Namen en adresgegevens van miljoenen Nederlanders blijken eenvoudig opvraagbaar aan de hand van het kenteken van hun auto. Het kentekenregister van de Rijksdienst voor het Wegverkeer (RDW) wordt daartoe op ongeoorloofde wijze gebruikt door mensen met toegang tot het systeem, meldt RTL Nieuws.
Er blijkt een levendige handel in gevoelige privégegevens uit het kentekenregister van de RDW te bestaan, aldus de nieuwssite. Het kost een burger weinig moeite om op basis van een kenteken te achterhalen van wie de auto is en op welk adres deze persoon woont. Dit is onder meer in het criminele circuit niet ongebruikelijk.
De handel in gegevens uit het kentekenregister vindt onder meer plaats via de chat-app Telegram. Je betaalt tussen de vijftig en honderdvijftig euro en hebt dan meestal binnen een paar minuten de gevoelige gegevens in bezit. Betaling verloopt vaak via Tikkie, PaySafe of Bitcoin.
Bewuste medewerking
Het lijkt erop dat de privégegevens niet via een technisch lek uit het kentekenregister komen, maar door bewuste medewerking van mensen met legitieme toegang tot de database. Mensen die de gegevens aanbieden, verkrijgen ze volgens RTL Nieuws via ‘mensen bij de RDW’.
In sommige gevallen wordt zelfs het telefoonnummer van de eigenaar van de auto bijgeleverd. Dit telefoonnummer blijkt via een ‘ingang bij de gemeente’ te worden achterhaald.
Openbare en niet-openbare gegevens
Het kentekenregister van de RDW bevat zowel openbare als niet-openbare gegevens. De openbare gegevens hebben onder meer betrekking op merk, bouwjaar en vervaldatum van de apk van de auto met een bepaald kenteken. Het niet-openbare deel betreft persoonsgegevens van de eigenaar van de auto, zoals naam en woonadres.
Deze niet-openbare informatie uit het register is in principe alleen toegankelijk voor de politie, belastingdienst en andere overheidsdiensten, maar ook voor verzekeringsmaatschappijen en bijvoorbeeld advocaten.
Dat deze gegevens online worden verhandeld, is een ernstige kwestie, schrijft de RDW in een reactie. Volgens de dienst staat nog niet vast dat dit gebeurt door rechtstreekse raadpleging van het kentekenregister. De RDW is samen met het Landelijk Informatiecentrum Voertuigcriminaliteit en de politie een onderzoek gestart. De dienst heeft ook aangifte gedaan bij de politie.
Oud nieuws, Elke garagist kan met de afmeld-app voor de APK de gegevens van de eigenaar achterhalen.
en hoeveel garagisten hebben een afmeld login?
tja
“Namen en adresgegevens van miljoenen Nederlanders blijken eenvoudig opvraagbaar aan de hand van het kenteken van hun auto”. Is feitelijk onjuist omdat de toegang tot deze database goed beveiligd is. Doordat de informatie over de persoonlijke informatie van kentekenhouders is afgeschermd en alleen toegankelijk voor bevoegde personen van RDW of van een van de partners zoals bijvoorbeeld Politie, Justitie, is het vrij eenvoudig om dit terug te leiden naar degene die dit binnen dat tijdsframe heeft opgevraagd (logging informatie) en verkocht aan RTL Nieuws. Het is helaas nog steeds zo dat ook bij overheidsorganisaties “Criminelen” in dienst zijn, hetzij in vaste dienst of via uitzendbureau’s. Naar mijn mening schiet de screening van vast en/of tijdelijk personeel nog steeds ernstig tekort. We wachten even rustig af wat het onderzoek aan het licht gaat brengen. De daders zullen zich voorlopig wel even rustig houden en met angst en beven wachten op een uitnodiging van de Recherche.
Het zoveelste gevalletje ‘datalek bij (semi-)overheid’.
‘Bewustwording’ kost(te) miljoenen, maar heeft nauwelijks effect. Verantwoordelijkheid en aansprakelijkheid zijn een wassen neus. De individuele pakkans is gering, alleen al omdat Identity & Access Management (IAM) en logging doorgaans onder de maat, zo niet afwezig, zijn.
Nu maar weer afwachten wat de AP gaat doen.
En zelfs áls het tot een boete zou komen dan gaat het van belastinggeld.
De slachtoffers hoeven niets te verwachten.
Uit eigen ervaring…. niet zo moeilijk om middels want handige queries een bestand op te bouwen waarmee je op grote schaal gegevens kan achterhalen.
Uiteraard illegaal… maar dan plemp je gewoon je bestandje op een server in Oesbekistan, Nigerie en een ander leuk land waar ze niet al te moeilijk doen.
Hoef je niet per se een lek bij de overheid voor te hebben.
Tegen illegale praktijken is weinig opgewassen vrees ik.
Beste P.J Westerhof, u schrijft: omdat Identity & Access Management (IAM) en logging doorgaans onder de maat, zo niet afwezig, zijn. Ik kan u vertellen dat dit bij RDW keurig voor elkaar is en dat de daders gepakt gaan worden. (logging)
Ad Koolen,
De eerste reactie ging om een ‘datalek by design’ omdat één van de koppelvlakken mogelijk niet zo goed bewaakt werd als gedacht. Eerder was UWV daarom in het nieuws toen bleek dat iemand iets te creatief met ‘select all’ statement om ging en mogelijk is het u ontgaan maar P.J. Westerhof stelt geheel terecht dat er sprake is van een datalek welke de AP moet onderzoeken.
In de jaren 80 heb ik ooit wat werk gedaan bij het schaderegelingskantoor rechtsbijstand (SRK). Als je de NAW gegevens van de eigenaar van een auto met een bepaald kenteken wilde weten, dan belde je gewoon iemand van het RDW.
Goed mogelijk dat dhr. Koolen gelijk heeft en dat IAM en logging bij de RDW keurig voor elkaar zijn.
De praktijk stelt daar nu vraagtekens bij.
Dat doet vermoeden dat e.e.a. *op papier* op orde is maar dat het in de uitvoering blijft hangen.
Als dat vermoeden juist blijkt te zijn doet de RDW het altijd nog beter dan het gros van overheden en bedrijfsleven.
Waar techniek is kunnen mensen erbij, zeker bij degene die zich op laag nivo in de techniek bewegen. En soms moet je ook bij gegevens kunnen komen om een ander te laten functioneren. Daarbij wordt een groot beroep gedaan op het vertrouwen bij werknemers. Daar kan je veel aan doen met techniek (logging dus) maar dichttimmeren kan je dat nooit. Mooi voorbeeld is de politie waar ook werknemers zijn geweest die grasduinen in de systemen en informatie doorspelen. Bijna onvemijdelijk, een logisch verhaal van Ad Okken.
Oeps! Ik bedoel natuurlijk Ad Koolen. En niet Ad Okken en zeker niet Henk Otten!