Duizenden Nederlandse ID-bewijzen jarenlang openbaar door datalek

Kopieën van duizenden Nederlandse identiteitsdocumenten stonden jarenlang op een onbeveiligde dataserver, waardoor ze in te zien waren voor iedereen. Tussen de documenten zaten ook identiteitsbewijzen van Defensie.

Dat blijkt uit onderzoek naar het datalek door het Duitse beveiligingsbedrijf Kromtech in samenwerking met NU.nl. FedEx heeft het lek inmiddels gedicht. 

De documenten stonden op een onbeveiligde server van Bongo International, een bedrijf dat in 2014 door bezorgingsbedrijf FedEx werd overgenomen. In totaal bevatte de server 119.000 formulieren en documenten, die vermoedelijk tussen 2009 en 2012 door klanten uit de hele wereld naar Bongo International zijn verstuurd.

De internationale omvang van het lek werd in februari bekend, maar tot op heden was er weinig bekend over de Nederlandse data.

Op de server stonden ongeveer zesduizend documenten afkomstig uit Nederland. Het zou daarbij gaan om drieduizend identiteitsdocumenten zoals paspoorten en rijbewijzen, met nog eens drieduizend bijbehorende formulieren. Op deze formulieren waren de namen, adresgegevens en telefoonnummers van de Nederlanders ingevuld.

Defensie

Hoeveel documenten van defensiemedewerkers er precies op de server stonden, is niet duidelijk. Defensie is intern een onderzoek gestart, waaruit moet blijken om hoeveel documenten het precies gaat. De onderzoekers van Kromtech vonden bij een steekproef met driehonderd documenten in ieder geval twee identiteitsbewijzen van Defensie.

Het gaat om twee verschillende soorten identiteitskaarten die duidelijk herkenbaar waren als documenten van Defensie. Eén type document betreft een inmiddels oud model van een defensiepas die aan vaste medewerkers wordt uitgegeven, zoals militairen en reservisten. De pas bevat onder meer de naam, geboortedatum en een pasfoto van de medewerker.

Een ander document, een groen pasje met persoonsgegevens en de woorden 'Ministerie van Defensie', werd volgens een woordvoerder uitgegeven aan familieleden van defensiemedewerkers die in Duitsland op locatiebezoek kwamen. Dit type pas is volgens de woordvoerder al jaren niet meer in gebruik.

'Niet fijn'

Defensie was tot nu toe niet op de hoogte van het lek bij Bongo International, zegt woordvoerder Paul Bezuijen. Hij noemt het "niet wenselijk" dat de gegevens van medewerkers jarenlang publiek toegankelijk waren. "Bovendien is het voor sommige medewerkers niet fijn dat ze hierdoor aan Defensie gekoppeld kunnen worden."

"Of het lek van deze documenten schadelijk is, hangt ervan af wat voor functie deze defensiemedewerkers hebben", zegt Bibi van den Berg, hoogleraar Internet en Openbaar Bestuur aan de Universiteit Leiden. "Is het iemand die de pakketjes aanneemt, of iemand die voor de MIVD werkt en op geheime missies wordt gestuurd?"

'Onwenselijk'

Defensiewoordvoerder Bezuijen benadrukt dat kopieën van passen niet gebruikt kunnen worden om toegang tot locaties of systemen van Defensie te krijgen. De documenten zijn vermoedelijk op de server terechtgekomen omdat medewerkers zich met hun Defensie-identiteitskaarten bij de FedEx-dienst wilden identificeren. "Het kopiëren van passen is onwenselijk, maar niet verboden", laat Bezuijen weten.

FedEx stelt tot nu toe geen aanwijzingen te hebben dat iemand de documenten ongeautoriseerd in handen heeft gekregen. Een woordvoerder wilde niet ingaan op aanvullende vragen. Defensie heeft geen vaste samenwerking met het bedrijf.

Internetcriminelen kunnen documenten zoals paspoorten misbruiken voor bijvoorbeeld identiteitsfraude.

Meldplicht

Organisaties zijn sinds 2016 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. FedEx wil niet zeggen of er melding is gedaan. Bedrijven moeten de lekken binnen korte tijd na de ontdekking melden en riskeren een boete als zij dat niet doen.

Defensie besluit op basis van intern onderzoek of de organisatie het lek gaat melden. In 2016 meldde Defensie zeventien datalekken bij de Autoriteit Persoonsgegevens. Vorig jaar waren dat er achttien. Om wat voor lekken het gaat, kon Bezuijen niet zeggen.

Wil jij elke ochtend direct weten wat je 's nachts gemist hebt en wat er die dag gaat gebeuren? Abonneer je dan nu op onze Dit wordt het nieuws-nieuwsbrief!

Lees meer over:
Tip de redactie