19 feb Hacker Henk Krol en de krokodillentranen van Medisch onderzoekcentrum Diagnostiek voor U
Vandaag vernam ik dat Het Medisch Onderzoekcentrum Diagnostiek voor U afziet van civiele stappen tegen Henk Krol. Want het zou met de strafzaak wat hen betreft afgedaan zijn.
Hacker Henk Krol
Dat Henk Krol zou worden veroordeeld was geen verrassing. Iedereen die de bepaling kent uit het wetboek van strafrecht weet dat het een ruime bepaling is.
De vraag was natuurlijk hoe de rechter zou omgaan met de omstandigheden van het geval.
De rechter geeft Henk wel gelijk als het gaat het maatschappelijke belang om een misstand als deze aan de orde te stellen. Echter, de rechter vindt dat Henk het wellicht had moeten laten bij het benaderen van de instelling omdat er geen enkel acuut gevaar was voor de patiënten welk gevaar het gelijk openbaar maken rechtvaardigde. Temeer omdat het niet om een technische hack ging, maar om het binnendringen met een verkregen gebruikersnaam-wachtwoord-combinatie.
Ik vind dat de rechter met dat laatste geen gelijk heeft.
De krokodillentranen
En dan de krokodillentranen. Het Medisch onderzoekcentrum Diagnostiek voor U wilde een schadevergoeding. Want doordat Henk zich onrechtmatig toegang had verschaft tot het geautomatiseerde werk, hadden zij veel schade geleden. Deze schade zouden ze –nadat het in het kader van het strafproces niet gelukt was- civiel op Henk gaan verhalen.
Dit is natuurlijk wel een beetje de omgekeerde wereld.
De beveiliging van de webapplicatie
De reden waarom ik dat vind, en waarom ik vind dat de rechter het niet helemaal bij het rechte eind heeft, heeft te maken met wat de wet zegt over de wijze waarop persoonsgegevens beveiligd dienen te worden.
De wet bescherming persoonsgegevens zegt daarover dat de organisatie die verantwoordelijk is voor het verwerken van persoonsgegevens passende organisatorische en technische maatregelen dient te nemen.
En dat is een open norm. En die is opzettelijk open, omdat de wereld om ons heen continu verandert. De norm is echter (al jaren) ingevuld door het College bescherming persoonsgegevens, die er vandaag met een nieuwe richtsnoer nog eens een schepje bovenop deed.
Het is namelijk heel simpel: hoe meer gegevens je verwerkt, en hoe gevoeliger die zijn, des te strakker de beveiliging op orde moet zijn, zowel organisatorisch als technisch.
Het gaat hier om medische gegevens. Zeer gevoelig. En om een behoorlijke hoeveelheid gegevens naar ik begrepen heb.
Deze gegevens zouden helemaal niet via het internet met een gebruikersnaam en wachtwoord te benaderen mogen zijn. Daar zou een extra stap aan toegevoegd moeten zijn. Bijvoorbeeld door middel van een token device (zoals die apparaatjes de je van de bank krijgt) of door middel van een SMS op de telefoon van de zorgverlener (zoals de TAN-code van de ING). En daarvan zou je zelfs kunnen zeggen dat het nog niet afdoende is (wellicht nog wat IP-adres-restricties).
Je zou dus zelfs kunnen opperen dat de persoonsgegevens in dit geval niet rechtmatig verwerkt worden. En dat gaat wel alle patienten die in dat systeem zitten aan. Dat lijkt mij wel acuut.
Je had van goeden huize moeten komen als Medisch onderzoekcentrum Diagnostiek voor U om met droge ogen te (blijven) beweren dat Hacker Henk voor de vermeende schade zou moeten opdraaien.