Honderden (en misschien duizenden) mensen zijn het slachtoffer geworden van fraude met toeslagen door misbruik van het DigID. Het was (onvoorstelbaar) tot voor kort mogelijk om met een willekeurig DigID huur- en zorgtoeslagen aan te vragen. Fraudeurs gebruikten die mogelijkheid om toeslagen voor anderen aan te vragen en die op een eigen rekeningnummer te laten storten. Als de Belastingdienst constateerde dat de toeslagen te hoog waren of onterecht waren uitgekeerd, werden de persoonsgegevens van de gebruikte DigID ingezet om het geld terug te vorderen. Hierdoor kwamen mensen in de problemen terwijl ze de toeslagen nooit hadden ontvangen.
De Belastingdienst heeft inmiddels bevestigd dat er vele burgers door dit misbruik van DigID-gegevens zijn getroffen. Voor zeker 260 huishoudens uit Rotterdam is er een strafrechtelijk onderzoek naar mogelijke fraude gestart. Dat is aanzienlijk meer dan de ‘enkele gevallen’ waar minister Donner van Binnenlandse Zaken vorige maand over sprak. Volgens nrc.next gaat het mogelijk zelfs om duizenden fraudegevallen, maar precieze aantallen wil het ministerie van Financiën niet noemen.
Fraude met DigID, ook bij de Belastingdienst, is simpel door gebruik van andermans burgerservicenummer (BSN). En dat nummer is relatief eenvoudig in handen te krijgen. Allerlei instanties en bedrijven (sportverenigingen, vogelhouderclubs, kinderdagverblijven, woningbouwverenigingen) vragen (ten onrechte) burgerservicenummers aan bezoekers en klanten, waardoor dat nummer in handen valt van een onbekend aantal onbekenden. Daarnaast staat het BSN op paspoorten en rijbewijzen.
De Belastingdienst controleerde tot voor kort niet of het DigID onder digitale aanvragen voor kinderopvang-, huur- of zorgtoeslagen wel van de aanvrager was. Fraude werd daardoor wel erg makkelijk gemaakt.
Inmiddels is duidelijk dat in ieder geval meerdere straten in Rotterdam zijn getroffen. Er loopt een strafrechtelijk onderzoek naar fraude bij 260 huishoudens, waarbij volgens de officier van justitie ‘hoogstwaarschijnlijk’ op deze manier is gefraudeerd. Maar volgens een anonieme bron die nauw betrokken is bij de zaak, zijn er nog veel meer gedupeerden. Een woordvoerder van het ministerie van Financiën ontkent de aantallen niet, maar zegt geen cijfers te hebben.
De Belastingdienst controleerde bewust niet of de DigID wel bij de aanvrager hoorde, zodat mensen of organisaties die bekenden of klanten wilden helpen met het aanvragen van een toeslag dat met hun eigen DigID konden doen. Sommige mensen vinden het namelijk moeilijk om een toeslag aan te vragen, was de redenering. ‘Een kwestie van snelle dienstverlening en van vertrouwen’, aldus de Belastingdienst. Pas dit voorjaar, na fraude met de kinderopvangtoeslag, werd een koppeling tussen DigID en burgerservicenummer voor die aanvragen aangebracht. Maar het bleef mogelijk om zorg- en huurtoeslagaanvragen met andermans DigID te ondertekenen, met talloze nieuwe fraudegevallen tot gevolg. Dit lek werd pas in augustus gedicht, nadat het storm had gelopen bij de telefonische helpdesks van de dienst. Het feit dat het DigID is ingevoerd om de ondertekenaar van een digitaal object te kunnen identificeren, is de belastingdienst blijkbaar ontgaan.
Ondertekenen met andermans DigID is nu niet meer mogelijk. Logius, dat het DigID beheert, meldt ‘betrokken te zijn geweest’ bij de deze wijziging. Maar DigID zelf is het probleem niet, zegt de woordvoerder van Logius, ook al zal er in de toekomst een veiliger systeem komen. ‘Dit valt onder de Belastingdienst’. En dat is juist. Was het niet de belastingdienst die al in 2007 het advies gaf om de DigID-gegevens van een ander te gebruiken om op tijd belastingaangifte te doen ? Fraude mag dan ook niet als onverwacht, kleinschalig of onbekend worden weggezet. Zelfs met een als authenticatiemiddel volstrekt waardeloze handtekening als het DigID is een dergelijk advies wel erg dweilen met de kraan open.
DigiD is opzich wel veilig, maar het ligt vaker aan de gemeente website`s dan aan de website`s van de rijksoverheid. conclusie wij hebben in Nederland teveel gemeentelijke websites waardoor de controle veer moeilijker wordt.