Identiteitsfraude: één en één is twee
Eén en één is twee. Eindelijk een stelling waar we allemaal achter staan. In ieder geval het gilde van identiteitsfraudeurs, die dit als motto in hun gildewapen heeft opgenomen.
Als deze vaklieden één stuk persoonlijk identificeerbare informatie aan een ander stuk kunnen koppelen, zijn ze al bij machte om bijvoorbeeld je bankrekeningnummer bij je zorgverzekeraar te wijzigen. Dat is fijn als je automatisch incasso hebt maar minder leuk als je net voor honderden euro's aan ziektekosten hebt gedeclareerd.
Soms hebben ze zelfs aan één gegeven al genoeg. Met een bankrekeningnummer van iemand anders kan je al on-line een OV-fietsabonnement met automatisch incasso afsluiten bij de NS. Ik raad dit niet aan, omdat het moreel verwerpelijk en bovendien strafbaar is. Het is helaas wel zo makkelijk als ik het nu schets.
Maar meestal zijn er toch twee of meer elementen nodig. Een combinatie van naw-gegevens met een klantnummer of een klantnummer met een geboortedatum. Des te kwalijker is het, dat veel bedrijven hierover niet goed nadenken. Energiemaatschappijen sturen hun vlugschriftjes op met de volledige naw-gegevens, samen met het klantnummer. De apotheek print op het doosje pillen niet alleen uw volledige naw-gegevens maar ook nog eens uw huisarts èn uw geboortedatum. Goud in de handen van het gilde.
Hoe bedrijven met persoonlijk identificeerbare informatie en bijzondere persoonsgegevens omgaan richt zich met name op de formele aspecten van de, op de Europese richtlijn 95/46/EG gebaseerde Wet bescherming persoonsgegevens. Ben ik verantwoordelijke of bewerker, moet ik melden ja/nee, mag ik de gegevens doorgeven naar landen buiten de Europese Unie, hoe beveilig ik de gegevens en hoe lang mag ik de gegevens bewaren.
Het bedrijfsleven doet er echter goed aan om zich bij te laten staan door professionele identiteitsfraudeurs (de beroepshackers van de identiteitsfraude). Zij kunnen door praktische testen onderzoeken hoe veilig we eigenlijk zijn.
Als ik op basis van een omgekeerde vuilniszak, bovengenoemd doosje medicijnen op kan duikelen, dan weet ik ten eerste iets over de gezondheid van de persoon, bij welke apotheek deze persoon medicijnen koopt, wie de huisarts is, de naw-gegevens en de geboortedatum.
Vervolgens bel ik de apotheek op en het zal niet lang duren voordat ik de naam van de verzekeraar heb en misschien zelfs wel het klantnummer. De volgende declaratie staat dan op mijn rekening. Daarnaast kan ik de persoon mogelijkerwijs nog wat onder druk zetten om te voorkomen dat ik zijn of haar werkgever inlicht over zijn chronische ziekte.
De identiteitsfraudeur met iets meer lef steelt uw mobiele telefoon. Geen punt denkt u, die SIM is zo geblokkeerd. Klopt, voor uitgaande gesprekken. Maar toen u uw Hotmail-account aanmaakte heeft u uw mobiele nummer ingevoerd voor het geval u uw password zou vergeten. Uw e-mailadres is bijna net zo publiek als het liefdesleven van Gordon dus de identiteitsfraudeur laat via Hotmail een nieuw password naar uw toestel sms'en. Eénmaal in uw Hotmail-account is het einde zoek. Want van alle sites waar u een login en password gebruikt heeft u uw Hotmail-account opgegeven waar de password reset naar toe moet worden gezonden.
Dit geeft denk ik, wel de noodzaak weer van een betrouwbare professionele mystery shopper op het gebied van identiteitsfraude. Ik heb eeneneenistwee.nl al gereserveerd.