'Websites Hengelo, Hardenberg en Haaksbergen stonden open voor hackers'

Bij twaalf gemeenten en bij twee instanties hadden computercriminelen de mogelijkheid om via de gemeentelijke site door te dringen tot de DigiD van honderdduizenden Nederlanders. Onduidelijk is of dit ook in de Overijsselse gemeenten is gebeurd.

Het programma trekt die conclusie op basis van eigen onderzoek in de uitzending van dinsdagavond. De beveiliging van de gemeentelijke sites zou niet op orde zijn geweest door het gebruik van standaardwachtwoorden, die eenvoudig te achterhalen waren.

Potentieel treft de onveilige situatie een half tot één miljoen DigiD-gebruikers, die sinds september 2013 het gevaar gelopen dat uit hun naam allerlei toeslagen werden aangevraagd.

De kwetsbaarheid zit volgens het onderzoek van Opgelicht?! in de koppeling tussen de gemeenten en DigiD. "Zowel de voor- als de achterdeur van de betrokken gemeenten stond wagenwijd open", aldus samensteller Hester Schoppert. Het programma heeft tot dusver geen slachtoffers kunnen achterhalen. "Maar hackers hadden desgewenst veel geld aan toeslagen kunnen binnenslepen."

Opgelicht?! wijst erop dat wanneer burgers slachtoffer worden van misbruik van hun DigiD, zij daar in de meeste gevallen zelf voor verantwoordelijk worden gehouden. Een lekkage in het beveiligde systeem is doorgaans moeilijk aan te tonen.

Tweede Kamerlid Kees Verhoeven (D66) wil dat minister Ronald Plasterk (Binnenlandse Zaken) in de Kamer tekst en uitleg geeft. Volgens hem moeten de burgers in de getroffen gemeenten 'weten dat hun DigiD-inloggegevens te grabbel hebben gelegen'. "Dit is geen klein foutje, het gaat om 24 gemeenten en potentieel een miljoen mensen", aldus de politicus.

Plasterk is volgens hem verantwoordelijk voor DigiD en de onveilige situatie. "Het lijkt er sterk op dat men dit lek verborgen heeft willen houden, maar dat is niet gelukt. De minister moet uitleggen hoe deze blunder heeft kunnen plaatsvinden."