Het nieuwe stelen - door Chris Verhoef

Een computer aan de straat, floppies in een gehuurde auto, patientengegevens volgelvrij, een USB stick kwijt òver Afganistan, en dan verliest men weer informatie ín Afganistan. Iedereen spreekt er schande van, disciplinaire maatregelen worden genomen, oekazes afgekondigd, beterschap beloofd, maar het helpt geen zier. Bescherming van gegevens heeft geen prioriteit.

Een paar voorbeeldjes. Enige tijd geleden verloor een lid van het Zuid-Afrikaanse leger een USB stick. Op de stick stond vertrouwelijke informatie over geldtransporten door de lucht. De Verenigde Naties stellen daaraan een maximum van 5000 dollar om kapingen te voorkomen. Uit de documenten bleek dat men die grens 57 maal had overschreden: maar liefst 285.000 dollar aan soldij was via een tripje met een VN-vliegtuig vervoerd. Terwijl je in Zuid-Afrika gewoon per SMS kunt bankieren.

Niet veel later kwam uit dat Unisys een computer kwijt was. Daarop stond medische verzekeringsinformatie van 18.000 Amerikaanse oorlogsveteranen. Denk aan naam, adres, woonplaats, sofi-nummer, welke verzekeraar, en claim informatie. Veteranen vragen zich af hoe Unisys hun informatie kan bezitten. Voor hen is IT-outsourcing een onbegrijpelijk verhaal: hun privacy-gevoelige informatie zomaar bij anderen stallen? Een ongehoord idee!

Ze zijn niet alleen: “Companies that have offshore jobs need to reflect on their decision and the assumption that cost savings benefiting them and their shareholders outweigh consumer confidentiality and confidence,” verklaarde een vakbondsman naar aanleiding van het bericht dat een Engelse journalist via een offshore call-center voor 5000 dollar van 1000 mensen persoonlijke bankrekeninggegevens had gekocht waaronder toegangscodes, adressen, en paspoortgegevens.

In mei vorig jaar werd ingebroken bij een data-analyst van het departement van veteranenzaken, en werd een laptop plus externe disk buitgemaakt. Daarop stonden gegevens van tussen de 17,5 en 26,5 miljoen mensen, met inbegrip van 1,1 miljoen actieve militairen, 430.000 nationale gardisten, en 645.000 reservisten. Naam, adres, woonplaats, sofi-nummer, soms gegevens over partners; zo voor het grijpen. Het modelnummer werd vrijgegeven en een beloning van 50000 dollar uitgeloofd. Dat leidde eind juni tot inlevering van de spullen bij de FBI.

Er leven grote zorgen onder de getroffenen dat deze inbraak tot identiteitsfraude kan leiden. Er zijn nog geen tekenen van te bespeuren, maar uit voorzorg komt er een jaar gratis krediet monitoring voor de slachtoffers. Men denkt nu dat dat 160,5 miljoen dollar gaat kosten. En dat monitoren is geen luxe maatregel.

Identiteitsfraude is in de Verenigde Staten al een plaag. In 2005 alleen al 686.683 klachten over identiteitsfraude en identiteitsdiefstal. Maar dat is het topje van de ijsberg: een onderzoek in 2003 leert dat “almost 10 million Americans have discovered that they were the victim of some form of ID Theft within the last year”.

En wat kan men zoal doen met de identiteit van een ander? In 26 procent van de gevallen gaat het om creditcardfraude, 18 procent telefoonfraude, 17 procent bankfraude, 12 procent werk-gerelateerde fraude, 9 procent overheids-gerelateerde fraude, 5 procent leenfraude, en 25 procent overig, plus nog 6 procent waar het bij een poging blijft.

Wat moet je je nu bij creditcardfraude voorstellen? Die 26 procent is opgedeeld in categorieen: in 15.6 procent lukt het om een nieuwe creditcard aan te vragen. Op jou naam de bloemetjes buitenzetten! Daarom merkt 43 procent van de slachtoffers binnen een maand dat er iets grondig mis is, maar ja dan is het al te laat.

Bij telefoonfraude moet je ook in deze richting denken. Van die 18 procent is maar liefst de helft van de gevallen ten behoeve van een nieuw mobieltje. Gratis bellen op jou naam! Bij bancaire fraude lukken nieuwe accounts minder goed. Maar het lukt wel om electronisch geld weg te sluizen, of bestaande rekeningen te plunderen.

Identiteitsfraude is lucratief. Uit onderzoek blijkt dat in de Verenigde Staten met een gestolen identiteit gemiddeld 10.200 dollar verdiend wordt aan nieuwe accounts, ‘slechts’ 2100 met bestaande accounts, en gemiddeld over alle fraudetypes 4800 dollar, wat in totaal neerkwam op 47,6 miljard dollar in 2003.

Daar zit 5 miljard betaald door slachtoffers bij; gemiddeld per slachtoffer 500 dollar. Dat is exclusief de tijd die het je ook nog eens kost. Denk bij nieuwe accounts aan gemiddeld 60 uur werk om het ongedaan te maken, bij bestaande accounts aan 15 uur om uit te leggen dat je niet plots koopziek bent geworden, gemiddeld over alle soorten is het 30 uur, en in totaal 297 miljoen uur worstelen met creditcard-maatschappijen, telecom-providers, banken, de belastingdienst, en meer.

Hoe kom je nu aan die gegevens? In 25 procent van de gevallen is diefstal van portefeuilles, agenda’s of de post in de VS de manier geweest om de identiteit te stelen. Echter, de helft van de mensen had geen idee hoe degenen die hun identiteit misbruikten aan hun gegevens was gekomen. Een soort virtueel zakkenrollen dus: zonder dat je er erg in hebt worden je gegevens gelift en daarmee je geld afhandig gemaakt.Daarom is de privacy van onze persoonlijke gegevens zo cruciaal, en moet onze digitale identiteit stringent bewaakt worden. Ook al heb je niets te verbergen!

Ik ben benieuwd of we hier eerst ook miljarden schade moeten lijden wegens identiteitsfraude voordat de bescherming van onze gegevens werkelijk tot topprioriteit wordt verheven. Tot nu toe is er weinig hoop, gegeven een recent radioverslag over de levendige illegale handel in prive-gegevens. Informatiemakelaars leveren zonder problemen informatie over saldo’s, geheime telefoonnummers, kentekens, arbeidsverleden, schulden, uitkeringen, strafblad. Advocatenkantoren, banken, verzekeraars, en overheid lijken gebruik te hebben gemaakt van de diensten. Het nieuwe stelen komt eraan!

Professor dr. Chris Verhoef is hoogleraar Informatica aan de Vrije Universiteit Amsterdam