Ben ik als slachtoffer ergens ook verantwoordelijk? En andere vragen over identiteitsfraude beantwoord
De afgelopen maanden waren er meerdere datalekken bij grote bedrijven. Hierdoor liggen persoonsgegevens van miljoenen Nederlanders voor het oprapen voor criminelen. Maar wat betekent dat voor jou? We vroegen wat jullie wilden weten over identiteitsfraude.
Jullie vragen worden beantwoord door Harm Teunis, hij is expert op het gebied van cybersecurity.
1. Wat is identiteitsfraude?
Bij identiteitsfraude doet iemand zich voor als jou, zonder dat jij daar toestemming voor hebt gegeven, legt Teunis uit. Criminelen gebruiken je persoonlijke gegevens zoals je naam, adres, bankrekeningnummer of burgerservicenummer (BSN) om dingen te doen in jouw naam. Het gaat dan bijvoorbeeld om online aankopen doen, een abonnement afsluiten of zelfs een lening aanvragen.
Het vervelende is dat je het vaak pas laat merkt, weet hij. "Je hebt het pas door als er ineens een rekening binnenkomt over een bedrag dat is afgeschreven, zonder dat jij daarvan wist." En tegen die tijd kan de schade volgens hem al groot zijn.
2. Hoe kunnen je gegevens misbruikt worden?
Het gevaar van de recente datalekken bij bedrijven als Odido, Basic-Fit, Rituals en Booking.com zit hem niet alleen in de gegevens van één lek, maar in de combinatie van meerdere lekken tegelijk, legt Teunis uit.
"Als ik weet wat jouw bankrekeningnummer en jouw BSN is én dat je klant bent bij Odido, dan wordt het heel makkelijk om mij voor te doen als Odido-medewerker en jou een heel gerichte mail te sturen."
Je krijgt zoveel informatie te zien die specifiek voor jou klopt, dat je denkt: dit zou weleens kunnen kloppen.cybersecurity-expert Harm Teunis over de werkwijze van criminelen
Zo'n bericht is door de kloppende informatie dus veel geloofwaardiger dan een gewone phishingmail, omdat het vol met gegevens staat die echt kloppen. En daarbij komt ook nog dat criminelen vaak urgentie als extra truc gebruiken, vertelt de expert. "Ze doen zich voor als de bank, een verzekeraar of een overheidsinstantie en beweren dat er iets is misgegaan. Ze zetten je onder druk. En wie zich gehaast voelt, maakt sneller een fout."
Zijn advies is dan ook duidelijk: ga niet mee in die urgentie. "Als er ook maar een klein beetje achterdocht is, hang gewoon op. Zoek daarna het officiële telefoonnummer van het bedrijf of organisatie op via Google en bel zelf terug. Zo weet je zeker dat je de echte organisatie aan de lijn hebt."
3. Ben je verantwoordelijk als er identiteitsfraude met jouw gegevens wordt gepleegd?
Nee, maakt Teunis duidelijk. "Als iemand anders jouw gegevens gebruikt zonder jouw toestemming, ben jij het slachtoffer van een misdrijf. Je bent dus niet aansprakelijk voor wat er in jouw naam is gedaan."
"Maar dat betekent niet dat je niets hoeft te doen", benadrukt hij. Het advies is dan ook om zo snel mogelijk aangifte te doen bij de politie. Daarnaast kun je melding maken bij het Centraal Meldpunt Identiteitsfraude van de overheid.
Is je paspoort of rijbewijs gestolen of misbruikt? Dan is het verstandig om dit ook te melden bij de gemeente, voegt de expert daaraan toe. "Het is heel belangrijk om zoveel mogelijk bewijsmateriaal te verzamelen. Dat kun je aan de politie voorleggen, maar bijvoorbeeld ook aan je bank, om te laten zien dat jij het niet was."
4. Kun je de schade verhalen als er met jouw gestolen gegevens spullen worden gekocht?
Dat je niet aansprakelijk bent, betekent niet automatisch dat je de schade vergoed krijgt. Dat hangt sterk af van de situatie, zegt Teunis. Het maakt al een verschil uit of je bijvoorbeeld zelf nalatig bent geweest door gegevens te delen met criminelen.
Er is dan ook geen simpel antwoord", legt hij uit. "Wel geldt: hoe beter je kunt aantonen dat jij het niet was, hoe groter de kans dat je geholpen wordt. Banken en winkels bekijken per geval wat ze kunnen doen."
Hij wijst ook op de massaclaim die is ingediend tegen Odido. Maar zelfs dat is volgens hem ingewikkeld: "Als je aanspraak wil maken op een schadevergoeding moet er wel schade zijn. En hoe ga je dat aantonen? Dat is supermoeilijk. Je moet namelijk kunnen bewijzen dat de schade het directe gevolg is van het datalek en dat is lang niet altijd mogelijk."
In deze uitlegvideo zoeken we uit hoe vaak een massaclaim nu echt wat oplevert
5. Hoe kun je zelf je gegevens beter beschermen en voorkomen dat je onbedoeld overal sporen achterlaat?
Er zijn een aantal concrete stappen die je zelf kunt nemen, zegt Teunis. Hij noemt tweestapsverificatie als allerbelangrijkste middel. Dit is een extra beveiligingslaag bovenop je wachtwoord. Bij het inloggen moet je dan ook een code invoeren die je op je telefoon ontvangt via een zogenoemde 'authenticator'-app. Zulke apps worden door verschillende bedrijven aangeboden.
"Stel dat jouw e-mailadres en wachtwoord op straat belanden door een datalek, dan kan iemand nog steeds niets met die gegevens, want ze hebben die code niet", legt hij uit. Verder raadt hij aan om voor elke dienst een ander wachtwoord te gebruiken. "Gebruik je overal hetzelfde wachtwoord, dan kan één lek genoeg zijn om meerdere accounts over te nemen."
Ook is het verstandig om zo min mogelijk gegevens achter te laten, zegt de expert. "Bij het kopen van een boek in een webwinkel heb je eigenlijk alleen een naam en adres nodig, je telefoonnummer is daarvoor echt niet nodig." Maak ook niet overal een account aan als dat niet hoeft, voegt hij daaraan toe. En wees voorzichtig met wat je deelt op social media.
Tot slot wijst Teunis op speciale diensten waarmee je voor elke website een apart e-mailadres kunt aanmaken om jezelf te beschermen. Dat wordt een 'alias' genoemd. De e-mails naar zo'n alias worden vervolgens automatisch doorgestuurd naar je e-mailadres. "Zo weet niet iedereen wat jouw echte e-mailadres is", legt hij uit.
6. Moet de overheid bedrijven niet verplichten om systemen beter te beschermen?
Die verplichtingen bestaan al, maar ze worden niet altijd goed nageleefd, weet Teunis. "De AVG-privacywet schrijft voor dat bedrijven niet meer gegevens mogen opslaan dan nodig, dat ze die goed moeten beveiligen en klanten moeten informeren als er iets misgaat." Maar de recente datalekken laten volgens hem zien dat dit niet altijd goed gaat: "Dit is voor de Autoriteit Persoonsgegevens aanleiding geweest om actiever te gaan optreden.:
"De toezichthouder heeft nu daarom aangekondigd dat grote ICT-leveranciers voortaan preventief gecontroleerd worden, dus nog voordat er iets is misgegaan", gaat hij verder over het handhaven van de privacywet. Het gaat dan om bedrijven die grote hoeveelheden persoonsgegevens verwerken namens andere bedrijven en organisaties. "Maar uiteindelijk blijven die laatsten wel zelf verantwoordelijk voor de gegevens."
Daarnaast is er nog de NIS2-richtlijn van de Europese Unie. "Die verplicht bedrijven in zogeheten vitale sectoren, zoals energie, drinkwater en telecom, om hun digitale beveiliging te versterken", vertelt Teunis. Maar deze Europese wet moet nog worden omgezet in Nederlandse wetgeving.
Toch benadrukt de cybersecurity-expert dat het verplichten om systemen beter te beschermen niet altijd genoeg is. Hij wijst op het lek bij Odido, waar achteraf bleek dat het bedrijf gegevens veel langer had bewaard dan beloofd. "Het zou heel mooi zijn als bedrijven klantengegevens beschermen, niet omdat ze geen regels willen overtreden, maar omdat ze het beste voor hebben met hun klanten."
Ook de communicatie ná een datalek kan volgens hem een stuk beter. "Bedrijven zijn weliswaar verplicht om klanten duidelijk te informeren over wat er is gelekt en wat ze kunnen doen, maar dat gebeurt lang niet altijd op een begrijpelijke manier."
En ook als klant heb je daarin een rol, sluit Teunis af. "We moeten met z'n allen wat beter nadenken over waar we onze gegevens online achterlaten en of dat allemaal iets minder kan. Daarbij blijft basisbeveiliging, zoals een tweestapsverificatie, erg belangrijk."