De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen aangehouden, waarvan er nu dus een veroordeeld wordt voor computervredebreuk met datadiefstal. Dat is in zoverre opmerkelijk omdat deze meneer wel degelijk in het betreffende systeem mocht zijn.
De kern van hoe dit kon gebeuren haal ik uit dit stukje proces-verbaal:
Op 7 januari 2021 was ik met medeverdachte en toenmalig GGD-collega [medeverdachte] in [plaats] . Hij was aan het werk. Ik zat samen met [medeverdachte] op de bank en hij zat achter de laptop. Hij kwam erachter dat de persoonsgegevens van iedereen met een coronatest-afspraak konden worden geraadpleegd. Wij waren onder de indruk. [medeverdachte] heeft de persoonsgegevens van BN’ers opgezocht, vastgelegd en deze aan mij doorgestuurd.
Een zeer gebrekkige beveiliging dus. De gegevens werden in appgroepen gedeeld, hoewel ik niets lees over het verhandelen daarvan. Maar dat maakt voor de strafbaarheid op zich niet uit. We hebben het delict computervredebreuk – binnendringen waar je niet mag zijn – en een verzwarende omstandigheid is het downloaden of overnemen van gegevens.
Maar wat het dus is met dat ‘binnendringen’, je moet dan wel ergens gaan waar je niet mocht komen. En deze verdachte mócht inloggen in het systeem en die gegevens opzoeken. Dat kon door een gebrekkige (veel te grofmazige) autorisatie, maar hij heeft op zich geen rare dingen gedaan. Het sluit aan bij een zaak uit 2019, waar ook het vér buiten het gewone werk gaan tot strafbaar binnendringen leidde:
De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. … Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (…)
In deze zaak motiveert de rechtbank het beperkt:
door het inloggen met een onrechtmatig gebruikt account en/of wachtwoord, althans met een ander doel dan waarvoor hem dat account en/of wachtwoord ter beschikking stond en waarvoor hem die toegang was toegestaan
Dit voelt voor mij wat kort door de bocht. Niet ieder “ander doel” is direct computervredebreuk.
Wat betreft de recente discussie over “geautomatiseerd werk”, dat gaat hier goed, de tenlastelegging vermeldt “computersyste(e)m(en) en/of server(s) van de GGD (het zogenaamde CoronIT-systeem)”. Dus door in te loggen op je account en persoonsgegevens op te zoeken die je absoluut niet hoorde op te zoeken, dring je ongeautoriseerd binnen in de hardware van de GGD.
Arnoud