Het UBO-register van de FOD Financiën maakt het mogelijk om iemands rijksregister op te zoeken. De dienst heeft de tool daarom tijdelijk offline gehaald.

Het was digital consultant Koen Van den Wijngaert die het probleem op twitter aankaartte. Via een API van de tool kan je met behulp van een naam en een geboortedatum iemands rijksregister opzoeken.

Zeg @ministryprivacy, is het eigenlijk de bedoeling dat je via een API van een bepaalde FOD de RRN van eender welke Belg kan opzoeken? Wat kan je daar zoal mee doen? #dtv pic.twitter.com/anWXLKoF0J — Koen Van den Wijngaert (@vdwijngaert) January 6, 2021

'Je kan er als bedrijf inloggen om Belgen op te zoeken op basis van hun naam en geboortedatum, vervolgens krijg je het rijksregisternummer terug en of ze meerderjarig zijn', zegt Van den Wijngaert aan Data News. Dat laatste slaat mogelijk op vervroegde minderjarigheid.

Hij geeft ook mee dat hij het probleem een jaar geleden al ontdekte. Toevallig ontdekte hij nu dat het probleem er nog steeds zit, waarop hij CERT.be contacteerde en het probleem op Twitter aankaartte, zonder de dienst op dat moment bij naam te noemen.

Sinds 2018

Intussen heeft CERT het probleem doorgegeven aan de FOD Financiën en bevestigt die ook dat het om het UBO-register gaat. Dat staat voor 'Ultimate Beneficial Owners' of 'Uiteindelijk Begunstigden', van juridische entiteiten. Het helpt organisaties om informatie over die personen te verzamelen onder meer voor antiwitwaswetgevingen.

Volgens Van den Wijngaert bestaat de tool sinds oktober 2018 en zat het lek er al van bi het begin in. Het register is sinds gisterenavond offline gehaald en wordt intussen aangepast. De FOD Financiën laat weten dat de tool intern werd ontwikkeld.

Relatieve impact

Is dit een groot privacylek? Neen. De tool in kwestie is enkel vrij toegankelijk voor bedrijfsverantwoordelijken. Daarnaast is een rijksregister geen supergevoelige informatie. Zo bestaat het nummer al voor een groot deel uit je geboortedatum.

Maar het is geen goede zaak dat die gegevens zomaar opvraagbaar zijn en dat wordt ook erkend door de FOD Financiën. Misbruik ervan zou bijvoorbeeld identiteitsfraude kunnen vergemakkelijken.

De FOD Financiën bevestigt aan onze redactie dat het gebruik van de tool ook wordt bijgehouden. De overheidsdienst heeft geen weet van massaal misbruik, maar zal dat verder controleren.

Het was digital consultant Koen Van den Wijngaert die het probleem op twitter aankaartte. Via een API van de tool kan je met behulp van een naam en een geboortedatum iemands rijksregister opzoeken.'Je kan er als bedrijf inloggen om Belgen op te zoeken op basis van hun naam en geboortedatum, vervolgens krijg je het rijksregisternummer terug en of ze meerderjarig zijn', zegt Van den Wijngaert aan Data News. Dat laatste slaat mogelijk op vervroegde minderjarigheid.Hij geeft ook mee dat hij het probleem een jaar geleden al ontdekte. Toevallig ontdekte hij nu dat het probleem er nog steeds zit, waarop hij CERT.be contacteerde en het probleem op Twitter aankaartte, zonder de dienst op dat moment bij naam te noemen.Intussen heeft CERT het probleem doorgegeven aan de FOD Financiën en bevestigt die ook dat het om het UBO-register gaat. Dat staat voor 'Ultimate Beneficial Owners' of 'Uiteindelijk Begunstigden', van juridische entiteiten. Het helpt organisaties om informatie over die personen te verzamelen onder meer voor antiwitwaswetgevingen.Volgens Van den Wijngaert bestaat de tool sinds oktober 2018 en zat het lek er al van bi het begin in. Het register is sinds gisterenavond offline gehaald en wordt intussen aangepast. De FOD Financiën laat weten dat de tool intern werd ontwikkeld.Is dit een groot privacylek? Neen. De tool in kwestie is enkel vrij toegankelijk voor bedrijfsverantwoordelijken. Daarnaast is een rijksregister geen supergevoelige informatie. Zo bestaat het nummer al voor een groot deel uit je geboortedatum.Maar het is geen goede zaak dat die gegevens zomaar opvraagbaar zijn en dat wordt ook erkend door de FOD Financiën. Misbruik ervan zou bijvoorbeeld identiteitsfraude kunnen vergemakkelijken.De FOD Financiën bevestigt aan onze redactie dat het gebruik van de tool ook wordt bijgehouden. De overheidsdienst heeft geen weet van massaal misbruik, maar zal dat verder controleren.