Beveiligingslek in Kadaster is breder probleem

Het nieuws over het beveiligingslek in het Kadaster wat gisteren door RTL Nieuws naar buiten is gebracht heeft een licht geworpen op de kwetsbaarheid van het afgeschermde gedeelte van het Kadaster. Het incident van gegevenslek bij het Kadaster weerspiegelt een bredere kwestie.

Het incident van gegevenslek bij het Kadaster weerspiegelt een bredere kwestie. Binnen de overheid bestaan diverse openbare registers waar vergelijkbare risico's zich kunnen voordoen. De Autoriteit Persoonsgegevens verlangt dat ministeries aantoonbaar maken dat ze adequaat zorgen voor beveiliging van hun registers.

Als gevolg van het datalek werden de woonadressen van miljoenen Nederlandse burgers voor iedereen toegankelijk. De gelekte informatie zou van waarde zijn voor kwaadwillende individuen, zoals criminelen. 
 
Het afgeschermde deel van het Kadaster is oorspronkelijk bedoeld voor toegang door deurwaarders, notarissen, makelaars en advocaten, die regelmatig dergelijke informatie nodig hebben voor hun professionele taken. Deze partijen kunnen een account aanmaken om legitieme toegang te verkrijgen tot deze gegevens. 
 
Uit het onderzoek van RTL Nieuws, bleek de beveiliging van dit systeem zo lek was als een mandje en kon men zonder veel moeite toegang krijgen tot dit afgeschermde deel en in de gegevens inzien van miljoenen Nederlanders.
 
De gelekte informatie vormde een kostbare bron voor individuen met kwaadwillige intenties. Niett alleen voor criminelen en oplichters, maar ook personen die bedreigingen, intimidatie, stalking en doxing nastreven. Met deze gegevens in handen kunnen kwaadwillenden gerichte en zeer persoonlijke benaderingen hanteren. 
 
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, legt uit dat het lek een aanzienlijk gevaar vormde voor bedreigde journalisten, activisten en politici. Zelfs mensen met een onrustige voormalige partner liepen risico, omdat ongewenste personen onverwachts op de stoep konden staan om hen te bedreigen. Om deze reden heeft de Autoriteit Persoonsgegevens direct opdracht gegeven om het beveiligingslek te dichten.
 
Opvallend is dat het aanmaken van een account voor het afgeschermde deel van het Kadaster verbazingwekkend eenvoudig bleek te zijn. Slechts een inschrijving bij de Kamer van Koophandel en een bankrekeningnummer waren vereist. Er vond geen controle plaats op de noodzaak van toegang tot deze informatie voor een specifiek bedrijf of onderneming, aangezien de sector niet relevant was voor het verificatieproces. Bovendien konden willekeurige rekeningnummers worden gebruikt, aangezien aanvragen toch binnen een dag werden goedgekeurd. Dit creëerde een mogelijkheid tot fraude met de gegevens van anderen, waarbij facturen voor zoekopdrachten bij verkeerde partijen terechtkwamen.
 
Het doorzoeken van gegevens bleek evenmin een uitdaging. Het was mogelijk om te zoeken op woonadressen om informatie over bewoners, vaak de eigenaren, op te vragen. Daarnaast kon er op naam worden gezocht om iemands huidige woonadres te achterhalen. De mogelijke gevaren worden duidelijk bij het overwegen van zoekopdrachten op namen van journalisten, advocaten, rechters, politici en voormalige partners.
 
Cybersecurity-expert Dave Maasland benadrukt dat dit lek kan leiden tot situaties waarin levens in gevaar zijn. Hij beschrijft de situatie als tekenend voor de overheid, die mogelijk onvoldoende inzicht heeft in de ernst van de gelekte informatie. Hierdoor wordt als het ware een 'Gouden Gids voor criminelen' aangeboden.
 
Naast de directe dreiging heeft het onderzoek aan het licht gebracht dat er op Telegram een illegale handel is ontstaan in gegevens afkomstig uit het Kadaster. Deze handel omvat zowel vraag als aanbod, waarbij individuen tegen betaling aanbieden om privéadressen van anderen op te zoeken. Hoewel de motieven variëren, is het zeer waarschijnlijk dat degenen die deze gegevens opvragen, geen goede bedoelingen hebben.
 
Het Kadaster heeft de problemen erkend en aangegeven dat de combinatie van een KVK-nummer en een bedrijfsnaam als vereiste voor het aanmaken van een professioneel account niet volledig waterdicht is. De organisatie heeft sinds 2020 e-Herkenning geïntroduceerd, een equivalent van DigiD voor bedrijven. Desondanks is het volgens hen niet mogelijk om dit persoonsgebonden inlogmiddel vanwege huidige wetgeving verplicht te stellen.
 
De Autoriteit Persoonsgegevens heeft het Kadaster opgedragen het lek onmiddellijk te dichten om verdere misbruik te voorkomen. Niettemin blijft er werk aan de winkel, zoals benadrukt door de toezichthouder. De Autoriteit Persoonsgegevens heeft tevens aangegeven dat er mogelijk meer plekken binnen de overheid zijn waar gegevens onvoldoende beschermd zijn. Als reactie hierop is eerder dit jaar een grootschalige actie gestart om de toegang tot persoonsgegevens in openbare registers beter te beschermen tegen ongepast gebruik.