Door Chris Ravensbergen

Het was met Sinterklaas, ik had een drukke dag vol afspraken. Tussen twee afspraken ging m’n privételefoon. Het was een onbekend nummer en – geheel tegen m’n gewoonte – nam ik op. De beller stelde zich voor als iemand van de afdeling fraudebestrijding van de Santander Finance. Of het klopte dat ik een krediet had aangevraagd. Ik ontkende. ‘Hmmm’, reageerde de man, ‘dan gaat er iets niet goed’. Hij vertelde dat hij een dossier met mijn naam voor zich had. Ik vroeg hem het aan mij te mailen, wat hij snel deed. Ik zag een foto van mijn eigen ID-bewijs met daarbij een reeks gecreëerde persoonsgegevens. De nep-Chris Ravensbergen werkte in een ziekenhuis, had een adres in Spijkenisse, en bijgevoegd was een bankafschrift waarop diverse pinbetalingen waren te zien. Het dossier was voorzien van een telefoonnummer en een e-mailadres. Het was een onthutsende ervaring. Wat moet je doen?

Het bleek dat de vervalsers op mijn naam hadden besteld bij MediaMarkt

Dat dit uitgerekend mij treft, dacht ik verbijsterd. Ik adviseer gemeenten over risico’s, ben hartstikke voorzichtig met wachtwoorden en toegangscodes. Als ik m’n ID-kaart al afgeef, dan alleen via de app van BZK waarmee je je BSN-nummer onleesbaar kunt maken. Om te beginnen checkte ik de gegevens van de man die had gebeld. De URL van de Santanderbank klopte, het telefoonnummer was juist, het was kortom snel duidelijk dat dit een echte functionaris was die een al even echte identiteitsfraude op het spoor was. Toen ik hem later terugbelde, vertelde hij meer over de toedracht. Het bleek dat de vervalsers op mijn naam een bestelling hadden gedaan bij de MediaMarkt. Je kunt dan kiezen voor een IDEAL-betaling, achteraf betalen of het aanvragen van een krediet, en dan kom je uit bij Santander Finance. 

Organisaties blijken nog niet gewend aan identiteitsfraude. De politie noteerde mijn aangifte, maar de zaak werd al snel geseponeerd door capaciteitstekort bij het OM. De gemeente vernietigde mijn oude ID-kaart en noteerde dat hij was gestolen. Identiteitsfraude kon in het systeem niet worden genoteerd. De Rabobank meldde desgevraagd dat het rekeningnummer van de pseudo-Chris Ravensbergen echt bestond, maar ze konden en mochten niet zeggen welk adres erbij hoorde. Ik geloof niet dat er werk wordt gemaakt.

Intussen ben ik erachter dat ik toch een keer mijn ID-kaart heb afgegeven: het moet zijn gebeurd toen ik bij het inchecken in een hotel even naar de wc ben gelopen. Navraag bij de manager leert dat degene die me destijds (het was in september vorig jaar) heeft ingecheckt niet meer werkt in het hotel. Maar het bewijs is te mager om die persoon te beschuldigen. Alles bij elkaar geeft de kwestie een unheimisch gevoel dat gelukkig langzaam begint weg te ebben. Ook al omdat er een landelijk Centraal Meldpunt voor Identiteitsfraude (CMI) bestaat. Daar slaan ze je dossier op, en als dan blijkt dat er bijvoorbeeld een BKR-registratie onterecht op je naam staat, gaan ze je het oplossen. Iets wat je zelf nooit lukken zou. 

Afijn, de boodschap van dit verhaal is dat je voorzichtig moet zijn met paswoorden, toegangscodes en ID-bewijzen. Maar ook dat je nooit 100% cyberproof bent, al doe je nog zo je best. Hoe veerkrachtig is je organisatie als er toch iets misgaat? Hoe word je zo ‘resilient’ dat je crises de baas blijft? Laat dat nu toevallig uitgebreid aan bod komen op het Resilience Congres van VNG Risicobeheer op 27 maart. De inschrijving is open, komt allen!

Chris Ravensbergen is directeur van VNG Risicobeheer.