Datalek brengt Financiën in verlegenheid
Foto: BELGAONTHESPOT

Een rijksregisternummer bleek zomaar op te roepen. De federale overheidsdienst Financiën moet een lek in een van haar registers dichten.

Het rijksregisternummer van Bart De Wever, iemand? Het was digitaal consulent Koen Van den Wijngaert die het op Twitter gooide. Hij was erin geslaagd het nummer te bemachtigen via de kanalen van de federale overheidsdienst Financiën. ‘Ik heb het gedaan als ondernemer, maar ik denk dat iedere burger dit kan’, lichtte Van den Wijngaert toe aan de telefoon.

‘Ik heb dit al een jaar geleden vastgesteld, maar dacht dat ze het wel zouden fiksen. Niet dus. Vandaar dat ik het in de openbaarheid bracht.’ Hij meldde het ook aan de FOD zelf en aan de Cert, de federale dienst die IT-veiligheidsproblemen aanpakt.

‘Geen hacking’

Financiën reageerde aanvankelijk dat het aanwijzingen had dat het probleem niet aan haar lag. Later gaf woordvoerder Francis Adyns toch toe dat ‘uit nader onderzoek blijkt dat er een probleem is in een van onze toepassingen, namelijk het register waar alle “uiteindelijk begunstigden” van een vennootschap of andere juridische entiteit in opgetekend staan.’ De antiwitwaswet verplicht vennootschappen, (internationale) vzw’s en stichtingen om actuele informatie over die uiteindelijke begunstigden te registreren.

Wie als gemandateerde optreedt, kon door het opgeven van de naam, voornaam en geboortedatum in die toepassing automatisch ook het rijksregisternummer van die persoon zien. ‘Er is geen sprake van hacking,’ zegt Adyns, ‘want wie zo een rijksregisternummer bekomt, staat geregistreerd.’

De toepassing is niet meer toegankelijk tot het probleem is opgelost. Financiën verontschuldigt zich en stelt alles in het werk om de toepassing opnieuw ter beschikking te stellen.

‘Niet het grootste datalek’

Rijksregisternummers te grabbel gooien is geen klein bier. ‘Dit is ernstig’, vond privacy-jurist Matthias Dobbelaere-Welvaert. ‘Met dat nummer kun je een abonnement nemen, een rekening afsluiten, een domiciliëring regelen. Niet zo onschuldig. Het kan ook een element zijn om identiteitsdiefstal te plegen. In de VS zit dat al in de top tien van de misdrijven.’

Cryptograaf Bart Preneel (KU Leuven) vindt dat dit lek niet had mogen gebeuren, maar hij relativeert. ‘Een rijksregisternummer is niet zo moeilijk zelf te fabriceren, met de geboortedatum, de getallen die voor man of vrouw gebruikt worden en twee controlecijfers. Het nummer staat ook op de identiteitskaart. Dit is heus niet het grootste datalek aller tijden.’