Verdachten datadiefstal GGD niet bewust van de ernst

Voorzittershamer op het toetsenbord van een laptop

Mourad Z. en Amin L. moesten zich dinsdag in de rechtbank van Utrecht verantwoorden voor de datadiefstal bij de GGD begin dit jaar. Beide verdachten gaven toe dat zij privégegevens uit de computersystemen van de GGD hadden ingezien en gedeeld. Hun advocaten pleitten dat de training en begeleiding van hun cliënten tekortschoot.

De NOS was bij de zitting aanwezig.

Levendige handel in persoonsgegevens

Voor het begin van deze zaak moeten we terug naar eind januari. RTL Nieuws ontdekte dat er een levendige handel was in persoonsgegevens. Deze data -waaronder namen, adressen, contactgegevens en burgerservicenummers- was afkomstig uit twee IT-systemen van de GGD: CoronIT en HPzone Lite. In het eerstgenoemde systeem zijn alle Nederlanders die een afspraak voor een coronatest hebben gemaakt opgenomen. HPzone Lite wordt gebruikt om bron- en contactonderzoek te verrichten. Via de print- en exportfunctie werden persoonlijke gegevens van Nederlanders binnengehaald en verkocht via kanalen als Snapchat, Telegram en Wickr.

Maandenlang hadden medewerkers toegang tot miljoenen persoonsgegevens die waren opgeslagen in de computersystemen. Het bestuur van de GGD werd in de zomer van 2020 op de hoogte gesteld van het datalek, maar besloot om niet in te grijpen.  Ook demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge was op de hoogte van lek, maar deed niets met deze informatie. Na een zwaar en moeizaam debat in de Tweede Kamer beloofde de minister beterschap.

Om de daad bij het woord te voegen, trof De Jonge allerlei maatregelen om herhaling te voorkomen. Hij gaf opdracht om de print- en exportfunctionaliteit grotendeels uit te schakelen, de zoekmogelijkheden in de IT-systemen te beperken, vaker controles uit te voeren en de VOG-administratie (Verklaring Omtrent Gedrag) op orde te brengen. Mensen die het vertrouwen in de GGD helemaal kwijt zijn, kunnen een dataverwijderingsverzoek indienen.

GGD GHOR, de overkoepelende organisatie van de GGD-afdelingen, heeft duizend Nederlanders een excuusbrief gestuurd.

Verdachten waren zich niet bewust van de ernst van hun daden

De politie heeft in totaal zeven verdachten gearresteerd. De 21-jarige Mourad Z. uit Heiloo en 23-jarige Amin L. uit Alblasserdam stonden dinsdag als eerste terecht in de rechtbank in Utrecht. Beide verdachten zeiden dat ze zich er niet bewust van waren dat ze niet door andermans dossiers mochten spitten.

“Ik heb stomme en domme dingen gedaan, maar ik was me er niet van bewust dat het heel ernstig was”, zo zei Mourad Z. Hij verklaarde tegenover de rechtbank dat meerdere GGD-medewerkers de gegevens van de Rotterdamse burgemeester Aboutaleb hadden opzocht. “Toen drong pas tot me door dat je zomaar mensen kon opzoeken.”

De 23-jarige man uit Alblasserdam zei dat hij dacht dat hij op alle persoonsdossiers mocht klikken. Volgens hem is er nooit iets over gezegd dat dit niet mocht. Hij erkende dat hij foto’s van dossiers met persoonsgegevens naar iemand anders had doorgestuurd die bij de GGD werkte. “Ik dacht dat het mocht als ik het binnen de GGD hield”, zo vertelde hij aan de rechter.

Advocaten: ‘GGD medeschuldig aan deze toestanden’

Nancy Dekens, de advocate van Mourad, erkende dat haar cliënt eenmalig persoonsgegevens heeft verkocht voor 50 euro. Ze meende dat de schuld niet alleen bij hem gelegd kan worden. De GGD treft wat haar betreft ook blaam: het is onduidelijk waarom haar cliënt toegang had tot zo veel gevoelige privégegevens.

Kim Kuster, de advocate van Amin, benadrukte dat er in WhatsApp-groepen volop foto’s onderling werden gedeeld. In die groep zaten ook leidinggevenden en zij grepen niet in. Net als haar confrère vindt ze dat een deel van de schuld bij de GGD gelegd kan worden.

Zowel Dekens als Kuster wil dat er nader onderzoek wordt gedaan naar de werkinstructies van de callcentermedewerkers. Hun cliënten zouden zonder een deugdelijke training aan het werk zijn gezet. Zodoende waren ze onvoldoende op de hoogte van de risico’s van het lekken van vertrouwelijke gegevens. Bovendien werkten ze van thuis uit en was het een kwestie van ‘doorklikken en afvinken’ om zo snel mogelijk aan het werk te gaan. Naast leidinggevenden en teamleiders van callcenterbedrijf Teleperformance, willen de advocaten tevens André Rouvoet als getuigen horen. Rouvoet is de voorzitter van GGD GHOR.

Deze straffen kan de rechtbank opleggen

Mourad Z. en Amin L. worden verdacht van computervredebreuk. Voor dit delict staat volgens artikel 138ab lid 2 van het wetboek van strafrecht een gevangenisstraf van maximaal vier jaar, of een geldboete van 16.750 euro. De straf is in dit geval zo hoog omdat er niet alleen sprake is van ‘opzettelijk en wederrechtelijk binnendringen’ van een computersysteem: de daders maakten zich mogelijk ook schuldig aan gegevensdiefstal.

Beide verdachten mogen de inhoudelijke behandeling in vrijheid afwachten. Deze vindt plaats op 31 augustus.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen