Ernstig datalek Kadaster: Miljoenen adressen voor iedereen vindbaar

Door een beveiligingslek kon iedereen op kinderlijk eenvoudige wijze bij gegevens in het afgeschermde deel van het Kadaster komen. Zo konden woonadressen van miljoenen Nederlanders door iedereen worden achterhaald. Volgens deskundigen is dat een gevaarlijke situatie en zijn de gegevens goud waard voor criminelen. Dat meldt RTL Nieuws na eigen onderzoek.

Het afgeschermde deel hoort toegankelijk te zijn voor deurwaarders en notarissen, maar ook makelaars en advocaten. Zij hebben met enige regelmaat toegang nodig tot deze informatie om hun werk uit te kunnen oefenen en kunnen dan ook een account maken voor dit doeleinde.

De beveiliging bleek volgens RTL Nieuws echter "zo lek als een mandje": zij kregen toegang tot het afgeschermde, besloten deel van het Kadaster en konden zo naar hartenlust grasduinen in de gegevens van miljoenen Nederlanders. 

Volgens RTL Nieuws is deze informatie goud waard voor mensen die kwaad in de zin hebben. Denk bijvoorbeeld aan criminelen en oplichters, die met deze informatie mensen héél gericht en persoonlijk kunnen benaderen.

Maar ook in de context van bedreiging, intimidatie, stalking en doxing (het zonder toestemming openbaar maken van persoonlijke gegevens, red.) kunnen kwaadwillenden met deze informatie heel veel schade aanrichten. 

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens verwoordt het als volgt: "Dit lek vormde een groot gevaar voor bedreigde journalisten, activisten en politici. Maar ook iedereen die te maken heeft met een boze, stalkende ex. Er kon zomaar opeens iemand op de stoep staan om hen te bedreigen, of erger. Wij hebben daarom het Kadaster meteen opgedragen dit lek te dichten."

Gebleken is dat het voor praktisch iedereen mogelijk was om een professioneel account te maken voor het besloten deel van het Kadaster. Je had slechts een inschrijving nodig bij de Kamer van Koophandel en een bankrekeningnummer.

Er werd niet gecontroleerd of jouw bedrijf of onderneming wel toegang moest krijgen tot deze informatie, de sector was voor de controle namelijk niet relevant. Ook kon je gewoon een willekeurig rekeningnummer opgeven, de aanvraag werd toch gewoon binnen een dag goedgekeurd.

Ook was het mogelijk om met andermans gegevens te frauderen: als jij een account maakte met een KVK-nummer van een ander bedrijf, ploffen de facturen voor de zoekopdrachten bij dat bedrijf op de deurmat.

Zoeken was heel eenvoudig: je kon op woonadressen zoeken om zo informatie over de bewoner – vaak de eigenaar – op te vragen, maar je kon ook zoeken op naam en zo het huidige woonadres van iemand achterhalen. Het behoeft weinig inbeeldingsvermogen om na te gaan wat er kan gebeuren als je zoekt op namen van journalisten, advocaten, rechters, politici en ex-partners.

Tegenover RTL Nieuws stelt cybersecurity-expert Dave Maasland: "Dit lek kan leiden tot levensbedreigende situaties. Het is tekenend voor de overheid dat ze geen idee hebben hoe gevaarlijk deze informatie kan zijn. Ze bieden een soort Gouden Gids voor criminelen aan."

Ook is gebleken dat er op Telegram een levendige illegale handel is ontstaan in de gegevens uit het Kadaster. Dat betreft zowel vraag als aanbod, en RTL Nieuws heeft gezien dat mensen al voor een paar tientjes aanbieden om iemands privéadres op te zoeken.

Met welke bedoeling mensen dit soort gegevens precies opvragen, zal per situatie verschillen, maar de kans is levensgroot dat diegenen niets goeds in de zin hebben.

Het Kadaster geeft toe dat de combinatie van een KVK-nummer plus een bedrijfsnaam als vereiste voor het maken van een professioneel account "niet volledig waterdicht" is, met enig gevoel voor understatement. De organisatie biedt sinds 2020 e-Herkenning aan, feitelijk een soort DigiD voor bedrijven.

Maar, zo stelt een woordvoerder: "Dit persoonsgebonden inlogmiddel geeft meer zekerheid voor overheid en burger maar kan vanwege de huidige wetgeving nog niet verplicht worden gesteld."

De Autoriteit Persoonsgegevens heeft het Kadaster opgedragen om het lek direct te dichten en zo verder misbruik te voorkomen. "Maar er is nog veel werk aan de winkel", voegt de toezichthouder eraan toe.

Volgens de AP zijn er meer plekken binnen de overheid waar gegevens mogelijk niet goed beschermd zijn. "Wij zijn dan ook eerder dit jaar een grootscheepse actie gestart: de AP maant het kabinet om de toegang tot persoonsgegevens in openbare registers beter af te schermen tegen oneigenlijk gebruik."

Bron: ANP / RTL Nieuws