Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen aangehouden, waarvan er nu dus een veroordeeld wordt voor computervredebreuk met datadiefstal. Dat is in zoverre opmerkelijk omdat deze meneer wel degelijk in het betreffende systeem mocht zijn.

De kern van hoe dit kon gebeuren haal ik uit dit stukje proces-verbaal:

Op 7 januari 2021 was ik met medeverdachte en toenmalig GGD-collega [medeverdachte] in [plaats] . Hij was aan het werk. Ik zat samen met [medeverdachte] op de bank en hij zat achter de laptop. Hij kwam erachter dat de persoonsgegevens van iedereen met een coronatest-afspraak konden worden geraadpleegd. Wij waren onder de indruk. [medeverdachte] heeft de persoonsgegevens van BN’ers opgezocht, vastgelegd en deze aan mij doorgestuurd.
Een zeer gebrekkige beveiliging dus. De gegevens werden in appgroepen gedeeld, hoewel ik niets lees over het verhandelen daarvan. Maar dat maakt voor de strafbaarheid op zich niet uit. We hebben het delict computervredebreuk – binnendringen waar je niet mag zijn – en een verzwarende omstandigheid is het downloaden of overnemen van gegevens.

Maar wat het dus is met dat ‘binnendringen’, je moet dan wel ergens gaan waar je niet mocht komen. En deze verdachte mócht inloggen in het systeem en die gegevens opzoeken. Dat kon door een gebrekkige (veel te grofmazige) autorisatie, maar hij heeft op zich geen rare dingen gedaan. Het sluit aan bij een zaak uit 2019, waar ook het vér buiten het gewone werk gaan tot strafbaar binnendringen leidde:

De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. … Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (…)
In deze zaak motiveert de rechtbank het beperkt:
door het inloggen met een onrechtmatig gebruikt account en/of wachtwoord, althans met een ander doel dan waarvoor hem dat account en/of wachtwoord ter beschikking stond en waarvoor hem die toegang was toegestaan
Dit voelt voor mij wat kort door de bocht. Niet ieder “ander doel” is direct computervredebreuk.

Wat betreft de recente discussie over “geautomatiseerd werk”, dat gaat hier goed, de tenlastelegging vermeldt “computersyste(e)m(en) en/of server(s) van de GGD (het zogenaamde CoronIT-systeem)”. Dus door in te loggen op je account en persoonsgegevens op te zoeken die je absoluut niet hoorde op te zoeken, dring je ongeautoriseerd binnen in de hardware van de GGD.

Arnoud

27 reacties

  1. Ik heb reeds eerder (op security.nl) opgemerkt dat het bij een politieagent of een medewerker van een telefonische helpdesk niet te voorspellen is welke data deze persoon nodig heeft voor de uitvoering van zijn werk op die dag. (OK, een afsprakenmaker bij de GGD heeft geen inzicht in alle medische gegevens nodig, maar wel de COVID vaccinatiegegevens.) Heel lastig om in zo’n geval toegang tot “de nodige klanten” te beperken.

    1. Dat speelt nog sterker op de spoedeisende hulp van een ziekenhuis. Het is per definitie onmogelijk van te voren te weten van welke patienten je vandaag de gegevens moet inzien omdat ze binnenkomen met een autoongeluk of hartaanval.

      Dus a-priorie moet iedereen inzage kunnen krijgen in alle gegevens van iedereen.

      Alleen achteraf kun je controleren, en dat gebeurd dan ook. Er zijn mensen ontslagen omdat ze de bloedcontrole van de buurvrouw (dus met toestemming!) hadden opgezocht.

      1. Is dat echt noodzakelijk? Ik bedoel, wordt dat echt gedaan? En hoe doen ze dat op de spoedeisende hulp met mensen waarvan ze geen dossier hebben? Het ziekenhuis waar ik soms kom heeft een of ander regionaal dossier, maar als ik twee provincies verder ben heeft dat ziekenhuis mijn dossier niet. En hoe doen ze dat bij mensen met een onbekende identiteit, of toeristen?

        En zelfs als ze op de spoedeisende hulp mijn dossier openen, dan hebben ze echt niet alle gegevens nodig. Een subset met zaken als medicijngebruik, allergieen, contactinformatie e.d. is zeker nuttig of nodig, maar dat ik ook bij een psychiater loop hoeven ze daar echt niet te kunnen zien. Iedereen inzage in alle gegevens van iedereen lijkt me dus sowieso een verkeerd plan. Beter is geauthoriseerde mensen hebben inzage in een noodzakelijke subset van gegevens van mensen waarvan ze een dossier hebben.

        1. Het argument is dat je bij spoedeisende situaties niet weet wat je wel of niet nodig hebt, en dat iets niet weten tot levensgevaar kan leiden. Denk aan die psychiater: heeft die jou antipsychotica voorgeschreven bijvoorbeeld, dat kan bijwerkingen geven met de medicatie die men nu wil geven. En als jij totaal in paniek binnengedragen wordt, willen we misschien juist wel de psychiater bellen omdat die je kan helpen.

          Als er geen dossier is dan probeer je er het beste van te maken, maar het is heel moeilijk om iemand te helpen als je de voorgeschiedenis niet kent (allergieën, medicatie, wensen mbt orgaandonatie, overleg met familie). Dus dat heeft zeer sterk niet de voorkeur.

          1. Antipsychotica zijn medicijnen, en die zouden dus wel op de lijst van medicijngebruik staan en dus inzichtelijk zijn. Dat ik onder behandeling ben bij Dr. Zielenknijper kan ook zichtbaar zijn, maar de inhoud van hetgeen ik met die psychiater bespreek hoeft dat toch niet te zijn? M.a.w de spoedeisende hulp moet kunnen zien dat ik medicijn X slik, en dat Dokter Y een van mijn behandelend artsen is, maar niet wat ik precies vorige week met die psychiater besproken heb.

            1. maar niet wat ik precies vorige week met die psychiater besproken heb
              Dat soort details horen er ook niet in te staan. Dat zijn de persoonlijke aantekeningen / werknotities van de zorgprofessional, kunnen ook hypotheses in staan en het is absoluut niet de bedoeling dat collega’s of de patiënt die te zien kunnen krijgen. En als patiënt heb je recht op inzage.

                1. Zeker, en dat is een spannende situatie omdat je als zorgverlener ook soms aantekeningen wilt maken of op dingen wilt broeden voordat je het de patiënt vertelt. Je krijgt dan de discussie van de rechten en belangen van anderen (art. 15 lid 4 AVG) met het argument dat de arts in vrijheid moet kunnen werken. Zeg maar, je ziet op een mri-scan een rare bobbel, je noteert “tumor” en plant nader onderzoek. Je wilt niet dat de patiënt dit thuis ’s avonds laat ziet want die denkt “kwaadaardig kankergezwel ik ga dood” maar in medisch jargon is het gewoon een zwelling en moet je nader onderzoek doen. Daarom zie ik het als gerechtvaardigd als een arts zegt, inzage kan niet zomaar.

                      1. Art. 15 lid 4 AVG is toch geen vrijbrief voor het categorisch uitsluiten van gegevens van het inzagerecht simpelweg omdat gegevens in veld X, Y of Z staan? Zou het niet zo horen te zijn dat bij een verzoek om inzage elk persoonsgegeven individueel beoordeeld wordt om te bepalen of er op basis van genoemde artikel een bezwaar is inzage te verstrekken?

                        1. Stel je niet te veel voor van zo’n schaduwdossier, in de praktijk zal het gaan om één of twee documenten die nog beoordeeld moeten worden. Ik denk niet dat je op dat niveau nog een zinvol nader onderscheid kunt maken, wel de patiëntnaam/nummer maar niet de mri-scan en wel “onderzoek dd/mm” maar niet aantekeningen arts.

          2. Ik kan uit ervaring vertellen dat je in zo’n paniek-door-antipsychoticageval niet naar de SEH wordt gebracht maar een enkeltje politiebureau krijgt, alwaar je moet wachten tot er mensen van de GGZ langskomen om je te helpen. Goed, nu was dat wel zo’n 7 jaar geleden, maar dat zal vast niet veranderd zijn.

    2. Het is ook niet te voorspellen, maar wel achteraf te controleren. Een medewerker is er zelf verantwoordelijk voor dat deze geen informatie opvraagt van mensen die hij niet aan het helpen is, en dan alleen het nodige.

      Kortom, ik snap je punt niet helemaal. Er vraagt toch niemand om een “beperking” ?

      1. Steven en Richard, compleet eens met jullie observatie dat logging (en auditing van deze logging), dus controle achteraf een goede beveiligingsmethode is. Blijkt uit de diverse rechtszaken rondom excessieve CoronIT toegang. Ik ben benieuwd hoeveel medewerkers er stilletjes zijn ontslagen.

        1. Ik heb zelf aan medische systemen gewerkt waarbij we werken op basis van een bestaande arts-patient relatie: alleen artsen die een bestaande relatie met de patient hebben krijgen toegang, en de mensen die die relaties beheerden (assistentes die afspraken maken, bijvoorbeeld) hadden dan weer geen toegang tot de medische gegevens. Voor de spoedeisende hulp was er special een “break-the-glass” functie, waarbij een arts kon aangeven dat hij toch bij die gegevens moest kunnen komen — waarbij deze wel even moest aangeven waarom dat zo was. Elke toegang tot gegevens werd in een auditlog bijgehouden.

          Het liefst zou ik ook zien dat je als patient zelf altijd toegang kunt krijgen tot je gegevens, inclusief die auditlog. (Voor NL: op https://www.volgjezorg.nl/ kun je al zien welke instanties via het LSP jouw gegevens raadplegen).

  2. Ik kan me voorstellen dat als een 23-jarige een account krijgt van een grote organisatieg gelinkt aan de overheid, hij er van uit gaat dat de privacy goed geregeld is en over alles goed is nagedacht, zodat als hij iets KAN hij dat ook zal MOGEN. Ik weet natuurlijk niet welke instructies hij heeft gehad; is hem door de werkgever wel voldoende duidelijk gemaakt wat wel en niet mag?

  3. Als iets me duidelijk is aan dit verhaal, dan is het dat de wet duidelijk vernieuwing behoeft. Wellicht ook met een toelichting over hoe de wet geinterpreteerd dient te worden in minder juridische taal, maar gewoon opgesteld in de onder professionals gebruikelijke termen (wat is in vredesnaam “binnendringen in een geautomatiseerd werk” precies?).

    Het zou evident moeten zijn dat als je toegang hebt tot zo’n reserveringssysteem, en je mag de vaccinatie-status bekijken, dat je dat alleen mag gebruiken waar het voor bedoeld is. Het opzoeken van BN’ers die je niet aan de telefoon hebt valt daar dan niet onder, en het verhandelen van die gegevens al helemaal niet. Dat je voor het vaststellen of iemand die dat doet strafbaar is terecht moet komen in semantische discussies over wat nou precies binnendringen in een geautomatiseerd werk is, is heel jammer.

    1. Ik zie je punt over het jargon, maar is dit echt wezenlijk anders dan “binnendringen op eens anders erf”?

      Als ik als werknemer een sleutel heb van de strandtent van mijn werkgever, en ik ga in oktober na de wintersluiting daar naar binnen om mijn (vergeten) regenjas op te halen, ben ik dan strafbaar omdat ik binnendring in zijn eigendom?

      Juristerij gaat over grenzen opzoeken, en dat betekent puzzelen met woorden. Een ander woord invullen reset de discussie maar neemt die fundamenteel niet weg. Je zou hier “inbreken” kunnen gebruiken, wanneer breek je in in een computersysteem ipv wanneer dring je binnen in een geautomatiseerd werk. Maar de discussie verloopt verder exact hetzelfde.

      1. Ik zou binnendringen van systemen limiteren tot het binnengaan van een (gedeelte van een) computer systeem waartoe jij geen toegang hebt. In deze casus zou hij hier niet schuldig aan zijn. Hij zou wel schuldig zijn aan diefstal van persoonsgegevens en zijn ontslag zou ook terecht zijn.

        Als jij normaal met de administratie van een bedrijf werkt, waarom zou je dan zwaarder bestraft worden voor het onnodig rondneuzen in de digitale boekhouden dan voor het onnodig rondneuzen in een papieren boekhouding? Ik zou hier dus geen computervredebreuk in zien, zolang er bijvoorbeeld geen gebruik wordt gemaakt van ander mans inloggegevens, bugs of andere hacks om bij gedeeltes van de administratie te komen waar jij normaal niet bij kan komen.

        “Toegang hebben” in deze context zie ik breed. Je wilt niet dat je strafbaar bent omdat je de verkeerde netwerkschijf of folder opent waarvan je werkgever had gezegd dat jij daar niet in mag kijken. Zolang de computer het bij normaal gebruik toelaat, heb je toegang.

        1. Die analogie met de administratie is interessant. Als jij bij een telefoonprovider of energiemaatschappij werkt, en je gaat opzoeken wat een BN’er of politicus betaalt, dan voelt dat als niet de bedoeling, ondanks dat jij als administrateur best in de administratie mag. Het ‘binnendringen’ speelt dan op dossierniveau, je mocht wel in de administratiekamer zijn en de kast opentrekken maar alleen de dossiers pakken waar je werk aan moest doen. Dat is bij papieren dossiers lastig te controleren, maar bij elektronische dossiers kan het eenvoudig. Daardoor komt het vaker aan het licht.

          Verder is volgens de wet computervredebreuk het equivalent van erfvredebreuk, niet van inbraak. Ik pleeg erfvredebreuk als ik jouw onafgesloten erf betreed en weet dat dat niet mag (bv. dat bordje “art. 461 Verboden toegang”, of je had het me vorige week verteld.) Ik hoef geen beveiliging te doorbreken (slot doorknippen) of omzeilen (over je heg klimmen). Door die brede interpretatie ontstaan dus vage randgevallen, zeg maar “mag ik op zondag naar mijn kantoorwerkplek als ik de sleutel heb” of “mag je in je lunchpauze in het magazijn komen”.

          1. Op de deur naar de fabriekshal staat een bordje: “Alleen betreden met veiligheidsschoenen aan.”. Een werknemer die de werkgever weg wilt hebben, gaat naar binnen zonder veiligheidsschoenen. Kan de werkgever nu de politie bellen voor erfvredebreuk?

            Hierbij is het duidelijker dat hij (zonder veiligheidsschoenen) niet naar binnen mag.

            Ik zou de situaties analyseren door te kijken hoe normaal het voor jouw functie is om te doen, ongeacht de motivatie erachter. Het betreden van de fabriekshal is normaal voor een werknemer, dus niet strafbaar omdat hij zijn schoenen vergeten is. Het betreden van het magazijn, waar je normaal voor je werk komt, terwijl je eigenlijk pauze heb, niet strafbaar. Het opzoeken van gegevens in een systeem, wat je anders ook doet als onderdeel van je werk, niet strafbaar.

            Hoewel deze dingen niet strafbaar zijn, kunnen ze wel het bedrijfsreglement overtreden. Maar dat zou niet strafbaar vanuit de wet moeten zijn. Het vervolgens stelen uit het magazijn of computer systeem is vervolgens een complete andere vraag dan het betreden.

            Ik zie al voor me dat een bedrijf in zijn reglement heeft staan dat je maximaal 5 kopjes koffie per dag mag halen. De werknemer belt vervolgens de politie voor diefstal omdat een werknemer een 6e kopje pakt. Dat zou niet moeten kunnen.

            1. Perfecte analogie, van dat bordje. Dat is precies hoe het met gebruiksvoorwaarden en dergelijke werkt. Ik zou zeggen: als je onder voorwaarden ergens mag zijn, dan is het geen lokaal/erfvredebreuk als je daar bent terwijl je de voorwaarden schendt. Dat is dan een civiele kwestie (contractbreuk) die je met de eigenaar op kunt lossen. Hup, schoenen aan en terugkomen.

              Anders wordt het als de voorwaarde zo is dat je er überhaupt niet aan kunt voldoen: “Deze kasteeltuin is voor wandelend publiek geopend van zonsopgang tot zonsondergang” en jij bent er drie uur ’s nachts. Dat is dan wél erfvredebreuk. Een fietser om drie uur ’s middags pleegt geen erfvredebreuk maar schendt de voorwaarden en moet met de fiets aan de hand verder.

      2. Ja moeilijk, weet ik niet.. Ik ben geen jurist. Op mij komt “binnendringen” over als specifiek het gebruiken van abnormale middelen om ergens toegang toe te krijgen. Als je dus in kan loggen door een speciaal gemanipuleerd request naar een website te sturen, of door een koevoet te gebruiken op een deur.

        Hoe ik deze zaak begrijp is dat iemand gemachtigd was om in te loggen, en zelfs van het systeem de autorisaties had om bepaalde gegevens te kunnen inzien, maar vervolgens die toegang en autorisatie heeft misbruikt door die gegevens te delen en verkopen. Ik vind het zelf niet meer “binnendringen”; het woord “dringen” voor mij geeft aan dat er een of andere vorm van, wegens gebrek aan een beter woord, “geweld” is gebruikt. Dus, een geconstrueerd request, een koevoet etc. Het lijkt mij iets als misbruik maken van autorisaties, van privileges of postitie, plus delen van vertrouwelijke gegevens met een of ander winstoogmerk. Als dat juridisch dan “binnendringen in een geautomatiseerd werk” heet, nou ja, ik ben blij dat ‘ie veroordeeld is, maar dit is dus wel waarom ik dan zeg dat de wet moet worden herzien zodat dit er in kan komen als een apart en duidelijk benoemd misdrijf. Data-diefstal wellicht, zoiets.

        En nee, als jij alleen die regenjas ophaalt vind ik niet dat dat strafbaar is als jij de sleutel hebt gekregen. Het is in elk geval geen binnendringen of inbraak. Als je die sleutel gebruikt om daar naar binnen te gaan en je gaat vervolgens daar een feest organiseren en je geeft de drankvoorrraad weg, tja dan doe je wel iets fout, maar het is geen inbraak.

        1. Daar heb je gelijk in, de term ‘binnendringen’ komt uit een tijd dat er wél iets gekraakt moest worden. We zijn het zo maar blijven noemen. “Binnensluipen” dan misschien, zo noemen we dat ook bij een erf of huis dat niet afgesloten is maar waar jij wel onbevoegd naar binnen gaat.

      3. Als ik als werknemer een sleutel heb van de strandtent van mijn werkgever, en ik ga in oktober na de wintersluiting daar naar binnen om mijn (vergeten) regenjas op te halen, ben ik dan strafbaar omdat ik binnendring in zijn eigendom?

        Jij hebt die sleutel om je werk te doen. Opruimen van je rommel (regenjas) is impliciet onderdeel daarvan, dus daarvoor mag je in oktober naar binnen.

        Een prive-feestje voor je verjaardag geven in november is geen onderdeel van je werk, dus dat mag niet.

        Dat jij de sleutel van je werk hebt betekent niet dat de werkgever alle voorwaarden daarvoor in de sloten moet opnemen (i.e. dat de sleutel alleen werkt in de periode dat de strandtent open is).

        Zelfde concept moet gelden voor computersystemen: Dat je toegang hebt betekend niet dat je erin mag, en andersom: De werkgever moet uitleggen wat wel en niet mag. Of dat in dit geval gebeurd is weet ik niet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.