Door een hack bij het bedrijf ID-ware zijn onder meer de gegevens van de toegangspassen van Eerste en Tweede Kamerleden op straat komen te liggen. De data zijn te vinden op een zogeheten leaksite van een criminele groepering.

Het gaat voor zover bekend om gegevens van bijna 3500 mensen die gebruikmaken van de Rijkspas, schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) in een brief aan de Tweede Kamer. Ze stuurde die na een bericht van de Volkskrant over de hack.



ID-ware levert toegangssystemen aan zeker tientallen bedrijven en overheden, waaronder de Eerste en Tweede Kamer. In de data zijn ook persoonlijke gegevens zoals naam, geboortedatum en pasgegevens te vinden van mensen binnen de Politieacademie, ministeries van Justitie en Veiligheid, Defensie, Financiën en Binnenlandse Zaken, evenals ProRail, TNO en Alliander. Allemaal zijn ze klant bij het bedrijf. Op de leaksite zijn ook pasfoto's te vinden en bijvoorbeeld data van studentenpassen.



Van Huffelen zegt dat het niet mogelijk is met alleen deze gegevens een pas te maken die daadwerkelijk toegang verschaft tot het gebouw. Er zijn geen adresgegevens of bankrekeningnummers buitgemaakt.



ID-ware is eind september gehackt door een criminele groepering met de gijzelsoftware ALPHV/BlackCat, zo valt te lezen op hun site op het darkweb. Het was een aanval met ransomware, waarbij bestanden worden versleuteld die pas weer beschikbaar komen als er bijvoorbeeld losgeld is betaald. Daarbij is dus ook een grote hoeveelheid data gestolen en online gezet. Die data kan potentieel worden ingezet om toegang-of identiteitscontrole te omzeilen.

Het bedrijf gaf volgens de staatssecretaris aan dat er 'een grote hoeveelheid bestanden naar buiten is gebracht' maar dat de schade snel hersteld kon worden. Zelf is ze afgelopen maandag op de hoogte gesteld van de kwestie.

Uit onderzoek bleek dat de databaseservers die gebruikt worden bij de uitgifte van passen, niet geraakt zijn door de aanval, schrijft Van Huffelen. Het is nog niet duidelijk of er gegevens van Rijkspasgebruikers op de servers staan, die wel zijn geraakt bij de aanval. Er lopen nog onderzoeken. Het kan ook nog zo zijn dat er andere gegevens zijn gelekt van de pasgebruikers, aldus Van Huffelen. Volgens haar is het lek nu wel gedicht.

Ze denkt dat de gelekte gegevens een beperkte impact zullen hebben op de betrokkenen. Het kan gaan om phishing, waarbij criminelen hengelen naar informatie. "Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", schrijft de staatssecretaris. De personen van wie vaststaat dat de gegevens zijn gelekt, zijn of worden ingelicht over de kwestie.

Gebruikers over de hele linie

Het is niet duidelijk van welke pasgebruikers de gegevens zijn gestolen. Het gaat volgens Van Huffelen om gebruikers over de hele linie, zei ze na afloop van de ministerraad. Het gaat onder meer om medewerkers van de Belastingdienst, maar het kunnen ook journalisten zijn. Ze weet ook niet hoeveel Rijkspassen er in gebruik zijn.

Het bedrijf, de Eerste en Tweede Kamer hebben een melding gedaan bij de Autoriteit Persoonsgegevens (AP) en er is aangifte gedaan bij de politie.