Dit is een artikel uit het NRC-archief
Bekijk hele krant

Politie, recht en criminaliteit

Makkelijker konden ze het niet maken

Honderden, mogelijk duizenden mensen zijn slachtoffer geworden van fraude met toeslagen.

De Belastingdienst bleef niettemin terugvorderen.

Een envelop van de Belastingdienst valt op de deurmat. Je maakt hem open en ziet dat het rekeningnummer waarop je kinderopvangtoeslag ontvangt, is gewijzigd in een voor jou onbekend nummer. Je belt naar de Belastingdienst en krijgt te horen dat je dat zelf moet hebben gedaan. Maar jij weet van niks.

Enkele weken later valt er weer zo’n brief op de deurmat. Je hebt huurtoeslag aangevraagd. Op een vreemd adres, en het geld wordt gestort op een vreemd rekeningnummer. Bovendien heb je hier geen recht op, want je woont in een koophuis. Wie gaat dit terugbetalen?

Zeker honderden en mogelijk duizenden mensen is het dit jaar overkomen. De toeslag die ze hoorden te ontvangen bleek weggesluisd naar een ander rekeningnummer. Of ze stonden ineens voor duizenden euro’s in de schuld bij de Belastingdienst wegens onterecht aangevraagde toeslagen, die op een vreemd rekeningnummer waren overgemaakt. En kregen daar ook vorderingen voor.

Was het systeem van de Belastingdienst gehackt? De DigiD-code gekraakt?

Nee. De oplichters hoefden geen ingewikkelde trucs uit te halen. Tot voor kort controleerde de Belastingdienst namelijk niet of de elektronische handtekening (DigiD) onder digitale aanvragen voor kinderopvang-, huur- of zorgtoeslagen wel van de aanvrager was. Daardoor was het mogelijk om met een willekeurige DigiD een toeslag op andermans naam aan te vragen en het rekeningnummer te wijzigen waar dat voorschot op zou worden uitbetaald.

De enige benodigdheden voor de oplichter: een willekeurige DigiD van persoon A en het burgerservicenummer, de geboortedatum en de naam van persoon B. Fraudeurs die deze gegevens in handen hadden, konden hun gang gaan. Wel eens een paspoortkopie ergens ingeleverd? Daar staan alle benodigde gegevens al op.

Inmiddels is duidelijk dat in ieder geval meerdere straten in Rotterdam zijn getroffen. Er loopt een strafrechtelijk onderzoek naar fraude bij 260 huishoudens, waarbij volgens de officier van justitie „hoogstwaarschijnlijk” op deze manier is gefraudeerd. Maar volgens een anonieme bron die nauw betrokken is bij de zaak, zijn er nog veel meer gedupeerden. Waarschijnlijk wel duizend. Misschien duizenden.

Een woordvoerder van het ministerie van Financiën ontkent de aantallen niet, maar zegt geen cijfers te hebben. Hij bevestigt desgevraagd dat er van alle fraudegevallen de laatste tijd heel veel waren die op deze manier waren gepleegd.

De Belastingdienst controleerde bewust niet of de DigiD wel bij de aanvrager hoorde, zodat mensen of organisaties die bekenden of klanten wilden helpen met het aanvragen van een toeslag dat met hun eigen DigiD konden doen. Sommige mensen vinden het namelijk moeilijk om een toeslag aan te vragen, was de redenering. „Een kwestie van snelle dienstverlening en van vertrouwen”, aldus de Belastingdienst.

Pas dit voorjaar, na fraude met de kinderopvangtoeslag, werd een koppeling tussen DigiD en burgerservicenummer voor die aanvragen aangebracht. Maar het bleef mogelijk om zorg- en huurtoeslagaanvragen met andermans DigiD te ondertekenen, met talloze nieuwe fraudegevallen tot gevolg. Dit lek werd pas in augustus gedicht, nadat het storm had gelopen bij de telefonische helpdesks van de dienst.

De DigiD-beveiliging was bij de invoering in 2005 bedoeld als elektronische handtekening, die je net als je pincode niet over mocht dragen. Maar in 2007 bleek de Belastingtelefoon burgers zelfs te adviseren hun belastingaangifte tijdelijk te ondertekenen met een DigiD van bijvoorbeeld een buurman. De reden daarvoor was dat het vijf dagen duurde om een DigiD aan te vragen – en die was toen net verplicht gesteld bij digitale belastingaangifte. Om de deadline van 1 april niet te missen, kregen burgers zonder DigiD het advies er een ‘te lenen’.

Toen dat advies eenmaal was uitgelekt werd het weer ingetrokken, maar de mogelijkheid om met een vreemde DigiD te ondertekenen, naar nu blijkt, niet.

Met grote gevolgen. „Het begon in april met de kinderopvangtoeslag, waar ineens een vreemd rekeningnummer stond vermeld”, vertelt een slachtoffer uit Rotterdam. Hij heet Marc, is 34, vermogensbeheerder en wil uit angst voor represailles van degenen die zijn gegevens in handen kregen niet met zijn achternaam in de krant. „Dan kun je opbellen met de Belastingdienst en zeggen dat je dat niet zelf hebt gedaan. Maar dan zeggen ze daar: nou, meneer, er staat hier toch echt dat u dat met uw DigiD hebt gewijzigd.”

Op de site van DigiD zelf kon Marc zien dat hij zijn elektronische handtekening sinds zijn belastingaangifte in maart niet meer had gebruikt.

Toen Marcs buren kort daarna eenzelfde „rare” brief uit de tas toverden, werd duidelijk dat het om massafraude met gestolen gegevens ging. Het vreemde rekeningnummer in de brieven was hetzelfde. „We zijn rond gaan vragen. Toen bleken het vijftien of zestien stellen hier in de straat te zijn”, zegt Marc.

Hun enige overeenkomst: ze hebben allemaal kinderen. Marc vermoedt dat hun gegevens samen op een lijst staan bij een kinderopvangbureau waar zij zich hebben ingeschreven. En die lijst is vervolgens systematisch afgewerkt. Het geschatte jaarinkomen van de getroffenen werd verlaagd naar 3.000 euro, om de voorschotten voor zorg-, huur- en kinderopvangtoeslagen, zo hoog mogelijk op te drijven. En de rekening waarop het geld gestort moest worden, werd aangepast.

Wie toegang had tot die rekening en van wie de DigiD was: dat is nog niet bekend. Misschien is er een tussenpersoon ingezet, bijvoorbeeld een zwerver, die de voorschotten toch nooit zou kunnen terugbetalen. Die zou een (kleine) vergoeding kunnen hebben gekregen, in ruil voor zijn DigiD- of rekeninggegevens. Fraude met hulp van dit soort tussenpersonen komt ook voor bij banken. Ze worden ook wel katvangers of geldezels genoemd.

Lucratief? Zeker. De maximale kinderopvangtoeslag per maand per kind is ruim 1.300 euro, de huurtoeslag 300 euro, de zorgtoeslag ruim 100 euro. En die fraude zou niet mogelijk zijn geweest als de aanvragen niet ondertekend konden worden met een vreemde DigiD. „Het is te simpel voor woorden”, zegt Marc.

Aanvankelijk had de straat moeite de eigen onschuld te bewijzen. Uit documentatie in bezit van deze krant, blijkt dat medewerkers van de Belastingsdienst de opdracht kregen gealarmeerde bellers niet te vertellen hoe de fraude mogelijk was, noch dat er andere slachtoffers waren.

„Vermijd onderwerpen als fraude en berichten uit kranten en televisieprogramma’s”, schrijft de handleiding voor gevallen met ‘dossiercode 508888’. Die code werd gebruikt voor mensen bij wie de gegevens waren gewijzigd door iemand anders dan de aanvrager zelf.

Pas toen de Belastingdienst hoorde dat het om meerdere mensen in één straat ging gebeurde er wat, zegt Marc. „We kregen toen het advies aangifte te doen bij de politie, maar die wilde de aangifte niet opnemen en verwees ons weer terug naar de Belastingdienst. En die zei toen weer: wij doen één poging om deze persoon het geld vrijwillig te laten terugstorten. Wil hij of zij dat niet, dan krijgt u zijn of haar gegevens en dan kunt u via een civiele procedure het geld terug proberen te krijgen.”

De bewoners van de straat zochten contact met de media. Een hooggeplaatst, anoniem persoon bij het ministerie van Financiën ontfermde zich daarna over de kwestie, aldus Marc. Waarna er excuses kwamen, en terugbetaling van de baan was.

Gelukkig waren Marc en zijn buren mondig genoeg om erachter te komen wat er aan de hand was. Maar er zijn ook veel mensen die dat niet zijn – en van niks weten. Mensen die huur- of zorgtoeslag ontvangen, en het geld dus ook niet gemakkelijk kunnen missen.

Nataly Biliosa, uit een ander deel van Rotterdam, is zo iemand. Zij moet voor het einde van deze maand naar eigen zeggen 557 euro zorgtoeslag en 2.138 euro huurtoeslag terugbetalen: geld dat ze nooit heeft ontvangen.

Bovendien is haar zorgtoeslag stopgezet. „Maar ik moet wel de zorg betalen. Ik ben bang dat hierna beslag wordt gelegd op mijn loon”, vertelt zij telefonisch. Ook zij bezweert dat zij haar DigiD goed geheim heeft gehouden. Tegen haar heeft de Belastingdienst alleen gezegd – zoals de handleiding voorschrijft – dat er onderzoek wordt gedaan.

Hoeveel andere belastingbetalers vorderingen hebben ontvangen voor toeslagen die ze niet zelf hebben aangevraagd, is niet bekend. De hoeveelheid meldingen doet in elk geval flink meer slachtoffers vermoeden dan nu gedacht wordt.

De Belastingdienst geeft hierover geen informatie, in verband met lopende onderzoeken. Het Openbaar Ministerie meldt dat er verschillende rechtszaken lopen en hebben gelopen, en dat die „allemaal een beetje anders zijn”. Om het ten onrechte uitgekeerde geld terug te krijgen, zet de Belastingdienst „alle mogelijke middelen” in.

Ondertekenen met andermans Digid is inmiddels niet meer mogelijk. Het bedrijf Logius, dat DigiD beheert, meldt „betrokken te zijn geweest” bij de deze wijziging. Maar DigiD zelf is het probleem niet, zegt de woordvoerder van Logius, ook al zal er in de toekomst een veiliger systeem komen. „Dit valt onder de Belastingdienst.”

Nationale Ombudsman Alexander Brenninkmeijer, die ook tientallen meldingen van fraude ontving, heeft daar bepaald geen boodschap aan. Zijn telefonische reactie: „DigiD heeft niet gezorgd voor een systeem dat voldoende beschermingsniveau geeft. Daarom heeft de Belastingdienst een noodgreep uitgevoerd en konden mensen met andermans DigiD ondertekenen. De ene overheid veegt hier zijn stoep schoon voor de andere. Ik spreek als ombudsman zowel de Belastingdienst als DigiD aan om dit te veranderen. Het systeem van de overheid moet gewoon kloppen.”