Samenvatting Kort en bondig.

Er bestaan verschillende beroepsregisters waar professionals in opgenomen zijn, zodat (potentiële) werkgevers en klanten na kunnen gaan of hun professional daadwerkelijk over de juiste competenties en diploma's beschikt en wat diegene kan en mag. Je kunt via de website van zo'n register zoeken op bijvoorbeeld naam, geboortedatum, postcode, woonplaats, of werkadres en krijgt dan te zien of deze persoon in de database zit. Zo ja, weet je dat je met een vertrouwde partij te maken hebt.

Veel registers geven (soms bewust, soms onbewust) echter véél meer gegevens terug dan wat je nodig hebt om te controleren of een professional juist staat ingeschreven. Door hier gebruik van te maken zijn verschillende persoonlijke gegevens te achterhalen, wat misbruik in de hand kan werken. Om vast te stellen wat de impact hiervan is, is op twee momenten in 2017 onderzoek gedaan bij de in dit artikel genoemde registers. Bevindingen en aanbevelingen staan hieronder.

Bij elkaar genomen bevatte de onderzochte registers gegevens van zo'n 2.000.000 unieke personen, verdeelt over verschillende sectoren zoals zorg, horeca, industrie, en strafrecht. Van in ieder geval een kwart van deze personen konden simpel direct identificerende privégegevens achterhaald worden zoals adres en geboortedatum. Dit gaat veelal buiten medeweten van de betrokken personen om, waardoor veel van hen niet beseffen dat hun persoonlijke gegevens hierdoor online vindbaar zijn.

Dit artikel gaat ook dieper in op het datalek bij het BIG-register en de rol van het overkoepelende CIBG hierin. Met ruim 350.000 persoonsgegevens op straat is dit het grootste bekende datalek van persoonsgegevens bij een onderdeel van de Nederlandse overheid tot nu toe.

Inhoudsopgave

Probleemstelling Wat is er aan de hand?

Hoewel registers per definitie openbaar zijn en móeten zijn, laat de implementatie bij veel registers te wensen over. Het is handig als je een professional kunt controleren door te zoeken op bijvoorbeeld een registratienummer, naam en werk- of woonadres. In zo'n geval moet je de persoon namelijk al kennen en krijg je bij een zoekopdracht alleen deze ene persoon waar je naar op zoek bent terug.

Veel registers werken echter nét even anders. In plaats van alleen de persoon die je zoekt terug te geven, laten ze alle personen zien met bijvoorbeeld dezelfde postcode.

Dit introduceert een probleem.

Openbare registers die je laten zoeken op bijvoorbeeld een postcode of geboortedatum, maken het mogelijk voor iemand om stiekem alle mogelijke combinaties met een soort van sleepnet af te gaan en zo de gegevens van alle personen die in de database zitten over te nemen. Zo kan er bij sommige registers gezocht worden op naam met jokertekens ( * | . | % | spatie) waardoor met één zoekopdracht iedereen die op een bepaalde dag geboren is of in een bepaalde plaats of straat woont opgevraagd kan worden. Aangezien er maar zo'n 400.000 unieke postcodes bestaan, is het voor een computer een fluitje van een cent om al deze combinaties af te gaan en hele lijsten met privéinformatie te downloaden.

Gevolgen voor de persoonlijke levenssfeer.

Hoewel de meeste van de geteste registers geen informatie vrijgeven die direct tot een persoon herleiden, lijkt het er dat de registers in de zorg dit minder goed voor elkaar hebben. Juist zorgverleners doen hun best om hun persoonlijke leven af te schermen zodat cliënten hen buiten het werk om niet kunnen benaderen, door social media op privé in te stellen of een pseudoniem aan te nemen. Door de gevonden lekken lijkt deze door hen genomen moeite tevergeefs.

Hieronder volgt een uiteenzetting van mogelijke gevolgen wanneer gegevens zoals geboortedatum en woonadres op straat liggen.

  • Een cliënt kan een zorgverlener opeens feliciteren met zijn of haar verjaardag.
  • Een headhunter kan iemands privéadres of telefoonnummer gebruiken om heel direct mensen te benaderen.
  • Een patiënt of familielid kan het woonadres van een zorgverlener achterhalen.
  • Iemand die gestalkt wordt kan in het uiterste geval nog verhuizen, maar doordat een registratie dan ook word geüpdatet zal een stalker makkelijk het nieuwe adres kunnen achterhalen.
  • Een marketingbureau kan gericht reclame sturen (immers, waarom reclame naar heel Nederland sturen als je doelgroep zeker weten in het BIG-register staat).
  • Een teleurgestelde cliënt kan abonnementen en dergelijke op naam van een zorgverlener aanvragen.
  • Het opent de mogelijkheid tot identiteitsdiefstal door fishing van andere persoonsgegevens om bijvoorbeeld een bankrekening mee te openen of een lening aan te vragen.
  • Een inbreker kan een lijst samenstellen van personen die in dezelfde straat wonen en hun werkgever bellen om te checken of zij aan het werk zijn. Zo ja, weet een inbreker ook gelijk hoeveel tijd hij heeft totdat de bewoners er weer zijn.
Crimineel - Stigmatiserende afbeelding, uiteraard is niet elke crimineel een blanke man.

Maatschappelijke gevolgen en impact.

Met de gegevens uit bijvoorbeeld het BIG-register kan een kwaadwillende voor haar interessante lijsten samenstellen. De gegevens kunnen gecombineerd worden met andere (openbare) bronnen om deze verder te verrijken. Door gebruik te maken van een grote samengestelde dataset is het makkelijk voor kwaadwillenden om deze data zo te bewerken en filteren dat er voor hen bruikbare gegevens uit komen.

Een paar mogelijke voorbeelden van hoe hier misbruik van gemaakt kan worden:

  • Veiligheid gevangenispersoneel
    Het is mogelijk een lijst samen te stellen van alle zorgverleners in Forensisch psychiatrisch centra (tbs-klinieken). Doordat adres en geboortedatum te achterhalen zijn, kan dit gebruikt worden om (familie van deze zorgverleners onder) druk te zetten om te helpen bij een ontsnapping of illegale handel.
  • Misbruik en diefstal van narcotica
    Benaderen van zorgverleners die vanwege hun werkzaamheden toegang hebben tot bepaalde geneesmiddelen. Door deze lijst te combineren met een lijst van personen met een eerdere veroordeling, kan tot een kleinere lijst gekomen worden met mensen die wellicht vatbaar voor afpersing zijn.
  • Illegale zorgaanbieders
    Iemand zou een app kunnen maken om -buiten het normale traject om- zorgverleners met een specifieke specialisatie te vinden en te benaderen, wat tot zwartwerken of het heimelijk uitvoeren van medische handelingen kan leiden. Een crimineel die gewond is geraakt bij een schietpartij kan zo bijvoorbeeld registratie van dit incident door een ziekenhuis voorkomen.
  • Openbare veiligheid zorginstellingen
    Als er een bedreiging tegen een zorginstelling wordt geuit, is alleen politiebewaking bij de ingang niet meer voldoende aangezien van elke medewerker na te gaan is waar hij/zij woont.
  • Profileren op politieke voorkeur
    Een (werknemer van een) politieke partij kan heel gericht specifieke mensen uit de samenleving benaderen (zorgmedewerkers tussen de 30 en 40 jaar oud, of met minimaal x-jaar ervaring) en zo een voorsprong op andere partijen creëren. Dit vind al op grote schaal plaats in bijvoorbeeld de Verenigde Staten in een poging verkiezingen te sturen.

Onderzochte registers Het hele spectrum.

Hieronder is een lijst van registers die in de loop van 2017 zijn getest. Met elk van hen is contact geweest. De meeste organisaties onderkenden dat er sprake is van een lek en hebben hierop hun register zo aangepast dat er geen inbreuk op persoonsgegevens meer kan worden gemaakt. Sommigen betwisten dat er sprake is van een lek of zeggen dat het de bedoeling is dat alle persoonsgegevens publiekelijk beschikbaar zijn.

  • AGB-register · agbcode.nl
    Voorletters, achternaam, geslacht, postcode van woonadres, geboortedatum, opleidingen, erkenningen, werkgevers met datum in/uit dienst van 179.000 zorgverleners.
    Registratie is verplicht gesteld door zorgverzekeraars om uitgevoerde behandelingen vergoed te kunnen krijgen. Bestaat uit openbaar en besloten register, waarbij enkel het besloten register tot persoonlijke informatie toegang behoorde te geven. Openbare register bevatte verborgen mogelijkheid om zoekparameters zoals postcode en geboortedatum te gebruiken door deze simpelweg in de zoek-URL op te nemen.
  • BIG-Register · bigregister.nl
    Mogelijkheid tot opvragen initialen, achternaam, geboortedatum, huisadres, beroep, werkadres en in sommige gevallen telefoonnummer en e-mailadres van meer dan 350.000 zorgverleners.
    Via API bestond tot en met 2017 de mogelijkheid om te zoeken op jokertekens in combinatie met postcode en huisnummer, woonplaats, geboortedatum en andere parameters. Standpunt van registerhouder is dat deze mogelijkheid nooit heeft bestaan en dat er geen gegevens kunnen zijn gelekt.
  • Bureau Wbtv · bureauwbtv.nl
    Voornaam, achternaam, geslacht, privételefoonnummer, e-mailadres, geboortedatum, geboorteland, huisadres, postadres van zo'n 6.000 personen.
    Heeft openbaar en besloten register, waarbij besloten register tot meer informatie toegang geeft. Tolken en vertalers kunnen zelf aangeven per datapunt of dit openbaar gemaakt mag worden of niet. Door te zoeken op achternaam (tweeletterige combinatie) kunnen alle geregistreerden opgevraagd worden.
  • Centraal Insolventieregister · insolventies.rechtspraak.nl
    De voor- en achternaam, geboortedatum- en plaats, en woonadres van de ruim 4.000 nieuwe personen die elke maand in dit register worden opgenomen.
    Dit register bevat gegevens van faillissementen, surséances van betaling en schuldsaneringen natuurlijke personen (Wsnp) die in de lokale registers bij de verschillende rechtbanken worden bijgehouden. Via verschillende ingangen kon een lijst verkregen worden met alle personen die zijn genoemd in uitspraken in een bepaalde periode. Hoewel er een legitieme reden bestaat om deze persoonsgegevens publiekelijk te delen, zou dit alleen op individuele basis mogelijk moeten zijn door te zoeken op een combinatie van achternaam en geboortedatum. Het is echter mogelijk de persoonsgegevens van alle opgenomen personen ook te bekijken door te zoeken naar alle uitspraken in een bepaalde periode.
  • DEKRA · dekra-certification.nl
    Initialen, achternaam en certificaatnummer kunnen van ruim 60.000 personen worden opgevraagd.
    Zoekfunctie laat jokertekens toe. Register bevat op dit moment geen gegevens waardoor de geregistreerden persoonlijk benaderbaar zijn. Mocht registerhouder echter in een later stadium privacygevoelige informatie of zoekpaden als postcode of woonplaats beschikbaar stellen kan dit mogelijk wel gebeuren.
  • Geoportaal van Overijssel · geoportaaloverijssel.nl
    Inkomens- en opleidingsniveau van huishoudens in provincie Overijssel.
    Kaart met "Gebiedstypering Sociaal" gaf per 6-cijferige postcodegebied inkomens- en opleidingsniveau aan. Doordat sommige postcodes maar weinig woningen bevatten, kon afgeleid worden wat de sociale status van bewoners was. Dataset is na melding offline gehaald.
  • Kamer van Koophandel · kvk.nl
    Van ruim 550.000 personen met eenmanszaak zijn onder andere naam en adresgegevens op te vragen.
    Het Handelsregister van de KvK biedt de mogelijkheid om (tegen betaling van € 0,04 per adres) een adresbestand samen te stellen waarbij expliciet gefiltert kan worden op eenmanszaken. Er bestaan sites die via deze gegevens de BTW-nummers terug kunnen geven, wat bij zelfstandigen gebruikt kan worden om het BSN-nummer uit te herleiden. Aangezien het hier om ondernemers gaat en zij op de hoogte zijn van de openheid van deze data, valt dit niet perse onder de definitie van 'datalek'. De Autoriteit Persoonsgegevens is na eerdere berichtgeving in juni 2017 een onderzoek gestart.
  • Kwaliteitsregister Jeugd · skjeugd.nl
    Voorletters, achternaam, woonadres, werkplaats en geboortedatum van 28.171 geregistreerden.
    Registerhouder liet zoeken met jokertekens toe en gaf aan dit geen probleem te vinden. Na de melding is een aanpassing doorgevoerd waardoor zoeken met jokerteken toch niet meer mogelijk is. Professional kan zelf kiezen om adres publiekelijk te maken. Geboortedatum wordt niet getoond, maar kan wel op worden gezocht waardoor deze toch kan worden vastgesteld.
  • Kwaliteitsregister Paramedici · kwaliteitsregisterparamedici.nl
    Dataset bestaande uit voornaam, initialen, geboortedatum, geslacht, specialisatie, werkgever van 19.000 medewerkers in de zorg.
    Een enkele zoekopdracht in dit register zonder ook maar één zoekterm op te geven, geeft al de complete lijst terug. Door verder te filteren op de andere parameters kan ook per individu deze informatie ingewonnen worden. Daarnaast stonden enkele WSDL-SharePoint eindpunten open die ook andere ingangen tot de dataset boden. Zelfde softwareleverancier als Kabiz.nl.
  • Kwaliteitsregistratie en Accreditatie Beroepsbeoefenaren in de Zorg · kabiz.nl
    Dataset bestaande uit voornaam, initialen, geboortedatum, geslacht, specialisatie, werkgever van 8.500 medewerkers in de zorg.
    Een enkele zoekopdracht in dit register zonder ook maar één zoekterm op te geven, geeft al de complete lijst terug. Door verder te filteren op de andere parameters kan ook per individu deze informatie ingewonnen worden. Daarnaast stonden enkele WSDL-SharePoint eindpunten open die ook andere ingangen tot de dataset boden.
  • Nederlandse Vereniging van Diëtisten · nvdietist.nl
    Naam, werkadres, telefoonnummer, e-mailadres van 3.000 diëtisten werkzaam bij overkoepelende organisaties.
    Register is voornamelijk bedoelt voor consumenten om contact te leggen met een diëtist. Woonadres van diëtist kan niet worden achterhaald, behalve wanneer deze als zelfstandige werkzaam is.
  • Register Niet-destructief onderzoekers · hobeon.nl
    Complete dataset met de initalen, achternaam en geboortedatum van 2.000 personen.
    Bij dit register bestond de mogelijkheid om met een speciaal samengestelde enkele zoekopdracht alle genoemde gegevens uit te lezen. De registerhouder heeft maatregelen genomen om dit tegen te gaan.
  • Stichting Certificatie Asbest · ascert.nl
    Dataset bestaande uit initialen, achternaam, geboortedatum, geboorteplaats, geboorteland en taal van 9.000 personen werkzaam in de asbest, sloop, en recycling branch.
    Registerhouder stond het toe om te zoeken op jokertekens in combinatie met een geboortedatum. Registerhouder heeft aangegeven te werken aan een nieuwe website en tijdens dit traject direct aanpassingen te maken om dergelijke zoekopdrachten niet meer toe te laten.
  • Stichting Samenwerken Voor Veiligheid · vca.nl
    Dataset met initialen, achternaam en geboortedatum van 1.500.000 personen.
    Door te zoeken met jokerteken en alle mogelijke geboortedata is een lijst samen te stellen met gegevens van werknemers in de industrie. Registerhouder is op de hoogte gebracht en is er van doordrongen dat er geen extra datapunten beschikbaar gesteld moeten worden om de privacy te kunnen waarborgen.
  • Stichting Vakbekwaamheid Horeca · svh.nl
    Alleen verificatie wanneer 100% van de ingevoerde gegevens overeen komt met één van de 700.000 geregistreerde.
    Geen tekortkomingen vastgesteld. Alleen wanneer achternaam, tussenvoegsel, voorletters, geboortedatum én geslacht overeen komen kan worden vastgesteld dat de persoon over het certificaat Sociale Hygiëne beschikt. Standpunt van registerhouder is dat het cruciaal is dat bij de verwerking van persoonsgegevens het zo moeilijk mogelijk is voor onbevoegden om de identiteit van ingeschreven personen te kunnen achterhalen. Gaat in loop van 2018 de veiligheidsmaatregelen nog verder aanscherpen.
  • SVK-register · svkregister.nl
    Dataset bevat voornaam, achternaam en geboortedatum van zo'n 300 veiligheidskundigen.
    Register bevatte mogelijkheid om te zoeken met jokertekens. Na contact met registerhouder is dit niet meer mogelijk.
  • Vereniging van Oefentherapeuten Cesar en Mensendieck · vvocm.nl
    Voornaam, achternaam, privé email en telefoonnummers van medewerkers bij zo'n 1.300 praktijken.
    Elke ingeschreven praktijk bevat een lijst met medewerkers van wie in veel gevallen persoonlijke contactgegevens worden gedeeld. Praktijken konden gevonden worden door te zoeken op een centrale plaats in Nederland met een radius > 300 km.
  • Verpleegkundigen & Verzorgenden Nederland · venvn.nl
    Onder andere achternaam, geboortedatum en werkgever van 88.336 personen waren direct zichtbaar. Mogelijk meer blootgestelde gegevens via SQL-injectie.
    Bij dit register is een SQL-injectielek vastgesteld. Naast het zoeken op jokerteken waarbij met een enkele zoekopdracht de gegevens van alle geregistreerde verpleegkundigen en verzorgenden opgevraagd kon worden, was het hierdoor in potentie mogelijk om ook andere gegevens uit dezelfde database op te vragen.

De getroffen registers waren tot ze benaderd werden met de bevindingen van dit onderzoek niet op de hoogte van het (potentiële) datalek via hun openbare websites. Als zij niet op de hoogte waren gebracht, hadden sommige van hen wellicht nieuwe datapunten of zoekpaden toegevoegd, wat de impact van het datalek direct een stuk zou verhogen. De uitgevoerde testen zijn slechts momentopnamen geweest en niet alomvattend. Zo is bij sommige registers de mogelijkheid gevonden om door middel van SQL-inject gegevens uit de database die standaard niet getoond worden, op te vragen. De mogelijkheid bestaat dat ditzelfde ook mogelijk is of was bij de andere genoemde registers, maar dit is dus niet expliciet onderzocht.

Wat vooral opvalt zijn de grote verschillen in mening over hoe goed een register beveiligd moeten zijn, met duidelijke uitblinkers (Stichting Vakbekwaamheid Horeca) en laagvliegers (BIG-register, Kwaliteitsregister Jeugd, Kwaliteitsregister Paramedici, Stichting Certificatie Asbest). In geen enkel denkbaar scenario hoeft een integere gebruiker van deze registers meer informatie terug te krijgen dan de vakbekwaamheid van één enkele professional. Geen van de onderzochte registers heeft aangegeven onderzoek uit te voeren naar mogelijk eerder misbruik.

Combinatie met open data Verrijking of verarming?

Wanneer iemand de beschikking heeft over gegevens uit één register zijn er wel wat scenario's voor misbruik te bedenken, maar in de meeste gevallen zal dit nog redelijk onschuldig zijn. Het wordt een ander verhaal wanneer deze gegevens aangevuld worden met data uit andere bronnen. Als je bijvoorbeeld een lijst met schooldirecteuren hebt en deze namen door het Centraal Insolventieregister haalt, creëer je een grabbelton met personen die toegang hebben tot grote budgetten, maar waar je van weet dat ze misschien ook niet helemaal van onbesproken gedrag zijn. Dit maakt het voor criminelen makkelijker om de spreekwoordelijke speld in de hooiberg te vinden.

Er zijn andere voorbeelden te bedenken van open databronnen die per stuk onschuldig zijn, maar aan elkaar gekoppeld kwaadwillenden van dienst kunnen zijn. Zo is er het WOZ-waardeloket waarmee je makkelijk en snel de WOZ-waarde van een bepaalde woning kunt vinden. Deze kaart bevat echter ook een filteroptie waarmee je alle panden boven een bepaalde waarde kunt vinden. Door het instellen van dit filter op bijvoorbeeld 500.000 euro, is het een koud kunstje om al schuivend over de kaart, de rijkere buurten in een stad of dorp te vinden zonder dat je er ooit hoeft te zijn geweest. Combineer dat met Google Streetview of Mapillary en een inbreker kan al een idee krijgen wat er te halen valt zonder eerst langzaam met de auto door een straat heen te hoeven rijden. Wanneer ook nog duidelijk is uit de gegevens van de Kamer van Koophandel dat die drie veelbelovende huizen naast elkaar, alle drie worden bewoond door eigenaren van een winkel in de naastgelegen plaats, wordt het al helemaal aantrekkelijk om een keer op koopavond langs te gaan.

De toekomst Hoe moet het dan wel?

Een openbaar register zou nooit toe mogen laten om met jokertekens te zoeken. Ook zou er bij een zoekopdracht alleen een melding "Gevonden" of "Niet Gevonden" getoond mogen worden om aan te geven of de persoon geregistreerd is. Een sprekend voorbeeld hiervan is het diplomaregister van de Stichting Vakbekwaamheid Horeca (SVH). Bij het register van de SVH moeten achternaam, tussenvoegsels, voorletters, geslacht én geboortedatum exact overeen komen. Er is geen mogelijkheid om op jokertekens of een deel van een naam te zoeken. Dit voorkomt dat iemand ooit op een simpele manier de beschikking krijgt over een bijna onuitputtelijke lijst met personalia. Daarnaast zou een register maar een beperkt aantal zoekopdrachten per IP-adres toe moeten laten om een sleepnetzoekopdracht zo veel mogelijk te voorkomen.

Een ander opvallend voorbeeld is het Register Beëdigde Tolken en Vertalers (Rbtv). Dit register laat de geregistreerden zelf per datapunt kiezen of zij dit openbaar willen maken of niet. Zo kan een tolk of vertaler in loondienst er bijvoorbeeld voor kiezen haar huisadres privé te houden, terwijl een ZZP-er juist wél deze informatie deelt om zo opdrachten binnen te kunnen halen.

In sommige gevallen kan het nodig zijn een register alleen toegankelijk te maken door in te loggen via DigiD. Dit is niet alleen van toepassing op databronnen van de overheid, maar ook van private organisaties en bedrijven. Per type data moet bepaald worden wat de drempel voor misbruik is. Iemand die tien zorgverleners op een dag opzoekt is bijvoorbeeld geen probleem, maar zodra dit er meer worden kan er van uit gegaan worden dat de intenties niet helemaal oprecht zijn. Iemand die geïnteresseerd is in de WOZ-waarde van zijn eigen huis, zijn direct buren en woningen in de eigen omgeving moet dit kunnen doen, maar iemand die de duurste straten van Nederland opzoekt en dan per woning de waarde bekijkt is wellicht niet veel anders dan de ongure types die langzaam door een straat rijdend naar binnen kijken of er iets te halen valt.

Het ultieme doel is om elke natuurlijk persoon volledige controle te geven over wie toegang heeft tot (delen van) zijn of haar eigen data. Een persoon zou dan zelf aan kunnen geven via welke zoekpaden hij of zij vindbaar is. Technisch gezien is er een oplossing denkbaar waarbij elk individueel datapunt gecodeert is met een aparte geheime sleutel, die op zijn beurt ook weer gecodeert is met de sleutel van de persoon in kwestie. Wanneer een derde partij toegang moet krijgen, kan de persoon de sleutel van deze derde combineren met de sleutel van het datapunt en deze nieuwe gecombineerde sleutel terug overdragen aan de derde partij. Als bij wet vast ligt dat deze derde partij de data niet opnieuw op mag slaan (gecodeerd of ongecodeerd) én de gecombineerde sleutel moet verwijderen zodra er geen noodzaak tot gebruik meer is, is het onmogelijk dat deze derde partij ooit de bron kan zijn van een datalek.

Bevindingen BIG-register Om van te leren.

Het BIG-register is opgesteld om consumenten de mogelijkheid te geven te controleren of hun zorgverlener geregistreerd is voor het type behandeling dat ze uitvoeren. Ook is na te gaan of er disciplinaire maatregelen van toepassing zijn tegen een zorgverlener. Het CIBG heeft de taak gekregen dit register publiekelijk beschikbaar te stellen. Het CIBG is de door de overheid aangewezen organisatie voor het beheer van alle haar registers. Hieronder vallen bijvoorbeeld ook het Lerarenregister en het Donorregister. De slogan van het CIBG is "Het CIBG zet de standaard in registers". Op dit moment staan er meer dan 350.000 zorgverleners in het BIG-register ingeschreven. Het standpunt van het CIBG is dat de data die zij ontsluiten vrij beschikbaar, uitwisselbaar, en herbruikbaar is en dat er geen restricties aan het gebruik van de data die zij ontsluiten zitten.

Consumenten kunnen via de site bigregister.nl zelf zoeken naar hun zorgverlener. Tot april vorig jaar kon via diverse zoekpaden gezocht worden op verschillende combinaties:

  • Registratienummer
  • Naam en specialisatie
  • Naam en geboortedatum
  • Naam en postcode (van zowel het woon- en het werkadres)
  • Naam en plaats (van zowel het woon- en het werkadres)

Alle tekstvelden accepteren jokertekens, maar er worden maximaal 50 resultaten teruggegeven.

Technische omschrijving

Bij zoekopdrachten via de officiële website, moest bij elke zoekopdracht een reCAPTCHA opgegeven worden om misbruik te voorkomen. Per 2018 is dit niet meer nodig en kan via de website direct een onbeperkt aantal zoekopdrachten uitgevoerd worden. Het CIBG stelt ook een WSDL API beschikbaar. Deze API is zonder registratie te gebruiken en via deze methode kon altijd al een onbeperkt aantal zoekopdrachten worden uitgevoerd.

Er zijn drie versies van de WSDL API geweest, welke allemaal uitvoerig door het CIBG zijn gedocumenteerd. De eerste twee versies gaven bij een zoekopdracht de complete set persoonsgegevens van alle gevonden personen terug wanneer één van de zoekparameters overeen kwam. Hieronder vallen NAW-gegevens, gegevens van de werkgever, telefoonnummers, en email adressen. De huidige versie (versie 4) geeft enkel Naam, Registratienummer en Specialisatie terug. Hoewel de eerdere versies al een tijd waren uitgefaseerd, zijn de WSDL-eindpunten nog lange tijd beschikbaar gebleven voor wie de juiste URL wist (wat simpelweg een "4" in een "2", of "1" veranderen was).

Ofschoon de huidige API versie alleen Naam, Registratienummer en Specialisatie teruggeeft, bestaat nog wel steeds de mogelijkheid om een onbeperkt aantal zoekopdrachten uit te voeren.

BIG-Register Externe Webservices

Bron: Documentatie BIG-register Externe webservices (pagina 7)

Door een zoekopdracht met jokertekens uit te voeren, kon met het invoeren van parameters als "Naam: ., Geboortedatum: 01-01-1970" elke hulpverlener geboren op 1 januari 1970 gevonden worden. Een zoekopdracht als "Naam: ., Postcode: 1012NX" gaf alle zorgverleners die woonden op Kalverstraat 1-37 (oneven) terug. Let op dat hierbij werd gezocht in zowel woon- en werkadressen en dat sommige personen dus vaker in de data terugkomen. Door dezelfde opdracht te herhalen voor elke dag van de afgelopen 100 jaar, kan met minder dan 40.000 API-calls een verjaardagskalender opgebouwd worden. Hetzelfde kan gedaan worden door een lijst met alle bestaande Nederlandse postcodes (450.000 stuks) als parameter bij het zoeken te gebruiken. Hoewel het BIG-register dus deze gegevens normaal gesproken niet teruggeeft, is het op een dergelijke manier toch mogelijk om via deze metadata NAW-gegevens te koppelen aan een zorgverlener.

Voorbeeldapplicatie

De uitleg over de WSDL API op de externe webservices pagina van het BIG-register bevat ook een voorbeeldapplicatie.

Bovenstaande animatie illustreert hoe drie verschillende zoekpaden (naam + woonplaats, naam + geboortedatum, naam + postcode + huisnummer) naar dezelfde persoon verwijzen. Door de openbare broncode van deze voorbeeldapplicatie te bestuderen kan deze met slechts basiskennis over programmeren zo aangepast worden dat er sleepnetzoekopdrachten mee uitgevoerd kunnen worden.

Proof of concept

Begin 2018 kan op de website van het BIG-register zelf met jokertekens gezocht worden. In plaats van een punt, 'sterretje' of procent-teken kon nu gebruik gemaakt worden van twee spaties. Deze mogelijkheid is nu verdwenen, maar op andere manieren is nog wél een lijst samen te stellen.

  • Open https://www.bigregister.nl/zoek-zorgverlener
  • Klik op Zoeken in het BIG-register
  • Vul bij Achternaam * minimaal twee tekens in (zoals "de" of "van")
  • Vul bij Geboortedatum een willekeurige waarde in (zoals 31-12-1990)
  • Klik op Zoeken
  • Alle zorgprofessionals geboren op deze datum worden nu getoond.

Bovenstaande kan ook geautomatiseerd worden. Sterker nog, wanneer gebruik gemaakt wordt van de WSDL API zoals in dit proof of concept is het wél nog mogelijk om jokertekens (in dit geval een punt) te gebruiken. De afbeelding hieronder toont het resultaat van een proof of concept. Door het script uit te voeren met steeds een andere datum, ontstaat de mogelijkheid om een alomvattende dataset samen te stellen. Let op dat exact hetzelfde tot en met 2017 mogelijk was via de API met de combinatie van postcode en huisnummer.

Proof of concept

Open Proof of Concept (broncode)

Impact

De gegevens van het BIG-register geven een gedetailleerd overzicht van iedereen in Nederland die in de zorg werkt. Tot 2017 waren van deze personen onder andere de naam, geboortedatum, woonadres, en werkadres te achterhalen. Op dit moment kan enkel nog het geslacht en de geboortedatum worden achterhaald. Er bestaat de mogelijkheid dat kwaadwillenden tot 2017 een integrale kopie van de database hebben samengesteld.

Precedent voor nieuwe tekortkomingen

Het CIBG is het officiële uitvoeringsorgaan van de overheid en heeft tot taak officiële registers bij te houden. De software achter het BIG-register wordt met al haar tekortkomingen door het CIBG grotendeels hergebruikt voor elk nieuw register dat namens de overheid wordt opgestart. Tot op heden zijn de andere registers relatief onschuldig, maar zodra het CIBG de opdracht krijgt om bijvoorbeeld te registreren of iemand een strafblad heeft, een geestelijke beperking, schulden, of een VOG en daarbij wederom zoekpaden zoals postcode of geboortedatum beschikbaar stelt, zullen de privégegevens van deze groepen mensen net zo makkelijk weer openbaar gemaakt worden. Dit maakt het niet alleen een technische kwestie, maar ook een politieke. De opdracht aan het CIBG zal veel specifieker opgesteld moeten worden om te voorkomen dat dezelfde praktijk blijft voortbestaan.

Strategisch Business Plan CIBG (slogan)

Bron: Strategisch Business Plan CIBG 2014-2017

Andere openbaar toegankelijke registers die het CIBG beheert zijn onder andere:

Eerder heeft een bloggende wiskundedocent het Lerarenregister op een zoals hierboven beschreven manier leeggetrokken om te bewijzen dat er minder leraren in het register staan dan de Staatssecretaris destijds beweerde. Dit Excel bestand is ook nog steeds via deze blog te downloaden. Destijds was er wel verontwaardiging over dat de nummers niet klopten, maar niemand stelde de vraag of het überhaupt wel mogelijk had moeten zijn om op deze manier bij deze gegevens te komen.

Aangezien de gegevens in het BIG-register onder andere naam, adres, woonplaats, geboortedatum, werkgever, telefoonnummer, emailadres, en beroep omvatten, er daadwerkelijk sprake is geweest van een beveiligingsincident én de kans groot is dat er ernstige nadelige gevolgen zijn voor de persoonlijke levenssfeer van de betrokkenen, is er volgens de Wet bescherming persoonsgegevens (paragraaf 3.3, 7.4) sprake van een datalek waarvan aan betrokkenen melding gemaakt moeten worden.

Het CIBG heeft als standpunt ingenomen dat er nooit sprake is geweest van de mogelijkheid om NAW-gegevens of geboortedata van zorgverleners via het BIG-register te achterhalen en dat een datalek daardoor onmogelijk is.

Journalisten Informatie en bronmateriaal.

Dit onderzoek is uitgevoerd door Sjoerd van der Hoorn met veel dank aan Joost Schellevis voor sturing en wederhoor.

Achtergrondmateriaal, ondersteunende documenten, en correspondentie over de op deze pagina uiteengezette lekken kan opgevraagd worden door een mail te sturen aan info@gegevensopstraat.nl. Omdat nog niet elk register is aangepast en bij sommigen dus nog de kans op misbruik bestaat, is de technische uitleg voor elk genoemde lek alleen voor legitieme onderzoeksdoeleinden beschikbaar op aanvraag.

NOS-techredacteur Joost Schellevis heeft met genoemde organisaties contact opgenomen en verder onderzoek gedaan. In eerste instantie besloot hij niet te publiceren over het datalek bij het CIBG omdat volledig sluitend bewijs ontbrak en het CIBG zelf ontkende dat een datalek heeft bestaan. Toen bleek dat verschillende registers allemaal anders om gaan met privacygevoelige informatie, heeft hij besloten toch een uitgebreider artikel aan dit fenomeen te wijden. Joost zijn bevindingen en journalistieke verantwoording zijn te vinden in het door de NOS gepubliceerde achtergrondartikel.

De belangrijkste vraag Ben ik ook online te vinden?

Stond je in 2017 of daarvoor ingeschreven bij één van de genoemde registers, bijvoorbeeld omdat je een gecertificeerde zorgprofessional bent en in het BIG-register bent opgenomen? In principe zijn je gegevens dan publiekelijk beschikbaar geweest. Hieronder vallen bijvoorbeeld je naam, initialen, woonadres, werkadres, telefoonnummers, en e-mailadressen. Ook al heeft er misschien nog geen misbruik plaats gevonden, zouden kwaadwillenden deze gegevens wel verzameld kunnen hebben om op een later moment alsnog te gebruiken. De meeste registers hebben na de bevindingen van dit onderzoek aanpassingen doorgevoerd. Zo is via het BIG-register bijvoorbeeld sinds 2018 alleen nog je geboortedatum te achterhalen.

Helaas is het niet na te gaan of derden je gegevens ook echt hebben ingezien of verzameld. Mocht je een vermoeden hebben dat je gegevens zijn misbruikt (omdat je bijvoorbeeld post of reclame ontvangt waar je niet om hebt gevraagd) is de kans aanwezig dat de bron één van deze datalekken is. Er is dan sprake van ongunstige gevolgen in je persoonlijke levenssfeer. Maak hier in zo'n geval direct melding van identiteitsfraude bij de overheid. Hoe meer meldingen er worden gedaan, hoe makkelijker de bron van het betreffende datalek opgespoord kan worden.