Ernstig lek bij Kadaster: miljoenen woonadressen door iedereen op te zoeken
Het was lange tijd kinderlijk eenvoudig om toegang te krijgen tot het besloten deel van het Kadaster. Normaal gesproken hebben bijvoorbeeld notarissen en gerechtsdeurwaarders toegang tot informatie zoals volledige namen en woonadressen, maar door een lek kon iedereen erbij. Levensgevaarlijk, zeggen experts.
Dat blijkt uit onderzoek van RTL Nieuws. De Autoriteit Persoonsgegevens heeft het Kadaster opgedragen om het 'ernstige lek' per direct te dichten om verder misbruik te voorkomen.
De gevoelige informatie is goud waard voor criminelen en andere kwaadwillenden, bijvoorbeeld voor bedreiging, stalking en doxing. Er wordt ook illegaal gehandeld in deze gegevens.
Op naam zoeken
Iedereen die een huis heeft gekocht, staat in het Kadaster. Het is een openbaar register met informatie over panden of percelen. Als burger kun je een adres invoeren en opzoeken hoeveel er voor een huis is betaald en wie de eigenaar is.
Maar het is ook mogelijk om andersom te zoeken: dus op naam. Je voert een naam in en krijgt het adres. Dit kan op een besloten deel van de site, veelal door mensen die daar toestemming voor krijgen, zoals makelaars, advocaten, notarissen en deurwaarders.
Alleen is die beveiliging al jaren zo lek als een mandje. RTL Nieuws kreeg gemakkelijk toegang tot het besloten deel van het Kadaster, en daarmee tot de privégegevens van miljoenen Nederlanders.
'Groot gevaar'
"Dit lek vormde een groot gevaar voor bedreigde journalisten, activisten en politici", zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. "Maar ook iedereen die te maken heeft met een boze, stalkende ex. Er kon zomaar opeens iemand op de stoep staan om hen te bedreigen, of erger. Wij hebben daarom het Kadaster meteen opgedragen dit lek te dichten."
Daaraan heeft het Kadaster gehoor gegeven: de controle is per direct 'significant versterkt', zo laat een woordvoerder weten: "Het Kadaster vindt deze signalen over mogelijk misbruik van de toegang tot gegevens uitermate zorgelijk."
Zo werkt het lek
Het is voor iedereen mogelijk om een professioneel account voor het besloten deel van het Kadaster aan te maken. De organisatie houdt geen enkele controle op welke organisatie toegang wil tot de database en verifieert geen identiteiten, ondanks de bak met gevoelige data die het beheert.
Voor het aanmaken van een professioneel account heb je een inschrijving bij de Kamer van Koophandel en een rekeningnummer nodig. Je kunt daarvoor een willekeurig bedrijf uit de Kamer van Koophandel - de sector maakt niet uit - en eveneens willekeurig rekeningnummer gebruiken. Een aanvraag wordt binnen een dag goedgekeurd.
Daarna kun je ongelimiteerd grasduinen in de meer dan 8 miljoen objectadressen in het Kadaster. Zo'n 6,5 miljoen van die objectadressen worden daadwerkelijk door een eigenaar bewoond, en gelden dus als een woonadres.
De factuur voor het aantal opvragingen valt uiteindelijk bij het betreffende bedrijf op de deurmat, en niet bij de persoon achter het account.
Niet alleen kunnen kwaadwillenden woonadressen opzoeken, maar zien vaak ook wie de partner van een eventueel doelwit is. Hun naam staat, als je samen een huis koopt, ook op de koopakte.
Levensbedreigende situaties
Met de simpele en anonieme toegang tot dit besloten deel van het Kadaster kunnen kwaadwillenden woonadressen van onder andere rechters, advocaten, journalisten, wetenschappers, politici en ex-partners opvragen. Zelfs iemand die op een dodenlijst staat, is makkelijk te vinden via het Kadaster, zo blijkt uit ons onderzoek.
"Dit lek kan leiden tot levensbedreigende situaties", stelt cybersecurity-expert Dave Maasland. "Het is tekenend voor de overheid dat ze geen idee hebben hoe gevaarlijk deze informatie kan zijn. Ze bieden een soort Gouden Gids voor criminelen aan."
Criminele handel
Maasland: "Het is onacceptabel dat de overheid niet inziet dat de wereld verandert, onze samenleving verhardt, maar geen actie onderneemt om de huidige risico's goed in te schatten. Dan zou je een functie als 'zoeken op naam' nooit zo makkelijk beschikbaar maken. Het is ongelofelijk naïef om te denken dat zo'n functie niet wordt misbruikt."
In criminele chatgroepen op Telegram wordt illegaal gehandeld in woonadressen van Nederlanders. Zowel qua vraag en aanbod is er handel in de gegevens uit het Kadaster. RTL Nieuws kreeg een aantal Kadaster-documenten opgestuurd van bekende Nederlandse artiesten die als bewijs moesten dienen dat iedereen kon worden opgezocht.
Gevoelige doelwitten
RTL Nieuws heeft met toegang tot het besloten deel van het Kadaster de woonadressen van verschillende gevoelige doelwitten opgevraagd, onder wie belangrijke ondernemers, journalisten, advocaten, activisten, wetenschappers, politici, hoge ambtenaren van ministeries, voetballers en BN'ers.
Naast woonadressen waren veelal ook paspoortnummers en de namen van hun partners in te zien. Het account werd ondanks de vele gevoelige zoekopdrachten niet door het Kadaster afgesloten of opgemerkt.
Soms waren de gegevens niet inzichtelijk. Dit was het geval bij een aantal huidige ministers, een aantal misdaadjournalisten en een miljardair van wie niet publiekelijk bekend is dat diegene wordt bedreigd.
Intimidatie en bedreiging
Zowel de politie als de Autoriteit Persoonsgegevens zien al langer een toename van intimidatie en bedreiging. Het gaat dan onder andere om het verspreiden van lijsten met woonadressen van bijvoorbeeld politici, journalisten en wetenschappers, met de boodschap om daar eens een kop koffie te gaan drinken. Deze lijsten zijn gemaakt met behulp van onder andere het Kadaster, zo blijkt uit chatgesprekken op Telegram.
Begin 2022 deed toenmalig D66-leider Sigrid Kaag aangifte tegen Willem Engel nadat hij het huisadres van de politica via social media deelde. De informatie was Kadaster-data. Een paar dagen daarvoor stond er een man met een brandende fakkel voor het huis van Kaag.
Meer dan 30.000 mensen hebben toegang
Het is opvallend dat toezicht op toegang tot het Kadaster ontbreekt, met name omdat minister Hugo de Jonge van Volkshuisvesting begin dit jaar nog beloofde dat er de afgelopen jaren "stevig is ingezet om misbruik [van het Kadaster, red.] te voorkomen".
Eén van de belangrijkste aangekondigde verbeteringen, dat niet elke professionele gebruiker toegang heeft tot de zoekfunctie op naam, is echter nog steeds niet doorgevoerd. Het Kadaster laat weten dat deze gevoelige zoekfunctie op termijn alleen beschikbaar komt voor specifieke beroepsgroepen, zoals notarissen en gerechtsdeurwaarders, maar weet niet precies wanneer dit gebeurt omdat de wetgeving eerst moet worden aangepast.
"Een belangrijk aandachtspunt bij de invoering hiervan is nog hoe om te gaan met het faciliteren van relevante beroepsgroepen voor wie 'zoeken op naam' belangrijk is, maar waarvoor nog geen centraal register bestaat, zoals journalisten en makelaars", zo laat het Kadaster weten. "Deze groepen hebben een maatschappelijke functie waarbij zoeken op naam gelegitimeerd is, maar dit zijn ook beroepsgroepen die lastig zijn af te kaderen."
Afschermen nauwelijks mogelijk
"Het verbaast me dat er nauwelijks controle op toegang tot het Kadaster plaatsvindt", reageert Anna Berlee, hoogleraar Gegevensbescherming en Privacyrecht bij de Open Universiteit. Berlee promoveerde in 2018 op een onderzoek naar het Kadaster en pleit al langer voor het beperken van toegang tot het register.
"Dit stelsel van openbaarheid stamt uit 1838", vertelt Berlee. "Alles was toen nog op papier en verspreid over heel Nederland. Door de centralisering en digitalisering van de informatie en de opkomst van met name het internet is de toegang enorm gemakkelijk geworden, veel te gemakkelijk als je ook de privacy wil beschermen."
Berlee is voorstander van afschermingsmaatregelen. Het probleem: bij het Kadaster is dat nauwelijks mogelijk. Je moet dan al actief door de overheid worden beschermd tegen dreigingen, zoals bij sommige ministers, Kamerleden en misdaadjournalisten gebeurt. De rest heeft, simpel gezegd, pech.
Het Kadaster onderzoekt samen met het ministerie van Binnenlandse Zaken of het mogelijk is dat mensen met een 'aannemelijke dreiging' die niet door de overheid worden beveiligd toch kunnen worden afgeschermd.
Maatschappelijke vragen
Het Kadaster laat weten dat het zelf heeft geconstateerd dat het vragen om enkel een KVK-nummer en bedrijfsnaam "niet volledig waterdicht" is. Daarom biedt de organisatie sinds medio 2020 e-Herkenning aan, een soort DigiD voor bedrijven. "Dit persoonsgebonden inlogmiddel geeft meer zekerheid voor overheid en burger maar kan vanwege de huidige wetgeving nog niet verplicht worden gesteld", laat een woordvoeder weten.
Ook benadrukt het Kadaster dat doxing sinds dit jaar strafbaar is: "Het Kadaster beseft dat er maatschappelijke vragen leven over de mate waarin gegevens toegankelijk zijn en dat er kans is dat kwaadwillenden daar misbruik van maken. Het strafbaar stellen van misbruik van persoonsgegevens is hierin een passende stap."
Verantwoording
RTL Nieuws heeft met toestemming van de eigenaren een aantal Kamer van Koophandel-nummers gebruikt om toegang te krijgen tot het besloten deel van het Kadaster.
Ook heeft RTL Nieuws het Kadaster ruim de tijd gegeven om het lek te dichten, onderzoek te doen en verdere maatregelen te nemen.
Na publicatie zijn alle gevoelige gegevens en professionele Kadaster-accounts verwijderd.