Door een datalek bij het Kadaster waren afgeschermde woonadressen een maand lang zichtbaar. Iedereen die tussen 18 september en 11 oktober gegevens opvroeg, kon geheime woonadressen inzien. Hoeveel mensen er de dupe zijn van het lek is onbekend. Het Kadaster heeft het lek gemeld bij de Autoriteit Persoonsgegevens.
Dat blijkt uit correspondentie van het Kadaster dat de Volkskrant (1) heeft ingezien.
Het Kadaster beheert een openbare databank waarin is vastgelegd wie welk stuk onroerend goed bezit. Tegen betaling kunnen Nederlanders opvragen wie de eigenaar van een huis of bedrijfspand is, maar ook waar deze persoon woont, en wat zijn of haar geboortedatum en huwelijkse status is. Informatie over hypotheken en beslagen staan eveneens vermeld in de database van het Kadaster.
Voor (cyber)criminelen kan deze privacygevoelige informatie zeer interessant zijn, bijvoorbeeld om een specifiek persoon te intimideren, stalken of bedreigen. Of voor doxing (2). Hoogwaardigheidsbekleders zoals politici, ambassadeurs, leden van het Koninklijk Huis of journalisten die worden bedreigd kunnen hun woonadres laten afschermen. Zij maken onderdeel uit van het ‘stelsel bewaken en beveiligen’.
Ook burgers die niet worden bedreigd kunnen hun woonadres laten afschermen. Dat gaat via de Basisregistratie Personen (BRP) van de gemeente waarin zij wonen. De systemen van het Kadaster zijn gekoppeld aan de BRP. Iedere wijziging in de BRP is dus direct bekend bij het Kadaster.
Een update van het systeem van het Kadaster is de oorzaak van het datalek. Deze vond plaats op zondag 18 september. Bijna een maand later ontdekte het Kadaster het lek. De instantie bracht gedupeerden via een brief daarvan op de hoogte. Daarin stond onder meer dat ze het voorval “erg vervelend” vond.
Hoeveel Nederlanders een brief van het Kadaster over het incident hebben ontvangen, is onbekend. De Autoriteit Persoonsgegevens is op de hoogte gebracht van het voorval. Het is nu aan de toezichthouder om te bepalen of ze een onderzoek instelt naar het datalek.
Het is niet de eerste keer dat het Kadaster geconfronteerd wordt met een datalek. In 2016 had de instantie last van een groot aantal beveiligingslekken (3). Dat jaar vonden er maandelijks gemiddeld 11.000 cyberaanvallen plaats. Verder waren er vijf datalekken in die periode. Twee daarvan waren dusdanig groot dat ze gemeld werden bij de Autoriteit Persoonsgegevens.
Om dit soort incidenten in de toekomst te voorkomen en tegelijkertijd te waken over de privacy van Nederlanders, vindt de toezichthouder dat het kabinet de woonadressen en andere gegevens in het Kadaster moet afschermen (4). Volgens de privacywaakhond is het tevens een doeltreffende manier om doxing tegen te gaan.
“De overheid moet ook de hand in eigen boezem steken en aandacht hebben voor de bronnen van gegevens die voor doxing worden gebruikt. De overheid zou wetgeving moeten aanpassen om te voorkomen dat gegevens uit haar eigen registers worden gebruikt voor doxing”, aldus Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, over het afschermen van privéadressen.
https://www.volkskrant.nl/nieuws-achtergrond/datalek-bij-kadaster-geheime-adressen-waren-bijna-een-maand-lang-gewoon-toegankelijk~b0bb6836/
https://www.vpngids.nl/veilig-internet/cybercrime/doxing/
https://www.vpngids.nl/nieuws/kadaster-beveiligingslekken/
https://www.vpngids.nl/nieuws/ap-overheid-moet-ook-data-in-kadaster-en-handelsregister-afschermen/
