Datalek: duizenden Nederlandse ID-bewijzen waren jarenlang openbaar

Een flink datalek zorgde ervoor dat kopieën van duizenden Nederlandse identiteitsdocumenten jarenlang openbaar waren. De documenten stonden op een onbeveiligde dataserver, waardoor iedereen ze in kon zien. Het gaat onder meer om identiteitsbewijzen van Defensie. Dat meldt NU.nl op basis van onderzoek in samenwerking met het Duitse beveiligingsbedrijf Kromtech.

De server was in beheer van Bongo International. Dat bedrijf werd in 2014 overgenomen door bezorgingsbedrijf FedEx. FedEx heeft het lek inmiddels gedicht. Internetcriminelen kunnen bijvoorbeeld paspoorten misbruiken voor onder meer identiteitsfraude.

In totaal stonden er 119.000 formulieren en documenten op de server. Vermoedelijk werden die tussen 2009 en 2012 door klanten uit de hele wereld naar Bongo International verstuurd. In februari werd de internationale omvang van het lek bekend. Tot op heden was er echter weinig bekend over de Nederlandse data.

In totaal stonden er ongeveer 6.000 documenten afkomstig uit Nederland op de server. Het gaat om 3.000 identiteitsdocumenten als paspoorten en rijbewijzen. Ook staan er 3.000 bijbehorende formulieren op de server. Daarin waren de namen, adresgegevens en telefoonnummers van de Nederlanders ingevuld.

Defensie

Het is onduidelijk hoeveel documenten van defensiemedewerkers op de server stonden. Bij een steekproef met 300 documenten vonden de onderzoekers in ieder geval twee identiteitsbewijzen van Defensie. Defensie is zelf een onderzoek gestart om te zien om hoeveel documenten het precies gaat.

Defensie was nog niet op de hoogte van het lek, stelt woordvoerder Paul Bezuijen tegenover NU.nl. Hij zegt dat het “niet wenselijk” is dat de gegevens van medewerkers jarenlang publiekelijk toegankelijk waren. “Bovendien is het voor sommige medewerkers niet fijn dat ze hierdoor aan Defensie gekoppeld kunnen worden.”

De kopieën van passen kunnen niet gebruikt worden om toegang tot locaties en systemen van Defensie te krijgen, benadrukt Bezuijen. Mogelijk zijn de documenten op de server terecht gekomen omdat werknemers zich met hun identiteitskaarten van Defensie bij de FedEx-dienst wilden identificeren.

Melding

FedEx wil niet zeggen of het datalek gemeld is bij de Autoriteit Persoonsgegevens. Dit is sinds 2016 verplicht. Heeft FedEx kort na de ontdekking van het lek geen melding gedaan, dan riskeert het bedrijf een boete.