Datalek: identiteitsbewijzen honderden zorgverleners en pedagogen op straat

Dat blijkt uit onderzoek van RTL Nieuws, dat het datalek bij het Amsterdamse bedrijf meldde en heeft gewacht met publicatie tot het lek is gedicht. Tadaah koppelt zelfstandigen in de zorg en kinderopvang aan opdrachtgevers, en krijgt daarvoor een vergoeding.

Kopieën en criminelen

Het gaat om de identiteitsbewijzen van zo'n 800 mensen. Zij hebben een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah gestuurd. Ook VOG's (Verklaring Omtrent het Gedrag), verzekeringen en diploma's waren door het datalek voor iedereen in te zien. In totaal gaat het om duizenden gelekte gevoelige documenten.

Kopieën van identiteitsbewijzen zijn erg interessant voor cybercriminelen. Met een kopie kunnen ze onder andere een telefoonabonnement, bankrekening, lening of huurwoning op de naam van het slachtoffer afsluiten. Daarnaast worden deze kopieën soms gebruikt voor oplichting via bijvoorbeeld Marktplaats.

"Dit mag toch niet zomaar gebeuren", vertelt een vrouw die via Tadaah in de zorg werkt. Door de coronacrisis zijn mensen in deze sector juist extra hard nodig. "Je verwacht dat je gegevens veilig zijn, maar iedereen kan er dus zomaar bij? Ik ben bang dat iemand mijn identiteit gaat overnemen."

Geen van de door RTL Nieuws gecontroleerde kopieën was beschermd tegen misbruik, bijvoorbeeld door de naam van de organisatie op de kopie te schrijven. Hierdoor is de kopie lastiger te misbruiken voor criminele doeleinden.

Onbeveiligde server

Het datalek is ontstaan omdat Tadaah alle documenten op een onbeveiligde en publiekelijk toegankelijke server opsloeg. Deze bestanden, die je via de website moet uploaden, waren daardoor voor iedereen te vinden met zoekopdrachten als 'kopie paspoort', 'kopie rijbewijs' of 'kopie VOG'. 

"Het is een menselijke fout", zegt Eike Dehling, één van de oprichters van Tadaah. Volgens heeft de fout zich voorgedaan tijdens technisch onderhoud. "Dit mag gewoon niet gebeuren." Het bedrijf biedt zijn excuses aan.

Het datalek wordt door Tadaah bij de privacywaakhond Autoriteit Persoonsgegevens gemeld. Ook wordt er onderzocht of en hoe gedupeerden worden geïnformeerd. Het is onduidelijk of er misbruik is gemaakt van de documenten. Daarvoor heeft Tadaah momenteel geen aanwijzing.

Boze berichten

Het is voor zorgverleners en pedagogisch medewerkers die via Tadaah werken belangrijk om signalen van identiteitsfraude in de gaten te houden. Denk aan post over rekeningen, leningen, creditcards of woonruimten op jouw naam. Of boze berichten van mensen die je als oplichter zien. Bij de politie kun je aangifte doen van identiteitsfraude.

Zo maak je veilig een kopie van je identiteitsbewijs

Het is belangrijk dat je op een (papieren) kopie van een identiteitsbewijs altijd meldt voor welke organisatie het document is en welk doel het heeft. Bijvoorbeeld: kopie voor aanmelding bij Tadaah. Zet er ook de datum bij. In veel gevallen kun je ook het burgerservicenummer, je pasfoto en handtekening zwartmaken.

De makkelijkste manier om een veilige kopie van je identiteitsbewijs te maken, is door de gratis app KopieID te gebruiken. Deze app van het ministerie van Binnenlandse Zaken laat je een watermerk op de kopie plaatsen en vertelt welke onderdelen je moet zwartmaken om misbruik te voorkomen. 

Op de website van de Autoriteit Persoonsgegevens vind je meer informatie over welke organisaties een kopie van jouw identiteitsbewijs mogen vragen en wat voor informatie je wanneer kan wegstrepen.