Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank

| AE 13538 | Regulering, Security | 27 reacties

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen aangehouden, waarvan er nu dus een veroordeeld wordt voor computervredebreuk met datadiefstal. Dat is in zoverre opmerkelijk omdat deze meneer wel degelijk in het betreffende systeem mocht zijn.

De kern van hoe dit kon gebeuren haal ik uit dit stukje proces-verbaal:

Op 7 januari 2021 was ik met medeverdachte en toenmalig GGD-collega [medeverdachte] in [plaats] . Hij was aan het werk. Ik zat samen met [medeverdachte] op de bank en hij zat achter de laptop. Hij kwam erachter dat de persoonsgegevens van iedereen met een coronatest-afspraak konden worden geraadpleegd. Wij waren onder de indruk. [medeverdachte] heeft de persoonsgegevens van BN’ers opgezocht, vastgelegd en deze aan mij doorgestuurd.
Een zeer gebrekkige beveiliging dus. De gegevens werden in appgroepen gedeeld, hoewel ik niets lees over het verhandelen daarvan. Maar dat maakt voor de strafbaarheid op zich niet uit. We hebben het delict computervredebreuk – binnendringen waar je niet mag zijn – en een verzwarende omstandigheid is het downloaden of overnemen van gegevens.

Maar wat het dus is met dat ‘binnendringen’, je moet dan wel ergens gaan waar je niet mocht komen. En deze verdachte mócht inloggen in het systeem en die gegevens opzoeken. Dat kon door een gebrekkige (veel te grofmazige) autorisatie, maar hij heeft op zich geen rare dingen gedaan. Het sluit aan bij een zaak uit 2019, waar ook het vér buiten het gewone werk gaan tot strafbaar binnendringen leidde:

De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. … Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (…)
In deze zaak motiveert de rechtbank het beperkt:
door het inloggen met een onrechtmatig gebruikt account en/of wachtwoord, althans met een ander doel dan waarvoor hem dat account en/of wachtwoord ter beschikking stond en waarvoor hem die toegang was toegestaan
Dit voelt voor mij wat kort door de bocht. Niet ieder “ander doel” is direct computervredebreuk.

Wat betreft de recente discussie over “geautomatiseerd werk”, dat gaat hier goed, de tenlastelegging vermeldt “computersyste(e)m(en) en/of server(s) van de GGD (het zogenaamde CoronIT-systeem)”. Dus door in te loggen op je account en persoonsgegevens op te zoeken die je absoluut niet hoorde op te zoeken, dring je ongeautoriseerd binnen in de hardware van de GGD.

Arnoud

Deel dit artikel

  1. Ik heb reeds eerder (op security.nl) opgemerkt dat het bij een politieagent of een medewerker van een telefonische helpdesk niet te voorspellen is welke data deze persoon nodig heeft voor de uitvoering van zijn werk op die dag. (OK, een afsprakenmaker bij de GGD heeft geen inzicht in alle medische gegevens nodig, maar wel de COVID vaccinatiegegevens.) Heel lastig om in zo’n geval toegang tot “de nodige klanten” te beperken.

    • Dat speelt nog sterker op de spoedeisende hulp van een ziekenhuis. Het is per definitie onmogelijk van te voren te weten van welke patienten je vandaag de gegevens moet inzien omdat ze binnenkomen met een autoongeluk of hartaanval.

      Dus a-priorie moet iedereen inzage kunnen krijgen in alle gegevens van iedereen.

      Alleen achteraf kun je controleren, en dat gebeurd dan ook. Er zijn mensen ontslagen omdat ze de bloedcontrole van de buurvrouw (dus met toestemming!) hadden opgezocht.

      • Is dat echt noodzakelijk? Ik bedoel, wordt dat echt gedaan? En hoe doen ze dat op de spoedeisende hulp met mensen waarvan ze geen dossier hebben? Het ziekenhuis waar ik soms kom heeft een of ander regionaal dossier, maar als ik twee provincies verder ben heeft dat ziekenhuis mijn dossier niet. En hoe doen ze dat bij mensen met een onbekende identiteit, of toeristen?

        En zelfs als ze op de spoedeisende hulp mijn dossier openen, dan hebben ze echt niet alle gegevens nodig. Een subset met zaken als medicijngebruik, allergieen, contactinformatie e.d. is zeker nuttig of nodig, maar dat ik ook bij een psychiater loop hoeven ze daar echt niet te kunnen zien. Iedereen inzage in alle gegevens van iedereen lijkt me dus sowieso een verkeerd plan. Beter is geauthoriseerde mensen hebben inzage in een noodzakelijke subset van gegevens van mensen waarvan ze een dossier hebben.

        • Ik heb zelf aan medische systemen gewerkt waarbij we werken op basis van een bestaande arts-patient relatie: alleen artsen die een bestaande relatie met de patient hebben krijgen toegang, en de mensen die die relaties beheerden (assistentes die afspraken maken, bijvoorbeeld) hadden dan weer geen toegang tot de medische gegevens. Voor de spoedeisende hulp was er special een “break-the-glass” functie, waarbij een arts kon aangeven dat hij toch bij die gegevens moest kunnen komen — waarbij deze wel even moest aangeven waarom dat zo was. Elke toegang tot gegevens werd in een auditlog bijgehouden.

          Het liefst zou ik ook zien dat je als patient zelf altijd toegang kunt krijgen tot je gegevens, inclusief die auditlog. (Voor NL: op https://www.volgjezorg.nl/ kun je al zien welke instanties via het LSP jouw gegevens raadplegen).

  2. Ik kan me voorstellen dat als een 23-jarige een account krijgt van een grote organisatieg gelinkt aan de overheid, hij er van uit gaat dat de privacy goed geregeld is en over alles goed is nagedacht, zodat als hij iets KAN hij dat ook zal MOGEN. Ik weet natuurlijk niet welke instructies hij heeft gehad; is hem door de werkgever wel voldoende duidelijk gemaakt wat wel en niet mag?

  3. Als iets me duidelijk is aan dit verhaal, dan is het dat de wet duidelijk vernieuwing behoeft. Wellicht ook met een toelichting over hoe de wet geinterpreteerd dient te worden in minder juridische taal, maar gewoon opgesteld in de onder professionals gebruikelijke termen (wat is in vredesnaam “binnendringen in een geautomatiseerd werk” precies?).

    Het zou evident moeten zijn dat als je toegang hebt tot zo’n reserveringssysteem, en je mag de vaccinatie-status bekijken, dat je dat alleen mag gebruiken waar het voor bedoeld is. Het opzoeken van BN’ers die je niet aan de telefoon hebt valt daar dan niet onder, en het verhandelen van die gegevens al helemaal niet. Dat je voor het vaststellen of iemand die dat doet strafbaar is terecht moet komen in semantische discussies over wat nou precies binnendringen in een geautomatiseerd werk is, is heel jammer.

    • Ik zie je punt over het jargon, maar is dit echt wezenlijk anders dan “binnendringen op eens anders erf”?

      Als ik als werknemer een sleutel heb van de strandtent van mijn werkgever, en ik ga in oktober na de wintersluiting daar naar binnen om mijn (vergeten) regenjas op te halen, ben ik dan strafbaar omdat ik binnendring in zijn eigendom?

      Juristerij gaat over grenzen opzoeken, en dat betekent puzzelen met woorden. Een ander woord invullen reset de discussie maar neemt die fundamenteel niet weg. Je zou hier “inbreken” kunnen gebruiken, wanneer breek je in in een computersysteem ipv wanneer dring je binnen in een geautomatiseerd werk. Maar de discussie verloopt verder exact hetzelfde.

      • Ik zou binnendringen van systemen limiteren tot het binnengaan van een (gedeelte van een) computer systeem waartoe jij geen toegang hebt. In deze casus zou hij hier niet schuldig aan zijn. Hij zou wel schuldig zijn aan diefstal van persoonsgegevens en zijn ontslag zou ook terecht zijn.

        Als jij normaal met de administratie van een bedrijf werkt, waarom zou je dan zwaarder bestraft worden voor het onnodig rondneuzen in de digitale boekhouden dan voor het onnodig rondneuzen in een papieren boekhouding? Ik zou hier dus geen computervredebreuk in zien, zolang er bijvoorbeeld geen gebruik wordt gemaakt van ander mans inloggegevens, bugs of andere hacks om bij gedeeltes van de administratie te komen waar jij normaal niet bij kan komen.

        “Toegang hebben” in deze context zie ik breed. Je wilt niet dat je strafbaar bent omdat je de verkeerde netwerkschijf of folder opent waarvan je werkgever had gezegd dat jij daar niet in mag kijken. Zolang de computer het bij normaal gebruik toelaat, heb je toegang.

        • Die analogie met de administratie is interessant. Als jij bij een telefoonprovider of energiemaatschappij werkt, en je gaat opzoeken wat een BN’er of politicus betaalt, dan voelt dat als niet de bedoeling, ondanks dat jij als administrateur best in de administratie mag. Het ‘binnendringen’ speelt dan op dossierniveau, je mocht wel in de administratiekamer zijn en de kast opentrekken maar alleen de dossiers pakken waar je werk aan moest doen. Dat is bij papieren dossiers lastig te controleren, maar bij elektronische dossiers kan het eenvoudig. Daardoor komt het vaker aan het licht.

          Verder is volgens de wet computervredebreuk het equivalent van erfvredebreuk, niet van inbraak. Ik pleeg erfvredebreuk als ik jouw onafgesloten erf betreed en weet dat dat niet mag (bv. dat bordje “art. 461 Verboden toegang”, of je had het me vorige week verteld.) Ik hoef geen beveiliging te doorbreken (slot doorknippen) of omzeilen (over je heg klimmen). Door die brede interpretatie ontstaan dus vage randgevallen, zeg maar “mag ik op zondag naar mijn kantoorwerkplek als ik de sleutel heb” of “mag je in je lunchpauze in het magazijn komen”.

          • Op de deur naar de fabriekshal staat een bordje: “Alleen betreden met veiligheidsschoenen aan.”. Een werknemer die de werkgever weg wilt hebben, gaat naar binnen zonder veiligheidsschoenen. Kan de werkgever nu de politie bellen voor erfvredebreuk?

            Hierbij is het duidelijker dat hij (zonder veiligheidsschoenen) niet naar binnen mag.

            Ik zou de situaties analyseren door te kijken hoe normaal het voor jouw functie is om te doen, ongeacht de motivatie erachter. Het betreden van de fabriekshal is normaal voor een werknemer, dus niet strafbaar omdat hij zijn schoenen vergeten is. Het betreden van het magazijn, waar je normaal voor je werk komt, terwijl je eigenlijk pauze heb, niet strafbaar. Het opzoeken van gegevens in een systeem, wat je anders ook doet als onderdeel van je werk, niet strafbaar.

            Hoewel deze dingen niet strafbaar zijn, kunnen ze wel het bedrijfsreglement overtreden. Maar dat zou niet strafbaar vanuit de wet moeten zijn. Het vervolgens stelen uit het magazijn of computer systeem is vervolgens een complete andere vraag dan het betreden.

            Ik zie al voor me dat een bedrijf in zijn reglement heeft staan dat je maximaal 5 kopjes koffie per dag mag halen. De werknemer belt vervolgens de politie voor diefstal omdat een werknemer een 6e kopje pakt. Dat zou niet moeten kunnen.

            • Perfecte analogie, van dat bordje. Dat is precies hoe het met gebruiksvoorwaarden en dergelijke werkt. Ik zou zeggen: als je onder voorwaarden ergens mag zijn, dan is het geen lokaal/erfvredebreuk als je daar bent terwijl je de voorwaarden schendt. Dat is dan een civiele kwestie (contractbreuk) die je met de eigenaar op kunt lossen. Hup, schoenen aan en terugkomen.

              Anders wordt het als de voorwaarde zo is dat je er überhaupt niet aan kunt voldoen: “Deze kasteeltuin is voor wandelend publiek geopend van zonsopgang tot zonsondergang” en jij bent er drie uur ’s nachts. Dat is dan wél erfvredebreuk. Een fietser om drie uur ’s middags pleegt geen erfvredebreuk maar schendt de voorwaarden en moet met de fiets aan de hand verder.

      • Ja moeilijk, weet ik niet.. Ik ben geen jurist. Op mij komt “binnendringen” over als specifiek het gebruiken van abnormale middelen om ergens toegang toe te krijgen. Als je dus in kan loggen door een speciaal gemanipuleerd request naar een website te sturen, of door een koevoet te gebruiken op een deur.

        Hoe ik deze zaak begrijp is dat iemand gemachtigd was om in te loggen, en zelfs van het systeem de autorisaties had om bepaalde gegevens te kunnen inzien, maar vervolgens die toegang en autorisatie heeft misbruikt door die gegevens te delen en verkopen. Ik vind het zelf niet meer “binnendringen”; het woord “dringen” voor mij geeft aan dat er een of andere vorm van, wegens gebrek aan een beter woord, “geweld” is gebruikt. Dus, een geconstrueerd request, een koevoet etc. Het lijkt mij iets als misbruik maken van autorisaties, van privileges of postitie, plus delen van vertrouwelijke gegevens met een of ander winstoogmerk. Als dat juridisch dan “binnendringen in een geautomatiseerd werk” heet, nou ja, ik ben blij dat ‘ie veroordeeld is, maar dit is dus wel waarom ik dan zeg dat de wet moet worden herzien zodat dit er in kan komen als een apart en duidelijk benoemd misdrijf. Data-diefstal wellicht, zoiets.

        En nee, als jij alleen die regenjas ophaalt vind ik niet dat dat strafbaar is als jij de sleutel hebt gekregen. Het is in elk geval geen binnendringen of inbraak. Als je die sleutel gebruikt om daar naar binnen te gaan en je gaat vervolgens daar een feest organiseren en je geeft de drankvoorrraad weg, tja dan doe je wel iets fout, maar het is geen inbraak.

      • Als ik als werknemer een sleutel heb van de strandtent van mijn werkgever, en ik ga in oktober na de wintersluiting daar naar binnen om mijn (vergeten) regenjas op te halen, ben ik dan strafbaar omdat ik binnendring in zijn eigendom?

        Jij hebt die sleutel om je werk te doen. Opruimen van je rommel (regenjas) is impliciet onderdeel daarvan, dus daarvoor mag je in oktober naar binnen.

        Een prive-feestje voor je verjaardag geven in november is geen onderdeel van je werk, dus dat mag niet.

        Dat jij de sleutel van je werk hebt betekent niet dat de werkgever alle voorwaarden daarvoor in de sloten moet opnemen (i.e. dat de sleutel alleen werkt in de periode dat de strandtent open is).

        Zelfde concept moet gelden voor computersystemen: Dat je toegang hebt betekend niet dat je erin mag, en andersom: De werkgever moet uitleggen wat wel en niet mag. Of dat in dit geval gebeurd is weet ik niet.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS