D9D1E2

Datalekken in Nederland

2012

Reclamebureau Digi-D ontvangt persoonsgegevens DigiD (2012-10-04)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Overheid.

Verwerking

Authenticatie / informatie op website.

Betrokkenen

Gebruikers DigiD.

Soort (persoons)gegevens

"[Het reclamebureau] Digi-D heeft naar eigen zeggen al meer dan 10.000 inloggegevens ontvangen." [WebWereld, 2012-10-04]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Nederlandse gemeenten leven de voorschriften van Logius over DigiD niet goed na. Gemeenten verwijzen vaak naar Digi-D. Een reclamebureau met die naam heeft al meer dan 10.000 gegevens ontvangen. [...] Het reclamebureau bezat de naam Digi-D al voordat DigiD verscheen. De overheid communiceert via digid.nl. Omdat de namen op elkaar lijken, zorgt dit blijkbaar voor verwarring bij een flink aantal Nederlandse gemeenten. Die hebben hun verwijzingen niet op orde en hebben het over een Digi-D. Zelfs grote gemeentes als Utrecht, Amsterdam en Den Haag maken deze fout [...]. Via het contactformulier op de site digi-d.nl sturen bezoekers hun DigiD, wachtwoord en soms BSN door met de melding dat ze inlogproblemen hebben, vertelt Digi-D eigenaar [...] aan Webwereld. In veel gevallen bellen deze mensen een paar dagen later naar het Waalwijkse reclamebureau om alsnog een reactie te krijgen. 'We fungeren al 7 jaar als helpdesk voor de overheid', zegt [de eigenaar]. 'Het liep in 2009 de spuigaten uit en toen hebben we contact gezocht met Logius. Er is beterschap beloofd, maar nog steeds krijgen we gegevens binnen en worden we gebeld. Dit is niet goed voor ons en al helemaal niet goed voor de burger.'" [WebWereld, 2012-10-04]

"Niet alleen de overheid en de politiek werden ingelicht: Digi-D nam ook contact op met de Nationale Ombudsman. Die schreef op 7 maart 2012 in een brief aan Digi-D en Binnenlandse Zaken het volgende: 'Dat burgers hun vertrouwelijke en privacygevoelige informatie tijdens een bezoek aan de website van Digi-D achter kunnen laten vindt de Nationale ombudsman zorgelijk en ongewenst'." [Security.nl, 2012-10-04]

"Reclamebureau Digi-D in Waalwijk is gisteren, toen authenticatiedienst DigiD offline was, overspoeld met inloggegevens van Nederlandse burgers. Het bureau klaagt al jaren over het ontvangen van deze gevoelige gegevens, omdat burgers de verkeerde instantie aanschrijven. Ze gebruiken daarvoor het contactformulier op de site. Gisteren werd Digi-D meerdere malen gebeld door mensen die niet konden inloggen bij DigiD. Inmiddels zijn 13.000 BSN's, wachtwoorden en andere privacygevoelige gegevens binnengekomen bij Digi-D. Het reclamebureau voert al jaren gesprekken met ict-uitvoerder Logius over de naamsverwarring, maar directeur [...] gelooft niet dat de boodschap overkomt. 'Wij kunnen inloggen op de accounts van burgers', vertelt [de directeur]. 'Deze kwestie speelt nu al 7 jaar en we blijven alsmaar gevoelige informatie van burgers ontvangen.' Omdat de mailbox elke dag vol zit met zowel de eigen klantgegevens als gegevens van de overheidsportal, worden deze data geparkeerd. 'We hebben onze klantgegevens nodig en we zouden er een dagtaak aan hebben om het allemaal goed te scheiden', zegt de directeur. Daarbij wijst hij erop dat de systemen van het bureau waarschijnlijk een stuk minder veilig zijn dan die van de overheid." [WebWereld, 2013-01-10]

Respons van de organisatie

"Volgens Logius speelt deze kwestie inderdaad al een tijdje. 'Als gemeenten worden aangesloten bij DigiD voert Logius een check uit om te zien of gemeenten voldoen aan onder meer het gebruik van het logo en de spelwijze van DigiD', vertelt Logius-woordvoerder [...]. Steekproefgewijs wordt deze test elke twee jaar herhaald. 'Als gemeenten twijfelen of de communicatie juist verloopt, kunnen ze een hertest aanvragen', aldus de woordvoerder. De gemeenten die [door een speciaal ingerichte website van het reclamebureau] worden genoemd, worden volgens hem waarschijnlijk aangeschreven om de procedure [...] nog eens goed te doorlopen." [WebWereld, 2012-10-04]

Nasleep van het incident

"Plasterk stelt in een brief aan de Kamer dat er gesprekken met het bedrijf hebben plaatsgevonden over een vergoeding voor een naamswijziging. De gesprekken zouden echter moeizaam verlopen, omdat het bedrijf de vergoeding die het vraagt niet wil onderbouwen, aldus de minister. 'Teneinde de impasse te doorbreken heb ik aan het bedrijf een vergoeding voorgesteld op basis van concrete gegevens die mij ter beschikking staan. Daarbij gaat het om een redelijke vergoeding van de kosten die gemaakt worden voor een naamswijziging van het bedrijf en de kosten die gemaakt worden om een finale regeling zorgvuldig af te hechten. Dit voorstel ligt nu voor bij het bedrijf.' Tijdens de gesprekken met het reclamebureau is het erop gewezen dat het per direct moet stoppen met 'de zeer ongewenste situatie dat persoonsgegevens worden opgeslagen en deze door een onvoldoende beveiliging van de ICT-omgeving mogelijk in handen van derden terecht kunnen komen', schrijft Plasterk in de brief. Die stelt verder dat het College Bescherming Persoonsgegevens in deze zaak handhavend kan optreden." [Security.nl, 2013-12-06]

"Al meer dan 40.000 keer zijn er inlogcodes en andere persoonlijke informatie voor DigiD op Digi-D.nl achtergelaten, de website van een reclamebedrijfje uit Waalwijk. Vanwege de naamsverwarring lanceerde het bedrijf speciaal een website genaamd zuinigopuwdigid.nl om burgers te waarschuwen." [Security.nl, 2014-06-10]

"De overheid heeft twee sites die zich aan verdwaalde bezoekers als DigiD voordoen, opgedragen hun URL af te sluiten. Een derde look-a-like van Digid.nl is nog onverminderd actief." [AG, 2014-06-11]

"In een uitzending van het actualiteitenprogramma EenVandaag wordt op dinsdag 10 juni van dit jaar aandacht besteed aan een geschil tussen reclamebureau Digi-D uit Waalwijk en de overheidsdienst DigID. Direct na de uitzending wordt meerdere keren getracht de website van het reclamebureau te hacken. Vermoedelijk om de inloggegevens van DigID te verkrijgen, waarmee onder andere uitkeringen naar een ander rekeningnummer kunnen worden gestuurd. Een dag later (11 juni jl.) wordt namens het reclamebureau aangifte gedaan van computervredebreuk en starten het openbaar ministerie en het CyberTeam van de politie een onderzoek. [...] Op 16 juli wordt daarom in overleg met een officier van justitie de 18-jarige verdachte gearresteerd. Hij heeft een bekentenis afgelegd. De politie heeft het onderzoek afgerond. Het dossier is inmiddels opgestuurd naar het openbaar ministerie. Uit onderzoek is niet gebleken dat DigID gegevens zijn verkregen tijdens deze poging van computervredebreuk." [Politie.nl, 2014-07-24]

Bronnen

2012-10-04

2013-01-10

2013-12-05

2013-12-06

2014-06-10

2014-06-11

2014-07-24

.