Telegraaf | Duizenden Nederlandse paspoortkopieën op straat: zo zorgen sekssites en sociale media voor piek in identiteitsfraude
Categorie: Privacyrecht
Dit artikel verscheen op woensdag 21 april 2026 in Telegraaf. Onze collega Stephan Mulders werd geïnterviewd voor deze publicatie, zijn inzichten lees je in het onderstaande artikel.
Gestolen paspoorten, id-kaarten en rijbewijzen zijn immens populair onder criminelen. Met een kopie kunnen kwaadwillenden op uw naam bankrekeningen openen, telefoonabonnementen afsluiten, creditcards aanvragen of bestellingen doen, waardoor slachtoffers flink in de schulden kunnen belanden.
Een toenemend aantal onlineplatformen vraagt gebruikers om een paspoortscan in te dienen als zij het vinkje van een ‘geverifieerd profiel’ achter hun naam willen krijgen. Tegelijkertijd is er in Nederland een enorme piek zichtbaar in het aantal meldingen van misbruik met dergelijke kopieën.
Cryptoplatforms
Slechts een aantal marktpartijen moet volgens de wet online id-controles uitvoeren. Dat geldt bijvoorbeeld voor (online) banken, verzekeraars, cryptoplatforms en andere financiële instellingen op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme, en voor goksites op basis van de Wet op de kansspelen.
Toch is het aantal platformen dat gebruikers ook om paspoort- of id-scans vraagt in twee jaar tijd explosief gegroeid. Kanalen als Airbnb, Tinder, LinkedIn, Ryanair, Instagram, Facebook en diverse sekssites zoals Pornhub en OnlyFans hebben in 2025 miljarden kopieën identiteitsbewijzen ontvangen, terwijl ze daar wettelijk (nog) niet toe zijn verplicht. In 2024 waren dat er nog maar een paar duizend, zo blijkt uit de jaarverslagen.
Platformen hebben daar verschillende redenen voor. Tinder en LinkedIn gebruiken id-verificatie om nepprofielen en misleiding tegen te gaan, een groeiend probleem door AI-gegenereerde beelden. Gebruikers krijgen na een paspoortscan een blauw vinkje op hun profiel als bevestiging van hun identiteit. Airbnb stelde id-controles verplicht na incidenten en misstanden in verhuurde accommodaties.
Schadelijke content
Socialemediakanalen als Instagram, TikTok of X vragen ook sporadisch om een id-scan om de leeftijden van gebruikers te controleren. Steeds meer grote onlineplatforms komen ook onder druk te staan vanuit de EU via de Digital Services Act (DSA) om strengere leeftijdscontroles uit te voeren.
De DSA verplicht platforms om kinderen te beschermen tegen schadelijke content. Op dit moment gebeurt dat vaak nog via een simpel veld waarin gebruikers hun geboortedatum invullen, iets waar kinderen makkelijk over kunnen liegen.
In eerste instantie lijkt het positief dat platforms de regels van de DSA proberen na te leven met id-controles. Maar juist die identiteitscontroles brengen nieuwe problemen met zich mee, blijkt uit onderzoek van De Telegraaf.
LinkedIn, Ryanair, Airbnb, Roblox en nog tal van andere apps maken gebruik van het Amerikaanse bedrijf Persona om de verificaties uit te voeren. In het privacybeleid van Persona staat in de kleine letters dat paspoortgegevens en andere gevoelige persoonsgegevens met derden gedeeld mogen worden, zowel binnen als buiten Europa.
„Een database vol met paspoortgegevens is de jackpot, zowel voor hackers als voor de Amerikaanse overheid”, aldus privacy-expert Brenno de Winter. „Onder wetgeving zoals de Cloud Act kunnen Amerikaanse autoriteiten bedrijven verplichten data te verstrekken. Dat kan betekenen dat zij toegang krijgen tot paspoorten die door Persona zijn verwerkt.”
Vorige week bleek dat Persona te maken had met een beveiligingslek, waardoor alle data tijdelijk openbaar was. Ook tal van andere grote bedrijven kregen onlangs te maken met datalekken.
De fikse stijging in het aantal bedrijven dat om een id-kopie vraagt, gecombineerd met de golf aan datalekken, zorgt voor meer identiteitsfraude in Nederland. In 2025 ontving het Centraal Meldpunt Identiteitsfraude (CMI) in totaal 3373 meldingen van identiteitsfraude die voortkwamen uit het afgeven van een id-kopie. In 2024 waren dat er nog 2208, blijkt uit interne data.
Ook in 2026 loopt het aantal snel op. Waar er in januari nog 326 meldingen binnenkomen, stijgt dat in april al tot 1350. Volgens advocaat Stephan Mulders, gespecialiseerd in privacy- en technologierecht bij Blenheim, speelt er een groot conflict tussen veiligheid en privacy. „Verificatie kan helpen misstanden en nepprofielen tegen te gaan, maar brengt zeer veel privacyrisico’s met zich mee. Bij datalekken kunnen gevoelige gegevens op straat belanden, zoals is gebeurd bij het Odido-lek.”
„Ik raad mensen zéér af zomaar een paspoort- of id-scan te delen als een techbedrijf daarom vraagt. Je weet immers niet bij welk bedrijf die gegevens terechtkomen.”
Leeftijd
Om de groeiende problemen rondom online id-controles te beperken, adviseert de Europese Commissie lidstaten om voor het einde van dit jaar gebruik te maken van de EU-leeftijdsverificatieapp. De app scant eenmalig het id-bewijs van de gebruiker en registreert daarbij alleen de leeftijd. Daarna kan de app dienen als bewijs dat iemand oud genoeg is om bijvoorbeeld alcohol te kopen of toegang te krijgen tot volwassen content online. Volgens de Commissie voldoet de app daarbij ‘aan de hoogste privacynormen ter wereld’.
Brussel komt niet meteen met een wetsvoorstel om het gebruik van zo’n app verplicht te stellen. Nederland en grote techbedrijven houden dus formeel nog keuzevrijheid.