The BOFH – Wat is jouw excuus?

Gisteren deelde mijn zeer gewaardeerde facebook vriend Jan Van Draeckensteijn een post van de gemeente Berg en Dal waarin werd medegedeeld dat er een een mogelijk datalek was ontstaan bij een leverancier van Munitax, een samenwerkingsverband van een aantal gemeenten op het gebied van gemeentelijke belastingen.

De gemeente Berg en Dal haast zich erbij te vertellen dat het datalek, de data stond op een gestolen laptop, geen bankrekening-nummers, DigiD gegevens, wachtwoorden of inloggegevens bevatte maar wel burgerservicenummer, achternaam en initialen, adres, geboortedatum en voor bedrijven Kvk en RSIN-nummers.

Bovendien wordt nergens vermeld of de gegevens versleuteld op de laptop stonden. Er is dus een grote kans dat de data gewoon, zonder enige moeite, in te zien is. Maar, zo weet de gemeente Berg en dal te melden, het risico op misbruik is klein maar valt niet uit te sluiten.

En we hebben een Update. Speurneus Jan van der Knaap heeft een telefoontje naar Munitax gepleegd en deze instelling kon bevestigen dat de data op de gestolen laptop Niet versleuteld is opgeslagen. De gegevens van tienduizenden nietsvermoedende burgers liggen dus open en bloot op straat.

What the Flying Fuck! Voor iemand die zich bezig houd met identiteitsfraude is is de combinatie BSN, achternaam en initialen, adres en geboortedatum de natte droom. En daar het blijkbaar niet alleen om de gemeenten gaat die samenwerken in Munitax, de niet nadergenoemde leverancier werkt schijnbaar ook voor tal van andere gemeenten, kunnen we er rustig van uitgaan dat er gegevens van tienduizenden burgers van deze gemeenten op straat liggen.

Maar let wel, het risico op misbruik is klein. Maar natuurlijk gemeente Berg en dal. Maar natuurlijk. Ook erg fijn te weten dat een site zoals Munitax/gemeentelijk belastingkantoor geen beveiligde HTTPS verbinding heeft. Erg vertrouwenwekkend.

Uiteraard willen de gemeenten gemeenten niet zeggen om welk bedrijf het gaat en wat dat bedrijf precies voor gemeenten doet. Ook erg lekker transparant naar de burger toe maar welk bedrijf het betreft is in dit geval ook irrelevant. De overheid, op landelijk of lokaal niveau zijn voor de volle 100% verantwoordelijk voor de veiligheid van uw gegevens en daarmee verantwoordelijk voor dit datalek.

En helaas staat dit geval niet op zichzelf. Sinds de invoering van de meldplicht datalekken begin dit jaar hebben 172 van de 390 Nederlandse gemeenten melding gemaakt van een of meerdere datalekken bij de Autoriteit Persoonsgegevens variërend van een verloren usb stick tot een complete gekraakte database.  Zo vellig zijn uw persoonlijke gegevens dus bij de overheid.

Voor de mensen die het bovenstaande lezen en denken so what, ze kunnen er toch niets mee.  betekent dat iemand anders dan uzelf gebruik maakt van uw identiteitsgegevens. Dit gebeurt vaak met een kopie van uw identiteitsbewijs. Hiermee kan iemand op uw naam bijvoorbeeld toeslagen aanvragen, een lening aanvragen of een telefoonabonnement afsluiten.

Maar natuurlijk gaan alle gemeenten zoals gemeente Berg en Dal (Goh, ook al geen HTTPS)  die mee hebben gewerkt aan deze clusterfuck u volledig schadeloos stellen als er misbruik wordt gemaakt van uw gegeven.

Toch?