Kopieën van duizenden Nederlandse identiteitsdocumenten stonden jarenlang op een onbeveiligde dataserver, waardoor ze in te zien waren voor iedereen. Tussen de documenten zaten ook identiteitsbewijzen van Defensie. Dat blijkt uit onderzoek naar het datalek door het Duitse beveiligingsbedrijf Kromtech in samenwerking met NU.nl. FedEx heeft het lek inmiddels gedicht. 

paspoort

De documenten stonden op een onbeveiligde server van Bongo International, een bedrijf dat in 2014 door bezorgingsbedrijf FedEx werd overgenomen. In totaal bevatte de server 119.000 formulieren en documenten, die vermoedelijk tussen 2009 en 2012 door klanten uit de hele wereld naar Bongo International zijn verstuurd.

De internationale omvang van het lek werd in februari bekend, maar tot op heden was er weinig bekend over de Nederlandse data.

Op de server stonden ongeveer zesduizend documenten afkomstig uit Nederland. Het zou daarbij gaan om drieduizend identiteitsdocumenten zoals paspoorten en rijbewijzen, met nog eens drieduizend bijbehorende formulieren. Op deze formulieren waren de namen, adresgegevens en telefoonnummers van de Nederlanders ingevuld.

Defensie

Hoeveel documenten van defensiemedewerkers er precies op de server stonden, is niet duidelijk. De onderzoekers vonden bij een steekproef met driehonderd documenten in ieder geval twee identiteitsbewijzen van Defensie. Uit een gestart onderzoek van Defensie moet blijken om hoeveel documenten het precies gaat.

Het gaat om twee verschillende soorten identiteitskaarten die duidelijk herkenbaar waren als documenten van Defensie. Eén type document betreft een inmiddels oud model van een defensiepas die aan vaste medewerkers wordt uitgegeven, zoals militairen en reservisten. De pas bevat onder meer de naam, geboortedatum en een pasfoto van de medewerker.

Een woordvoerder van Defensie kon een ander document, een groen pasje met persoonsgegevens en de woorden 'Ministerie van Defensie', op basis van deze omschrijving niet thuisbrengen.

Niet fijn

Defensie was tot nu toe niet op de hoogte van het lek bij Bongo International, zegt woordvoerder Paul Bezuijen. Hij noemt het "niet wenselijk" dat de gegevens van medewerkers jarenlang publiek toegankelijk waren. "Bovendien is het voor sommige medewerkers niet fijn dat ze hierdoor aan Defensie gekoppeld kunnen worden."

"Of het lek van deze documenten schadelijk is, hangt ervan af wat voor functie deze defensiemedewerkers hebben", zegt Bibi van den Berg, hoogleraar Internet en Openbaar Bestuur aan de Universiteit Leiden. "Is het iemand die de pakketjes aanneemt, of iemand die voor de MIVD werkt en op geheime missies wordt gestuurd?"

Onwenselijk

Defensiewoordvoerder Bezuijen benadrukt dat kopieën van passen niet gebruikt kunnen worden om toegang tot locaties of systemen van Defensie te krijgen. De documenten zijn vermoedelijk op de server terechtgekomen, omdat medewerkers zich met hun Defensie-identiteitskaarten bij de FedEx-dienst wilden identificeren. "Het kopiëren van passen is onwenselijk, maar niet verboden", laat Bezuijen weten.

FedEx stelt tot nu toe geen aanwijzingen te hebben dat iemand de documenten ongeautoriseerd in handen heeft gekregen. Een woordvoerder wilde niet ingaan op aanvullende vragen. Defensie heeft geen vaste samenwerking met het bedrijf.

Internetcriminelen kunnen documenten zoals paspoorten misbruiken voor bijvoorbeeld identiteitsfraude.

Meldplicht

Organisaties zijn sinds 2016 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. FedEx wil niet zeggen of er melding is gedaan. Deden ze dat niet kort na de ontdekking van het lek, dan riskeert het bedrijf een boete. 

In 2016 meldde Defensie zeventien datalekken bij de Autoriteit Persoonsgegevens. Vorig jaar waren dat er achttien. Om wat voor lekken het gaat, kon Bezuijen niet zeggen.

Reacties mogelijk gemaakt door CComment