, waar je tegen betaling ook op naam kunt zoeken. Uit onderzoek van Daniël Verlaan, journalist bij RTL Nieuws, blijkt echter dat er tot voor kort geen enkele controle was op de toegang tot de database. Een inschrijving bij de Kamer van Koophandel en een rekeningnummer volstonden om een account aan te vragen, dat binnen een dag werd goedgekeurd. RTL Nieuws gebruikte willekeurige bedrijven uit de Kamer van Koophandel en willekeurige rekeningnummers om binnen te komen.
Hoe verschilt dit register van het telefoonboek?
Een naam opzoeken om bij een adres te komen klinkt voor sommige ouderen onder ons als een onschuldige bezigheid. Maar in het telefoonboek waren niet alle huiseigenaren te vinden. Evenmin stond er informatie in over wat iemand voor een huis had betaald en met wie die persoon het huis had gekocht. In het register is daarnaast informatie over de hoogte van de hypotheek en (bij oudere adressen) legitimatienummers op te vragen.
Doxing
Een ander belangrijk verschil is dat de mogelijkheid om te doxen niet bestond ten tijde van het telefoonboek: iemands adres op sociale media bekendmaken, zoals onder meer Sigrid Kaag overkwam. Doxing wordt strafbaar, naar verwachting per 1 januari 2024.
Voor mensen die worden bedreigd vormt de slecht afgeschermde toegang tot het register een groot risico. RTL Nieuws vroeg de woonadressen op van onder meer activisten, advocaten en BN’ers. Alleen van een aantal ministers en misdaadjournalisten waren de gegevens niet beschikbaar. Je moet al actief worden beschermd door de overheid om recht te hebben op afschermingsmaatregelen in het Kadaster.
Rancuneuze ex
Dat geldt bijvoorbeeld niet voor de meeste vrouwen met een rancuneuze ex-partner. Het CBS meldde dinsdag dat het aantal vrouwelijke slachtoffers van moord of doodslag is gestegen naar 48 in 2022. Bij vrouwen tussen de twintig en zestig jaar was de vermoedelijke dader in driekwart van de moorden de partner of ex.
Speelt dit probleem alleen bij het Kadaster?
Er zijn tientallen openbare overheidsregisters, die niet altijd zijn aangepast aan de moderne tijd. Een woordvoerder van de Autoriteit Persoonsgegevens zegt: 'Ze zijn vaak opgericht in een tijd waarin je nog naar een overheidsgebouw moest om te vragen of je in de boeken mocht kijken. Nu heb je met één druk op de knop een adres te pakken, en met een druk op een andere knop een bedreiging op sociale media gezet. De overheid moet echt vaker onderzoeken of de persoonsgegevens in een openbaar register nog wel openbaar moeten zijn.'
De overheid moet echt vaker onderzoeken of de persoonsgegevens in een openbaar register nog wel openbaar moeten zijn.
Bescherming registers aantonen
De Autoriteit Persoonsgegevens maakt zich met name zorgen over het Kadaster en het Handelsregister van de Kamer van Koophandel. Maar als de bescherming van persoonsgegevens bij de twee belangrijkste en bekendse registers nog steeds niet goed geregeld is, roept dat bij de toezichthouder ook vragen op over alle andere Nederlandse overheidsregisters. De AP laat de ministeries momenteel inventariseren welke registers zij onder hun beheer hebben. 'Zij moeten daarbij aantonen dat persoonsgegevens goed worden beschermd. En als dat niet zo is, moeten zij de handelswijze bij die registers aanpassen en waar nodig ook de wetgeving eromheen.'
Wanneer is iets ‘gewoon slecht beveiligd’ en wanneer is er sprake van een datalek?
Er is sprake van een datalek wanneer er toegang is tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is, en waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.
Verkeerd verstuurde brief
Een datalek kan voortkomen uit een cyberaanval waarbij hackers doordringen tot beschermde computersystemen, maar ook door zoiets simpels als een brief van de gemeente die door verouderde gegevens in het BRP naar het verkeerde adres wordt verstuurd. Of een datalek aan de Autoriteit Persoonsgegevens moet worden gemeld, hangt af van de mogelijke impact op de slachtoffers. Staat in de brief bijvoorbeeld het burgerservicenummer in combinatie met NAW-gegevens, dan kan iemand met slechte bedoelingen zijn slag slaan. Ook een lek dat je niet hoeft te melden bij de AP blijft een datalek.
Moet er eerst worden gelekt voordat er sprake is van een lek?
Met andere woorden: moet je zeker weten dat de verkeerd verstuurde brief echt is geopend voordat je er melding van moet maken? Nee, het gaat om het feit dat de mogelijkheid zich aandiende. Marjolein Louwerse, functionaris gegevensbescherming bij de Politie en columnist bij Binnenlands Bestuur, zegt: ‘Uit de Engelse tekst van de GDPR (de AVG) wordt duidelijk dat het om de breach in de beveiliging gaat en niet over wat er gelekt is. Als je op een huis van vrienden past en de hele nacht de voordeur open laat staan, ben je geen betrouwbare oppasser, ook niet als de TV er toch nog staat. Dat is geen excuus.’
Is het slecht afgesloten systeem van het Kadaster echt misbruikt?
Het is niet bekend of er misbruik is gemaakt van het gat in de beveiliging. Wel zag RTL Nieuws in criminele chatgroepen op Telegram illegale handel in de gegevens uit het Kadaster langskomen. Als bewijs dat iedereen kan worden opgezocht, kreeg het nieuwsprogramma een aantal Kadaster-documenten opgestuurd van bekende Nederlandse artiesten.
Kan het register nog steeds worden misbruikt?
De controle op professionele accounts is per direct ‘significant versterkt’, aldus een woordvoerder van het Kadaster. Er kunnen geen nieuwe valse zakelijke accounts meer worden gemaakt. ‘Maar er zijn wel 30.000 bestaande accounts waar een onbekend aantal valse accounts tussen zitten. Ze moeten nu allemaal onderzocht worden,' zegt een woordvoerder van de Vereniging Eigen Huis. Volgens hem is daar een crisisteam voor nodig.
Wet aanpassen
Voor de belangrijkste maatregel, het alleen toegang geven aan specifieke beroepsgroepen, zoals notarissen en gerechtsdeurwaarders, moet de wet worden aangepast. Ook het verplichten van verificatie met e-herkenning is volgens de dienst nog niet mogelijk doordat de Wet Digitale Overheid is uitgesteld.
All animals are equal, but some animals are more equal than others.