Identiteitsfraude en eIDAS

Brillen

Na de fraude met toeslagen en uitkeringen door Bulgaren in 2013, maakte de politie onlangs weer melding van een nieuwe vorm van paspoortfraude. Oost-Europeanen die zich al in Nederland hebben ingeschreven, kunnen in eigen land legaal hun naam wijzigen en zich in Nederland vervolgens voor een tweede keer inschrijven, met een nieuw paspoort en bijbehorende nieuwe naam.

In een land als Roemenië is de unieke, met BSN vergelijkbare, code op het paspoort het belangrijkst, in Nederland wordt alleen naar de naam gekeken. Hierdoor kunnen fraudeurs onbeperkt toeslagen en uitkeringen opstrijken. Door naar de unieke code te kijken had de fraude eenvoudig opgemerkt kunnen worden.

Interessant is om dergelijke vormen van fraude eens te bekijken in de context van de onlangs aangenomen Europese eIDAS verordening over elektronische identificatie en vertrouwensdiensten. Kortgezegd komt de verordening neer op het erkennen van de beweringen die een lidstaat maakt over de elektronische identiteiten van zijn burgers door andere lidstaten. Dit betekent dat een Oost-Europeaan online, na zich te hebben geauthentiseerd met zijn nationale eID middel, in Nederland een uitkering kan opvragen. De Nederlandse publieke dienstaanbieder ontvangt dan naast de unieke code, de voor- en achternaam, geboortedatum en geboorteplaats van de betreffende persoon. Deze minimale set van attributen wordt als voldoende uniek identificerend beschouwd.

Stel nu dat deze persoon een naamswijziging doorvoert in zijn eigen land en vervolgens opnieuw online een uitkering aanvraagt. Dan zal de dienstaanbieder een andere naam ontvangen maar dezelfde unieke code (en geboortedatum). Op basis hiervan moet er bij de dienstaanbieder een alarmbelletje gaan rinkelen.

Leunen op de unieke code is echter niet zaligmakend. In Duitsland, bijvoorbeeld, verandert deze code als een burger een nieuwe Personalausweis aanvraagt. Een Duitser zou hiermee bij een Nederlandse dienstaanbieder een tweede uitkering aan kunnen vragen. In dat geval moet wel naar de voor- en achternaam, geboortedatum en –plaats gekeken worden om fraude te detecteren.

Kortom, Nederlandse publieke dienstaanbieders doen er verstandig aan om niet alleen naar de naam of unieke code te kijken, maar alle identiteitsinformatie te gebruiken ter voorkoming van identiteitsfraude vanuit het buitenland.

Leave a Reply