Je geld én je leven

Onderzoek naar slachtoffers van identiteitsfraude

Door Vincent Bongers

Identiteitsfraude wordt lang niet altijd veroorzaakt door nalatigheid van de slachtoffers. Ook de beveiliging van instanties die de persoonsgegevens beheren schiet tekort. ‘Je lot ligt in hun handen.’

‘Ik kreeg een brief van een incassobureau waarin stond dat ik 13.000 euro aan achterstallige huur en onderhoudskosten moest betalen’, zegt journalist en schrijver Kevin Goes (30). 

‘Het ging om een pand in Dordrecht. Een stad waar ik zelfs nog nooit was geweest.'

'Ik schrok eerst, maar dacht daarna dat het een vergissing was en zette de brief op Facebook. Toevallig werkt één van mijn Facebookvrienden bij het betreffende bureau. Hij stelde vast dat het adres wel degelijk correct was. De woning in Dordrecht is gebruikt als wietplantage. Daarom was het bedrag ook zo hoog. De ontmanteling van de plantage kwam voor mijn rekening. Ik kreeg ook een afbeelding van het paspoort van de huurder. Ik zag een donkere Kevin Goes, terwijl ik zelf blank ben. Alleen de foto en de lengte waren aangepast, verder waren het mijn gegevens.

Goes kon aantonen dat zijn identiteit was gestolen en hoefde niet te betalen. Maar hij weet nog steeds niet wat er is gebeurd. ‘Ik ben mijn pas nooit verloren. Het kan zijn dat een van de vele instanties en bedrijven die mijn paspoortgegevens in bezit hebben, is gehackt. Ik ben in Turkije geweest en heb daar een nacht mijn paspoort bij de balie van mijn hotel achtergelaten. Het kan zijn dat ze toen een scan hebben gemaakt.’

Zijn gegevens zijn nog twee keer gebruikt om een woning te huren. Eerst in Amsterdam en later in Nijmegen. ‘Ik had mijn verhaal onder andere in De Telegraaf gedaan en er ook zelf al over gepubliceerd. Dat heeft geholpen, want toen de Nijmeegse woningcorporatie argwaan kreeg en mijn naam ging googlen is de dader tegen de lamp gelopen.’

‘Dit soort extreme gevallen komt gelukkig weinig voor’, zegt universitair hoofddocent criminologie Johan van Wilsem die samen met criminoloog Levy Paulissen een onderzoek naar slachtofferschap bij identiteitsfraude publiceerde. De onderzoekers interviewden deskundigen en enquêteerden zo’n vijfduizend respondenten. ‘De focus lag vooral op identiteitsfraude in het betalingsverkeer. Wij hebben mensen gevraagd of er wel eens zonder toestemming geld van hun bankrekening was afgeschreven. En of er op dezelfde manier wel eens iets was misgegaan met hun creditcard. Maar op de vraag of er op een andere manier misbruik was gemaakt van hun identiteit kregen we slechts dertien bevestigende antwoorden. Dat verbaasde me.’

Goes heeft nog steeds last van de kwestie. ‘In Amsterdam moet ik nog voor de rechter verschijnen. Het incassobureau van de woningcorporatie gelooft niet dat mijn identiteit is gestolen. Maar ik heb er alle vertrouwen in dat mijn advocaat de rechtbank kan overtuigen. Het is een heel raar gevoel als iemand er met jouw identiteit vandoor gaat. Als je fiets of je mobieltje wordt gestolen, dan is dat vervelend en koop je een nieuwe. Maar met die ene identiteit moet je het de rest van je leven doen. Het gevoel van veiligheid over mijn gegevens is wel verdwenen.’

De problemen voor slachtoffers kunnen bizarre vormen aannemen. In 1995 kwam Steven Romet in een bureaucratische, financiële en juridische nachtmerrie terecht nadat zijn rijbewijs was gestolen. Criminelen registreerden 1737 auto’s op zijn naam. Romet raakte zijn uitkering kwijt en belandde in de cel omdat hij de talloze boetes die op zijn deurmat vielen niet kon betalen. Uiteindelijk moest hij doorprocederen tot het Europees Hof om zijn naam te zuiveren. Pas in 2012 stopte de ellende.

De schade door frauduleuze bankafschrijvingen en creditcardmisbruik springt minder in het oog, zegt Van Wilsem. ‘Per individu gaat het vaak om diefstal van kleine bedragen, maar bij elkaar opgeteld zorgt dat toch voor een flinke totaalschade. We hebben twee perioden onderzocht; 2008-2010 en 2010-2012. Het blijkt dat 4,6 procent van onze respondenten met deze twee vormen van identiteitsdiefstal te maken heeft gehad. Als je dat extrapoleert naar de totale Nederlandse bevolking kom je op honderdduizenden slachtoffers in vier jaar tijd, en een geschatte schade van 300 miljoen euro. En dat zijn de mensen die het in de gaten hadden. Ik kan zelf ook best slachtoffer zijn geweest, zonder dat ik het wist. Ik check mijn afschriften best goed, maar dat wil niet zeggen dat ik nooit wat mis. En met kleine bedragen frauderen kan slim zijn omdat het niet opvalt.’

Opvallend is ook dat maar tien procent van de slachtoffers aangifte doet. De politie heeft dan ook geen goed beeld van de omvang van de problematiek rond identiteitsdiefstal. ‘Tweederde van de slachtoffers in ons onderzoek nam contact op met de bank. In 85 procent van de gevallen kregen zij hun geld terug. Daarom wordt er zo weinig naar de politie gestapt. Het gaat ook relatief vaak om een klein bedrag. Bij de groep die wel aangifte doet, is de gemiddelde schade rond de 1300 euro. Bij de groep die geen aangifte doet is dat 250 euro.’

Van Wilsem en Paulissen onderzoeken ook andere vormen van cybercriminaliteit: hacken, bedreiging en oplichting. ‘We vragen respondenten of ze impulsief zijn en vaak op sociale media zitten. Dat zijn voor zulke delicten heel goede voorspellers. Maar voor slachtofferschap van identiteitsfraude geldt dat nauwelijks. Wellicht komt dat doordat bedrijven en instanties tekortschieten. We staan bij zo’n 250 tot 500 instanties ingeschreven, en zijn dus afhankelijk van hun beveiliging. Je lot ligt in hun handen.’

Dat de Nederlandse overheid niet in staat is gegevens van burgers goed te beschermen, bleek bij de slechte beveiliging van DigiD en de massale fraude met toeslagen en uitkeringen door Oost-Europeanen.
En in het buitenland is het niet veel beter, zegt Van Wilsum.

‘Uit Amerikaans onderzoek blijkt dat met publiekelijk beschikbare indicatoren als naam en woonplaats iemands social security number kan worden geschat. Dan ligt de weg naar identiteitsfraude helemaal open.’

Phishingbendes maken juist weer gebruik van het vertrouwen in instanties en bedrijven. ‘Phishing speelt in op menselijke zwakheden. De CEO-fraude die onlangs opdook, is daar een fraai voorbeeld van. Dan krijg je mailtjes van je baas die opdracht geeft om geld over te maken naar een of andere afdeling. Heel slim natuurlijk: want naar de baas wordt wel geluisterd en dat maakt de kans op doorvragen minder groot. Niet de identiteit van het slachtoffer wordt misbruikt, maar die van de CEO.

‘Het is een plausibele hypothese dat de overheden, instanties en bedrijven tekortschieten, maar we moeten daar meer onderzoek naar doen.’

Dat geldt ook voor een andere gevaarlijke zwakke plek: de mobiele telefoon. ‘In vergelijking met pc’s zijn ze meestal een stuk minder goed beveiligd, hoorden we van de experts die we interviewden. Ik voelde me toen bijna betrapt, want ik lette bij mijn mobiel ook minder op de veiligheid. En dat is bij veel mensen het geval, vermoed ik.’

Voorpagina

Je geld én je leven

Identiteitsfraude wordt lang niet altijd veroorzaakt door nalatigheid van de …

Achtergrond

De stilte van het hart

Schrijver en oud- Mare- redacteur Christiaan Weijts herdenkt de dinsdag overleden …

Wetenschap

Studentenleven

Nieuws

Rubrieken

Virtual reality

Robin de Lange, promovendus bij de Media Technology -research onderzoekt hoe complexe …

English page