De afgelopen maanden zijn ruim 5.100 digitale Nederlandse identiteitsbewijzen uitgelekt op het dark web. Het dark web is een versleuteld deel van het internet dat niet via traditionele browsers zoals Firefox of Google Chrome bereikbaar is. De documenten zijn bemachtigd via ransomeware-aanvallen op Nederlandse bedrijven.
In het Cybersecuritybeeld Nederland 2021 is ransomware benoemd als risico voor de nationale veiligheid. Deze software blokkeert computersystemen of steelt data, zoals persoonsgegevens van klanten of medewerkers van een bedrijf. Vaak eisen de inbrekers grote sommen losgeld die ervoor kunnen zorgen dat de computers worden ontsleuteld of data kan worden beschermd. Dit kan grote gevolgen hebben voor de organisatie, maar ook voor de maatschappij en de economie. Het dreigen met openbaarmaking van zulke gegevens zorgt er vaak voor dat veel bedrijven toch maar betalen. Zij willen dit risico niet nemen.
Onderzoek RTL Nieuws
RTL Nieuws heeft deze aanvallen een jaar lang gemonitord en is tot de conclusie gekomen dat tientallen Nederlandse bedrijven bij de aanval betrokken zijn geweest. Er worden geen exacte aantallen vermeld, maar ruim dertig bedrijven zouden in ieder geval geen losgeld hebben betaald en daardoor slachtoffer zijn geworden van de aanval. In totaal zou het gaan om ongeveer 160 kopieën van identiteitsbewijzen. Vele gedupeerden wisten van niets. Zo was ook een hypotheekverstrekker één van de betrokken bedrijven en zijn er daardoor naast identiteitsbewijzen ook rekeningafschriften en loonstroken van klanten gelekt. Met deze documenten zou door kwaadwillenden identiteitsfraude kunnen worden gepleegd. Hierbij kan gedacht worden aan het aanmaken van een bankrekening, het afsluiten van een lening of het afsluiten van een abonnement.
Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties persoonsgegevens goed beveiligen en deze niet langer bewaren dan noodzakelijk. Een concrete bewaartermijn wordt niet gegeven. Bedrijven kunnen deze afweging dus zelf maken. Wel kunnen er andere wettelijke bewaartermijnen zijn waar men zich aan dient te houden, bijvoorbeeld op grond van de archiefwet. Het uitgangspunt in de AVG is om persoonsgegevens zo kort als mogelijk te bewaren.