Rechter deelt cel- en taakstraf uit voor datadiefstal GGD

Close-up van een voorzittershamer

De rechtbank Midden-Nederland heeft twee mannen veroordeeld voor hun aandeel in de datadiefstal bij de GGD begin dit jaar. De een heeft een gevangenisstraf van tien maanden opgelegd gekregen, waarvan vijf maanden voorwaardelijk. De ander kreeg een celstraf van zestig dagen tegen zich te horen, waarvan vierendertig dagen voorwaardelijk. Ook moet hij een taakstraf van honderdtachtig uur vervullen.

Dat heeft de rechtbank in Utrecht vandaag bepaald.

Wat er vooraf ging aan deze rechtszaak

Begin dit jaar bracht RTL Nieuws een grootschalig datalek bij de GGD aan het licht. Medewerkers die toegang hadden tot twee IT-systemen, verzamelden persoonsgegevens van Nederlanders die zich hadden laten testen op corona, of een testafspraak hadden gemaakt. Ze zochten daarbij naar voor- en achternamen, woonadressen, telefoonnummers, e-mailadressen, geboortedata en burgerservicenummers. Deze gegevens werden vervolgens via Telegram, Snapchat en Wickr verkocht.

Volgens de officiële cijfers zijn 1.250 mensen het slachtoffer geworden van deze datadiefstal. Zij hebben van de GGD GHOR, de overkoepelende organisatie van alle GGD-afdelingen, een brief ontvangen. Daarin biedt de gezondheidsinstantie zijn excuses aan voor wat er gebeurd is. RTL Nieuws claimde onlangs dat dit slechts het topje van de ijsberg is. Het medium sprak iemand die illegaal privégegevens verkoopt. Deze persoon zei dat hij de persoonsgegevens van ‘vele duizenden tot tienduizenden’ personen kon aanleveren.

Dat was voor de SP aanleiding om schriftelijke vragen te stellen aan demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge. Maarten Hijink wilde van de bewindspersoon weten hoe groot het datalek precies is. Minister De Jonge antwoordde deze week dat het lek niet groter is dan gemeld. “GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd”, aldus De Jonge tegenover de Tweede Kamer.

Verdachten niet bewust van de ernst van hun daden

Direct na het incident stelde de politie een strafrechtelijk onderzoek in. Tot op heden hebben rechercheurs zeven verdachten aangehouden. Het gaat om een 21-jarige en 22-jarige man uit Heiloo, een 23-jarige man uit Alblasserdam, een 25-jarige man uit Amstelveen, een 21-jarige man uit Rotterdam, een 18-jarige man uit Den Haag en een 19-jarige man uit Nootdorp.

Begin juni stonden de 21-jarige Mourad Z. uit Heiloo en 23-jarige jarige Amin L. uit Alblasserdam terecht. Beide verdachten verklaarden tegenover de rechter dat ze zich niet bewust waren van de ernst van hun daden. “Ik heb stomme en domme dingen gedaan, maar ik was me er niet van bewust dat het heel ernstig was”, zo zei Mourad Z. Hij zei dat meerdere GGD-medewerkers de gegevens van de Rotterdamse burgemeester Aboutaleb hadden opzocht. “Toen drong pas tot me door dat je zomaar mensen kon opzoeken.”

Amin L. zei dat hij dacht dat hij op alle persoonsdossiers mocht klikken. Volgens hem is er nooit iets over gezegd dat dit niet mocht. Hij erkende dat hij foto’s van dossiers met persoonsgegevens naar iemand anders had doorgestuurd die bij de GGD werkte. “Ik dacht dat het mocht als ik het binnen de GGD hield”, zo vertelde hij aan de rechter. Zijn advocaat betoog dat voor een deel de schuld bij de GGD gelegd kon worden: de training die aan het werk voorafging deugde niet. Ook werden medewerkers onvoldoende geïnstrueerd over het feit dat ze met privacygevoelige en vertrouwelijke gegevens werken.

‘Geen controle over bij wie de gegevens belanden’

Vandaag heeft de rechtbank Midden-Nederland zijn oordeel geveld. Volgens de rechter staat onomstotelijk vast dat de verdachten gegevens van gewone en bekende Nederlanders hebben opgezocht. Op de smartphone van Mourad Z. vond de politie 62 foto’s met persoonsgegevens. Ook had hij een Excel-bestand op zijn computer staan met de gegevens van nog eens 36 personen.

Hij probeerde actief deze buitgemaakte informatie te verkopen. Op Telegram plaatste hij in totaal 230 advertenties. Zo schreef hij: “Ben je opzoek naar iemand zijn adres, BSN-nummer etc. Dan ben je hier aan het juiste adres. Bericht me voor meer info.” Tijdens de zitting in juni erkende hij dat hij aan één persoons de gegevens heeft verkocht. Hij vroeg daar 50 euro aan bitcoin voor.

Amin L. zocht voornamelijk naar persoonsgegevens van bekende Nederlanders, waaronder Bar Hari, Lil’ Kleine, Jesse Klaver, Peter R. de Vries en John van den Heuvel. Van de laatste twee stuurde hij de gegevens door naar een vriend via Whatsapp. Dat rekent de rechtbank hem zwaar, omdat de misdaadjournalisten ernstig worden bedreigd. “Juist bij deze personen brengt het inzien en verspreiden van hun persoonsgegevens extra veiligheidsrisico’s met zich mee. Toen de verdachte de gegevens doorstuurde, verloor hij de controle over bij wie de gegevens terecht zouden kunnen komen”, aldus de rechtbank.

Rechtbank legt gevangenis- en taakstraf op

De rechter acht wettig en overtuigend bewezen dat Mourad Z. en Amin L. zich schuldig hebben gemaakt aan datadiefstal uit de IT-systemen van de GGD. Omdat de 21-jarige Mourad Z. ook daadwerkelijk gegevens te koop heeft aangeboden en verkocht, krijgt hij de hoogste straf. De rechtbank Midden-Nederland legde hem een gevangenisstraf van tien maanden op, waarvan vijf maanden voorwaardelijk. Omdat hij al drie maanden in voorarrest zit, moet hij nog twee maanden terug de cel in.

De 23-jarige Amin L. is veroordeeld tot een celstraf van zestig dagen, waarvan vierendertig dagen voorwaarden. In tegenstelling tot Mourad Z. hoeft L. niet terug de cel in, omdat hij zijn resterende straf al in voorarrest heeft uitgezeten. Daarnaast heeft de rechter hem een taakstraf van honderdtachtig uur opgelegd. De reden waarom de strafmaat voor de man uit Alblasserdam lager uitvalt, is omdat hij geen informatie heeft verkocht.

De officier van justitie had hogere straffen geëist. Vanwege de jeugdige leeftijd van de verdachten ging de rechtbank daar niet in mee.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen