Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD

| AE 12476 | Privacy, Regulering | 19 reacties

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dat ontdekte RTL Nieuws onlangs. De politie heeft twee personen gearresteerd die worden verdacht van deze illegale datahandel. Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders die een coronatest hebben gedaan in staan, en HPzone Light, het systeem voor het bron- en contactonderzoek van de GGD.

Op vrijdag 22 januari kregen politie en OM meldingen van de GGD dat er op Telegram persoonsgegevens uit een GGD-systemen te koop zouden worden aangeboden. Dat lees ik dan weer in het persbericht van de politie, met een overigens wel érg stoere foto van een arrestatie. “Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf”, zo meldt men.

En dat is het zeker, maar vroegen diverse lezers, waar staat dat dan? De AVG kent geen bepalingen van strafrecht, en data is niets zeg ik altijd. Maar specifiek bij strafrecht ligt dat anders. Daar kun je dingen stelen die in het handelsverkeer niets zijn. Alleen moet het dan wel gaan om dingen die uniek zijn, niet-kopieerbaar. En daar voldoen persoonsgegevens niet aan: de ‘gestolen’ gegevens staan nog steeds in de database van de GGD. Er is “alleen maar” een kopie gemaakt.

Desondanks is dit wel degelijk strafbaar. Je kunt diverse insteken kiezen. Zo is er artikel 139c Strafrecht, dat meestal de “diefstal van gegevens” strafbaar stelt:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Weliswaar mochten de medewerkers in kwestie in de databases, de kopie die ze downloadden hoorde niet tot hun werk en die is dus opzettelijk én wederrechtelijk gemaakt. En artikel 139e stelt dan ook het bezit en publiceren van die gegevens strafbaar (tot zes maanden cel)

Strenger is artikel 139g Strafrecht, dat in lid 1 bepaalt:

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

  • a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

  • b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

Dit artikel ziet dus op de heling of doorverkoop van die gegevens.

Dan is er ook nog een wetsartikel tegen identiteitsfraude, artikel 231b Strafrecht:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens () van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het enige punt is dat ik hierbij geen voorbereidings-artikel kan vinden, oftewel een artikel waarin staat dat het verwerven van persoonsgegevens met het oogmerk dit misdrijf te plegen apart strafbaar is. Ik denk dus dat dit het niet gaat worden.

Dat gezegd hebbende, dit is een uniek geval en vooral dat de politie zo streng en voortvarend optreedt. Ik hoop dat het veel consequenties heeft, dan zit de schrik er straks goed in.

Arnoud