Schatkist Staatsloterij zit niet op slot

Een nummer van een lot is snel verwisseld in de elektronische krochten van de Staatsloterij. De apparatuur is niet afdoende beveiligd. En de Griekse beheerder heeft een bedenkelijke reputatie. Hoe eerlijk gaat het eraan toe?

Beeld de Volkskrant

Het is een ritueel in meer dan twee miljoen huishoudens: op de tiende van de maand, als de trekking van de Staatsloterij is geweest, wordt met lichtverhoogde hartslag gekeken of de euro's nou eindelijk toestromen. Of de baan kan worden opgezegd, de wereldreis geboekt, met de verbouwing van het huis kan worden begonnen. Al die miljoenen lotenkopers vertrouwen erop dat het spel eerlijk verloopt. Maar uit onderzoek van de Volkskrant blijkt dat daar grote vraagtekens bij te plaatsen zijn.

Het kantoor van Intralot, een Grieks bedrijf dat de systemen en software van de Staatsloterij en de Lotto ontwikkelt en beheert, heeft een heilige ruimte. Deze ruimte is voor een loterij als een kluis voor een bank. Alleen liggen hier niet stapels geld, maar staan er metershoge rekken met apparatuur en servers. In de servers zitten de cijfercodes van loten die miljoenen euro's vertegenwoordigen. Dit is het hart van de Staatsloterij.

Maandelijks gaan de codes van de verkochte loten vanuit de heilige ruimte naar de trekkingsmachine in het hoofdkantoor van de Staatsloterij in Den Haag. Onder toeziend oog van een notaris worden daar door de computer de winnende nummers gegenereerd. Diezelfde avond zijn de winnaars bekend.

De ruimte waar de gegevens van verkochte loten worden opgeslagen, in een groot kantoorgebouw aan de A10 in Amsterdam, moet ondoordringbaar zijn, maar is dat niet. Meerdere oud-medewerkers van Intralot Nederland spreken tegenover de Volkskrant van een beveiligingslek waardoor het voor personeel van Intralot in Griekenland mogelijk is de database met loten te manipuleren. De leiding van het bedrijf zou ervan op de hoogte zijn, maar de situatie in stand houden.

Bende

Dat er van alles mis is met de systemen en de beveiliging van Intralot constateert ook accountantskantoor PricewaterhouseCoopers (PWC), dat twee keer per jaar een audit doet om de integriteit en veiligheid van de systemen te controleren. In een vertrouwelijk rapport uit 2011, dat in bezit is van de Volkskrant, wordt gesteld dat er niet wordt voldaan aan vereisten op het gebied informatiebeveiliging.

Een aantal werknemers heeft zonder de juiste bevoegdheid toegang tot de systemen, zo stellen de controleurs. 'De meerderheid van deze accounts behoren toe tot werknemers van een derde partij.' Deze 'derde partij' is het moederbedrijf van Intralot in Athene. Ook is er volgens PWC in sommige gevallen geen zicht op de activiteiten die de werknemers ondernemen in die systemen.

Meerdere (oud-) werknemers van Intralot verklaren nu dat de Grieken door het gebruiken van een directe verbinding in staat zijn verkochte loten uit de database te halen en eigen, nieuwe nummers toe te voegen. 'Ik weet niet of het gebeurde, maar het kon', zegt een voormalig medewerker. 'Als je de kluisdeur in een bank laat openstaan, gaat het ook fout. Ik heb bovendien altijd gedacht: dit zijn criminelen. Ik werk met een bende.'

'Durf te dromen, zie het voor je, straal het uit, zodat iedereen erin gaat geloven', zegt de warme stem in de Staatsloterijreclame van deze zomer. Geloof, vertrouwen, eerlijkheid: zonder dat kan een loterij niet bestaan. Dit geldt zeker voor de Staatsloterij: opgericht in 1726, met de minister van Financiën als enig aandeelhouder en een logo van de rijksoverheid op alle loten. Met zo'n drie miljoen verkochte loten per maand en een jaarlijkse prijzenpot van ruim 500 miljoen euro is het bovendien verreweg de grootste loterij van Nederland.

Reputatie

Ook de grootste loterij van Nederland let op de centen. Om kosten te besparen zoekt de Staatsloterij vanaf 2005 samen met concurrent Lotto naar een bedrijf dat de loterijsystemen kan beheren. Naast Intralot was het Italiaanse Gtech geïnteresseerd. De Grieken, die al in tientallen landen actief waren, kregen de opdracht vanwege hun scherpe offerte.

Dat de reputatie van multinational Intralot al jaren niet vlekkeloos is, lijkt voor de Staatsloterij geen belemmering. Zo was er de zaak van Stamatina Marmara, die getrouwd was met een voormalig bestuurslid van Intralot Griekenland. Tussen 2003 en 2005 won ze herhaaldelijk grote prijzen bij de Griekse staatsloterij.

Wereldwijd lopen er sinds de oprichting van Intralot in Athene in 1992 onderzoeken naar witwassen, fraude, verduistering, omkoping, misleiding en spionage, blijkt uit een rapport van Kroll, een gerenommeerd Amerikaans consultancybureau. Kroll voerde het onderzoek uit in opdracht van de staat Illinois, dat zelf z'n loterij wilde uitbesteden. Hoewel geen van de onderzoeken resulteerde in een veroordeling was de reeks van verdenkingen tegen Intralot voor Illinois genoeg om de Grieken uit te sluiten als samenwerkingspartner.

Veiligheidseisen

Diezelfde Grieken regelen in Nederland bijna de gehele infrastructuur van de Staatsloterij. Het systeem in de lokale sigarenwinkel waarmee een verkocht lot wordt geregistreerd. Het beheer van de website. De opslag en het onderhoud van de gegevens van loten. En het incasseren en uitbetalen van geld.

Al snel na de start van de samenwerking tussen Intralot en de Staatsloterij ontstaan ook in Nederland problemen. De Grieken blijken het niet zo nauw te nemen met de veiligheidseisen waaraan de Staatsloterij zegt te willen voldoen.

Binnen Intralot ontstaan ruzies over beveiligingskwesties tussen het Griekse management en personeelsleden. 'Mensen die voor hun werkzaamheden helemaal niet in de serverruimte hoefden te zijn snuffelden daar rond', zegt een oud-medewerker. 'Dat is tegen alle regels. Maar als je daar wat van zei, werd je de mond gesnoerd.'

Ook via de computersystemen kunnen personeelsleden die er vanuit hun functie niks te zoeken hebben volgens verschillende oud-medewerkers bij de gegevens van verkochte loten. 'Ze hadden de sleutels voor het koninkrijk.'

Tussen de Griekse leiding van Intralot Nederland en het management van de Staatsloterij lopen de spanningen op. Joost den Heijer, directeur operationele zaken van de Staatsloterij, gaat daar in 2011 in het vakblad De IT-auditor in bedekte termen op in. 'De Grieken zijn heel terughoudend en zullen het nooit zeggen als ze iets niet halen, ze hebben een enorm eergevoel.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden