Het Haagse bijlesbedrijf DiplomaNu heeft 180 kopieën van identiteitsbewijzen van studenten gelekt die bijles gaven. Een deel van de kopieën is afkomstig van sollicitanten die nog nooit voor het bedrijf hebben gewerkt.
Het gaat om de kopieën van identiteitsbewijzen, diploma's, cv's en gescande handtekeningen van 180 Nederlandse studenten. Met deze gegevens kan identiteitsfraude worden gepleegd door bijvoorbeeld op de naam van het slachtoffer een rekening te openen of een telefoonabonnement af te sluiten.
ZIE OOK: Wanneer mag een bedrijf om een kopie van je identiteitskaart vragen?
Simpele zoekopdracht
DiplomaNu plaatste de 180 kopieën van identiteitsbewijzen en andere gevoelige informatie onbeveiligd online via zijn WordPress-website. Daarnaast zijn dezelfde kopieën gevonden op twee andere online locaties die werden gebruikt om nieuwe functionaliteiten voor de website te testen.
Met een simpele zoekopdracht in Google waren de kopieën van identiteitsbewijzen, diploma's en handtekeningen te vinden, zegt Bram Talman, de ontdekker van het lek. Hij speurt in zijn vrije tijd graag naar beveiligingslekken. Na melding van RTL Nieuws zijn de bestanden door DiplomaNu offline gehaald. Op dit moment zijn er geen aanwijzingen dat de bestanden in verkeerde handen zijn gekomen.
Het lek is gemeld bij de Autoriteit Persoonsgegevens, zo bevestigt DiplomaNu-oprichter Fanar Al-Obaidy aan RTL Nieuws: "Ook hebben we een onafhankelijke partij ingeschakeld die het lek heeft gedicht en de beveiliging van onze database gaat verbeteren." Alle gedupeerden zijn door DiplomaNu op de hoogte gesteld van het lek. "Het had nooit mogen gebeuren, en daarvoor bied ik mijn excuses aan", aldus Al-Obaidy.
Overtreden privacywet
Een deel van de kopieën is afkomstig van sollicitanten. Zij hebben zichzelf via de website geregistreerd om bijles te geven en moesten daarbij een kopie van hun identiteitsbewijs uploaden. Deze kopieën werden bewaard, ook als de student geen bijles gaf.
Naast het datalek overtreedt DiplomaNu daarmee ook de privacywet. Al eerder werd Uitzendbureau Randstad door de Autoriteit Persoonsgegevens op de vingers getikt omdat er kopieën van identiteitsbewijzen werden bewaard van mensen die enkel op intakegesprek kwamen.
Eén van de gedupeerden zegt dat ze anderhalf jaar geleden heeft gesolliciteerd bij DiplomaNu, maar nooit voor het bedrijf heeft gewerkt: "DiplomaNu vroeg mij om mijn cv en identiteitsbewijs in te sturen. Dat heb ik toen maar gedaan, want ik heb nog nooit eerder problemen gehad met het opsturen van zo'n kopie", laat de studente weten.
Veilige kopie
Talman is vooral ongerust over het kleine aantal mensen die hun burgerservicenummer hadden verwijderd: van de 180 studenten hadden er maar een paar dit nummer doorgestreept. Het burgerservicenummer mag alleen worden opgevraagd als bedrijven hiertoe wettelijk zijn verplicht, zoals banken en werkgevers.
Bij freelance werknemers, zoals in het geval van DiplomaNu, is het niet verplicht om een kopie van het identiteitsbewijs in te leveren, laat staan het burgerservicenummer op de kopie te tonen. Ook wordt aangeraden om de foto af te dekken.
Met de app KopieID, die door de overheid is ontwikkeld, kun je veilig een digitale kopie van je identiteitsbewijs maken. De afbeelding wordt voorzien van een watermerk waarmee het doel van de kopie wordt aangeduid. Ook kun je gemakkelijk het burgerservicenummer en de pasfoto digitaal doorstrepen.
