'Alle privégegevens zijn te koop'     Meldplicht bij diefstal, verlies of misbruik persoonsgegevens

Welkom

Inleiding

Onderzoeken Mariëndijk

Onderzoeken Peter R. de Vries

De zaak Bolhaar

Onderzoeken Goderie van Groen

Geluidsfragmenten

Media

Strafdossier/Procesgang

Contact



Het buitenland: van Pretexting en Blagging

Het onder valse voorwendselen lospraten van gevoelige privé-gegevens gebeurt natuurlijk niet alleen in Nederland, het gebeurt overal. In Amerika worden deze praktijken 'pretexting' genoemd, afgeleid van het woord pretense, vrij vertaald: voorwendsel. Pretexting dook al op in 1992 in een artikel in het blad Computerworld. Destijds belden schimmige informatiemakelaars naar de Amerikaanse sociale diensten als zijnde collega's in een andere stad waar zojuist het computernetwerk plat lag. Precies dezelfde babbeltruc die ook Kraay en Mariendijk-medewerkers vaak gebruikten. Zo achterhaalden de Amerikanen veel financiele gegevens over personen. Iemands inkomen over de laatste tien jaar ging toen, begin jaren negentig, voor 175 dollar van de hand. De federale politie deed destijds achttien maanden onderzoek naar zo'n landelijk netwerk van 'informatiemakelaars'. En toen werd het weer stil. Eens in de paar jaar duikt het onderwerp 'pretexting' op in de media, meestal als het tot rechtszaken tegen de pretexters komt.

In augustus 2006 ontstaat verreweg de grootste rel rond 'pretexting'. Het strijdtoneel is de directiekamer van het technologiebedrijf Hewlett-Packard. Bestuursvoorzitter Patricia Dunn liet de privé-gegevens van een ander bestuurslid, die ze verdacht van lekken naar de pers, natrekken. Dat gebeurde door een bureau die weer iemand anders inhuurde die zich voordeed als anderen om gevoelige informatie over de man via de telefoon los te weken, oftewel pretexting. Ook dat lijkt weer sterk op wat Mariendijk en Michel Kraay hier in Nederland deden. Het bestuurslid zou verantwoordelijk zijn geweest voor het lekken van bedrijfsgeheimen en Dunn wilde bijvoorbeeld weten met wie de man allemaal had gebeld. Ze kreeg via het bureau overzichten van zijn telefoonrekening. Zo werd het bestuurslid als 'het lek' ontmaskerd, maar het conflict verplaatste zich al snel naar Dunn zelf, omdat zij opdracht tot het privacyschendende onderzoek had gegeven. De andere HP-bestuursleden waren daar woedend over en de vertrouwensbreuk was een feit.

Toen later bleek dat Dunn ook de telefoonrekeningen van negen journalisten die vaak over Hewlett-Packard schreven had laten achterhalen waren de rapen helemaal gaar. Uiteindelijk spanden de journalisten en enkele van hun familieleden ook een rechtszaak tegen Dunn aan. Dunn ruimde uiteindelijk het veld nadat de Amerikaanse justitie een strafrechtelijk onderzoek was begonnen. Justitie lieten de aanklacht tegen Dunn overigens uiteindelijk vallen, nadat eerder HP had geschikt voor 14,5 miljoen dollar.

Nieuwe wet tegen pretexting
Het HP-schandaal zorgde voor een grote aandacht voor het fenomeen 'pretexting' en leidde in Amerika tot grote verontwaardiging. De gemiddelde Amerikaan hecht erg aan zijn privacy en in de media was alom de mening dat 'pretexting' voor een ernstige inperking van de persoonlijke vrijheden vormt. Volgens James Atkinson van het beveiligingsbedrijf Grainte Island Group is de HP-affaire slechts 'het topje van de ijsberg' en laten veel bestuursvoorzitters van Fortune 500-bedrijven 'dingen uitzoeken die ze niet zelf kunnen krijgen'. "Het was alleen nog niet op zo'n manier naar buiten gekomen als bij HP", aldus Atkinson in september 2006 in de Washington Post.

Volgens de Californische wet was pretexting overigens al volledig verboden, maar dat gold niet voor diverse andere Amerikaanse staten. Een eerdere wet, die alleen het gebruik van pretexting om financiele gegevens te achterhalen verbood, bleek niet voldoende, vond de meerderheid van het Congres. Hewlett-Packard-topvrouw Dunn beweerde dat een adviesbureau had gezegd dat het gebruik van pretexting 'in het algemeen niet onwettig' was. Maar dat is erg vreemd. Het onderzoek vond plaats in de eerste maanden van 2006. De HP-medewerkers hadden toen moeten weten dat pretexting niet legaal was. Want in december 2005 zorgde een weblogger voor ophef toen hij voor 89,95 dollar de afschriften van 100 mobiele telefoongesprekken van de ex-generaal en presidentskandidaat Wesley Clark wist te kopen.

Dat incident bracht de politiek in opschudding en zorgde voor meerdere wetsvoorstellen die pretexting volledig moesten verbieden. "Dat alles maakt het niet geloofwaardig dat de HP-directeuren op dat moment niet wisten welke fundamentele zaken er bij deze praktijken op het spel stonden", aldus journalist Bob Sullivan. Ook al verbood de federale wet alleen pretexting voor financiele gegevens, dat wilde niet zeggen dat je in sommige staten bijvoorbeeld complete telefoonrekeningen wel zou mogen achterhalen. Het liegen over wie je bent om zo toegang te krijgen tot informatie, of computerbestanden, zou ook als een strafbaar feit in de zin van de Amerikaanse wet op de computercriminaliteit kunnen zijn.

In computerkringen valt pretexting onder de verzamelnaam 'social engineering': hacken met de mond. De beroemde hacker Kevin Mitnick gebruikte dezelfde babbeltrucs om bijvoorbeeld wachtwoorden te ontfutselen. Mitnick kreeg wegens 'social engineering' een jarenlange celstraf. Volgens de Amerikaanse Justitie is het toegang verschaffen tot een beveiligd computernetwerk of computerbestanden door te doen alsof je een ander bent ook strafbaar.

In januari 2007 tekende president Bush de wet die een maximale celstraf van tien jaar en een boete van 500.000 dollar stelt op pretexting. De celstraf kan nog vijf jaar langer worden en de boete kan worden verdubbeld als met de overtredingen meer dan 100.000 dollar is verdiend en als het gaat om meer dan vijftig 'slachtoffers'.

Sites informatiemakelaars
Privacydeskundige Rob Douglas van de site PrivacyToday.com getuigde sinds 1998 meerdere keren voor het Amerikaanse Congress als expert over het probleem van pretexting. "Ik heb geen enkele twijfel dat dit soort praktijken veel vaker voorkomen dan iedereen wil geloven," zei Douglas in september 2006 tegen het tijdschrift Wired. De Amerikaanse Justitie verklaarde nog zes gevallen van pretexting te onderzoeken die leken op de HP-zaak.

Pretexting gebeurt volgens Amerikaanse specialisten al decennia. Ook in Amerika wordt er vaak gewerkt met meerdere 'schijven': de pretexters werken vaak in kleine bureautjes die in opdracht van informatiemakelaars opereren. Die verkopen de informatie weer door aan recherchebureaus of aan criminelen die de gegevens willen misbruiken. Vaak hebben zij alleen maar de naam van een huisdier nodig om een wachtwoord van bijvoorbeeld internetbankieren te weten te komen.

De Amerikaanse handelsorganisatie, Federal Trade Association, heeft de afgelopen tien jaar meermaals opgetreden tegen de illegale handel in persoonsgegevens. Eind jaren negentig doken er steeds meer websites op die openlijk adverteerden met het achterhalen van allerlei mogelijke privé-informatie. Dat gebeurt nog steeds. Bij deze sites ligt de nadruk vooral op het aanbieden van complete telefoonrekeningen en -afschriften. Deze sites richten zich in tegenstelling tot veel recherche- en informatiebureaus niet alleen op bedrijven en advocaten, maar willen ook gewone burgers als klant aan zich binden. Mensen die bijvoorbeeld met het telefoongedrag hun vreemdgaande echtgenoot willen ontmaskeren. Enkele bedrijven achter dit soort sites haalden omzetten van meer dan een miljoen dollar per jaar. Ook deze sites doen het losweken van de informatie niet zelf en huren anderen in die door middel van 'pretexting' de gevraagde gegevens telefonisch weten te krijgen.

Moord na ingekochte informatie
Dat het achterhalen van persoonsgegevens soms dodelijke gevolgen kunnen hebben, blijkt uit de moord op Amy Boyer in de staat New Hampshire in 1999. De moordenaar, Liam Youens, had op zijn site in de weken voor de moord al opgeschept dat hij zijn ex-vriendin om het leven wilde brengen. Probleem was dat hij niet wist waar ze tegenwoordig werkte, want hij wilde op haar werkplek toeslaan. Youens kocht vervolgens via de site van informatiemakelaar Docusearch.com haar werkadres. Dat kostte hem 109 dollar, schreef hij openlijk op zijn site.

Ook Docusearch achterhaalde het adres niet zelf maar huurde daarvoor voor 75 dollar de New Yorkse 'pretexter' Michele Gondini in, die met haar babbeltruc het werkadres van de vrouw wist te ontfutselen. De informatie werd de vrouw fataal: Liam Youens ging naar de plek en schoot haar dood. En daarna zichzelf. De nabestaanden van Boyer sleepten Docusearch later voor de rechter.

De aanpak van de sites die het achterhalen van privé-gegevens aanbieden is in Amerika de laatste jaren wel op gang gekomen. In 2006 sloten binnen een paar maanden al meer dan veertig sites hun deuren, nadat de wetsaanpassing in de maak was. In Florida klaagde Justitie het bedrijf Global Information Group uit de stad Tampa aan. Onder de klanten van dit bedrijf waren grote banken als Wells Fargo en Citigroup.

Global Information was volgens justitie verantwoordelijk voor vele duizenden telefoongesprekken waarin medewerkers deden alsof ze klanten van onder meer telefoonbedrijven waren. Het bedrijf schikte de zaak voor 250 duizend dollar. Een indicatie van hoe actief Global Information was: in een maand tijd kreeg alleen al telecomaanbieder Verizon meer dan 5100 belletjes van het telefoonnummer waar Global Information achter schuilging.

De grootste klanten van het bedrijf reageerden in The Boston Globe dat ze 'nooit toestemming hadden gegeven voor het gebruik van pretexting'. Hoe de door hen gevraagde gegevens dan boven water hadden kunnen komen wisten ze echter ook niet. Na de start van het strafrechtelijk onderzoek liepen de klanten van Global Information massaal weg.

Al in 1999 spande de Federal Trade Commission een zaak aan tegen Touch Tone Information Inc uit Denver, waarvan medewerkers zich voordeden als bankpersoneel om zo rekeningsaldi te bemachtigen. Twee jaar later nam de FTC drie andere online informatiemakelaars op de korrel: Information Search, SmartData en Discreet Data Systems. De FTC lokte deze drie ondernemingen in de val door namaakrekeningen aan te laten maken bij grote banken en vervolgens zelf om informatie over de saldi van die rekeninghouders te vragen.

Ook meerdere telefoonmaatschappijen hebben zelf in Amerika rechtszaken aangespannen tegen informatiebureaus, nadat ze ontdekten dat hun personeel telefonisch werd lastiggevallen. AT&T sleepte in augustus 2006 zelfs 25 bedrijven voor de rechter in Texas wegens de inzet van pretexting bij het achterhalen van 2500 telefoonrekeningen. Een maand eerder had telefoonbedrijf Sprint Nextel een schikking getroffen van 1 miljoen dollar met informatiebureau 1st Source Information Specialists.

Een ander probleem met de verkoop van mobiele telefoongegevens bleek toen 2006 de Chicago Sun-Times schreef dat de politie haar undercoveragenten had gewaarschuwd dat lijsten met hun telefoongesprekken te koop waren. Zij liepen daardoor het risico ontmaskerd te worden door criminelen die aan hun telefoongegevens zouden kunnen zien wie ze echt waren.

Legendarische pretexters
Een berucht figuur in het Amerikaanse circuit van pretexters is James Rapp. Hij deed in 2006 tijdens een hoorzitting voor het Congres een doekje open over hoe hij jarenlang te werk ging. "Het is net een spel", citeerde persbureau Associated Press hem. "Als ik moest nagaan of iemand wel terecht een uitkering kreeg wegens arbeidsongeschiktheid en niet stiekem ergens aan het werk was, dan vertelde ik die persoon dat ik van het gasbedrijf was en dat ik hem in verband met een gaslek koste wat kost overdag moest kunnen bereiken. Soms kreeg ik dan een telefoonnummer op de geheime werkplek", aldus Rapp in USA Today.  James en zijn vrouw Regana werden al in 1999 veroordeeld en stopten met hun bedrijf. De twee verkochten prive-gegevens ook door aan de roddelpers, tabloid. En dan ging het onder meer over moordzaken, zoals de slachtoffers van de schietpartij bij de Columbine High School, maar ook over Monica Lewinsky, de vrouw die president Bill Clinton in opspraak bracht. Een van de andere getuigen tijdens de hoorzitting voor het Congres was informatiemakelaar Michele Yontef. Zij wordt door collega's als legendarisch omschreven, omdat ze zeer effectief te werk gaat. Ze had zelfs bijnaam in de informatiebranche: Ma Bell.

Ex-hacker Kevin Mitnick zei in een gesprek met de San Francisco Chronicle dat hij in de jaren negentig wel eens naar een telefoonbedrijf belde en dan deed alsof hij iemand anders was om zo bepaalde software te krijgen. Mitnick blijft oproepen dat bedrijven veel alerter moeten zijn op verdachte telefoongesprekken. "Toen ik nog een prive-rechercheur was gebruikte in pretexting de hele tijd tegen telefoonbedrijven. Ze verifieren de identiteit van een klant meestal met de laatste vier cijfers van een sofinummer of een rijbewijsnummer. Die informatie kan je erg gemakkelijk vinden. (...) Het belangrijkst is het geen enkele vorm van vertrouwen te hebben," aldus Mitnick tegen persbureau AP.

Sommige informatiemakelaars gaan verder in het alleen bedenken van een kleine smoes en spelen ook echt bepaalde personages of passen hun stem aan aan de personen die ze onderzoeken. "Ik gebruik meerdere stemmen als ik met telefonisten praat. Ik kan een spaans accent doen of een neger nadoen," zegt ex-informatiemakelaar Davind Gandal in september 2006 in Newsweek. Als hij zich voor moet doen als een vrouw, zegt hij dat 'zijn vrouw' voor een keeloperatie in het ziekenhuis ligt. Hij belt dan als haarzelf terug en zet een krakende stem op. "Ze trappen erin."

Ook in de Amerikaanse informatiebranche zijn de opdrachtgevers afkomstig uit de top van het bedrijfsleven. Het informatiebureau PDJ Investigative Services schreef voorafgaand aan de hoorzitting dat het onder zijn klanten grote advocaten, financiele instellingen, incassobureaus, en opsporingsdiensten had. "Onze klanten hebben een gemeenschappelijke behoefte: ze willen mensen opsporen die niet opgespoord willen worden", schreef een ander bureau, Universal Communications, aan het Congres. Op een prijslijst die rond een hoorzitting naar buiten kwam staat dat het achterhalen van klasgenoten bij een informatiebureau 80 dollar kost, een woonadres kost 60 dollar en voor gegevens over iemands werk wordt 100 dollar gerekend.

Een docent aan de Yale School of Management, Jeffrey Sonnenfeld, vraagt zijn studenten elk semester over het het gebruik van pretexting, schreef Newsweek. "Eenvijfde van de studenten die bij adviesbureaus heeft gewerkt zegt dat ze false voorwendselen moesten gebruiken om vertrouwelijke informatie over sollicitanten of concurrenten te achterhalen. Dit is wijdverspreid", aldus Sonnenfeld.

De meeste Amerikaanse bedrijven hadden volgens een verhaal in The National Law Journal begin 2007 nog altijd geen richtlijnen voor het gebruik of tegengaan van pretexting. Ernie Brod, directeur Forenisische diensten bij Deloitte: "De hoofdvraag is: wat voor gevolgen kan het hebben als jouw bedrijf hierdoor negatief in de pers komt?"

In Groot-Brittannië: blagging
De Britten gebruiken een andere term voor pretexting: blagging. De Britse Information Commissioner, het Britse equivalent van het College Bescherming Persoonsgegevens, bracht in 2006 een groot onderzoek uit over de illegale handel in persoonsgegevens met de titel 'At what price privacy?'. Het rapport constateert ook dezelfde tussenhandel als in Nederland en in Amerika al eerder aan het licht kwam: "De leveranciers van de informatie werken met tussenlagen: ze werken in ketens met soms meerdere tussenpersonen tussen de uiteindelijke klant en de persoon die daadwerkelijk de informatie achterhaalt" aldus het rapport van de Information Commissioner, Richard Tomas.

Hij pleitte na het rapport voor hogere straffen voor 'blagging'. Tot dan toe stond op het vergrijp een straf van vijfduizend euro boete. Ook vond Tomas dat de kopers van de informatie evenzeer zouden moeten worden gestraft. Onder die opdrachtgevers waren volgens Tomas financiële instellingen, deurwaarders en veel media. Zo bleken de Britse tabloids massaal gebruik te maken van op illegale wijze verkregen privé-informatie. In totaal 305 journalisten bleken informatie te hebben afgenomen van een privé-detective in Hampshire. Alleen al de Daily Mail had 952 transacties naar de dubieuze informatiemakelaar afkomstig van 58 journalisten. Zo'n beetje alls roddelbladen bleken kind aan huis bij de man. Een journalist van een zondagskrant had een rekening van 700 Britse pond. Soms gaan Britse media nog verder. In januari 2007 kreeg een verslaggever van de krant News of the World en een privé-detective vier en zes maanden celstraf opgelegd wegens het afluisteren van telefoongesprekken en voicemail van bekende personen.

De gemiddelde prijslijst voor persoonsgegevens volgens het Britse onderzoek: achterhalen van een adres 17,50 Pond, adres bij een telefoonnummer 75,-, voertuiggegevens 150-200, rijbewijs-gegevens 250, strafblad 500, vinden van een persoon in een grote omgeving 60, geheime telefoonnummers 65, gegevens uit mobiele telefoonrekening 750.

Strengere aanpak in Engeland
Sinds 2006 is de Britse Justitie informatiebureaus harder gaan aanpakken. Zo werd in december 2006 Anthony Gerald Clifford uit Chessington veroordeeld tot 150 taakstraf en 2000 euro boete voor 'blagging'. De rechter gaf toe dat een celstraf meer op zijn plaats was geweest maar dat dat wvolgens de Britse wet onmogelijk was. Clifford achterhaalde met zijn praatjes aan de telefoon strafbladen, gegevens over autobezit, mobiele telefoon-rekeningen en lijsten van telefoonnummers van brienden en familieleden die klanten van British Telecom kunnen opgeven om korting te krijgen.

Clifford werd betrapt door British Telecom toen hij als ene 'Tim van klantenservice' opbelde en zei dat zijn computer was gecrasht. Hij was op zoek naar informatie over een klant in Knightsbridge. Een BT-medewerker vond het verhaal verdacht en een onderzoeker van de Information Commissioner deed een inval in het huis van Clifford. Een van de slachtoffers van Clifford verklaarde tijdens de rechtszaal volgens de krant The Telegraph 'geschokt' te zijn dat er iemand bereid was geweest duizend Britse Pond te betalen om alles te weten te komen over zijn financiele situatie.

In juni 2007 werden twee Britse ex-politieagenten veroordeeld wegens het schenden van de privacy van mensen naar wie ze als prive-detectives onderzoek deden.
Hun grootste klant was een miljoniar en eigenaar van een afvalbedrijf die milieuinspecteurs liet bespioneren. De ex-agenten gebruikten ook 'blaggers': een van hen moest bijvoorbeeld doen alsof hij een arts was om zo medische gegevens te bemachtigen.

In april 2007 werd informatiemakelaar Nicholas Munroe veroordeeld in London tot het betalen van achtduizend Britse pond aan boete en kosten wegens het verkopen van privegegevens van 250 mensen. Hij had daarbij ambtenaren om de tuin geleid. Onder de klanten van de man waren incassobureaus die voor General Motors werkten en de beleggingsfirma Cabot Square Capital. Opéén dag verdiende Munroe zesduizend pond doordat hij  'met een paar telefoontjes' 245 adressen wist los te peuteren, berichtte The Guardian. De boete van enkele duizenden euro's was trouwens 'peanuts' voor Munroe: zijn bedrijf Infofind haalde een jaaromzet van 100.000 pond.

Ook veroordeeld werd het echtpaar Stephen en Sharon Anderson uit St. Ives. Het duo achter het informatiebureau Analysis & Business Research verdiende jaarlijks 140 duizend Britse pond met de verkoop van privé-informatie. Zij werden in 2006 veroordeeld tot het betalen van 14 duizend Britse Pond aan boete en kosten. De twee wisten onder meer informatie los te praten bij de telefoonbedrijven, de belastingdienst en de douane.

Schrijnend geval
De BBC achterhaalde eerder een zeer schrijnend geval waarbij een verkrachte vrouw door haar veroordeelde belager vanuit de cel nog werd lastig gevallen doordat hij 'blaggers' inhuurde. De man had vanuit de gevangenis een informatiebureau opdracht gegeven om zoveel mogelijk gegevens over haar te achterhalen. Die wilde de man vermoedelijk gebruiken voor zijn hoger beroep. Daarvoor belde het bureau met allerlei bekenden van haar, onder meer haar arts.

De jonge vrouw, die tussen haar negende en dertiende meermaals was verkracht door de man, had er voor gezorgd dat hij werd veroordeeld. Ze kreeg een zenuwinzinking toen ze van allerlei mensen om haar heen hoorde dat er telefoontjes van onbekenden waren geweest, waarin er naar haar werd gevraagd. Ook vond ze op haar deurmat een papiertje van een 'koeriersdienst' dat een pakje had willen bezorgen toen ze niet thuis was. Op het papiertje stond of ze de koerier op een speciaal telefoonnummer wilde terugbellen. Toen ze dat deed, werden haar allerlei vragen gesteld. Achteraf bleek het koeriersbedrijf niet te bestaan. Ook deed de 'blagger' zich tegenover haar arts aan de telefoon voor als een psychiater bij een Londens ziekenhuis. Hij vroeg naar haar medische dossier. Toen de arts haar dat vertelde, bartste de vrouw in huilen uit, vertelde ze aan de BBC.

Onderzoekers van de Information Commissioner traceerden deze telefoontjes trouwens tot het bureau Pearmac. De directeur van dat bedrijf kreeg in oktober 2005 een boete van 750 pond. De vrouw reageerde woedend op dat volgens haar veel te lage vonnis. "Het is om gek van te worden." In 2007 heeft de Britse regering een wetsvoorstel ingediend die 'blagging' verbiedt op straffe van maximaal twee jaar celstraf.

Aan de andere kant van de wereld, in Australië, verdedigde de voorzitter van de Australische branchevereniging van privé-detectives de praktijken in oktober 2006 met een treffende uitspraak:

"Aan een privé-detective vragen om niet zulke onderzoeksmethodes te gebruiken is als het vragen aan een timmerman om kastjes te maken zonder een hamer, spijkers, schroeven of een zaag te gebruiken."



<< TERUG