PvdA vraagt ministers om maatregelen tegen identiteitsfraude
De PvdA heeft minister Grapperhaus van Justitie en Veiligheid en minister Hoekstra van Financiën gevraagd om maatregelen die identiteitsfraude moeten beperken. Aanleiding is een uitzending van het televisieprogramma Rambam waarin wordt getoond dat een kopie van iemands paspoort of rijbewijs voldoende is om een rekening te openen en goederen te bestellen. Ook wordt er een huis gehuurd met een kopie van iemands identiteitsbewijs.
PvdA-Kamerleden Nijboer en Kuiken willen nu van de ministers weten welke gegevens banken moeten verifiëren voordat ze een rekening openen en welke verificatiemethoden hiervoor zijn toegestaan. Tevens moeten Grapperhaus en Hoekstra duidelijk maken of er controle plaatsvindt op het identificeren van personen door banken en of effectieve identiteitscontrole onder druk staat nu banken steeds minder vaak over fysieke filialen beschikken.
De ministers zijn ook gevraagd of ze verhoogde risico's zien als het gaat om fraudedetectie als de identiteitscontrole door banken wordt uitbesteed aan derden. Verder moeten Grapperhaus en Hoekstra laten weten wat ze ervan vinden dat met een kopie van een identiteitsbewijs, dat met knip- en plakwerk enigszins is aangepast, een lening kan worden afgesloten op andermans naam en of deze vorm van fraude vaak voorkomt.
Als laatste vragen de PvdA-Kamerleden om maatregelen tegen identiteitsfraude. "Deelt u de mening dat als het gaat om identiteitscontrole bij financiële zaken altijd persoonlijke controle van het originele identiteitsbewijs plaats zal moeten vinden?", aldus Nijboer en Kuiken, die tevens willen weten welke maatregelen de ministers gaan nemen om de mogelijkheden tot identiteitsfraude verder te beperken en of ze bereid zijn met banken en kredietverstrekkers in gesprek te gaan. Grapperhaus en Hoekstra hebben drie weken de tijd om de vragen te beantwoorden (pdf).
Reacties (14)
De simpelste methode is om "identiteit" niet nodig te hebben. Begin dus maar met wat van die verplichtstellingen los te laten. Zodanig dat het niet nog meer fraude in de hand werkt, allicht, maar welbeschouwd zijn veel van die kopietjes paspoort een wassen neus qua werkelijke beveiliging danwel juridische indekking. Maar wel een prima AVGproblemenlokmiddel.
En nee, dit is niet "criminelen verdedigen". Dit is voorstellen de boel zo te herinrichten dat criminaliteit zowel minder voor de hand ligt als moeilijker is om uit te voeren, en tegelijkertijd de privacypositie van de brave burger te verstevigen. En ja, dat kan. Maar dat kan niet als je blind net zo doet als je voorgangers die er ook al zo'n zooitje van geschopt hebben. Je moet dan echt gaan nadenken. Kunnen we dat, heren politici? Ik zie het noch pvda noch fredje gabberhaus (noch cda, noch vvd, noch de rest van het partijkartel) presteren. Maar ik wordt graag blij verrast.
En nee, dit is niet "criminelen verdedigen". Dit is voorstellen de boel zo te herinrichten dat criminaliteit zowel minder voor de hand ligt als moeilijker is om uit te voeren, en tegelijkertijd de privacypositie van de brave burger te verstevigen. En ja, dat kan. Maar dat kan niet als je blind net zo doet als je voorgangers die er ook al zo'n zooitje van geschopt hebben. Je moet dan echt gaan nadenken. Kunnen we dat, heren politici? Ik zie het noch pvda noch fredje gabberhaus (noch cda, noch vvd, noch de rest van het partijkartel) presteren. Maar ik wordt graag blij verrast.
Het begint met het opvragen van een kopie van een paspoort. Stop je daar compleet mee, dan is het probleem ook opgelost. Banken kunnen volstaan met de verklaring van een ingezworen beamte.
Goh. Verrassend. Kamervragen. Daar heeft zeker niemand het aan zien komen.
Door Anoniem: Het begint met het opvragen van een kopie van een paspoort. Stop je daar compleet mee, dan is het probleem ook opgelost. Banken kunnen volstaan met de verklaring van een ingezworen beamte.
En hoe zit dat met je verzekeringen, toeslagen, belastingen..... Ook allemaal via een ingezworen beamte? Maar hoe doet dit beamte dit dan allemaal? Moeten we heb even gaan bellen?Gaat natuurlijk niet werken... Maar vage oplossingen werken nu eenmaal niet. Dat is altijd het gemakkelijk. Iets bedenken is gemakkelijk, maar als je maar een heel klein deel er van begrijpt of weet, dan heb je eigenlijk geen idee hoe complex alles werkelijk is.
Deze hele discussie valt of staat met vertrouwen oif wantrouwen.
Als wantrouwen het uitgangspunt is dan is verificatie van iemands identiteit eigenlijk alleen maar mogelijk door fysiek ergens te verschijnen.
Als (enig) vertrouwen het uitgangspunt is, dan kan verificatie via systemen van derden (bv nu digid) voldoende zijn om je te identificeren.
Wat zegt het opsturen van een kopietje van een paspoort nu eigenlijk? Niet veel meer dan dat de aanvrager zijn handen heeft weten te ;leggen of een kopie van een paspoort van hemzelf of iemand anders. Het bewijst dus niet veel. Zeker iemands identiteit niet. (tenzij je zijn gezicht vergelijkt met de pasfoto. maar ook die kan gephotoshopt zijn).
Als wantrouwen het uitgangspunt is dan is verificatie van iemands identiteit eigenlijk alleen maar mogelijk door fysiek ergens te verschijnen.
Als (enig) vertrouwen het uitgangspunt is, dan kan verificatie via systemen van derden (bv nu digid) voldoende zijn om je te identificeren.
Wat zegt het opsturen van een kopietje van een paspoort nu eigenlijk? Niet veel meer dan dat de aanvrager zijn handen heeft weten te ;leggen of een kopie van een paspoort van hemzelf of iemand anders. Het bewijst dus niet veel. Zeker iemands identiteit niet. (tenzij je zijn gezicht vergelijkt met de pasfoto. maar ook die kan gephotoshopt zijn).
De simpelste methode is om "identiteit" niet nodig te hebben. Begin dus maar met wat van die verplichtstellingen los te laten. Zodanig dat het niet nog meer fraude in de hand werkt
Sure, laten we controleren identiteit overslaan, maar niet zo dat er meer fraude plaats gaat vinden.
LOL!
Als wantrouwen het uitgangspunt is dan is verificatie van iemands identiteit eigenlijk alleen maar mogelijk door fysiek ergens te verschijnen.
Gaat ook twee kanten op; ik wil niet dat de bank mij een lening kan verstrekken *zonder* dat zij kunnen aantonen dat ik ook fysiek daar ben geweest. Anders wordt frauderen door bankmedewerkers ook gemakkelijker. Het gaat dus om betrouwbaarheid, twee kanten op.
04-02-2019, 16:32 door
Bitwiper
Door Anoniem: Als wantrouwen het uitgangspunt is dan is verificatie van iemands identiteit eigenlijk alleen maar mogelijk door fysiek ergens te verschijnen.
Aangezien identiteitsfraude niet zeldzaam is, doen burgers en organisaties er verstandig aan om wantrouwend te zijn, en te beseffen dat een elektronische aanvraag voorzien van een kopietje paspoort, geboortedatum, BSN en/of meisjesnaam van de moeder, net zo goed door een criminele Oostblokker of een criminele Nederlander als door de kennelijke Nederlander ingediend kan zijn.Er bestaan echter wel degelijk manieren om op afstand te authenticeren, alleen wordt daar veel te weinig gebruik van gemaakt.
Door Anoniem: Gaat ook twee kanten op; ik wil niet dat de bank mij een lening kan verstrekken *zonder* dat zij kunnen aantonen dat ik ook fysiek daar ben geweest. Anders wordt frauderen door bankmedewerkers ook gemakkelijker. Het gaat dus om betrouwbaarheid, twee kanten op.
Ervan uitgaande dat je internetbankiert, waarom zou je dan niet via dezelfde weg een lening kunnen afsluiten? Eventueel pas ingaand nadat je een code hebt ingevoerd die je per post ontvangt na de aanvraag?
04-02-2019, 17:51 door
karma4
Eindelijk vragen over het vaststellen van de juiste persoon ofwel autenticatie. Het criterium van een werkende maar foute administratie is fout. Alleen bassie vindt 2 keer fout wel goed.
Dank aan de minister! Want blijk ik aan een virtueel contract vast te zitten, wat enkel is gebaseerd op de toezending van een kopie of scan van mijn pas, dan kan ik dat mooi laten ontbinden. Want dat kan iedereen wel gestuurd hebben. Een kopietje is zo gemaakt, en honderd of duizend ook. Geen flauw idee van.
Dat zulks zo lek is, geeft je ook de juridische ruimte om ergens vanaf te komen, waarvan je je later pas beseft hoe duur het is en je overal feitelijk dubbel voor betaalt. Al zeker als de minister bevestigt dat het zo gemakkelijk kan en iedereen met een kopie van mijn pas wel tien leningen en drie mobiele abonnementen had kunnen sluiten.
Er zit ook iets in wat beter voor de burger is. Want ben je blij met je contract, of je lening, dan blijf je natuurlijk tevreden betalen. Althans, het gaat er meestal automatisch af, dus je betaling kan ook al niet zomaar als erkenning van het contract worden gezien. (Er staat nergens in de wet dat ik elke dag verplicht moet inloggen op de bank, toch?) Je doet zelf actief niks meer. Dus je had het ook niet hoeven weten.
Houdt dat op, dan zit je ook nergens meer aan vast. Want ja, als ze zeggen, wij hebben wel een kopie van uw paspoort, dat zegt natuurlijk helemaal niks meer tegenwoordig. Zelfs de minister bevestigt dat! Het geeft de burger wel ook weer meer vrijheid. Om te blijven betalen wat leuk is, en je schouders op te trekken als er geen lol (meer) aan is. Er is wat voor te zeggen om alles voorlopig maar even zo te laten. Want vaak, zodra een contract gesloten is, trekt men zich ook niks meer van de klant aan. Want er is toch een contract (en anders krijg je een BKR!). Dus het heeft wat gezonds dat die vanzelfsprekendheid wat lek geraakt is. Het houdt bedrijven beter bij de les.
Dat zulks zo lek is, geeft je ook de juridische ruimte om ergens vanaf te komen, waarvan je je later pas beseft hoe duur het is en je overal feitelijk dubbel voor betaalt. Al zeker als de minister bevestigt dat het zo gemakkelijk kan en iedereen met een kopie van mijn pas wel tien leningen en drie mobiele abonnementen had kunnen sluiten.
Er zit ook iets in wat beter voor de burger is. Want ben je blij met je contract, of je lening, dan blijf je natuurlijk tevreden betalen. Althans, het gaat er meestal automatisch af, dus je betaling kan ook al niet zomaar als erkenning van het contract worden gezien. (Er staat nergens in de wet dat ik elke dag verplicht moet inloggen op de bank, toch?) Je doet zelf actief niks meer. Dus je had het ook niet hoeven weten.
Houdt dat op, dan zit je ook nergens meer aan vast. Want ja, als ze zeggen, wij hebben wel een kopie van uw paspoort, dat zegt natuurlijk helemaal niks meer tegenwoordig. Zelfs de minister bevestigt dat! Het geeft de burger wel ook weer meer vrijheid. Om te blijven betalen wat leuk is, en je schouders op te trekken als er geen lol (meer) aan is. Er is wat voor te zeggen om alles voorlopig maar even zo te laten. Want vaak, zodra een contract gesloten is, trekt men zich ook niks meer van de klant aan. Want er is toch een contract (en anders krijg je een BKR!). Dus het heeft wat gezonds dat die vanzelfsprekendheid wat lek geraakt is. Het houdt bedrijven beter bij de les.
05-02-2019, 09:43 door
Briolet
Door Anoniem:
Door Anoniem: Het begint met het opvragen van een kopie van een paspoort. Stop je daar compleet mee, dan is het probleem ook opgelost. Banken kunnen volstaan met de verklaring van een ingezworen beamte.
En hoe zit dat met je verzekeringen, toeslagen, belastingen..... Ook allemaal via een ingezworen beamte? Maar hoe doet dit beamte dit dan allemaal? Moeten we heb even gaan bellen?Nee, je belt die beamte niet, maar gaat persoonlijk bij hem langs met je originele identiteitspapieren. Volgens mij bied elke gemeente deze dienst wel aan om papieren te waarmerken. Je hoeft dan alleen maar naar je eigen gemeentehuis i.p.v. een lange reis naar een ver kantoor om je te identificeren.
Dit is een goede methode voor authenticeren op afstand die al lang door iedereen gebruikt kan worden. En volgens mij al honderden jaren mogelijk was.
Maar deze kamerleden hebben wel jaren onder een steen geleefd als ze pas via de uitzending van Rambam te weten gekomen zijn dat dit gebeurd.
Door Anoniem: De simpelste methode is om "identiteit" niet nodig te hebben. Begin dus maar met wat van die verplichtstellingen los te laten.
Begin jij nou maar eens met nadenken en je onrealistische wereldbeeld los te laten...En hoe zit dat met je verzekeringen, toeslagen, belastingen..... Ook allemaal via een ingezworen beamte? Maar hoe doet dit beamte dit dan allemaal? Moeten we heb even gaan bellen?
De meeste mensen accepteren ook geen kopie van een bankbiljet als betaling.
Voor veel doelen is bewijs van bezit van het identiteitsbewijs goed genoeg. Het kan zijn dat je identiteitsbewijs gestolen wordt, dan moet het mogelijk zijn dit voor verder gebruik te blokkeren.
Er zijn al verschillende landen (waaronder Belgie, jaja!) waar het al jaren mogelijk is om je identiteitskaart door een bevoegde partij te laten verifieren dmv een reader en een cryptografisch systeem.
Als dit soort functionaliteit wordt toegevoegd aan DigiD (wat wel de bedoeling is) dan kun je de identiteit van een persoon verifieren doordat deze in bezit moet zijn van de kaart plus een wachtwoord moet weten.
NATUURLIJK zullen de jongetjes hier aankomen met dat dit niet 100% betrouwbaar is maar het is voor veel dingen goed genoeg en er kan een procedure zijn om de meeste risico's af te dekken.
(bijvoorbeeld als je er achter komt dat je kaart gestolen is en misbruikt dan kun je aangifte doen bij de politie, met de bekende strafbaarheid van valse aangifte, waarna het systeem vastlegt voor welke periode het gebruik ongeldig was en en de betrokken partijen informeert)
Voor die paar gevallen waarbij je het gewoon 100% betrouwbaar wilt hebben hou je altijd nog de notaris en andere gezworen ambtenaren. Voor een telefoonabonnementje is dat wellicht overkill.
Nee, ze snappen het allemaaal niet...
Een paspoort is een identificatie, niet een authenticatie/verificatie.
Een kopie van een paspoort is zelfs geen identificatie.
In Zweden bijvoorbeeld heb je je 'persoons'' nummer voor alles nodig, internet abbo, bankrekening, gsm aanschaf enz.
Maar daar weet iedereen elkaars nummer, is ook geen probleem, omdat het IDENTIFICATIE is, niet de authenticatie.
Een paspoort is een identificatie, niet een authenticatie/verificatie.
Een kopie van een paspoort is zelfs geen identificatie.
In Zweden bijvoorbeeld heb je je 'persoons'' nummer voor alles nodig, internet abbo, bankrekening, gsm aanschaf enz.
Maar daar weet iedereen elkaars nummer, is ook geen probleem, omdat het IDENTIFICATIE is, niet de authenticatie.
Op zich, beter laat dan nooit. Overigens is de PVDA niet de eerste partij die vragen stelt. Twee andere partijen die traditioneel als eersten een concept omarmen, zijn hun daar enkele jaren geleden in voorgegaan. Maar dat erkent men zelf ook door het toevoegsel "nog steeds". En aan het vaste patroon welke partijen al 'mee' zijn kan je zien hoe Kamerfähig je bent.
Met betrekking tot de identiteitsfraude, eerste prioriteit moet zijn het beperken van de gevolgschade. Dat is je fail-safe. In veel opzichten is de eigenlijke fraude vaak niet eens zozeer de schade, maar het Computer Zegt Nee syndroom dat daar op volgt. Once robbed, twice the victim.
Wat onderlet laat dat als we identiteitsfraude kunnen beperken, we dat vooral niet moeten laten. Te meer daar bepaalde ongure groepen hebben ontdekt dat dit een uitstekende financieringsbron is voor hun al even ongure activiteiten.
Men merkt hier terecht op dat we eerst en vooral de snoeischaar zouden moeten zetten in de wildgroei van kopietjes paspoort. Allerlei betrekkelijk triviale zaken moet je dat niet voor willen, zodat de echte cruciale momenten overblijven.
Wat betreft de middelen wordt terecht naar het persoonlijk komen en eventueel het notariscontract gewezen. Het is een beproefde, low-tech oplossing. Waterdicht is het niet, maar in ieder geval is het volstrekt onmogelijk vanuit Verweggistan op alle Nederlanders tegelijk ID-fraude op die manier te plegen. De fraude is niet schaalbaar. Het is ook een goede lakmoesproef, als het blijkbaar niet waard is mensen persoonlijk te woord te staan, is de identificatie blijkbaar ook niet zo belangrijk.
Wel is het zo dat er een elektronisch alternatief bestaat. Het is duur, maar het bestaat. Dat heet een digitale handtekening (https://nl.wikipedia.org/wiki/Digitale_handtekening). Hoewel niet 100% veilig, is het concept waanzinnig sterk. En vanuit de gebruiker is het werk te overzien, je plaatst een smartcard in een lezer en toetst een PINcode in. Wel enkele nadelen:
- Het is gebaseerd op onbreekbare encryptie. En dat krijg je er gratis bij, niets aan te doen. De hetze daartegen zou men dus in zijn achteruit moeten zetten.
- Je moet nogal wat dure dingen optuigen, een PKI, een hele grote berg smartcards, software om ze uit te geven, lezers, etc.
- De betrouwbaarheid van de lezers (of preciezer, de drivers van de lezers) behoeft nog wel verbetering. Dat de lezers in de PINAutomaten (die op dezelfde manier werken) wel betrouwbaar zijn laat overigens zien dat dit niet onmogelijk is.
Met betrekking tot de identiteitsfraude, eerste prioriteit moet zijn het beperken van de gevolgschade. Dat is je fail-safe. In veel opzichten is de eigenlijke fraude vaak niet eens zozeer de schade, maar het Computer Zegt Nee syndroom dat daar op volgt. Once robbed, twice the victim.
Wat onderlet laat dat als we identiteitsfraude kunnen beperken, we dat vooral niet moeten laten. Te meer daar bepaalde ongure groepen hebben ontdekt dat dit een uitstekende financieringsbron is voor hun al even ongure activiteiten.
Men merkt hier terecht op dat we eerst en vooral de snoeischaar zouden moeten zetten in de wildgroei van kopietjes paspoort. Allerlei betrekkelijk triviale zaken moet je dat niet voor willen, zodat de echte cruciale momenten overblijven.
Wat betreft de middelen wordt terecht naar het persoonlijk komen en eventueel het notariscontract gewezen. Het is een beproefde, low-tech oplossing. Waterdicht is het niet, maar in ieder geval is het volstrekt onmogelijk vanuit Verweggistan op alle Nederlanders tegelijk ID-fraude op die manier te plegen. De fraude is niet schaalbaar. Het is ook een goede lakmoesproef, als het blijkbaar niet waard is mensen persoonlijk te woord te staan, is de identificatie blijkbaar ook niet zo belangrijk.
Wel is het zo dat er een elektronisch alternatief bestaat. Het is duur, maar het bestaat. Dat heet een digitale handtekening (https://nl.wikipedia.org/wiki/Digitale_handtekening). Hoewel niet 100% veilig, is het concept waanzinnig sterk. En vanuit de gebruiker is het werk te overzien, je plaatst een smartcard in een lezer en toetst een PINcode in. Wel enkele nadelen:
- Het is gebaseerd op onbreekbare encryptie. En dat krijg je er gratis bij, niets aan te doen. De hetze daartegen zou men dus in zijn achteruit moeten zetten.
- Je moet nogal wat dure dingen optuigen, een PKI, een hele grote berg smartcards, software om ze uit te geven, lezers, etc.
- De betrouwbaarheid van de lezers (of preciezer, de drivers van de lezers) behoeft nog wel verbetering. Dat de lezers in de PINAutomaten (die op dezelfde manier werken) wel betrouwbaar zijn laat overigens zien dat dit niet onmogelijk is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
