Duizenden mensen werden dit jaar slachtoffer 'DigiD-fraude'

Ongeveer 2500 mensen zijn in 2011 slachtoffer geworden van toeslagfraude via willekeurige DigiD's. Daarmee is de zwendel groter dan gedacht. Eerder zei minister Donner van Binnenlandse Zaken dat het hoogstens om 'enkele gevallen' ging.

De fraude was mogelijk, omdat iedereen online na inloggen met DigiD namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten. Inmiddels is deze mogelijkheid tot fraude niet meer mogelijk, schrijft staatssecretaris Weekers van Financiën in antwoord op Kamervragen. De Belastingdienst controleert nu voordat een toeslag wordt uitgekeerd of degene die de toeslag heeft aangevraagd ook degene is die met zijn DigiD heeft ingelogd. Ook wordt een bevestiging per brief gestuurd als iemand zijn rekeningnummer wil wijzigen.

Terwijl Donner eerst nog sprak over enkele slachtoffers en de Belastingdienst zei dat er wellicht honderden slachtoffers waren, blijkt nu dat het gaat om een miljoenenzwendel: alleen al in de eerste negen maanden van dit jaar zijn 2500 mensen slachtoffer geworden van deze online vorm van toeslagfraude. De fraude kwam vaak aan het licht zodra de Belastingdienst erachter kwam dat deze onterecht was uitgekeerd. De Belastingdienst probeerde de onterecht verstrekte toeslagen terug te halen bij degene die hem ogenschijnlijk had aangevraagd. Die hadden de onterecht aangevraagde toeslagen nooit ontvangen.

In totaal is naar schatting ongeveer voor drie miljoen euro aan onterecht verstrekte toeslagen aangevraagd, waarvan de Belastingdienst 2,2 miljoen euro heeft kunnen tegenhouden. In 2010 werden 200 mensen slachtoffer voor een totaalbedrag van een miljoen euro, waarvan zeven ton werd tegengehouden. De fraude met inkomstenbelasting is nog groter: daarbij gaat het volgens schattingen om een schadebedrag van 4,5 miljoen euro en mogelijk ligt dat bedrag hoger. Het is onbekend of daarmee alle fraudegevallen in kaart zijn gebracht: als er is gefraudeerd voor minder dan 10.000 euro, wordt dat niet aangemeld, omdat er geen strafzaak van komt.

De mogelijkheid tot fraude is lange tijd niet op grote schaal uitgebuit. De methode, waarbij je inlogt met eigen DigiD en je voordoet als iemand anders, is al jaren bekend. Sterker nog: in 2007 gaf de Belastingdienst zelfs het advies om de DigiD-gegevens van een ander te gebruiken om op tijd belastingaangifte te kunnen doen. De fraude, waarbij daadwerkelijk DigiD-gegevens zijn ontvreemd, is volgens Weekens nog altijd zeldzaam en de oorzaak ligt meestal in het feit dat mensen vrijwillig hun inlognaam en wachtwoord voor DigiD aan criminelen afstaan. Hoe dat in zijn werk gaat, legt de staatssecretaris niet uit.

IT-banen

Reacties (88)

edoderoo 24 september 2011 12:35

Opheffen van DigiD helpt je niet tegen deze fraude, omdat de persoon die fraudeert niet jouw DigiD misbruikt, maar die van zichzelf.

t_captain @edoderoo • 24 september 2011 13:31

Het probleem heeft meerdere kanten.

Ten eerste is het proces van digitale ondertekening vrij zwak. Geef mensen toch gewoon allemaal een calculator en een chipkaart zoals e bank dat doet, dat is echt een stuk sterker.

Ten tweede heeft de belastingdienst / dienst toeslagen een lange tijd geaccepteerd dat persoon A aangifte, wijziging gegevens of aanvraag toeslag kan doen namens persoon B, zonder dat er een machtiging heeft afgegeven.

Ten derde heb je als particulier maar weinig mogelijkheden om in te zien wat je nu precies hebt lopen. Het zou een vooruitgang zijn als je op je persoonlijk pagina al je aangiften, gegevens en toeslagen kon controleren. Dat is toch weer een extra controle.

Ten vierde zouden meer mogelijkheden tot beheer van je gegevens welkom zijn. Ik zou bijvoorbeeld wel de mogelijkheid willen hebben om het aanvragen van toeslagen in mijn naam te blokkeren (heb toch geen recht op toeslagen dus waarom zou die deur open moeten staan).

Anoniem: 231832 24 september 2011 09:54

Ik heb net een digid aangevraagd, ik heb erg lang gewacht uit vrees voor dit soort dingen maar ik ga hem nu dan toch maar weer laten intrekken.

Ik ben meteen failliet als mij zoiets overkomt.

Ik vul wel weer gewoon een papieren biljet in.

Dit is weer een interessante nieuwe paragraaf in het verhaal ICT en Overheid....

Eerst even inloggen op mijn digid en dan:

https://applicaties.digid.nl/opheffen

"
Opheffen

Uw DigiD gebruikersnaam is opgeheven. U kunt altijd opnieuw een DigiD gebruikersnaam aanvragen.

Terug naar de homepage van DigiD
"

De overheid vraagt ook om een 06 nummer voor de SMS voor het activeren van digid en kan de burger daarmee overal volgen. Ik heb natuurlijk uit privacy overwegingen alleen mijn reserve mobiel nummer opgegeven, geheel uit voorzorg tegen misbruik door derden. Wellicht dat criminelen dit trucje echter ook wel kennen en voor ieder fraude geval een nieuwe SIM en IMEI gebruiken.

Als veiligheidstip zou ik willen geven dat je ieder jaar opnieuw je digid aanvraagt voor de aangifte en na de aangifte de digid weer te verwijderen.

[Reactie gewijzigd door Anoniem: 231832 op 23 juli 2024 09:26]

wildhagen

Criminaliteit
Economie en maatschappij
Nederland
Beveiliging
Overheid

@Anoniem: 231832 • 24 september 2011 09:56

Nogal overdreven reactie... zolang je je DigiD voorziet van een sterk wachtwoord (dus niet enkel je voornaam oid..), en je je gegevens niet afgeeft aan anderen, is er verder weinig aan de hand.

Daarnaast zijn veel vormen van deze fraude al niet eens meer mogelijk, doordat er procedures etc zijn aangepast, zoals het artikel al meld.

ari @wildhagen • 24 september 2011 10:07

Behalve natuurlijk als je slachtoffer bent geworden van deze fraude, want daarvoor hebben ze je gegevens helemaal niet nodig. Dat zal toch wel even wat stress opgeleverd hebben toen die blauwe envelop op de mat viel met de mededeling dat enkele duizenden euro's terugbetaald dienden te worden...

wildhagen

Criminaliteit
Economie en maatschappij
Nederland
Beveiliging
Overheid

@ari • 24 september 2011 10:10

Ja, dat is vervelend, maar dat had met papieren aangifte natuurlijk net zo goed kunnen gebeuren.... of dacht je dat daarmee nooit gefraudeerd werd (nu of in het verleden)?

Daarnaast zijn de procedures dus al veranderd, waardoor deze vormen van fraude niet meer mogelijk is. Om die reden je DigiD op zeggen is dus zeer kort door de bocht imho.

En als jij een aanslag voor enkele duizenden euro's krijgt, bel je even met de belastingdienst, en word er een onderzoek ingesteld. Als daaruit blijkt dat er inderdaad door iemand anders misbruik is gepleegd, is er voor jou verder niets aan de hand. En wederom, dit kan met de papieren versie natuurlijk ook gebeuren, is echt niet DigiD-eigen oid...

Het is gewoon een kwestie van je gegevens (zowel DigiD als je eigen analoge handtekening etc) strikt vertrouwelijk te behandelen, en niet aan anderen te geven. En daarboven gewoon een sterk wachtwoord kiezen, dus niet alleen je naam, zoals denk ik vaak gebeurd.

[Reactie gewijzigd door wildhagen op 23 juli 2024 09:26]

Anoniem: 47200 @wildhagen • 24 september 2011 12:07

En als jij een aanslag voor enkele duizenden euro's krijgt, bel je even met de belastingdienst, en word er een onderzoek ingesteld.

Dat er een onderzoek wordt ingesteld kan wel kloppen maar in veel gevallen mag je wel gewoon even betalen ook al loopt er een onderzoek. Dus als je het geld op dat moment even niet hebt dan heb je dus een serieus probleem.

Als daaruit blijkt dat er inderdaad door iemand anders misbruik is gepleegd, is er voor jou verder niets aan de hand.

Uit de berichtgeving van afgelopen tijd is echter al wel gebleken dat de belastingdienst dit initieel gewoon heeft ontkend. Met andere woorden, eerst werd je nog voorgehouden dat je dit wel degelijk had aangevraagd en toon jij dan maar even aan dat dat niet zo is.

Mijn idee is dat je beeld van de belastingdienst wel erg rooskleurig is, in de afgelopen paar maanden zijn toch een paar zaken naar buiten gekomen die een handelswijze van de belastingdienst tonen op een manier waarop ik in ieder geval niet behandeld wens te worden als er met hun systeem wordt gerommeld. Dit is met name een probleem omdat je niet vrijwillig aangifte doet maar gedwongen wordt (en terecht) alleen dan moet de overheid wel voor een solide systeem zorgen en geen kiekeboe gaan spelen op het moment dat het systeem rammelt!

Banath

@wildhagen • 24 september 2011 10:25

Het is zeer eenvoudig om op basis van een BSN iemands digid password te resetten. Door de constructie maakt het niet uit wie de reset aanvraagd.

wildhagen

Criminaliteit
Economie en maatschappij
Nederland
Beveiliging
Overheid

@Banath • 24 september 2011 10:29

Je moet dan nog altijd de juiste combinatie van BSN en DigiD-gebruikersnaam weten, dus zó enorm makkelijk als jij het doet voorkomen is dat nu ook weer niet, als mensen tenminste slim zijn geweest met het kiezen van hun gegevens.

Beide gegevens ga je namelijk, als het goed is, niet zomaar rondstrooien, maar vertrouwelijk behandelen

En je kiest uiteraard geen gebruikersnaam die direct naar jou te herleiden is.

squaddie @wildhagen • 24 september 2011 11:29

Je bent verplicht door de overheid je BSN bij tientallen instanties te rondstrooien. Naast de overheid heb je werkgever, bank, pensioenfonds, zorg om een paar te noemen die verplicht ook beschikking hebben over je BSN. Ooit ergens een kopie van een ID moeten inleveren? Heb je wel de BSN onleesbaar gemaakt? Zo niet dat hebben ook al deze partijen jouw BSN.

Hoeveel mensen kiezen daadwerkelijk een unieke gebruikersnaam (en wachtwoord) voor digid? Op basis van mijn (werk)ervaring heb ik hier niet zo hele hoge pet van op.

Roland684 @squaddie • 24 september 2011 15:44

Vroeger kon je je sofi-nummer onleesbaar maken, alleen je werkgever en de belastingdienst hadden dat nummer nodig. Helaas is dat nu je BSN geworden die wel door alles en iedereen vereist is.

Maar ze hoeven je alleen te indentificeren, ze hoeven helemaal geen kopie te hebben en mogen ook geen kopie verplichten. De enige die je kunnen verplichten een kopie te laten maken van je id-bewijs, zijn de politie en sommige ambtenaren van de gemeente. Banken, notarissen, werkgevers, de kamer van koophandel, KPN, etc. zijn niet verplicht een kopie in hun administratie op te nemen. Als ze wel zeggen dat het verplicht is, dan is dat een leugen of een verplichting die ze zichzelf opleggen, de overheid verplicht dat niet.

Eigenlijk hoeven ze alleen maar te verklaren dat ze jou gezien hebben, maar omdat dat wel heel fraudegevoelig is en blijkbaar lastig is om in het administratieve proces mee te nemen, zullen ze je BSN noteren. Je BSN in een document betekent eigenlijk "ja, we hebben deze persoon geïdentificeerd".

Veel bedrijven vragen je een kopie omdat een nummer overschrijven schijnbaar erg lastig is. (Dat zegt eigenlijk wel iets heel triests over de zorgvuldigheid). Gewoon uit gemakzucht dus.

Helaas zijn er belachelijk veel bedrijven die een loopje nemen met de regelsen veiligheid en een kopie per post gebruiken als bewijs dat jij jij bent zonder der persoon op de foto ooit gezien te hebben. Uit gemak, maar zeer fraudegevoelig.
Zo kun je bij de SNS geen internetspaarrekening openen door je bij een filiaal te identificeren, je moet een kopie per post sturen, bij het filiaal ben je niet eens welkom. van werkelijke identificatie is geen sprake.

Je doet er verstandig aan geen kopie te laten maken van je id-bewijs. Nooit. (behalve bij de politie en op het gemeentehuis). En al helemaal niet in zee te gaan met bedrijven die je vragen een kopie op te sturen.
Je hoeft je paspoort ook nooit af te geven, ook al stikt het van de bedrijven die het maar al te graag gebruiken als borg voor het een of ander. Juist bedrijven die het niet zo nauw nemen met de regels, zijn niet te vertrouwen.

Anoniem: 112442 @Roland684 • 25 september 2011 00:34

Vroeger kon je je sofi-nummer onleesbaar maken, alleen je werkgever en de belastingdienst hadden dat nummer nodig. Helaas is dat nu je BSN geworden die wel door alles en iedereen vereist is.

Als en iedereen vraagt erom. Dit blijkt vaak onrechtmatig te zijn.

Zie dit Radar artikel en uitzending.

Het burgerservicenummer is de vervanger van het sofinummer. Anders dan het sofinummer mag BSN door elke overheidsinstantie gebruikt worden. Met dit nummer wordt ook alle overheidsinformatie aan elkaar gekoppeld. Van belastingaangifte tot strafblad. Particuliere organisaties mogen om deze reden geen gebruik maken van het burgerservicenummer. Een uitzondering is gemaakt voor de zorg. Daar moest de wet speciaal voor aangepast worden.

Xubby @Anoniem: 112442 • 25 september 2011 12:38

En voor wie het wil lezen op een overheidswebsite: bsn faq.

[Reactie gewijzigd door Xubby op 23 juli 2024 09:26]

brama @squaddie • 24 september 2011 15:45

Bij het stadhuis in Eindhoven moet je je BSN zelfs inkloppen op een levensgroot touchscreen in de inkomsthal die ook nog eens volledig doorzichtig is. Over goed afgeschermd gesproken..

Anoniem: 345630 @squaddie • 24 september 2011 11:45

waarom zou je je bsn nummer onleesbaar moeten maken.. als je werkgever een kopie van je id opvraagt doe je dat toch ook niet? lekker boeiend of ze me BSN nummer hebben, ik heb niks te verbergen en ben niet op de vlucht oid

supersnathan94

@Anoniem: 345630 • 24 september 2011 14:47

slimmerd met je BSN kan je dus inloggen op digID en als dat niet zo goed beveiligd is...

Roland684 @Anoniem: 345630 • 24 september 2011 15:16

Omdat het informatie is waar misbruik van gemaakt kan worden, daar moet je zorgvuldig mee omgaan en dus niet rondstrooien, gewoon om jezelf te behoeden tegen misbruik.
Je hebt geen idee of de organisaties waar je je gegevens aan verstrekt er zorgvuldig mee omgaan.
Houden ze zich aan de regels, weten ze uberhaupt van de regels? ook de vakantiekrachten? Is er controle? En waarom zouden ze, ze vragen toch alleen maar een kopie van je paspoort uit gemak bij het aanvragen van een onschuldige klantenkaart? Maar ze beseffen niet dat ze een document hebben waarmee je heel veel gevaarlijkere dingen kunt doen. Dat document hoort in een kluis, niet op een stapeltje bij de receptie.

Ik ken een notariskantoor (Aktienotarissen) die eist dat je je stukken per post te stuurt (afgeven aan de receptie weigeren ze keihard) waardoor iedereen met een kopietje van jouw paspoort bijvoorbeeld een huis kan kopen op jouw naam. "Identificatie? ja, we hebben een kopie van het paspoort"

En hoe betrouwbaar is het postbedrijf? Absoluut niet, Ik krijg wekelijks fout bezorgde post en dat is nog terwijl ze hun best doen.

En zelfs dan kan het nog bij de beste fout gaan, zie de belastingdient. Hoe gaan bedrijven bijvoorbeeld om met hun oud papier? Hoe veilig zijn hun systemen? (Sony, Diginotar) Aan wie geven ze jouw gegevens door en hoe gaan die om met jouw gegevens? Je hebt er geheel geen zicht op.

Maar goed, bent niet op de vlucht zeg je, dus geef ons maar even je inlogegegevens van je bankrekening, je hebt toch niets te verbergen? Voor het doen van betalingen heb je een sms/calculator nodig, dus het is volkomen veilig, we kunnen er toch niets mee, Dus geef maar even.

[Reactie gewijzigd door Roland684 op 23 juli 2024 09:26]

.oisyn Moderator Devschuur®

Beveiliging

@Banath • 24 september 2011 12:17

Het is zeer eenvoudig om op basis van een BSN iemands digid password te resetten.

Als je je wachtwoord reset krijg je per post een brief thuis waar je nieuwe activatiecode in staat. De fraudeur moet die post dus ook onderscheppen.

Anoniem: 370668 @.oisyn • 25 september 2011 14:02

Als je je wachtwoord reset krijg je per post een brief thuis waar je nieuwe activatiecode in staat. De fraudeur moet die post dus ook onderscheppen.

Laat dat nu net ook gebeuren, met de jaaropgave van een werkgever, post word onderschept, daarna word een digi-id aangevraagd en word 2 dagen later opgestuurd.
Deze post word weer onderschept.
Dit is geen fictie maar waargebeurd verhaal van een van mijn kennissen.
BIj het grootste postbedrijf in NL zijn alle vaste en daarmee betrouwbare werknemers ontslagen en ingeruild voor uitzendkrachten die niet van nl afkomst hoeven te zijn en waar jan en alleman en oostblokmaffia bij kan komen werken.
Enne.. dit gebeurt ook met nl-belastingbetalers die nooit van digi-id voorheen hadden gehoord of wisten wat dit was.

Anoniem: 44174 @Banath • 24 september 2011 12:45

Het is juist verschrikkelijk veel werk om de boel te resetten, het kost me lek jaar te veel tijd naar mijn zin om weer een nieuw wachtwoord aan te vragen.

Alleen als ze het gemakkelijker maken ligt fraude weer om de hoek, uitgevoerd door zielige mensen die niet van andermans centen af kunnen blijven, zeg maar tuig van de richel.

Het hele digid is een goed id, de uitvoering is 100% waardeloos, kost allemaal te veel tijd elk jaar weer.

Anoniem: 422394 @wildhagen • 24 september 2011 10:00

Ze "zeggen" dat het aangepast is.
Maar of dat ook zo is...

Accesteam @Anoniem: 422394 • 24 september 2011 10:05

Ja, dat is zo.

Ik heb laatst mijn zorgtoeslag aangevraagd. Ze hebben naast de online aanvraag nog apart een brief naar mijn huisadres gestuurd om mijn rekeningnummer te bevestigen.

Roland684 @Accesteam • 24 september 2011 14:51

En wat is de procedure om je huisadres te wijzigen? Want anders verander ik even je adres naar een of ander kraakpand, vraag een toeslag aan, en verander zodra de brief binnen is, het adres weer terug.

Wat is er mis met geen geld storten op een rekening die niet op naam van de aanvrager staat?? We hebben ons immers allemaal bij de bank moeten identificeren, dus dat is bekend.
Nee, laten we allerlei procedures bedenken met sms-jes , etc. die feitelijk niets toevoegen aan veiligheid. Wie heeft er bedacht dat je andermans aanvraag zou moeten kunnen doen via jouw eigen digid? Als jij gemachtigd bent voor die persoon, kun je toch ook zijn/haar digid wel gebruiken?

PepijnK @Roland684 • 24 september 2011 18:03

@Roland684, we moesten ons misschien wel allemaal identificeren bij de bank, maar dat heb ik altijd geweigerd omdat de ING het weigerde mij een betere reden te geven dan "het moet", ook wilden ze niets uitleggen over hoe mijn gegevens werden opgeslagen en wie daar op welke voorwaarden toegang toe zou hebben.

Ik heb dus nooit een ID bewijs getoond aan de bank, maar dat lijkt voor de ING helemaal niets uit te maken. Ik betaal elk jaar (met tegenzin) de kosten voor het hebben van een rekening en daar mee is voor de bank de kous af.
En ik zal echt de enige niet zijn die om de een of andere reden geen ID heeft afgegeven aan de bank.

De belastingdienst zou trouwens best een voorbeeld kunnen nemen aan het Zorg Kantoor. Die eisen dat de rekening waarop een PGB of andere voorziening wordt gestort op de naam van de geïndiceerde staat, of op zijn minst op naam van een wettelijk gemachtigde.
Er is geen enkele reden waarom de belastingdienst dat niet zou kunnen eisen.

macnerd @PepijnK • 25 september 2011 00:24

Die verplichte identificatie door de grote banken is dan ook onder valse voorwendselen uitgevoerd. Er werden bovendien meer gegevens vastgelegd dan nodig was, en waarschijnlijk ging het daar juist om. Zie ook hier: http://www.id-nee.nl/doss...ficatie-actie-banken.html

freaky @PepijnK • 25 september 2011 11:20

Nou ja, dat je je moet identificeren lijkt me nogal wiedes. Op veel rekeningen kun je rood staan, beetje lastig om je geld terug te krijgen als je niet weet wie er bij de rekening hoort.

Caelestis @Roland684 • 25 september 2011 15:01

Je huis adres wordt gewijzigd zodra je bij de gemeente je adres hebt gewijzigd. Het procedure is dus fysiek identificeren bij het gemeentehuis en dus niet via een of ander brief of online registratie.

Anoniem: 174590 @Caelestis • 26 september 2011 17:46

Bij een aantal gemeenten kun je dat ook middels DigiD doen, bij andere gemeenten kan dat schriftelijk (veelal middels een standaardfomulier dat je kunt downloaden op de website van de gemeente). Dan moet je er meestal welliswaar een kopie van je legitimatiebewijs aan toevoegen, maar een kopie van zo'n ID is eenvoudig te vervalsen.
Dit verschilt overigens sterk per gemeente, maar dan verhuis je toch van en naar een gemeente die hiermee soepel omspringt? Het gaat overigens wel snel opvallen wanneer er heel veel mensen naar een bepaald adres verhuizen, waarna ze na enkele weken weer terug verhuizen naar hun oude adres.

@Roland:
Nog steeds heeft niet iedereen een eigen rekening. Dit kan vele oorzaken hebben, maar dan zul je het geld dus toch op een rekening van een ander moeten storten. Bovendien wil/mag niet iedereen het geld op de eigen rekening hebben, waardoor er weer van moet worden afgeweken. Op veel formulieren kun je dan ook een andere rekeninghouder opgeven waarbij de aanvrager nog steeds de ontvanger is.

B2 @Anoniem: 422394 • 24 september 2011 13:37

Neem van mij aan, er is een aanpassing in de software voor gedaan. Deze is eind augustus in productie genomen.

[Reactie gewijzigd door B2 op 23 juli 2024 09:26]

Roland684 @B2 • 24 september 2011 14:58

Alsof dat enige geruststelling is. Welke wijzigingen gaat het om, welke procedures zijn er nog wel? Welke externe instelling is aangesteld om te zorgen dat de veiligheid gewaarbord is (blijkbaar was die er nog niet, of geen goede).

En dan gaat het hier nog om misbruik van een incorrecte procedure die (zover bekend) correct geïmplementeerd was, hoe zit het met fouten in de software?
Doe ons de broncode even, zodat wij ons zelf kunnen overtuigen. En hoe weten wij dat de broncode ook nu in gebruik is? Oftewel, alle argumenten die ook bij stemcomputers gelden.

http://cache.gawkerassets...3/for_traffic_cameras.jpg

bogy @Roland684 • 24 september 2011 17:10

als zo'n nummerplaat zou werken ... dat zou vet zijn...

ik zou er ineens eens een commando bij plaatsen à la

Shutdown /s /t 0

zodat de volgende er geen last meer van heeft

Maar effe ontopic; hebben jullie paspoorten dan niet zoals bij ons (belgie) een chip erop? Want wij gebruiken hier voor al onze overheidszaken (en meer) ook onze ID-kaart maar hebben hiervoor wel een kaartlezen nodig en moeten dan nog eens bevestigen met onze pincode... zonder onze fysieke kaart is er dus al géén misbruik mogelijk...

Het lijkt me dat op dat gebied NL een beetje mag komen spieken in belgie?

[Reactie gewijzigd door bogy op 23 juli 2024 09:26]

analog_ @bogy • 24 september 2011 22:13

Die zitten in paspoorten bij ons.

Anoniem: 174590 @bogy • 26 september 2011 17:50

Die zitten inderdaad in de nieuwere paspoorten en Europese identiteitskaarten, maar hoe lang dat in de EU-kaarten blijft zitten weet ik niet ivm de protesten die zijn ontstaan als gevolg van de opslag van de vingerafdrukken. Daarbij heb ik nog geen chip in mijn kaart zitten omdat die van mij te oud is.

BeosBeing @bogy • 29 september 2011 14:11

Wij hebben een chip. een RFID-chip maar we hebben geen paslezer en volgens de overheid hebben we die ook niet nodig. De enige die nut hebben van een paslezer zijn de overheid en criminelen.

Rockvee2 @Anoniem: 422394 • 24 september 2011 12:48

Tweakers zegt ook dat de wachtwoordprocedure in een beveiliger vorm is opgeslagen maar of dat nou ook zo is ? Het kan ook zijn dat tweakers een keer gehackt is maar dat ze helemaal niks ervan hebben gezegd.

Zo kan ik er nog wel meer bedenken

xiphoid @wildhagen • 24 september 2011 11:13

Helemaal niet overdreven. Mensen moesten eens weten..

Blackbird-ce @Anoniem: 231832 • 24 september 2011 10:00

Misschien dat ik een stukje gemist heb, maar verhaalt de Belastingdienst de fraude dan op de onschuldige burger? Zo niet, zie ik eigenlijk niet echt een reden om te zeggen "dan ben ik failliet", tenzij jij een van die fraudeurs bent natuurlijk ;-)

wildhagen

Criminaliteit
Economie en maatschappij
Nederland
Beveiliging
Overheid

@Blackbird-ce • 24 september 2011 10:03

"Ik ben meteen failliet" slaat idd nergens op nee. Uit onderzoek komt dan namelijk heus wel naar voren of de mensen ter goeder trouw zijn, en dan is verder niks aan de hand natuurlijk.

Echt, er doen nogal wat spookverhalen de ronde, maar mensen hebben eigenlijk vaak niet eens in de gaten hoe en wat.

Het is ook nogal dom om je DigiD-gegevens aan anderen te geven. Het is de digitale equivalent van je handtekening. Het is niet voor niets dat je die dingen vertrouwelijk moet behandelen....

Anoniem: 231832 @wildhagen • 24 september 2011 10:33

Ik heb toch wel een aantal erg vervelende ervaringen gehoord over dit soort dingen.

Overheidsinstanties beoordelen je niet op karakter maar op ijskoude criteria.
Je bent gewoon een formulier. Onderaan een hele dikke stapel formulieren.

In die bureaucratische mallemolen wil je niet verzeild raken. Ze hoeven geen klanten tevreden te houden.

[Reactie gewijzigd door Anoniem: 231832 op 23 juli 2024 09:26]

Edgarz @Anoniem: 231832 • 24 september 2011 11:42

We zijn met 16 miljoen mensen in dit land en jij wilt dat de overheid iedereen op karakter (dus individueel) gaat beoordelen? Grapjas.

Anoniem: 231832 @Edgarz • 24 september 2011 12:13

Nee, liever niet zelfs... hahaha.

Ik begrijp ook best dat ze je niet op karakter beoordelen, dat zou ook weer niet rechtvaardig zijn. Dat wordt meteen een fiasco.

Maar reken daarom niet op veel begrip of medewerking. Er zijn nog 15.999.999 wachtenden voor u.

ari @Blackbird-ce • 24 september 2011 10:08

Ze verhalen het op de onschuldige burger, omdat die in eerste instantie de aanvrager (dus dader) lijkt. Pas nu hebben ze de procedure aangepast om te checken of dat daadwerkelijk zo is voordat geld teruggevorderd wordt.

redwing @ari • 24 september 2011 12:18

Ze vorderen eerst geld terug, daarop maak je bezwaar en dan gaan ze controleren of het klopt wat jij zegt. Zo ja komt je geld terug, zo nee krijg je het natuurlijk niet terug. Aangezien het hier om buracratische dingen gaat kan het wat moeite kosten om alles weer recht te zetten maar je hoeft het echt niet terug te betalen.

Anoniem: 231832 @Blackbird-ce • 24 september 2011 10:02

In dit soort gevallen is het maar afwachten af het allemaal helemaal rechtgezet wordt en hoe lang het duurt. Je kunt er weer een heleboel gedonder mee krijgen lijkt me.

wizzkizz @Anoniem: 231832 • 24 september 2011 10:31

Helaas, je voorzorg is voor niets E_E_F. Deze fraude was niet mogelijk doordat het DigiD van een gebruiker gehackt was, maar omdat de procedures van de belastingdienst niet klopten. Dus ook zonder dat jij een DigiD had, konden anderen inloggen met hun DigiD en op jouw naam zaken aanvragen. Het maakte kortgezegd niet uit of jij wel of niet een DigiD had.

Dat is natuurlijk een niet te geloven omissie in het systeem van de belastingdienst. Uit naam van anderen iets aanvragen zou alleen maar moeten kunnen als je expliciet gemachtigd bent. En dat is nu dus ook het geval, inclusief een brief op het huisadres waarin een bevestiging wordt gegeven van de zaken die aangepast zijn (rekeningnummer, hoogte toeslag enz.).

Anoniem: 231832 @wizzkizz • 24 september 2011 10:45

Maar als je gemakkelijk kunt aantonen dat je helemaal geen digid hebt sta je juridisch toch iets sterker lijkt me. Dan is het meteen duidelijk dat het gaat om een authenticatiefout. Laat de overheid dan nog maar eens aantonen dat jij het digitaal aangevraagd hebt. Die ballon gaat niet op.

[Reactie gewijzigd door Anoniem: 231832 op 23 juli 2024 09:26]

DutchKel @Anoniem: 231832 • 24 september 2011 10:58

Nee want iemand anders had in jou naam iets aangevraagd. Als je wel een digid hebt sta je dan juist sterker, want waarom zou je iemand anders iets laten aanvragen als je het zelf kunt. Als je geen digid hebt dan kun je dat zelf niet aanvragen en dan kon je vroeger iemand anders vragen om het te laten invullen onder jou naam.

Je komt over als iemand die de hele dag een alu hoedje op heeft, de overheid die je traceerd adv je 06 nummer die je invult op digid??? Get real... Als ze je telefoon willen aftappen dan doen ze dat helemaal niet via digid maar rechtstreeks via de provider.

Anoniem: 231832 @DutchKel • 24 september 2011 11:38

Vindt jij mijn hoed niet mooi?

Waarom moet digid je telefoon nummer weten als ze je toch een brief met codes gaan sturen? Daar kun je niet omheen en dat vind ik vreemd. Bij schriftelijk aanvragen gaat dat misschien wel maar dan verdwijnt ook het nut van een digid voor een deel. Ik vind het een inbreuk op de privacy. Klaar.

[Reactie gewijzigd door Anoniem: 231832 op 23 juli 2024 09:26]

.oisyn Moderator Devschuur®

Beveiliging

@Anoniem: 231832 • 24 september 2011 12:20

Waarom moet digid je telefoon nummer weten als ze je toch een brief met codes gaan sturen?

Voor extra beveiliging middels SMS (vergelijkbaar met de tancodes bij de ING). Voor sommige diensten heb je alleen je wachtwoord nodig, voor andere is er ook authenticatie middels de SMS dienst nodig.

Anoniem: 231832 @.oisyn • 24 september 2011 12:55

Ja maar de manier waarop dat bij digid geregeld is lijkt mij niet veilig omdat je je gsm nr. al moet opgeven voordat je een wachtwoord thuis hebt gekregen om in te loggen, dus je kunt een willekeurig gsm gebruiken. Daar is dus geen enkele controle op.

DutchKel @Anoniem: 231832 • 24 september 2011 13:43

Misschien moet je je eens verdiepen hoe digid werkt. Je vraagt digid aan, vult een wachtwoord in en telefoonnummer en nog wat andere gegevens zodat ze weten wie je bent. Je kunt echter nog niet inloggen omdat je account niet geactiveerd is, hiervoor krijg je een brief met een activatiecode thuisgestuurd. Deze activatiecode heb je maar 1 keer nodig (of bij het wijzigen van je telefoonnummer). De brief thuis krijgen duurt ongeveer 2-4 weken. Hierna kan elke site die digid gebruikt de verificatiemethode kiezen, minst veilig: wachtwoord, beter beveiligd: gsm controle, en als je de beste veiligheid wilt dan kies je voor beide (dit laatste doet ib-groep volgens mij). Ik denk dus dat momenteel jou papieren aangifte minder veilig is dan via de site, je aangifte wordt uit de brievenbus gevist en het rekeningnummer wordt aangepast. Jij weet van niets en bent heel mooi een slachtoffer welke in een jarenlange molen komt. Via digitaal zijn er meer dingen te traceren waardoor ik dat veiliger acht. Ze kunnen bijvoorbeeld zien van welk ip het is gedaan, ze kunnen direct zien dat je rekeningnummer dit jaar is aangepast en dat kan zo snel worden gecontroleerd. Ik weet niet of ze kunnen zien of het via een andere digid is ingevuld, maar het lijkt me eigenlijk van wel.

Omdat dit zo lang duurt en sommige mensen alles op het laatste moment willen regelen heeft de belastingdienst het mogelijk gemaakt dat iemand anders voor jou de aangifte kan invullen, die geeft dan jou gegevens door (incl bankrekeningnummer). Bij dit laatste werd dus de fraude gepleegd, iemand heeft de gegevens van iemand anders op een bepaalde manier gekregen (kopie paspoort/rijbewijs???) en de belastingdienst denkt dus dat iemand anders de gegevens voor jou heeft ingevuld, immers alle gegevens zijn correct. Ik denk niet dat iemand hier zo makkelijk de dupe van is aangezien de dader wel behoorlijk wat gegevens van je nodig heeft, ik geloof je BSN, naam en adresgegevens. misschien ook nog de geboortedatum e.d.

Dit laatste hebben ze nu dus niet meer mogelijk gemaakt, nu vraag ik me wel af wat ze doen met aangiftes die door het aanvragen van de digid te laat zijn gedaan.

Anoniem: 174590 @Anoniem: 231832 • 26 september 2011 18:20

Je GSM-nummer hoef je bij de aanvraag niet op te geven. Er bestaat de mogelijkheid om DigiD aan te vragen zonder sms. Vervolgens kun je daarbij sms-authenticatie aanvragen op het moment dat je dat nodig gaat hebben. Dit duurt alleen langer, waardoor een aantal mensen hier niet voor zal kiezen. Overigens ben ik nog geen situatie tegen gekomen waarin sms-authenticatie verplicht was.
De mensen van DigiD raden welliswaar aan om aan te vragen met sms-authenticatie, maar je bent het niet verplicht.

off-topic
Verder is ook lang niet iedereen verplicht om aangifte te doen. Je bent enkel verplicht om aangifte te doen wanneer je een eigen bedrijf hebt of wanneer de belastingdienst je een aangifteformulier toestuurt.
Wanneer je (nog) niet verplicht bent aangifte te doen, kun je ook je aangiften opsparen en een keer in de drie jaar je aangiften tegelijk doen en dan heb je de rompslomp van het aanvragen van de DigiD ook veel minder vaak.

sorted.bits @Anoniem: 231832 • 24 september 2011 11:59

Denk je dat ze bij de belastingdienst je telefoonnummer niet hebben? Denk dat dat niet zo'n probleem is.

Verder wordt het allemaal wel erg overdreven. DigiD is niet zo heel veel onveiligs aan. Het systeem is niet gehacked oid, maar de procedures waren niet strict genoeg, dat is nu aangepast.

De 'gedupeerden' hoeven dat geld echt niet terug te betalen. Er komt gewoon een onderzoek, waarbij de politie redelijk makkelijk kan achterhalen wie er gefraudeerd heeft. Het geld is namelijk ergens anders gestort.

DarkForce

Nederland

@Anoniem: 231832 • 24 september 2011 11:32

Dat is het zelfde als met de ING bank fraude die lange tijd gaande was, hieraan had Kassa nog een mooie uitzending gewijd. De fraudeur(s) onderschepte gewoon de post, vroegen allemaal logins aan tot zelfs de papieren TAN-code lijst toe.

En vervolgens kon de fraude beginnen. Uiteindelijk zit je in een juridische getouwtrek die soms wel maanden tot jaren kon duren.

Dat aantonen is dus moeilijker dan je denkt!

alt-92 @DarkForce • 24 september 2011 14:46

Dat aantonen is dus moeilijker dan je denkt!

Computer says noooo..

/flauw maar wel waar.
Het staat in het systeem, dus dan klopt dat.

[Reactie gewijzigd door alt-92 op 23 juli 2024 09:26]

breinonline @Anoniem: 231832 • 24 september 2011 10:01

En failliet ben je ook niet meteen, het is te controleren dat jij de bedragen niet gekregen hebt. Dan hoef je ze dus ook niet terug te betalen.

Katsunami @Anoniem: 231832 • 24 september 2011 16:03

Ik heb net een digid aangevraagd, ik heb erg lang gewacht uit vrees voor dit soort dingen maar ik ga hem nu dan toch maar weer laten intrekken.

Voor sommige dingen heb je hem per se nodig... voor Studielink, volgens mij. Aangezien ik nog steeds opleidingen / curssusen volg, moet ik me nogal eens bij deze of gene school inschrijven, en Studielink vereist DigID tegenwoordig.

Het is absurd dat je je kunt voordoen als iemand anders. Het is toch een Digitaal ID? Ik kan mijn eigen paspoort toch ook niet gebruiken om me voor te doen als mijn buurman (hoop ik)...

arjanv @Anoniem: 231832 • 24 september 2011 11:10

wat doe je uberhaupt op internet met zulke gedachtes?

Edgarz @Anoniem: 231832 • 24 september 2011 11:38

Beetje paranoide, al zeg ik het zelf. Of stop je ook met post als je brievenbus gehengeld wordt? Of met geld als je portemonnee wordt gestolen? Of met relaties als het een keertje misgaat in de liefde?

Anoniem: 114278 @Anoniem: 231832 • 24 september 2011 19:43

Wat verwacht je ook dat een minister weet van ICT?

Ministers moeten zich met ander dingen bezighouden en voor dit soort zaken specialisten inhuren en die hun bevindingen laten geven.

Donner is een aardige man maar kan zich beter net als de schoenmaker zich bij zijn leest houden.

Vandaar dat ik zijn uitspraken in zaken als deze als van nul en generlei waarde beschouw.

[Reactie gewijzigd door Anoniem: 114278 op 23 juli 2024 09:26]

SkyStreaker 24 september 2011 10:40

En hoe kom ik te weten of ik slachtoffer ben geweest? Dit wil ik wel even HEEL GRAAG weten.

wildhagen

Criminaliteit
Economie en maatschappij
Nederland
Beveiliging
Overheid

@SkyStreaker • 24 september 2011 10:41

Zolang jij geen brieven van de belastingdienst, of een andere uitkeringsinstantie, hebt gehad met het verzoek om ten onrechte ontvangen bedragen terug te storten (die jij nooit gezien hebt), ben je dus geen slachtoffer geweest

[Reactie gewijzigd door wildhagen op 23 juli 2024 09:26]

ari3 @wildhagen • 24 september 2011 11:18

Of je brieven ontvangt zegt dus niets. Helaas staat de overheid toe dat mensen een postadres hebben dat afwijkt van hun GBA-registratie. Hierdoor is het mogelik dat een frauddeur alle post aangaande toeslagen naar een ander adres laat sturen waardoor je lang helemaal niets in de gaten hebt.

AOC 24 september 2011 10:00

Maar ik ben dan ook met name benieuwd hoe de database met persoonlijke gegevens is beveiligd. Tegenwoordig moet iedereen zijn vingerafdruk laten zetten. Is dat ook zo makkelijk bereikbaar als digid?

t_captain @AOC • 24 september 2011 10:16

De overheid houdt heel veel databases bij met gegevens van burgers. Denk naast de belastingdienst / dienst toeslagen ook aan de uitgifte van identiteitsbewijzen, aan de zorg (AWBZ), aan registraties bij politie en justitie of aan de kenteken-scans die in steeds grotere hoeveelheden worden gemaakt.

De systemen voor aangifte van inkomstenbelasting en aanvraag/mutatie van toeslagen zijn/waren ronduit lek. Nu kan dat een geisoleerd incident zijn. Maar er is ook een spreekwoord dat "voor iedere rat die je ziet, er 50 zijn die je niet ziet". Ik weet niet wat de volgende exploit zal zijn, maar vrees dat er waarschijnlijk wel meer zullen volgen.

Anoniem: 130503 24 september 2011 10:02

Het is alsof ze lidmaatschappen voor een bank uitdeelden (DigiD), die bij de ingang gecontroleerd werden (inloggen met DigiD), maar als je eenmaal binnen was kon je rekeningen openen en geld laten storten op eenieders naam (toeslagen aanvragen).

Begrijp ik het nou verkeerd, of kan ik het gewoon niet geloven?

t_captain @Anoniem: 130503 • 24 september 2011 10:09

Helaas begrijp je het niet verkeerd. De mogelijkheid om voor een ander aangifte te doen leek waarschijnlijk handig met het oog op de belastingaangiften van bejaarden die door mantelzorgers worden ingediend. Wel zo makkelijk voor de mantelzorger en voor de belastingdienst, alles digitaal.

Helaas heeft men geen enkel besef gehad van de mogelijke gevolgen en geen enkel inzicht in de praktijk van informatiebeveiliging.

Auteur

arnoudwokke Redacteur Tweakers @Anoniem: 130503 • 24 september 2011 10:08

Je kunt het niet geloven, want je begrijpt het prima

BeerenburgCola 24 september 2011 10:05

... en de oorzaak ligt meestal in het feit dat mensen vrijwillig hun inlognaam en wachtwoord voor DigiD aan criminelen afstaan. Hoe dat in zijn werk gaat, legt de staatssecretaris niet uit.

Vrij simpel. Er zijn veel obscure "belasting adviseurs" die beloven dat je enkele honderden zo niet duizenden euro's terug kunt krijgen als zij je belasting aangifte voor je mogen invullen.

Meestal lukt het hun wel om via nep aftrek posten extra geld terug te krijgen.
Wat de onschuldige klanten meestal niet weten is dat ze gewoon de boel oplichten.
Wel eist de "adviseur" 20% provisie en loopt weg met zijn buit en bij ondekking van de fraude zit de klant met de gebakken peren, want uit hun naam is aangifte gedaan.

Zo krijgen ze ook de DigID gegevens.

Marzman 24 september 2011 10:17

Ook op papier is dit schijnbaar mogelijk. Ik ken iemand die al drie keer zijn uitkering (arbeidsongeschikt) is kwijtgeraakt omdat iemand anders een wijziging invoerde (adres en banknummer, de bevestiging gaat steeds naar het nieuwe adres).

BeerenburgCola @Marzman • 24 september 2011 12:37

Toch belachelijk dat er zo gehamerd word op de beveiliging van online services terwijl papieren fraude nog steeds zo gemakkelijk is als het gebruiken van iemand anders zijn naam en het zetten van een nep handtekening.

Katsunami 24 september 2011 16:02

Wat ik me afvraag.... Zijn er dan zoveel criminelen in dit land, die denken dat ze hiermee weg kunnen komen? Als hierheen onderzoek gedaan wordt, dan zal er toch altijd uitkomen wie toeslagen heeft aangevraagd voor iemand anders, voor op zijn eigen rekening?

t_captain @Katsunami • 24 september 2011 19:50

De truc zal in het algemeen gebruik maken van een gestolen Digi-D en het bankrekeningnummer van een katvanger.
Als je dit met je eigen DigiD en/of bankrekening doet is de pakkans inderdaad vrij groot

Thabone 24 september 2011 17:34

Er lijkt geen einde aan te komen. Wereldwijd worden alle systyem net zo makkelijk gehackt als dat ze gemaakt zijn.
Neem nu bijvoorbeeld Skimmen, waarbij ze een kopie maken van je pas en je pincode door bijv een camera kunnen achterhalen. En belangrijker nog. Ze doen het lijken alsof alles nu veiliger is met het nieuwe pinnen maar dit gaat natuurlijk gewoon door. Banken nemen het voor lief dat er miljoenen down the drain gaan.
meldpuntskimmen.nl is zo'n site dit de skimlocaties in kaart brengt.
Ze zouden ook website in kaart kunnen brengen natuurlijk. Ik zal ze een mail sturen

t_captain @Thabone • 24 september 2011 19:49

Je opmerking over skimmen en "het nieuwe pinnen" is imho onjuist.

Bij "het nieuwe pinnen" gebruik je niet meer de magneetstrip maar de chip van je bankpas. Een magneetstrip is zuiver een gegevensdrager, net zoals een ponskaart of een CD-ROM. Deze kan gewoon uitgelezen en gekopieerd worden.

Een chip is echter veel meer dan een stukje flash-geheugen. Het is een processor die via een challenge/response protocol de transactie bevestigt. De challenge is iedere keer anders, waardoor het kopieren van de response nauwelijks nut heeft.

PetervdM @t_captain • 25 september 2011 11:06

als de kaart en de lezer allebei in encrypted mode werken wel ja.
maar omdat het systeem backwards compatible moest zijn met oudere buitenlandse emv varianten ondersteunen de lezers ook de unencrypted mode, evenals de chips op onze kaarten voor gebruik in het buitenland.
een kleine insert ( thick film ) plaatsen IN de lezer, en de kaart denkt dat de lezer alleen unencrypt ondersteunt, en de lezer denkt dat de kaart alleen unencrypt is.
de gegevens, waaronder de pincode, zijn dan plain text uit te lezen en op te slaan.
het is dan gewoon een kwestie van de kaarthouder te rollen. niks moeilijks met cameraatjes ed, en de insert is onzichtbaar.
lang leve het nieuwe skimmen!

bron bv: http://dev.inversepath.com/download/emv/emv_2011.pdf

Anoniem: 417771 25 september 2011 00:36

Ligt het nou aan mij? Deze mensen zijn niet het slachtoffer geworden van fraude, maar van slechte beveiliging.
Als je je aanmeld bij een willekeurige website en je wilt iets opzoeken van andere gebruikers, dan lukt dat al niet. Laat staan dat je gegevens van andere gebruikers kan aanpassen...

Het wordt aardig in beeld gebracht, maar dit is een grove fout van de belastingdienst.

Op dit item kan niet meer gereageerd worden.

Duizenden mensen werden dit jaar slachtoffer 'DigiD-fraude'

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: