Dat blijkt uit onderzoek van de Rotterdamse redactie van het Algemeen Dagblad naar problemen met DigiD. De krant onthulde vorige week dat er diverse fraudegevallen in één straat in de Rotterdamse nieuwbouwwijk Nesselande plaatsvinden.

Na publicatie hebben meer slachtoffers uit een andere straat in dezelfde wijk zich ook gemeld. Ook stromen klachten uit de rest van de regio Rijnmond binnen. Volgens de krant gaat het inmiddels om tientallen fraudegevallen.

Miljoenenschade

In de meeste van deze gevallen gaat het om het inloggen met DigiD bij de Belastingdienst. Vervolgens wordt het bankrekeningnummer voor uitkeringen of teruggave veranderd, zodat het geld bij een andere persoon terecht komt.

In een reactie tegenover Webwereld zegt Vincent van Steen, woordvoerder bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties niet zeker te weten of de fraude wel DigiD betreft. “De zaak is nog in onderzoek en de feiten moeten nog blijken", stelt hij. Wel erkent hij dat het veranderen van bankrekeningnummers is gedaan na het inloggen met de dienst. Ook staat inmiddels vast dat er sprake is van identiteitsdiefstal.

Veel zaken

Misbruik van DigiD is niet nieuw. De krant onderzocht gepubliceerde uitspraken van rechtbanken, waarbij voor fraude gebruik is gemaakt van DigiD. Daarbij gaat het in sommige strafzaken om miljoenen euro's per geval, omdat er groepsgewijs een toeslag of teruggave werd aangevraagd. In een geval heeft een man de identiteit van een ex gebruik om haar een hak te zetten.

Een bekende methode om te frauderen is het zogenaamde 'hengelen'. Hierbij wordt een nieuwe inlogcode voor DigiD aangevraagd. Als de activeringscode per post komt, hengelen de criminelen het document uit de brievenbus. De post minus de code wordt vervolgens teruggestopt, zodat het slachtoffer niets merkt.

Kamervragen

Voor regeringspartij VVD en gedoogpartner PVV is de zaak aanleiding om kamervragen te stellen. PVV-kamerlid Hero Brinkman wil dat voor de inlogcode niet anders wordt gewerkt dan bij bankpassen. Hij verwacht dat in de toekomst de activeringscode aangetekend wordt gestuurd. De ontvanger tekent dan zelf en krijgt de code persoonlijk overhandigd.

VVD-collega Helma Neppérus wil weten op welke schaal dit misbruik voorkomt. Zij stelde al eerder vragen toen bleek dat fraude met DigiD simpel bleek. Die antwoorden kwamen in mei, maar lieten in het midden hoe groot die fraude nu eigenlijk is. Over het hengelen schreef Donner toen: “Het probleem dat kwaadwillenden de activeringsbrief onderscheppen komt - op een totaal van circa 8 miljoen gebruikers en 37 miljoen transacties per jaar - slechts beperkt voor. Een precies cijfer is niet te geven."

Beveiliging

Het rommelt al langer rond DigiD en fraudegevoeligheid. Vorig jaar bij een aanbesteding stond de beveiliging van SMS-berichten ter discussie. Een expert wees er toen op dat er voor die beveiligingslaag zelf geen beveiligingseisen gelden en vergeleek het met de bescherming van een kippenhok. Tijdens de zitting noemde BZK de beveiliging van latere zorg.

Vorig jaar werd duidelijk dat het inzien van medische gegevens via het Elektronisch Patiënten Dosser (EPD) op de lange baan is geschoven, omdat de beveiligingslagen voor DigiD onvoldoende zijn. De aanleiding daarvoor was dat de beveiliging met gebruikersnaam en wachtwoord aangevuld met een SMS te mager is. Die laatste technologie is namelijk gekraakt, waardoor het afvangen van die berichten relatief simpel zou kunnen.

Het is de bedoeling dat DigiD vervangen wordt. Wanneer dat gebeurt is onduidelijk. Minister Donner had deze zomer een brief met een statusupdate naar de kamer zullen sturen, maar doet dat nu waarschijnlijk in september.