NOS Nieuws•donderdag 10 mei 2018, 07:42•Aangepast donderdag 10 mei 2018, 13:27

Gegevens huisdieren en hun baasjes op straat

Joost Schellevis en Winny de Jong

Joost Schellevis en Winny de Jong

Als je je hond, kat of ander huisdier laat chippen, ga je er niet van uit dat de gegevens van je huisdier én jou zomaar te raadplegen zijn. Maar uit onderzoek van de NOS blijkt dat zeker drie databases met gegevens van huisdieren en hun baasjes niet beveiligd waren.

Chippen is verplicht voor honden. Een Kamermeerderheid wil die plicht ook voor katten. Het chippen van een huisdier is ook verstandig, zegt dierenarts Elleke Frumau. "We krijgen hier regelmatig mensen die in de buurt een kat vinden. Dan kijken we de chip na, en dan zijn ze binnen een paar uur weer thuis."

Nummer

Op de chips zelf staat alleen een nummer. Als een huisdier wordt gevonden, wordt de tekst op de chip gelezen door bijvoorbeeld de dierenambulance, waarna die het nummer op de chip invoert in een database. In die database staan vervolgens de gegevens van het huisdier en zijn of haar baasje.

Maar er is een keerzijde: zeker drie van die databases - Petbase, NDG en Backhome Club - waren slecht beveiligd, waardoor kwaadwillenden op grote schaal informatie uit de databases konden downloaden. Nadat de eigenaren door de NOS op de hoogte zijn gebracht, hebben ze de databases beter beveiligd.

Ook de privacy van kat Tesla is niet goed op orde. Hoe dat komt, zie je in de video hieronder:

0:51

Waarom de privacy van kat Tesla geschonden wordt

Breder probleem

Dit probleem komt voor bij huisdierendatabases, maar ook bij andere systemen die aan de ene kant zijn bedoeld om publiek te raadplegen, maar een de andere kant privacygevoelig zijn. Zo vond beveiligingsonderzoeker Sjoerd van der Hoorn vergelijkbare problemen in het BIG-register en het AGB-register. In beide staan gegevens van zorgverleners.

Het BIG-register is bedoeld om te verifiëren of iemand wel bevoegd is om een zorgberoep uit te oefenen; het AGB-register is bedoeld om makkelijk zorgdecleraties uit te kunnen voeren. "Beveiliging was er eigenlijk niet", zegt Van der Hoorn. Een kwaadwillende kon op grote schaal informatie plunderen. Daarbij ging het om contactgegevens - in veel gevallen om zakelijke contactgegevens, maar mogelijk ook privé-informatie. Inmiddels zijn de problemen opgelost.

Van der Hoorn heeft ook onderzoek gedaan naar andere registers. Daarvan komen er steeds meer: zo kunnen of moeten ook diëtisten, verpleegkundigen en horecamedewerkers zich inmiddels registreren in een register. In veel gevallen kunnen vraagtekens worden gezet bij de beveiliging ervan.

Dure katten

Voor eigenaren van huisdieren kan het problemen opleveren als hun gegevens op straat komen te liggen. Zo kunnen ze worden bestookt met gerichte reclame, maar mensen met slechtere bedoelingen zouden ook in kaart kunnen brengen waar dure huisdieren wonen. In de database staan bijvoorbeeld verschillende katten van een duur ras.

"Dus jullie zouden zomaar langs kunnen komen om mijn kat mee te nemen?", reageert Samantha Gerber, eigenaar van Bengalivo Rocket Star, een dure Bengaalse kat. "Ik ben geschokt dat dit zo makkelijk kan."

Groter probleem

"Ik heb zelf twee katten, en merkte dat er een bepaalde logica zat achter de nummers op de chips", zegt een ander baasje, Pim Pronk. Zijn bedrijf, Pndtech, slaagde er in om uit de database van NDG een miljoen records van huisdieren te verzamelen. Die database bevat relatief weinig informatie over de eigenaar, enkel telefoonnummer en woonplaats.

Twee databases, Backhome Club en Petbase, bevatten veel meer informatie: ook de namen van de eigenaren, evenals adres en e-mailadres. Ook geven die over het huisdier relatief veel informatie, zoals geslacht, ras en vaak zelfs een foto. Ook die databases waren op grote schaal te plunderen, blijkt uit ons onderzoek.

Petbase laat in een reactie weten dat het om 'oude programmeercode' gaat. "Maar als we iets fout doen, moeten we dat oplossen", laat Denis Leemkuil van Micpoint weten. Zijn bedrijf beheert Petbase.

Overigens kunnen baasjes ervoor kiezen om bepaalde informatie te verbergen op Petbase, zoals het adres. Uit het NOS-onderzoek blijkt echter dat weinig baasjes dat doen.

Virbac, het bedrijf achter de Backhome Club, laat weten 'nog nooit klachten' te hebben gekregen. "En we zijn al vijftien jaar bezig", zegt hij. Desalniettemin heeft ook zijn bedrijf maatregelen genomen.

NDG, naar eigen zeggen de 'grootste gezelschapsdierendatabase', is al in januari op het beveiligingsprobleem gewezen, maar ondernam toen geen actie. "Als u het echt zo graag wil, dan doen we er wel wat aan", zegt Leen den Otter, voorzitter van de NDG. "Maar het is dat u er om vraagt, anders hadden we het niet gedaan."

Het is jammer dat deze mensen meer van dieren lijken te weten dan van beveiliging.
Tipgever

De drie databases maken het nu moeilijker om op grote schaal informatie op te vragen: mensen moeten een code invullen om te bewijzen dat ze geen robot zijn. "Dat hebben we eerst al eens op onze website gehad, maar we ontvingen daarover klachten van de dierenambulance", zegt Den Otter.

"Het is jammer dat deze mensen meer van dieren lijken te weten dan van beveiliging", laat onze tipgever weten. "Als mensen moeite hebben met het overtikken van een code, weegt dat dan op tegen het feit dat informatie zo makkelijk toegankelijk is?"

'Hadden dit moeten melden'

Volgens privacy-advocaten Nina Lodder en Hester de Vries gaat het om een datalek, waarvan de chipclubs waarschijnlijk melding moeten maken bij de Autoriteit Persoonsgegevens. "Vanwege de omvang van de database kun je ervan uitgaan dat er een kans is op nadelige gevolgen voor huisdiereneigenaren", zegt De Vries. In dat geval moet melding worden gemaakt.

Tech

Deel artikel: