Dit is een artikel uit het NRC-archief
Bekijk hele krant

NRC Handelsblad

Politie, recht en criminaliteit

Fraude met DigiD bleek heel simpel. Echt héél simpel

Er is op grote schaal met belastingtoeslagen gefraudeerd, doordat digitale handtekeningen niet werden gecontroleerd. Het was niet eens het werk van hackers.

Een envelop van de Belastingdienst valt op de deurmat. U maakt hem open en ziet dat het rekeningnummer waarop u kinderopvangtoeslag ontvangt, is gewijzigd in een voor u onbekend nummer. U belt naar de Belastingdienst en krijgt te horen dat u dat zelf moet hebben gedaan. Maar u weet van niks.

Enkele weken later ontvangt u weer een brief. U heeft huurtoeslag aangevraagd op een vreemd adres, en het geld wordt gestort op een vreemd rekeningnummer. Maar u heeft hier geen recht op, want u woont in een koophuis. Wie gaat dit terugbetalen?

Zeker honderden en mogelijk duizenden mensen is het dit jaar overkomen. De toeslag die ze hoorden te ontvangen bleek weggesluisd naar een ander rekeningnummer. Of ze stonden ineens voor duizenden euro’s in de schuld bij de Belastingdienst, wegens onterecht aangevraagde toeslagen.

Was het systeem van de Belastingdienst gehackt? De DigiD-code gekraakt? Nee. De oplichters hoefden geen ingewikkelde trucs uit te halen. Tot voor kort controleerde de Belastingdienst namelijk niet of de elektronische handtekening (DigiD) onder digitale aanvragen voor kinderopvang-, huur- of zorgtoeslagen wel van de aanvrager was. Daardoor was het mogelijk om met een willekeurige DigiD een toeslag op andermans naam aan te vragen en het rekeningnummer te wijzigen waar dat voorschot op zou worden uitbetaald.

De enige benodigdheden voor de oplichter: een willekeurige DigiD van persoon A en het burgerservicenummer, de geboortedatum en de naam van persoon B. Fraudeurs die deze gegevens in handen hadden, konden hun gang gaan. Wel eens een paspoortkopie ergens ingeleverd? Daar staan alle benodigde gegevens al op.

Inmiddels is duidelijk dat in ieder geval meerdere straten in Rotterdam zijn getroffen. Er loopt een strafrechtelijk onderzoek naar fraude bij 260 huishoudens, waarbij volgens de officier van justitie „hoogstwaarschijnlijk” op deze manier is gefraudeerd. In juli is een verdachte opgepakt, een 20-jarige man uit Rotterdam. De man was al eerder hoofdverdachte in een zaak van fraude met kinderopvang- en huur-/zorgtoeslagen.

Volgens een anonieme bron die nauw betrokken is bij de zaak, zijn er veel meer dan 260 huishoudens gedupeerd. Waarschijnlijk wel duizend. Misschien duizenden.

Een woordvoerder van het ministerie van Financiën zegt geen cijfers te hebben. Hij bevestigt desgevraagd dat er van alle fraudegevallen de laatste tijd heel veel waren die op deze manier waren gepleegd.

De Belastingdienst controleerde bewust niet of de DigiD wel bij de aanvrager hoorde, zodat mensen of organisaties die burgers wilden helpen met het aanvragen van een toeslag dat met hun eigen DigiD konden doen. Sommige mensen vinden het moeilijk om een toeslag aan te vragen, was de redenering. „Een kwestie van snelle dienstverlening en van vertrouwen”, aldus de Belastingdienst.

Pas dit voorjaar, na fraude met de kinderopvangtoeslag, werd een koppeling tussen DigiD en burgerservicenummer voor die aanvragen aangebracht. Maar het bleef mogelijk om zorg- en huurtoeslagaanvragen met andermans DigiD te ondertekenen. Dit lek werd pas in augustus gedicht, nadat het storm had gelopen bij de telefonische helpdesks van de dienst.

De DigiD-beveiliging was bij de invoering in 2005 bedoeld als elektronische handtekening, die net als een pincode niet overgedragen mocht worden. Maar in 2007 bleek de Belastingtelefoon burgers zelfs te adviseren hun belastingaangifte tijdelijk te ondertekenen met een DigiD van bijvoorbeeld een buurman. De reden daarvoor was dat het vijf dagen duurde om een DigiD aan te vragen – en die was toen net verplicht gesteld bij digitale belastingaangifte. Om de deadline van 1 april niet te missen, kregen burgers zonder DigiD het advies er een ‘te lenen’.

De Belastingdienst geeft geen informatie over het aantal gedupeerden, in verband met lopende onderzoeken. Het Openbaar Ministerie meldt dat er verschillende rechtszaken lopen en hebben gelopen.

Ondertekenen met andermans Digid is inmiddels niet meer mogelijk. Het bedrijf Logius, dat DigiD beheert, meldt „betrokken te zijn geweest” bij deze wijziging. Maar DigiD zelf is het probleem niet, zegt de Logius-woordvoerder, ook al zal er een veiliger systeem komen. „Dit valt onder de Belastingdienst.”

Nationale Ombudsman Alexander Brenninkmeijer, die ook tientallen meldingen van fraude ontving, heeft daar bepaald geen boodschap aan. Zijn telefonische reactie: „DigiD heeft niet gezorgd voor een systeem dat voldoende bescherming geeft. Daarom kon de Belastingdienst een noodgreep uitvoeren en konden mensen met andermans DigiD ondertekenen. De ene overheid veegt hier zijn stoep schoon voor de andere. Ik spreek als Ombudsman zowel de Belastingdienst als DigiD aan om dit te veranderen. Het systeem van de overheid moet gewoon kloppen.”