Wat is er gebeurd?
RTLNieuws heeft vandaag bekendgemaakt dat de gegevens van 11.5 miljoen mensen in Nederland het risico lopen om deel te worden van een online handel van persoonsgegevens. Deze gegevens komen van het kentekenregister van de RDW. Dit betekent dat iedereen in Nederland met een auto, scooter of zelfs een elektrische fiets het risico loopt dat hun persoonlijke gegevens in handen komen van criminelen. De gegevens worden verhandeld via publieke kanalen op Telegram. Volgens RTLNieuws variëren de prijzen van 50 tot 150 euro. Voor 50 euro kan die vervelende bumperklever jouw gegevens opvragen en je nog meer tot last zijn dan alleen te dicht op je bumper rijden.
Hoe heeft dit kunnen gebeuren?
Volgens RTLNieuws verkrijgen de handelaren deze gegevens van contactpersonen bij de RDW. De RDW is niet de enige organisatie met toegang tot het gevoelige deel van het kentekenregister, ook de Belastingdienst, CJIB en gemeenten hebben toegang hiertoe. De RDW controleert via een log methode bij hun eigen medewerkers wanneer iets wordt aangevraagd en waarvoor, maar niet bij de andere organisaties met toegang. In principe zou dit een goede methode moeten zijn, echter blijkt het niet waterdicht te zijn. Een logging geeft een centrale server een melding wanneer data wordt opgevraagd, door wie dit wordt gedaan, en vaak wordt er ook gevraagd om een rede te specifiëren voor de aanvraag. Wil logging goed werken heb je serveradministrators nodig die bij elke aanvraag checken of de informatie nodig is en of de aanvraag goedgekeurd kan worden. Dit kost natuurlijk gigantisch veel tijd en bij een organisatie van de grote van de RDW wordt het erg lastig om op deze manier datalekken te voorkomen.
Wat moet er anders, zodat dit niet meer kan gebeuren?
Dat dit heeft kunnen gebeuren is natuurlijk verschrikkelijk. Het is echter niet voor het eerst dat er een gigantisch datalek bij de overheid is. In 2019 hebben we nog steeds niet genoeg kennis binnen ministeries, overheidsorganisaties en het kabinet om dit soort problemen te voorkomen. We hebben wetgeving die al jaren op de boeken staat en totaal niet in staat is om moderne digitale gegevens veilig te houden. Hier hebben we weer een voorbeeld van hoe het fout kan gaan.
Dan is natuurlijk de vraag, hoe moet het wel?
In eerste instantie moeten we zien te achterhalen wat er nou precies fout is gegaan en waar de mogelijke problemen zitten binnen de huidige maatregelen. Er moeten vragen worden beantwoord voordat we echte maatregelen kunnen nemen.
- Hoe vaak checken organisaties de gegevens?
- Wat voor methodes gebruiken de verschillende organisaties om dit soort lekken te voorkomen?
- Wat komt er precies in het logboek te staan en wat wordt er met deze informatie gedaan?
- Hoe werkt de steekproefsgewijze controle die RTLNieuws noemt in het artikel?
- Hoe krijgt iemand de bevoegdheid om deze gegevens in te zien?
- Is er een controlerend orgaan dat preventief te werk gaat?
Tweakers gebruiker J3r had ook een mooie toevoeging op het artikel op hun website. ‘Wordt nog leuk om te achterhalen. Er kunnen ook batches aangevraagd worden van kentekens. CRWAM en WEBREB is de applicatie van de RDW die door zo ongeveer elke verzekeringsmaatschappij gebruikt wordt. Denk hierbij ook aan rechtsbijstandverzekeraars,’ aldus J3r. Het kan dus heel goed zijn dat het probleem veel groter is dan alleen een paar medewerkers die enkele aanvragen doen van gegevens. Het is van groot belang dat al deze vragen zo snel mogelijk worden beantwoord, zodat we er correct naar kunnen handelen.
Wij zijn binnen de partij al druk bezig met mogelijke oplossingen, zoals het opstellen van een kleiner team dat tot deze gegevens toegang heeft, een betere manier om te checken wie de aanvragen doet en waarvoor, en het opstellen van een organisatie die proactief test of onze gegevens wel veilig zijn. We zouden het graag nog veel verder uit willen werken, maar eerst moeten er een aantal kernvragen worden beantwoord voordat we er echt wat mee kunnen.