Bestrijding van identiteitsfraude in Nederland

Naar verwachting zal identiteitsfraude de komende tijd aanzienlijk toenemen. De overheid heeft een belangrijke taak bij de bestrijding, omdat valt te verwachten dat een grote groep Nederlandse burgers moeite zal hebben om dergelijke fraude te voorkomen. Denk maar eens aan de 1,3 miljoen laag geletterden en de 2 miljoen zwak begaafden.

Het risico op identiteitsfraude wordt ook door de overheid veroorzaakt, die onder meer gebruik maakt van het onveilige Digid-systeem.

Het is daarom verheugend dat naar dit onderwerp onderzoek is gedaan. De uitkomsten zijn eind oktober 2015 door de minister van binnenlandse zaken bekend gemaakt. In de begeleidende brief erkent minister Plasterk dat het huidige Digid-systeem onveilig is en dat er maatregelen moesten worden genomen.

Brief minister

Mevrouw Gesthuizen wijst in haar motie (Kamerstuk 26 643, nr. 338) erop dat individuen onevenredig hard getroffen kunnen worden wanneer er sprake is van fraude met hun DigiD. Zij is van mening dat zulks niet altijd individueel verwijtbaar is. Met verwijzing naar de aanpak in de bancaire sector vraagt ze de regering te onderzoeken welke verbeterpunten er mogelijk zijn ten aanzien van het compenseren van slachtoffers van fraude. Ook vraagt ze het beleid ten aanzien van hulp bij fraude duidelijk te communiceren richting burgers.

Ik deel de zorgen die mevrouw Gesthuizen heeft over slachtoffers van identiteitsfraude. Er zijn enkele schrijnende gevallen in de media geweest. Gelukkig geldt voor de meeste slachtoffers dat de schade beperkt blijft, zo blijkt uit onderzoek [1] . Slachtoffers geven volgens dit onderzoek zelf aan dat zij vooral behoefte hebben aan een vlot herstel van de situatie en aan erkenning en begrip. Slachtoffers van identiteitsfraude kunnen namelijk dezelfde gevoelens van boosheid, schaamte en verdriet ervaren als slachtoffers van andere misdrijven.

Dat is ook de ervaring van het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) bij het Ministerie van BZK. De medewerkers van het CMI begeleiden slachtoffers van identiteitsfraude om de schadelijke gevolgen van fraude te herstellen. Die persoonlijke begeleiding wordt zeer op prijs gesteld en blijkt in de meeste gevallen effectief. Het CMI werkt nauw samen met verschillende uitvoeringsorganisaties van de overheid, die zich de afgelopen jaren ook beter hebben ingericht op het begeleiden van slachtoffers van fraude en fouten.

Voorkomen blijft beter dan genezen. Als het om fraude gaat waar DigiD een rol bij speelt, dan is het goed te constateren dat uitvoeringsorganisaties extra veiligheidsmaatregelen hebben genomen, zoals het versterken van de samenwerking met ketenpartners en het verhogen van het beveiligingsniveau. Wanneer de diensten het vermoeden van fraude hebben, handelen zij preventief en lichten zij de betrokken burgers in.
Als mensen toch slachtoffer zijn geworden van identiteitsfraude, dan bekijken de betrokken diensten per situatie wat er gebeurd is en hoe zij het slachtoffer zo goed mogelijk kunnen helpen. Centraal staat dat alle slachtoffers, ongeacht de situatie, behoefte hebben aan erkenning en herstel. Dus ook wanneer mensen zelf onvoorzichtig hebben gehandeld – bijvoorbeeld als zij hun DigiD-wachtwoord hebben gedeeld met een ander, of via een phishing mail naar een nepwebsite zijn geleid waar ze hun DigiD-gegevens hebben prijsgegeven – wordt een oplossing op maat gezocht.

Mevrouw Gesthuizen verwijst naar de coulance in de bancaire sector. Maar ook banken gaan niet zomaar over tot compensatie van slachtoffers van fraude. Slachtoffers van identiteitsfraude bij banken moeten aan vijf specifieke veiligheidsregels voldoen: de beveiligingscode mag niet zijn uitgelekt, de bankpas mag nooit door iemand anders zijn gebruikt, apparatuur die voor bankzaken wordt gebruikt moet zijn voorzien van actuele beveiligingssoftware, de klant moet kunnen aantonen dat hij bankafschriften geregeld controleert en hij moet mogelijke incidenten direct melden. De banken hanteren deze veiligheidsregels, omdat hun klanten zelf de belangrijkste rol spelen bij het voorkomen van identiteitsfraude.

Ook voor DigiD geldt dat de gebruikers zelf een belangrijke rol hebben bij het voorkomen van identiteitsfraude. Het devies is: «Houd uw DigiD privé». Daarnaast worden burgers zoveel mogelijk zelf in staat gesteld om wijzigingen in hun gegevens of pogingen tot misbruik vroegtijdig te signaleren. Mensen ontvangen een e-mail als er iets aan hun DigiD account wijzigt, zoals het wachtwoord of het e-mailadres. Daarnaast kunnen mensen instellen dat zij het inloggen met hun DigiD extra willen beveiligen met een controle per sms. En slachtoffers merken het doorgaans direct als zij het geld waar zij recht op hebben niet ontvangen en zij krijgen signalen – per post of digitaal – als op hun naam een toeslag of uitkering is aangevraagd waar zij niet van weten. Op aangeven van slachtoffers kunnen betrokken diensten snel ingrijpen, zodat de schade beperkt blijft en het herstel vlot verloopt.

Samengevat zijn dit de belangrijkste punten waar het Ministerie van BZK en de betrokken diensten blijvend aan werken om (potentiële) slachtoffers van identiteitsfraude zo goed mogelijk te helpen: vroegtijdig signaleren van vermoedelijke fraude, preventief ingrijpen en slachtoffers inlichten, de schade beperkt houden, slachtoffers die zich melden persoonlijk begeleiden, per zaak een goede analyse doen en zo snel mogelijk bepalen of het slachtoffer schadeloos gesteld moet worden.

Om onder burgers en professionals de kennis over identiteitsfraude en de aanpak ervan te vergroten voert mijn ministerie de meerjarencampagne «Een veilig ID». Dit najaar verschijnt nieuw voorlichtingsmateriaal met tips voor preventie én herstel van identiteitsfraude. Dat voorlichtingsmateriaal zal onder andere via gemeenten en via uitvoeringsdiensten onder de aandacht worden gebracht.

Helaas rept de minister niet over spoedige invoering van meer veilige systemen, ter vervanging van het DigiD. Het lijkt er op dat de minister alleen campagne wil voeren. Dat is niet genoeg.

Rapport: onveiligheid webwinkels

Uit het rapport blijkt dat het veiligheidsbewustzijn wel toeneemt, maar dat er nog steeds veel onveilige situaties zijn. In de samenvatting noemen de rapporteurs met name webwinkels als een risico. De dienstverlening van deze bedrijven is door een lager beveiligingsniveau (ook voor fraudeurs) makkelijker toegankelijk:

Bij de thuiswinkelsector komt identiteitsfraude vaak voor en wellicht ook in de telecomsector (er bestaat geen eenduidige beeld van deze sector). Ook (kleine) online banken die werken met afgeleide identificatie – waarbij een klein bedrag wordt overgemaakt vanaf een bestaande rekening bij een grote Nederlandse bank – lopen een verhoogd risico op identiteitsfraude en hun klanten evenzeer. In de thuiswinkelsector maakt identiteitsvaststelling geen deel uit van het aankoopproces, maar wordt gecontroleerd aan de hand van het betaalmiddel. De aard van de dienstverlening brengt met zich mee dat deze sector zich genoodzaakt ziet identiteitsfraude als een bedrijfsrisico te zien en dit in hun verdienmodel te incalculeren. De dienstverlening van deze bedrijven is door een lager beveiligingsniveau (ook voor fraudeurs) makkelijker toegankelijk en ze zijn tegelijkertijd bereid de geleden schade te compenseren. Om fraude te voorkomen benoemt een aantal geïnterviewden van private organisaties de behoefte aan een overzicht/database met ‘valse identiteiten’.

Opvallend is dat de burger er bij de overheid slechter af is:

Verschil in rechtsherstel tussen publieke en private sector

De bewijslast van identiteitsfraude verschilt per sector. In de publieke sector dragen burgers zelf de bewijslast om aannemelijk te maken dat zij slachtoffer zijn geworden van identiteitsfraude. Bestuursorganen mogen in beginsel uitgaan van de juistheid van de bij hen aangeleverde gegevens. De burger moet alert en proactief reageren vanaf het moment dat de fraude hem bekend kon zijn. In de private sector dient de private organisatie vaker te verklaren hoe hij de identiteit van de wederpartij heeft gecontroleerd. In geval van een rechtszaak wachten private partijen een rechterlijke uitspraak veelal niet af, maar gaan uit zichzelf over tot compensatie. Overheidspartijen focussen vooral op het ongedaan maken van de directe gevolgen van de identiteitsfraude. Een beroep op vergoeding van de gevolgschade wordt in de praktijk niet gedaan.

Uit het rapport blijkt dat de schade voor de burger, afgezien van enige (niet onbelangrijke) incidenten wel mee lijkt te vallen. Het is echter de vraag of dat zo zal blijven. Verder zag ik zo snel niet of er in het rapport aandacht is voor de aan het begin van dit artikel genoemde groepen die waarschijnlijk meer moeite zullen hebben met de preventieve maatregelen.

Hoewel de minister van binnenlandse zaken onlangs de Big Brother Award heeft gewonnen, hoop ik dat dit hem niet zal weerhouden van het nemen van extra maatregelen, zoals:

  • De overheid dient het voorbeeld te geven op het gebied van cybersecurity en voorkoming van identiteitsfraude.
  • Het DigiD-systeem dient zo spoedig mogelijk te worden vervangen.
  • Extra regelgeving die de juridische positie van benadeelden versterkt.

Meer informatie

Het rapport over identiteitsfraude:

Over DigiD, het onveilige systeem van de rijksoverheid:

Over Nederlanders die minder goed kunnen meekomen:

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s