Dat vindt ict-jurist Bart Schermer. “De vraag of Krol zich heeft schuldig gemaakt aan computervredebreuk is naar wat ik van de zaak weet makkelijk te beantwoorden: Ja. Maar heeft hij dat gedaan om een breder maatschappelijk probleem aan te tonen? En is de manier waarop hij dat gedaan heeft, de juiste weg geweest? Dat zijn de vragen die de rechter nu moet beantwoorden. Persoonlijk vrees ik dat die beslissing niet in het voordeel van Krol zal uitpakken."

Het OM eiste vrijdagochtend een geldstraf van politicus Henk Krol wegens het wederrechtelijk toegang verkrijgen tot computersystemen en het downloaden van medische dossiers bij medisch centrum Diagnostiek voor U. De eis is 1500 euro waarvan 750 euro voorwaardelijk. De Officier eiste verder 250 euro van de tipgever van Krol. De uitspraak is over twee weken.

Handelswijze Krol niet voordelig

Volgens Schermer pleitten de handelingen van Krol nadat hij de tip had gekregen over eventuele misstanden bij Diagnostiek voor U niet in zijn voordeel. “Was het vervolgens nodig voor Krol om zichzelf toegang te verschaffen tot de informatie? Moest hij zo nodig informatie downloaden? Had hij niet eerder en harder aan de bel kunnen trekken? Waarschijnlijk wel. Er is een zekere journalistieke vrijheid in het aantonen van misstanden. Daarin kan een journalist vaak verder gaan dan een ander. Maar had deze werkwijze een journalistiek belang?"

De onlangs uitgebrachte richtlijnen van Opstelten over responsible disclosure maken de zaak er lastiger op. Aan de ene kant wordt daarmee meer openheid betracht over de omgang met eventuele datalekken, aan de andere kant is de werkwijze van Krol bepaald niet volgens die richtlijnen. “Maar die richtlijnen kwamen natuurlijk pas veel later dan dat Krol zijn handelingen heeft verricht", zegt Schermer. “Verder is de discussie: wat is eigenlijk een lek."

Is menselijk falen een beveiligingslek?

Schermer bedoelt daarmee dat in de richtlijnen wordt gesproken over een werkelijke softwarelek, maar volgens de jurist moet ook eens worden gekeken naar lekken die niet technisch zijn veroorzaakt, maar liggen in een gebrekkige procedure. “Dat de beveiligingsprocedures bij Diagnostiek voor U niet voldoen, lijkt me evident."

Daarmee doelt Schermer naar het waarschijnlijke gebruik van een wachtwoord dat hetzelfde is als de inlognaam, plus het gemak waarmee een derde persoon achter die gegevens kon komen. “Ik vind dat je als bedrijf dat werkt met zoiets belangrijks als medische gegevens een zwaardere procedure moet hebben voor inloggen in dat systeem. Daarom vind ik het onderzoek dat het College Bescherming Persoonsgegevens heeft aangekondigd naar de beveiliging van persoonsgegevens door Diagnostiek voor U niet voldoende."

'CBP moet zwaardere sancties opleggen'

De uitkomsten van een dergelijk onderzoek kan leiden tot het opleggen van een dwangsom onder voorwaarden door het CBP en als het diagnostisch centrum vervolgens binnen een gestelde termijn aan de eisen van het CBP voldoet, hoeft een dergelijke dwangsom niet te worden betaald. “Dat is in mijn ogen een te lichte sanctie. Er moeten echt zwaardere sancties komen om dergelijke organisaties bewuster te maken van de verantwoordelijkheid die ze hebben."

Wat Schermer ook stoort is dat Diagnostiek voor U er nu met gestrekt been inkomt bij Krol door van hem te eisen dat hij een externe audit naar de beveiliging betaalt. “Zo'n audit had dat centrum allang al zelf moeten doen en hoort bij de verantwoordelijkheid van het werken met dergelijke gevoelige persoonlijke informatie."