EU ID cards
Prevent

Nederlandse identiteitsdocumenten te koop op het Dark Web

07-03-2024

Op het voor velen mysterieuze Dark Web zijn maar liefst 5.100 gedigitaliseerde duplicaten van Nederlandse paspoorten, rijbewijzen en identiteitskaarten geopenbaard, vergezeld door ontelbare andere vertrouwelijke documenten die door hackers zijn buitgemaakt.

Verhandelen van gestolen identiteitsbewijzen

Uit recent onderzoek van RTL Nieuws is gebleken dat de genoemde gegevens zijn buitgemaakt door middel van ransomware-aanvallen. Hierdoor worden de getroffen individuen extreem kwetsbaar voor identiteitsfraude, met alle nadelige gevolgen van dien. Deze gestolen informatie wordt verhandeld op verborgen digitale marktplaatsen. Voorheen was Genesis Market een prominente speler op het donkere web, maar werd vorig jaar ontmanteld door verschillende politie-eenheden. Ondanks dit blijven er echter criminele diensten opduiken die ransomware-buit opsplitsen en doorverkopen aan kwaadwillende partijen. Gestolen identiteitsdocumenten worden beschouwd als zeer winstgevende producten, waardoor de slachtoffers langdurig hinder kunnen ondervinden.

Gevolgen van identiteitsdiefstal

Het spreekt voor zich dat het voor betrokkenen van identiteitsdiefstal (de slachtoffers) ontzettend grote gevolgen kan hebben. Een huurauto op jouw naam waar criminele activiteiten mee worden gepleegd? Een gehuurde loods met een drugslab op jouw naam? Honderden boetes op je deurmat? Zomaar wat voorbeelden van vervelende gevolgen, die je heel langdurig kunnen achtervolgen.

Bijgevolgen zouden kunnen zijn dat je geen abonnementen meer kunt afsluiten of je hypotheek wordt opgezegd door de bank, omdat je geen Nederlandse bankrekening meer kunt krjigen. Je staat immers op de zwarte lijst. Situaties die je liever niet wilt.

Ga daarom extreem voorzichtig om met je identiteitsbewijs en het (digitaal) bewaren en versturen van je paspoort, rijbewijs of ID-kaart.

Verplichting bedrijven in het kader van de AVG

Het benadrukken van de persoonlijke aard van de gestolen gegevens is van groot belang. Vaak zijn bedrijven verplicht om klanten op de hoogte te stellen van ransomware-aanvallen, maar meestal blijft onduidelijk wat er precies is buitgemaakt. Het gaat niet alleen om gestolen e-mailadressen, wachtwoord-hashes of persoonlijke berichten op een platform, maar ook om andere vormen van persoonsgegevens.

Om strenger toezicht te houden, heeft de Autoriteit Persoonsgegevens besloten dat bedrijven hun klanten beter moeten informeren over dergelijke incidenten. Volgens RTL Nieuws heeft de Autoriteit deze keuze gebaseerd op "concrete tips en klachten van mensen".

Onder de AVG wordt van organisaties verwacht dat ze "als goed huisvader" om gaan met gevoelige persoonsgegevens. De Wet schrijft een aantal verplichtingen voor. Het is verstandig - zeker met (digitale kopieën van) identiteitsbewijzen extreem voorzichtig om te gaan. Versleuteling, toegangsbeperking en logging/monitoring zijn belangrijke maatregelen om lekken te voorkomen en te signaleren, zodat er op tijd actie kan worden ondernomen.

Signaleren en verbeteren

Nu ontdekken wat u achteraf graag had willen weten...

Meer weten over hoe wij uw organisatie kunnen helpen of hoe uw organisatie er voor staat? Start eens met een laagdrempelige Cyber RI&E. Dan brengen we samen met u alle risico's in kaart én ontdekt u mogelijk blinde vlekken ten aanzien van de AVG compliance, zodat u verbeteringen kunt aanbrengen.

https://www.wesecureit.nl/prevent/cyber-ri-e/