VOiP headset met vaste telefoon op de achtergrond

Omstreden Afspraakloket lekte persoonsgegevens

Laatst bijgewerkt: 13 september 2020
Leestijd: 3 minuten, 10 seconden

De website Afspraakloket.nl, die de afgelopen paar dagen regelmatig het nieuws wist te halen, is uit de lucht gehaald. De website lekte persoonsgegevens van gebruikers, zoals e-mailadressen, telefoonnummers en burgerservicenummers. In een reactie laat de beheerder van de site weten dat dit “natuurlijk nooit had mogen gebeuren”.

Dat schrijft Joost Schellevis, techredacteur bij de NOS.

Persoonsgegevens van enkele duizenden gebruikers op straat

Loran Kloeze, een white hat of ethische hacker, stelde Schellevis op de hoogte van een datalek op de site. Met behulp van het gelekte wachtwoord wist hij in te loggen op de database achter Afspraakloket.nl. Vervolgens keek hij hoeveel mensen er in de database waren opgenomen, inclusief burgerservicenummer en e-mailadres.

Al met al had de techredacteur toegang tot de persoonsgegevens van 6.000 gebruikers. Daarvan hadden 4.200 gebruikers een e-mailadres ingevuld en 2.600 een burgerservicenummer. Ook gegevens als telefoonnummers, postcodes en verloopdata van identiteitsdocumenten waren vrij eenvoudig toegankelijk door het lek.

Het datalek bevond zich op een testpagina van de site. Daar waren interne wachtwoorden te zien, waaronder die van de database. Ook wist Schellevis in te loggen op de mailbox van de website. Hij keek of er persoonsgegevens te vinden waren op het e-mailadres. Met uitzondering van een handjevol e-mailadressen na bleek dat niet het geval te zijn.

Website is direct offline gehaald

Dat deze gegevens op straat liggen is op zichzelf al een vervelend voorval. Wat de kwestie nog erger maakt, is dat Afspraakloket.nl helemaal geen burgerservicenummers mocht verwerken. Een ICT-jurist laat tegenover de NOS weten dat dit alleen mag als ze daartoe wettelijk verplicht zijn. Dat is bij Afspraakloket.nl niet het geval.

Wouter Blokhuis, de beheerder van de website, laat tegenover de NOS weten dat dit “nooit had mogen gebeuren”. Nadat Schellevis contact met hem opnam, heeft hij de website direct offline gehaald. Op het moment van schrijven is de site nog steeds uit de lucht.

Gemeenten waarschuwen voor oplichtingspraktijken

Afspraakloket.nl staat sinds 22 juni geregistreerd bij Stichting Internet Domeinregistratie Nederland (SIDN), de instantie die de registraties van domeinnamen regelt in ons land. Met de website wilde Blokhuis burgers in de gelegenheid stellen om bij hun gemeente een afspraak te maken. Gebruikers konden ook een herinnering krijgen als hun identiteitsbewijs bijna was verlopen en ze dit document moesten verlengen. De site vroeg voor deze diensten een vergoeding van 19,95 euro.

Op papier klinkt het als een nobel initiatief om burgers op deze manier te helpen. In praktijk pakte het verkeerd uit. Via Afspraakloket konden mensen een afspraak inplannen, maar deze werd nooit doorgegeven aan de betreffende gemeente. Een groot aantal gemeenten waarschuwde de afgelopen dagen voor de site. Onder meer Almere, Eindhoven, Deurne, Roermond, Helmond, Alblasserdam, Groningen, Emmen en Coevorden adviseerden burgers om geen gebruik te maken van de diensten van de site. In de gemeente Almere hebben vijf inwoners aangifte gedaan van oplichting. De gemeenten benadrukken dat mensen via hun website gratis een afspraak kunnen maken.

Volgens de initiatiefnemer gebruikten mensen zijn site op de verkeerde manier. In plaats van een notificatieherinnering in te stellen voor identiteitsbewijzen die bijna verlopen waren, werd de site voornamelijk gebruikt om alleen een afspraak te maken. Tegenover diverse media wijst Blokhuis naar wat er op zijn site staat:

“Afspraakloket.nl is een platform waarop gebruikers een account aan kunnen maken en vervolgens de vervaldatum van hun documenten in kunnen voeren. Gebruikers ontvangen van afspraakloket.nl een email met herinneringen om deze documenten te vernieuwen en tevens de optie om Afspraakloket de afspraak voor de gebruiker in te laten plannen. Dit kan via ons aanvraagformulier op de website. Enkel voor het inplannen van een afspraak voor de gebruiker rekent Afspraakloket servicekosten van 19,95.”

Verder laat Blokhuis weten dat de afspraken wel degelijk worden ingepland bij de gemeenten. Tot slot zegt hij het “vervelend” te vinden dat er consumenten zijn die zich opgelicht voelen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen