image

Krol krijgt boete wegens computervredebreuk

vrijdag 15 februari 2013, 14:24 door Redactie, 21 reacties

De 62-jarige Henk Krol is door de rechtbank Oost-Brabant tot een geldboete van 750 euro veroordeeld wegens het meerdere malen plegen van computervredebreuk. Krol wist toegang te krijgen tot cyberlab.diagnostiekvooru.nl door middel van inloggegevens die hij van een patiënt van het centrum had gekregen. Die had die gegevens afgeluisterd van een psychiater die in het centrum werkt.

Krol bekeek en printte vervolgens diverse medische dossiers. Volgens hem was dit gerechtvaardigd omdat hij als journalist en Statenlid wilde aantonen dat deze gevoelige informatie over individuele patiënten door onbevoegden gemakkelijk is te raadplegen. Hij gaf aan dat het beschermen van de (gegevens van) patiënten zijn enige doel was.

De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is. Alleen onder zeer bijzondere omstandigheden kunnen er hogere belangen zijn die zo’n inbreuk kunnen rechtvaardigen.

Het aantonen van gebreken bij de bescherming van de vertrouwelijke medische gegevens zou volgens de rechtbank een wezenlijk maatschappelijk belang kunnen dienen.

Wederrechtelijk
De rechtbank acht het dan ook gerechtvaardigd dat de man, voordat hij verdere stappen ondernam, eerst zelf vaststelde of de bevindingen van zijn ‘tipgever’ juist waren. Het inloggen op de website en het vervolgens raadplegen van enkele dossiers acht de rechtbank in dit geval dan ook niet wederrechtelijk.

Ook vindt de rechtbank het verdedigbaar dat er in deze situatie prints zijn gemaakt om de omvang van de tekortkoming en het gevaar daarvan te kunnen aantonen. Krol handelde daarbij zorgvuldig door de prints te anonimiseren. Hij ging echter te ver door nog meer gegevens van anderen te raadplegen en printen.

"Hij had immers met de al verzamelde gegevens zijn punt kunnen maken", aldus de rechtbank. Ook had Krol Diagnostiek voor U ruimer de kans moeten geven om te reageren en het niet bij één poging moeten laten.

Gebrek
Volgens de rechtbank is er in dit geval ook geen sprake van een technisch gebrek aan het computersysteem van Diagnostiek voor U. "Eén gebruiker was onzorgvuldig met zijn inloggegevens en wachtwoord omgegaan. De verdachte had dan ook geen concrete aanwijzingen dat andere personen over deze inloggegevens beschikten", aldus de rechtbank.

Die stelt dat probleem dan ook geen onmiddellijke inschakeling van de media rechtvaardigde. Aangezien de kans op herhaling klein is, werd Krol alleen tot een geldboete veroordeeld. Tegenover Nu.nl laat hij weten mogelijk in hoger beroep te gaan.

Reacties (21)
15-02-2013, 14:33 door Anoniem
Volkomen terecht, er moet maar eens een einde komen aan dat 'ethisch' gehack door die Robin Hoods. Laten er meer volgen, iedereen aangifte doen zeg ik.
15-02-2013, 14:47 door Anoniem
Vind 750 euro boete ook redelijk, niet zulke rare boetes als in de VS voor 10 a 100 duizenden dollars.
15-02-2013, 14:55 door [Account Verwijderd]
[Verwijderd]
15-02-2013, 15:04 door Mysterio
Door Hugo: Bij deze stop ik dan ook met het melden van lekken in websites. Laat een cybercrimineel ze voortaan maar lekker vinden en ze keihard misbruiken.
Zou ik wel blijven doen. Die meneer Krol had zich iets beter moeten inlezen op de regels op dit gebied. Hij deed alles goed, maar ging iets te ver in zijn enthousiasme.
15-02-2013, 15:11 door Anoniem
Ik vind de uitspraak eigenlijk best wel goed.
Krol kreeg toevallig een sleutel in handen die aan iemand anders toebehoorde en heeft die misbruikt.
Om onzorgvuldigheid aan te toenen wellicht nog verdedigbaar ook. Maar hij is verder gegaan dan het openen van het slot.
Hij heeft dat meermaals gedaan.
Uit publiciteitsgeilheid wellicht?
Was Krol niet verder gegaan dan had het wellicht helemaal niet tot een strafzaak gekomen, en zeker niet tot een veroordeling. Hij had zijn punt gemaakt volgens de rechter.
15-02-2013, 15:13 door [Account Verwijderd]
[Verwijderd]
15-02-2013, 15:14 door Anoniem
Door Mysterio: Die meneer Krol had zich iets beter moeten inlezen op de regels op dit gebied. Hij deed alles goed, maar ging iets te ver in zijn enthousiasme.
Dan deed hij dus niet alles goed. Ik kreeg de indruk dat het OM de kift had en dat de rechter vond dat'ie niet helemaal niet kon straffen. Maar dat betekent dus inderdaad dat je beter gewoon de boel via wat proxies kan leegtrekken en de gegevens dan ergens anoniem dumpen, en vooral niet vertellen hoe je er aan komt, dat zoeken ze maar fijn zelf uit. Of de "dubbel of niets", helemaal niets zeggen en de data in pegels omzetten.
15-02-2013, 15:23 door Binsbergen
Door Hugo:
Door Mysterio:
Zou ik wel blijven doen. Die meneer Krol had zich iets beter moeten inlezen op de regels op dit gebied. Hij deed alles goed, maar ging iets te ver in zijn enthousiasme.
Nee, ik stop daarmee. (En ze zijn zo makkelijk te vinden). Henk Krol heeft tot twee maal toe contact opgenomen met DvU, maar hij kreeg de laffe melding het schriftelijk te melden. Zo ga je niet met dit soort meldingen om. En die regels, Henk Krol is geen security-guru. Je kan niet van iedereen verwachten allerlei regeltjes te kennen. Hij meldde het bij DvU, maar die stuurde hem weg. Wat moest hij dan doen? Smeken? DvU heeft het gewoon hard versuckt. Het OM en Justitie hebben dikke schijt aan ICT-beveiliging en eerlijke melders en kunnen niet verder kijken dan hun bekrompen wetboekje. Met hun acherlijke houding richting dit soort zaken loop ik alleen maar risico met het melden van een lek. Ik win er niks mee, dus waarom zou ik het doen??

Ik ben het roerend met je eens. Het ontbreekt neerlandsch' justitie het besef hoe arrogant bedrijven omgaan met de bevindingen van white-hat heroes. Koesteren deze jongens!

En dan de ontsteltenis als een bedrijf als DigiNotar de verkeerde partij tegenkomt....

EIKELS!
15-02-2013, 15:51 door Anoniem
je gaat toch ook niet elk huis af om te controleren of de deur gesloten is, en zoniet aanbellen om te zeggen:
Hey, uw deur is niet gesloten ?!
en als ik niet reageer een groot bord voor men deur zetten, via die deur kan je binnen !

het is een feit dat die ethische hackers er moeten zijn om mensen hierop te wijzen
( net zoals politie zegt: hey sluit je deuren ! )

btw, wat zou je ervan vinden moest ik een sleutel van jouw deur online gratis verdelen omdat ik gevonden heb dat er een masterkey bestaat voor jou deur ?

dus ik het er een beetje gemengde gevoelens bij.

De eerste die zo voor men deur staat die krijgt een knuppel tegen zen gezicht !
15-02-2013, 15:59 door Anoniem
Ik zou iedereen eens aanraden om het vonnis te lezen.
Er staat namelijk: de inbraak en het aan het licht stellen dient een wezenlijk maatschappelijk belang. Hij wordt hier ook niet voor veroordeeld. Ook niet voor het printen en het anoniem publiceren van de gegevens, wat de rechtbank zorgvuldig noemt.

Hij heeft echter nog meer gegevens dan bovenstaande geprint, en die zijn inderdaad niet nodig zijn om het probleem aan te tonen.

Of hij te snel naar de media is gestapt vind ik lastiger. De rechter oordeelt van wel. De beveiligingsfout was namelijk het 'afkijken' van een wachtwoord, geen fundamentele fout in het programma.

Zo oneerlijk als mensen hier schrijven is het vonnis van de rechter dus niet.
15-02-2013, 16:56 door Anoniem
Dergelijke voorspelbare login-wachtwoorden zijn in mijn optiek weldegelijk een (technisch / organisatorisch) gebrek, je moet zaken als loginnaam = wachtwoord of b.v. 12345 als wachtwoord gewoon niet toestaan; en al helemaal niet bij dergelijk gevoelige informatie. En alsof de rechter de kennis heeft om dat oordeel te vellen ... lijkt me niet; elke IT expert had je kunnen vertellen dat er gewoon zeer onzorgvuldig gehandeld is (en dan doel ik niet alleen door die ene medewerker !).
15-02-2013, 18:05 door Anoniem
Kan het enig sinds wel begrijpen.
Krol heeft de login gegevens van iemand anders gekregen die het op zijn beurt weer afgeluisterd had.
Dit is in principe hetzelfde als iemand die jou de sleutel van een voordeur geeft en dat jij dan zo naar binnen kan lopen. Het laat niet echt zien dat er een lek in het systeem zit.
15-02-2013, 20:13 door Anoniem
Die Krol heeft gewoon een wachtwoord gebruikt dat een patient van een psychiater geshouldersurft heeft, Krol heeft geen lekken gevonden! Met andere woorden: milde straf.
15-02-2013, 22:38 door Anoniem
Door Hugo:
Door Mysterio:
Zou ik wel blijven doen. Die meneer Krol had zich iets beter moeten inlezen op de regels op dit gebied. Hij deed alles goed, maar ging iets te ver in zijn enthousiasme.
Nee, ik stop daarmee. (En ze zijn zo makkelijk te vinden). Henk Krol heeft tot twee maal toe contact opgenomen met DvU, maar hij kreeg de laffe melding het schriftelijk te melden. Zo ga je niet met dit soort meldingen om. En die regels, Henk Krol is geen security-guru. Je kan niet van iedereen verwachten allerlei regeltjes te kennen. Hij meldde het bij DvU, maar die stuurde hem weg. Wat moest hij dan doen? Smeken? DvU heeft het gewoon hard versuckt. Het OM en Justitie hebben dikke schijt aan ICT-beveiliging en eerlijke melders en kunnen niet verder kijken dan hun bekrompen wetboekje. Met hun achterlijke houding richting dit soort zaken loop ik alleen maar risico met het melden van een lek. Ik win er niks mee, dus waarom zou ik het doen??

Beste Huge,

Niemand verplicht je om lekken te gaan melden, dus ach, stop maar met het melden van (beveiligings)lekken aangezien de ICT een grote leugen is.
16-02-2013, 08:44 door Anoniem
Wanneer wordt de psychiater aangeklaagd, omdat deze het medisch beroepsgeheim schond, door gegevens van zijn patient aan justitie door te spelen ? Of is die schending van de privacy niet erg ?
16-02-2013, 09:41 door [Account Verwijderd]
[Verwijderd]
16-02-2013, 12:04 door Bitwiper
Als meneer Krol de individueel vergaarde gegevens voor zakelijk gewin had gebruikt (d.w.z. de betreffende mensen direct benadeeld had, bijv. door hun medische gegevens te publiceren of zelfs te verkopen aan belangstellenden), had de rechter een punt gehad.

In de meeste gevallen die ik meemaak zullen instellingen security incidenten maximaal downplayen en zaken veel rooskleuriger voorstellen dan ze zijn (zo ook in dit geval, zie https://www.security.nl/artikel/45029/1/Open_brief_in_de_zaak_Henk_Krol.html#comment-314345).

Als je maar 1 account hebt ingezien zullen ze zeggen dat er maar 1 account kon worden ingezien. Als je geen substantiële bewijzen verzamelt heb je wellicht geen case. En in mij eigen ervaring struikel je soms over de gegevens die niet voor jouw ogen bedoeld zijn.

De meeste instellingen doen niets met jouw informatie als je ze vriendelijk benadert en verder je kop houdt. En waarom zouden ze? Pas als je ermee naar de pers gaat en er financiële belangen mee gemoeid zijn, gebeurt er wat.

Triest dat er ook hier mensen zijn die denken dat je het probleem oplost (de ICT wereld veiliger maakt) door whitehats te criminaliseren.
17-02-2013, 05:30 door Anoniem
Mijn persoonlijke mening is dat een rechter het iets milder zou moeten zien.
Henk Krol heeft het "lek" tenminste nog gemeld, maar word gewoon verwacht het schriftelijk te melden.

Van de zotte, zou een echte "Black-hat" het weten dan had je de poppen aan het dansen gehad en gegevens
misschien wel op Past-bin terug gevonden.
Los van het feit hoe hij de code heeft gekregen van het Diagnostiek voor U.
Diagnostiek voor U is diegene die de zaakjes slecht hebben afgetimmerd.

Ten tweede moet zou er een soort van token achtige hardware devices moeten komen waardoor derden
niet vanaf een andere computer kunnen inloggen op een database. Of op IP basis andere computers blokkeren.
Er zijn genoeg mogelijkheden te bedenken toch?

Verder kreeg de oorspronkelijke tipgever een boete van 250 euro voorwaardelijk.
Ook hier kun je je afvragen waarom deze niet ook een gelijkwaardige boete kreeg want ik feite heeft hij
de code weer aan Henk Krol gegeven. Hij wist immers dat Henk Krol er werk van ging maken. In feite spant
hij dus Henk Krol voor zijn karretje om een beetje "buiten shot" te blijven lijkt mij zo.

De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek.
Dat hij echter verder ging door nog meer gegevens te verzamelen, neemt de rechtbank hem wel kwalijk. Met de gegevens die hij op dat moment had, was zijn punt al duidelijk, vindt de rechtbank. Vooral dit meerdere malen inbreuk plegen wordt hem kwalijk genomen door de rechters. De rechtbank vindt verder dat Krol het centrum meer ruimte had moeten geven om te reageren.

Waarom kan iemand bij Diagnostiek voor U niet gelijk alarm slaan?
Is het dan echt zo moeilijk?
Is het dan echt NIET zo belangrijk?

Rechters en ICT blijft een .............?
17-02-2013, 14:18 door Anoniem
Nou.. de piraten partij wordt even in het hoekje gezet als ezels door de verenigde "benidorm bastards" club 50plus. Goed werk van de heer Krol.

En enkele dossiers van de honderd duizenden, zo niet miljoenen, inzien en uitprinten om zo fysiek bewijs te kunnen leveren die je stelling ondersteunt en bewijst, is niets anders dan logisch. Dat een rechter hem hiervoor veroordeelt of kan veroordelen is een grove schande en staat lijnrecht tegenover onze vrije democratisch principes en gezien niemand in de tweede kamer zich zijn/haar afschuw over uitspreekt, bewijst dat ze of niet geschikt zijn als volksvertegenwoordigers of erger, staan ze inmiddels allemaal op de loonlijst dan wel toekomstige loonlijst, van de onzichtbare krachten achter dit hele EPD circus. Één corrupte pest bende is het..
18-02-2013, 15:52 door gbrugman
Dat Diagnostiek voor U enkel de patienten records afschermt met een enkel zwak wachtwoord is natuurlijk te gek voor woorden. Voor dit soort vertrouwelijke gegevens moeten minimaal met een sterk wachtwoord èn een token afgeschermd worden. Een journalist/klokkeluider hiervoor veroordelen is een ernstige misser van het gerechtelijk apparaat.
18-02-2013, 16:32 door Anoniem
Behalve dat er zwakke wachtwoorden gebruikt werden was er ook meer toegang dan nodig. De psychiator kon gegevens van patienten van Diagnostiek voor U inzien die niet zijn eigen patienten waren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.