Het proefschrift van N.S. van der Meulen uit 2010 over identiteitsdiefstal [1] , waarin zij met name aandacht besteedt aan financiële identiteitsfraude, is actueler dan ooit. Opvallend is dat de ontwerpers van de regels voor private criminaliteitsbestrijding (bestrijding van witwassen en terrorismefinanciering door bedrijven, onder meer  banken), hier geen aandacht aan besteden.

Onderwerp van het proefschrift is de vraag hoe overheden, financiële dienstverleners, consumenten en anderen financiële identiteitsdiefstal faciliteren. Verder geeft zij aandacht aan de implicaties voor bestaande maatregelen.

Digitalisering zorgt voor toename van criminele mogelijkheden
In het proefschrift wordt beschreven hoe de digitalisering van processen bij zowel overheid als private partijen bijdragen aan de toename van criminele mogelijkheden. Dit wordt onder meer veroorzaakt doordat bij digitalisering de primaire aandacht ligt bij het functioneren van de software en gegevensbescherming een (dure) sluitpost is. Als voorbeeld worden de risico’s van creditkaarten genoemd [2]. De toenemende risico’s zijn ook een gevolg van de focus op gebruiksgemak [3]:

Gemak is echter vaak een vijand van beveiliging. Dit wordt in deze studie mede geïllustreerd door het feit dat gebruikersgemak zich vaak vertaalt naar gemak voor de criminele wereld, omdat laagdrempeligheid voor gebruikers vaak ook misdadige activiteiten faciliteert.

De waarde van identiteitsgegevens is toegenomen, doordat de omvang van digitale identificatie toeneemt. Van der Meulen signaleert dat het belang van het onder meer het Nederlandse burgerservicenummer is toegenomen met een navenante groei van de gegevensbeschermingsrisico’s.

De Nederlandse overheid heeft op dit punt met het inlogmiddel DigiD het slechte voorbeeld gegeven, door het heel lang mogelijk te maken dat kon worden ingelogd met alleen inlognaam en wachtwoord [4].

Overvloed aan gegevens
Voorts, zo signaleert Van der Meulen, is sprake van een overvloed aan gegevens, die beschikbaar en toegankelijk zijn. Zowel de overheid als private partijen (onder meer data handelaren) verzamelen op zeer grote schaal gegevens over mensen. Deze ontwikkeling is versterkt door de gedachte van overheden dat veel gegevens zouden bijdragen aan verbetering van veiligheid en bestrijding van de misdaad [5]:

Naast de mogelijkheid om steeds meer gegevens te verzamelen en op te slaan hebben partijen, de staat als beschermer in het bijzonder, ook de noodzaak hiervan benadrukt. Deze noodzaak komt voort uit de overtuiging dat het verzamelen en opslaan van gegevens een geschikt middel is om risico’s te verkleinen en om bij te dragen aan ‘publieke veiligheid’, of althans het veiligheidsgevoel van burgers en consumenten. De gebeurtenissen van 11 september 2001 en de algemene strijd tegen terrorisme hebben, zowel in de Verenigde Staten als in Nederland, de behoefte aan het verzamelen en opslaan van gegevens versterkt. Deze tendens om het verzamelen en opslaan van gegevens in te zetten als middel om risico’s te verkleinen en misdaad te verminderen is al enige tijd aanwezig, zoals bleek uit een analyse van de achtergrond van antiwitwaswetgeving. Terwijl het verzamelen en opslaan van gegevens vaak wordt ingezet als middel om publieke veiligheid te bevorderen, kunnen deze activiteiten echter ook een potentiële staat van individuele onveiligheid faciliteren.

Van der Meulen signaleert dat de grootschalige verzameling van persoonsgegevens riskant is voor burgers, nu de informatiebeveiliging niet altijd op orde is. Als voorbeeld worden de datalekken bij data handelaren in de VS (informatiehandelbureaus) genoemd. Deze branche vormt een aantrekkelijk doelwit voor identiteitsdieven, mede omdat het bestaan van deze industrie de toegankelijkheid van persoonsgegevens vergroot.

Voorts speelt een rol dat het internet een onveilige omgeving is, waaraan internet service providers onvoldoende bijdragen (paragraaf 7.4).

Financiële sector centraal bij identiteitsfraude
Criminelen richten hun primaire aandacht op de financiële sector, aangezien daar iets te halen valt en identiteitsfraude daarbij een hulpmiddel is. Hoofdstuk 5 van het proefschrift heeft financiële dienstverleners als onderwerp. Diverse deelonderwerpen passeren de revue, onder meer misbruik van creditkaarten en pinpas, en kredietregistratie door BKR. De risico’s van skimming (pinpas) en internetbankieren worden uitgebreid vermeld.

Aan het slot wordt geconstateerd dat financiële dienstverleners een centrale rol spelen in het faciliteren van financiële identiteitsdiefstal, waarbij de risico’s in de VS groter zijn dan in Nederland [6]. Hoewel er maatregelen zijn genomen, nemen de risico’s toe:

As a result, the continuous advancements made by perpetrators with respect to their methods have engaged the financial industry into a rat race which challenges banks to maintain an acceptable balance between security and user convenience. The best state of affairs then to achieve appears to be reasonable insecurity.

De ‘gratis’ diensten van advertentiebedrijven, onder andere Facebook, spelen een belangrijke rol bij financiële identiteitsfraude. Dit wordt in hoofdstuk 6 van het proefschrift beschreven [7]. Er lijkt in 2023 weinig veranderd te zijn aan de digitale naïviteit van de gebruikers van de ‘gratis’ diensten. Het proefschrijft beschrijft dat er een ontwikkeling gaande is dat diefstal van gegevens niet meer alleen via de gratis diensten gaat, maar ook via allerlei andere wegen, die voor de gebruiker lastiger te detecteren zijn:

The lack of active consumer involvement means consumers facilitate aspects of financial identity theft without actually having the ability to prevent such facilitation.

Dat betekent dat maatregelen gericht op ‘bewustwording’ van de gebruiker onvoldoende zijn [8].

Ook het onoverzichtelijke landschap van betaaldienstverleners en -tussenpersonen is riskant voor burgers, zie paragrafen 7.2 en 7.3 van het proefschrift. Het geldezel-gebeuren is onderwerp van paragraaf 7.5.

Privatisering van de bestrijding van criminaliteit en terrorisme
In het proefschrift [9] wordt beschreven hoe verificatie van de identiteit een centrale rol speelt in de private criminaliteitsbestrijding in Nederland, wat begon met een vrijwillige gedragscode voor banken. Daar kwam wetgeving voor in de plaats, geïnspireerd door de G7 (FATF) en Europa. Het begon met de Wet identificatie bij dienstverlening (Wid) en Wet melding ongebruikelijke transacties (Wet MOT). Deze wetten werden later samengevoegd tot de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de reikwijdte werd verbreed tot een grote groep van ondernemingen.
Deze regelgeving leidt tot grootschalige gegevensverzamelingen over mensen en organisaties, niet alleen bij financiële instellingen maar ook bij de vele andere ondernemingen die een criminaliteitsbestrijdingstaak hebben gekregen. Gevolg van de nadruk op identificatie is dat identiteitsgegevens steeds interessanter worden voor criminelen:

The curious aspect about this approach to money laundering is how the emphasis placed on the correct identification of the client also places a premium on identities themselves. For such requirements increase the necessity for those involved in money laundering practices to misuse the identity of another person in an effort to prevent potential repercussions. As a result the recommendations set forth could potentially lead to a displacement of the problem through the commitment of identity related crime in an effort to accomplish the money laundering objective. (…) Identity becomes a principal tool for perpetrators of money laundering to circumvent the requirements provided through the anti-money laundering framework.

Financiële instellingen tobben al langer met de identificatievereisten, zo beschrijft de paragraaf. In 2005 begonnen banken te vragen om een kopie van een identiteitsbewijs. Echter:

The claim, however, was misleading as the requirement for a copy of the passport was merely one interpretation of the law; it was not an explicit mandate. The Minister of Finances along with the Dutch Central Bank decided the method used by the banks to verify the identity of existing clients was not unlawful.

Het kopietje paspoort wordt juridisch wel mogelijk, maar uiteindelijk is de primaire eis in de wet is dat bepaalde gegevens inzake het identiteitsbewijs worden geregistreerd:

Through the introduction of the prevention of money laundering and financing terrorism act, the government removed the fiscal obligation to maintain a copy of the identification document by financial service providers. The Act instead requires financial service providers to obtain and store the information maintained on the identification document. In particular the Act requires the service providers to store the following information once the service provider has identified and verified the identity of the client: name, date of birth, address, and the city of residence. Even so, the Act still provides financial service providers with the opportunity to request a copy of an identification document since the Act states “…or a copy of a document which contains a personal identification number and was used for identification of the client.”

Hoe vaak identiteitsfraude bij banken in Nederland voorkomt, is volgens Van der Meulen niet bekend [10].

De beschikbaarheid van persoonsgegevens is een grote rol gaan spelen in de bestrijding van misdaad en terrorisme, zo wordt in paragraaf 8.1 beschreven. Individuele gegevensbescherming moet wijken voor de misdaadbestrijding. Er is een obsessie met gegevensverzameling, waarbij Den Tex wordt geciteerd:

It’s natural. Governments, companies and especially large companies, all over the world have this insatiable HUNGER. The poor things. It is not Hunger, of course, it is obsession. Pure obsession. What they need is therapy. Intensive therapy. Their information hunger has turned into to full scale irreversible information obesity. They cannot live without feeding their obsession.”

Handelaren in persoonsgegevens
Die gegevenshonger wordt onder meer bevredigd door een sector die nog steeds ongereguleerd is, te weten de handelaren in persoonsgegevens (advertentiebedrijven zoals Google, kredietbeoordelingsbedrijven en leveranciers van criminaliteitsbestrijdingsinformatie). Die sector is een van de grootste risico’s voor de gegevensbescherming van burgers.

Van der Meulen beschrijft dat datahandelaren [11] in de financiële sector een grote rol spelen. Zie leveren kredietwaardigheids- en criminaliteitsbestrijdingsinformatie. Hun belang is gegroeid, ook al zijn zij bij het publiek onbekend. Zij vormen een gegevensbeschermingsrisico voor burgers, wat door grote datalekken aan het licht is gekomen. Daarvan is het ChoicePoint datalek in de VS een voorbeeld. Criminelen maakten een klantenaccount aan en haalden een grote hoeveelheid persoonsgegevens van Amerikaanse burgers binnen. Met die gegevens werden vijftig nepbedrijven opgezet met gebruikmaking van persoonsgegevens van nietsvermoedende burgers [12]. Daarna werden datalekken bij andere Amerikaanse handelaren bekend, zoals bij LexisNexis, (niet genoemd in het proefschrift) Experian en vele anderen.
In Nederland is door de voorganger van de Autoriteit Persoonsgegevens onderzoek gedaan naar illegale praktijken van bepaalde datahandelaren (handelsinformatiebureaus) [13].

Voor zover ik weet is er sinds het afronden van het proefschrift onvoldoende veranderd. Het is  hoog tijd voor vergunningplicht voor dit soort activiteiten, ongeacht of de datahandel op het gebied van marketing, kredietwaardigheid of misdaadbestrijding plaats vindt.

Overheid is informatiebron voor criminelen
Van der Meulen concludeert dat overheidsinstellingen de belangrijkste bron van informatie voor identiteitsfraudeurs zijn [14]:

This leads to the development of an overall image which assumes that for potential perpetrators of financial identity theft government agencies may generally form a more attractive target to facilitate the first stage of financial identity theft. They may use information agencies as an intermediary, but this seems far less likely than in the United States, where the industry itself actually maintains an important place in the information market.

Dat zou een les moeten zijn die gevolgen heeft voor de omgang met persoonsgegevens in (semi-)openbare registers, zoals het handelsregister, het ubo-register en open overheidsdata.

Slotopmerkingen
Het is een lezenswaardig proefschrift dat nog steeds zeer relevant is.

Hoewel de privatisering van de criminaliteitsbestrijding (witwasbestrijding) enorme gegevensbeschermingsrisico’s oplevert voor burgers en organisaties, is voor dat aspect bij de overheid geen aandacht. Dat is teleurstellend, nu er in de literatuur, zoals in dit proefschrift, al lang op is gewezen.

Noten

[1] N. S. van der Meulen, Fertile grounds: The facilitation of financial identity theft in the United States and the Netherlands (2010). Te downloaden via deze pagina, rechtstreeks: pdf.
[2] Zie de Nederlandstalige samenvatting is op pagina’s 282 en verder, onder het kopje ‘Van elite naar massa’ wordt beschreven dat credit card aanbieders vooral geïnteresseerd zijn in veel klanten en minder in gegevensbescherming: “In het spanningsveld tussen zorgvuldige identificatieprocessen bij de uitgifte van credit cards enerzijds en klantenpotentieel in een sterk concurrerende markt anderzijds kiezen dienstverleners in de Verenigde Staten vaak voor het laatste ten koste van het eerste“. Lees ook de beschrijving in de samenvatting over de onveilige creditcard-authenticatie in de VS. Nederland deed dat beter.
[3] Uit de samenvatting, zie [2].
[4] In paragraaf 4.4.2 wordt geschreven over identiteitsfraude met het DigiD, zie pagina 137-141.
[5] Uit de samenvatting, zie [2].
[6] Paragraaf 5.5, pagina 188 en verder.
[7] Pagina’s 194-197. Pagina 195, bovenaan: “Howard Rush et al. describe how due to their popularity social networking sites have become appealing places for perpetrators of cybercrime. (…) With respect to social networking sites, academic researchers have expressed interest in user concerns, or rather a lack thereof, with regard to privacy and trust“.
[8] Op pagina 203 wordt gewaarschuwd: “The lack of active consumer involvement means consumers facilitate aspects of financial identity theft without actually having the ability to prevent such facilitation. This is a vital aspect to bear in mind with respect to the overall opportunity structure of financial identity theft, especially in light of countermeasures and the potential for their effectiveness. Certain sources appear to neglect the ability factor when they write “[w]e must realize that we are the front line of defense against cybercrime; we must understand that our carelessness could facilitate a successful cyberterrorist or information warfare attack on the critical infrastructures of our society.” 1092 This is not about carelessness anymore. Perpetrators have now managed to place their entire operation outside of the reach of consumers, which makes the act of crime repression, let alone prevention, far more challenging. The technological sophistication of current operations requires significant background knowledge which even the savviest consumers often do not posses. They, along with their instruments such as their computers, are used without their knowledge or influence“.
[9] Pagina 160 en verder.
[10] Aan het slot van paragraaf 5.2.2 staat “In the Netherlands, only anecdotal evidence appears to be available about errors committed by financial service providers during the application process. Banks resist the release of information about how such incidents occur, but in light of good compliance there is reason to believe such incidents of financial identity theft most likely occur through look-alike fraud or falsified identification documents. As a result, there is a certain dependency of financial service providers on the government as provider. For the quality of both the documents and the issuance process also influence the identification of (prospective) clients“.
[11] Zie hoofdstuk 7.
[12] Een beschrijving van het datalek in 2004 is te vinden op pagina’s 206-208.
[13] Pagina’s 209-212.
[14] Pagina 212.