Het OM eist vier jaar cel tegen een man (29) uit Emmen voor het doorverkopen van gestolen persoonsgegevens. Foto: archief DVHN
Een 29-jarige man uit Emmen legde zich na een veroordeling voor helpdeskfraude toe op het verhandelen van persoonsgegevens. Hij had miljoenen regels informatie te koop voor zijn klanten, waaronder hackers uit Rusland.
De officier van justitie noemt het dinsdag in de rechtbank van Leeuwarden een zaak van de buitencategorie. De man uit Emmen had honderden miljoenen gestolen persoonsgegevens voorhanden, zogeheten leadslijsten. Daarmee kunnen criminelen potentiële slachtoffers benaderen. Ook verkocht hij combolijsten, waarop gebruikersnamen met bijbehorende wachtwoorden staan.
Daarbij wist de Emmenaar „dondersgoed” waar criminelen zijn data voor wilden gebruiken, zegt de officier. „Sommige lijsten waren gefilterd op leeftijd. Zo kunnen criminelen oudere en kwetsbare personen benaderen met helpdeskfraude.” Onder de aangeboden waren zaten inloggegevens van ziekenhuizen, gemeenten, universiteiten en zelfs accounts van het ministerie van Justitie en Veiligheid.
Kwetsbare ouderen
Infiltranten van de politie kochten in 2023 data van de man tijdens een ‘pseudokoop’. Toen bleek dat hij de aangeboden waar – duizend klantgegevens van 65-plussers met een rekening bij ABN-AMRO – daadwerkelijk leverde, startten agenten een onderzoek naar de man.
Die bleek geen onbekende: in 2022 werd hij veroordeeld voor het lidmaatschap van een criminele organisatie die zich bezighield met bankhelpdeskfraude. Hij liep nog in zijn proeftijd toen undercoveragenten de gestolen data van hem kochten. Na een politie-inval in 2025 kon worden vastgesteld dat de man via drie accounts persoonsgegevens verhandelde via Telegram en een site voor Russische hackers.
‘Lakse kopers’
De Emmenaar, die al een half jaar in voorarrest zit, ontkent de beschuldigingen niet. Wat de rechters hem voorhouden uit het dossier „klopt zo ongeveer wel”, zegt hij. Maar het beeld dat hij een grote speler was op de illegale markt voor gestolen persoonsgegevens bestrijdt hij. „Alle data stond gewoon op openbare fora.” Hij noemt zijn kopers laks. „Als ze zelf hadden gezocht hadden ze het zelf kunnen vinden.” Na zijn veroordeling voor bankhelpdeskfraude wilde hij geen mensen meer oplichten, zegt hij. „Ik wilde geen slachtoffers meer maken. Toen ben ik dit gaan doen.”
In totaal verdiende hij tussen 2023 en 2025 zo’n 33.000 euro met zijn handel. Naar eigen zeggen had de man het geld nodig om zijn drankverslaving te bekostigen. Dat geld kreeg hij betaald in crypto. Het Openbaar Ministerie (OM) vervolgt hem daarom ook voor witwassen. Zelf ontkent hij dat zijn cryptorekeningen iets met de handel in persoonsgegevens te maken hadden, maar dat gelooft de officier niet. „U had destijds geen ander inkomen.”
Topje van de ijsberg
Hij eist een gevangenisstraf van 4 jaar. „Bankhelpdeskfraude en beleggingsfraude beginnen bij de gegevens die deze verdachte verkocht. De lijsten waren gefilterd op kwetsbare ouderen, omdat die goed van vertrouwen zijn en vaak spaargeld hebben. Oftewel, makkelijke slachtoffers.”
Opsporingsdiensten konden slechts een fractie van de aangetroffen materialen analyseren, zegt de officier. De man maakte gebruik van een ontzettend goed beveiligde laptop en harde schijf. Meerdere apparaten waren zo goed versleuteld dat de politie er geen toegang toe heeft kunnen krijgen. „De miljoenen regels data die zijn aangetroffen zijn nog maar het topje van de ijsberg.”
Hij wil daarbij dat de man de eerdere, voorwaardelijke gevangenisstraf van 102 dagen voor helpdeskfraude alsnog uitzit.
Weinig geld
Advocaat Dennis Vlielander sluit zich aan bij het verweer van zijn cliënt. „Als hij zo’n grote speler was, waarom is er dan relatief weinig geld aangetroffen op zijn cryptorekeningen?” De man verdient volgens Vlielander ‘geen lintje’, maar was verslaafd en bekostigde zijn drankgebruik met de verkoop.
Hij vraagt de rechters een lagere gevangenisstraf op te leggen en de eerdere veroordeling om te zetten in een korte taakstraf. „Hij heeft veel in zijn mars. Volgens mij is het lichtje wel gaan branden dat het anders moet.”
De rechtbank doet op 4 mei uitspraak.
‘Diefstal gegevens kan iedereen overkomen’
Cyberexpert Maria Genova schrikt niet van de hoeveelheid data die het OM aantrof bij de verdachte uit Emmen. „Dit is precies hoe de identiteit van duizenden Nederlanders gestolen wordt. Leadslijsten zijn afkomstig van allerlei datalekken. Denk aan recente voorbeelden als Odido, Basic Fit of eerder ABN-AMRO. Het is schering en inslag.”
Die data is voor criminelen ontzettend waardevol, zeker als de gegevens gekoppeld worden aan informatie uit eerdere hacks. „De informatie uit verschillende datalekken wordt gematcht. Op die manier krijg je sneller toegang tot een bankrekening via een klantenservice.”
Bedrijven bewaren volgens Genova veel te veel data, die ze helemaal niet nodig hebben. „De verantwoordelijkheid wordt te vaak bij gebruikers gelegd.” Wat mensen zelf kunnen doen? „Maak het criminelen zo moeilijk mogelijk. Geef kopieën van je paspoort een watermerk en vul valse gegevens in als je bijvoorbeeld online een kaartje koopt voor de dierentuin. Die hebben je adres echt niet nodig.”
