M. Boer

De laatste jaren is het fenomeen van identiteitsfraude meer in de belangstelling geraakt, vooral door het ‘overwaaien’ van ontwikkelingen in de V.S. Onder de Clinton-administratie was het Hillary Clinton die identiteitsfraude publiekelijk onder de aandacht bracht in relatie tot grootschalig misbruik van medische verzekeringen en het ongecontroleerd hoger worden van de zorgkosten. Identiteitsfraude is dus geen nieuw fenomeen. Onder identiteitsfraude wordt verstaan het creëren van een fictieve identiteit dan wel het overnemen van de identiteit van een ander (door onrechtmatig verkregen identiteitsgegevens) teneinde zich onrechtmatig te kunnen bevoordelen.
Identiteitsfraude kent vele gezichten. Iedereen kent wel schrijnende gevallen van personen die het slachtoffer zijn geworden van identiteitsfraude, en daar veel financiële schade door hebben opgelopen, of op zijn minst in de knel zijn gekomen binnen de bureaucratie van de overheid en haar geautomatiseerde systemen. Het is echter van belang te beseffen dat in toenemende mate ook bedrijven slachtoffer worden van identiteitsfraude.
Er zijn verschillende wijzen waarop een onderneming slachtoffer kan worden van identiteitsfraude. Alle vormen van identiteitsfraude vereisen echter de beschikbaarheid van identiteitsgegevens over de onderneming. Zonder deze gegevens kan de fraudeur geen identiteitsfraude plegen. Daarbij is belangrijk te beseffen dat de fraudeur niet altijd een buitenstaander hoeft te zijn. Ook een medewerker kan identiteitsfraude plegen, al dan niet in samenwerking met een derde.

Verkrijgen van gegevens

De voor identiteitsfraude benodigde identiteitsgegevens kunnen op vele (onrechtmatige) wijzen worden verkregen. We laten een aantal daarvan kort de revue passeren: diefstal, phishing, spyware en dumpster diving.
De meest voor de hand liggende vorm van het ontvreemden van identiteitsgegevens betreft platte diefstal van documenten, bijvoorbeeld het meenemen van dossiers uit een pand of het wegnemen van informatie uit een handtas of portefeuille van een van de werknemers. Een bijzondere vorm van diefstal daarbij is het zogenoemde ‘hengelen’: het stelen van gegevens uit de brievenbus. Het gebruik van documenten neemt echter af, gegevens worden meer en meer digitaal opgeslagen. Diefstal richt zich dan ook in toenemende mate op bedrijfscomputers en gegevensdragers (cd-roms, USB-sticks en externe harde schijven).
Om digitaal opgeslagen identiteitsgegevens te verkrijgen is diefstal van objecten niet altijd noodzakelijk. Steeds vaker wordt moderne informatietechnologie toegepast om aan de benodigde gegevens voor het plegen van identiteitsfraude te komen. Zo wordt veelvuldig het zogenaamde phishing toegepast, waarbij fraudeurs per e-mail, die afkomstig lijkt van bijvoorbeeld een financiële instelling, verzoeken om in het kader van controle- of testdoeleinden bedrijfskritische gegevens van de onderneming te verstrekken. Vervolgens gebruikt de fraudeur de vergaarde informatie voor identiteitsfraude.
Bij phishing is er sprake van dat door de ondernemer zelf, zij het onder valse voorwendselen, de informatie aan de fraudeur verstrekt. Het kan echter ook gebeuren dat zonder het te weten dergelijke gegevens worden verstrekt, namelijk wanneer er gebruik wordt gemaakt van zogeheten spyware programma’s. Het gebruik van dergelijke programma's neemt steeds verder toe. Ze installeren zich op de computer, verzamelen diverse vertrouwelijke/persoonlijke gegevens en versturen deze - zonder dat het slachtoffer het weet -naar de afzender van het programma, de fraudeur. Overigens kunnen ook virussen en wormen worden gebruikt om identiteitsgegevens te ontvreemden.
Tot slot willen wij de aandacht vestigen op een vergeten vorm van ontvreemding van informatie, namelijk het doorzoeken van het afval, zowel van de onderneming als van de werknemers, het zogenoemde dumpster diving. In het afval aangetroffen informatie kan, al dan niet gecombineerd met informatie die via andere methoden is achterhaald, gemakkelijk worden misbruikt.

Risico's

We hebben de wijzen waarop een fraudeur identiteitsgegevens kan verzamelen besproken, nu zullen we aandacht besteden aan wat de fraudeur met deze informatie kan. Wanneer een fraudeur beschikt over identiteitsgegevens en mogelijk aanvullende informatie kan hij de onderneming op verschillende manieren schade toe te brengen. Dit hoeft niet steeds directe financiële schade te zijn, maar kan bijvoorbeeld ook reputatieschade betreffen.
Financiële schade kan (onder meer) ontstaan wanneer de fraudeur beschikt over gegevens van een bestaande bankrekening. De fraudeur kan dan misbruik maken van de rekening. Er komt heel wat voor kijken voor een fraudeur in staat is een rekening 'leeg te halen'. Er blijven echter nog genoeg andere mogelijkheden voor misbruik over. Wanneer de fraudeur beschikt over de tenaamstelling van de rekening en het rekeningnummer of het nummer van de credit card met code, kan deze goederen bestellen, bijvoorbeeld via internet, op rekening van uw onderneming. De controle van de leverancier of deze wel met een bonafide klant te maken heeft, is doorgaans beperkt. De kans is dan ook groot dat de fraudeur de goederen op het door hem opgegeven ontvangt, maar de factuur ten laste van uw bedrijf komt. Zeker binnen kleinere ondernemingen, is het niet altijd even eenvoudig om een effectieve factuurcontrole te organiseren en bestaat er een kans dat dergelijke fraude niet wordt opgemerkt.
De schade van het (onopgemerkt) bestellen van goederen valt wellicht nog te overzien. Naarmate de fraudeur in staat is meer en ook meer gedetailleerde gegevens te verzamelen, kan de omvang van de schade sterk toenemen. Dan blijkt het in de praktijk ook mogelijk te zijn om grote bestellingen op krediet te plaatsen, leningen af te sluiten of creditcards aan te vragen.
Naast financiële schade kan zoals eerder vermeld een onderneming ook reputatieschade oplopen. Bijvoorbeeld doordat de dader de identiteit van de onderneming gebruikt bij het begaan van een misdrijf, waardoor de ware identiteit van de dader verborgen blijft. Daarbij kan gedacht worden aan het op naam van een bonafide bedrijf ter verwerking aanbieden van "bedrijfsafval" en de dader zich aldus in strijd met de regelgeving van zwaar giftig afval ontdoet. Dat kan vervelende koppen in de krant opleveren.
Zoals gezegd kan identiteitsfraude ook ontstaan doordat de fraudeur zich een fictieve identiteit aanmeet. Nadat de schijn van een betrouwbaar bedrijf is gecreëerd, worden goederen op krediet besteld, om na aflevering van de goederen "met de noorderzon te verdwijnen".
Omdat deze in de praktijk veelvuldig voorkomt, mag een tussenvorm, tenslotte, niet onvermeld blijven: het "aanleunen" tegen de identiteit van een bonafide onderneming. Door overeenkomst in naam, logo en andere uitingsvormen van de identiteit van een onderneming, wordt (misplaatst) vertrouwen gegenereerd. Recentelijk is dit de Kamer van Koophandel overkomen. De organisatie "Kantoor voor Klanten" (ook afgekort tot KvK) stuurde nepfacturen naar ondernemers welke qua logo, tekstgebruik, opmaak en kleur sprekend leken op de facturen van de Kamer van Koophandel. Veel ondernemers voldeden achteloos de factuur ad € 149,=.

Preventie

Uit ervaring blijkt dus dat het risico om slachtoffer te worden van identiteitsfraude zeer aanzienlijk is. Het is dan ook belangrijk dat een ondernemer bekend is met de steeds groter wordende problematiek en de mogelijke gevaren hiervan, zodat kan worden voorkomen dat de onderneming dergelijke schade oploopt. Het is noodzakelijk dat de ondernemer de nodige maatregelen neemt om te voorkomen dat de onderneming slachtoffer wordt.
Het kernprobleem voor is dat informatie vaak onbewust of onbedoeld de onderneming verlaat. Een bekend fenomeen is de ‘sprekende prullenbak’, waarbij achteloos weggegooide documenten de fraudeur veel bruikbare informatie kunnen vertellen. De makkelijkste en goedkoopste manier om te voorkomen dat papier met het gewone afval in de prullenbak verdwijnt, is het zelf consequent vernietigen van documenten. Dergelijk papieren afval kan ook in een afzonderlijke en afgesloten container worden gedeponeerd die periodiek door een gespecialiseerd bedrijf wordt geledigd, waarna de inhoud wordt vernietigd. Het is wel van belang dat er de inhoud van de versnipperaar regelmatig door elkaar wordt geschud. Met een beetje geduld blijken de stroken uit de afvalzak anders toch weer aan elkaar te kunnen worden geplakt.
Niet alleen het bewust omgaan met documenten en papierafval is belangrijk, maar ook het bewust omgaan met digitaal opgeslagen informatie. In de krant verschijnen met regelmaat berichten dat gegevens op straat zijn komen te liggen omdat er op onverantwoordelijke wijze is omgesprongen met de voor het werk beschikbaar gestelde computer of USB-stick. De ondernemer kan dit voorkomen door duidelijke afspraken met werknemers te maken met betrekking tot het gebruik van computers en de daarin opgeslagen informatie.
Meer in het algemeen is het van belang op de hoogte te zijn van de gevaren van identiteitsfraude en de wijzen waarop een fraudeur aan gegevens kan komen. Ondernemingen dienen op een correcte manier om te gaan met alle soorten gegevens, zowel fysiek als digitaal, om zo het risico op identiteitsfraude te beperken. Het is dus van belang afspraken te maken: over het correct vernietigen van papierafval, het niet laten slingeren van dossiers, of het niet mee naar huis nemen van gegevens die niet nodig zijn als een medewerker een dagje thuis werkt. Het maken van dergelijke afspraken is ook belangrijk om de kans op het vergaren van informatie door middel van phishing of spyware te verkleinen. Het maken van afspraken omtrent het privé gebruik van internet, het invullen van gegevens op (onbetrouwbare) internetsites en hoe om te gaan met e-mails waarin verzocht wordt informatie verstrekken, kunnen ondernemingen veel ellende besparen.
Maar pas op, hand in hand met het toenemen van het bewustzijn van ondernemers, neemt ook de professionalisering van informatiedieven toe. Het verkleinen van het risico op identiteitsfraude dient binnen ondernemingen dan ook een permanent aandachtspunt te zijn.