Henk Krol vs OM: Wie is de grootste privacyschender?
Vrijdag stond 50Plus-fractieleider Henk Krol als hacker voor de rechter. Aanleiding was dat de oud-hoofdredacteur van de Gay Krant bewees dat er nogal wat schort aan de beveiliging van Diagnostiek voor U. Centrale vraag is: ging Krol te ver?
Dat er dossiers zijn ingezien is volgens de Officier van Justitie onverkwikkelijk, want al maakte hij de persoonsgegevens onleesbaar, toch had dat niet gemogen. Dus eist ze 1.500 euro boete, waarvan de helft voorwaardelijk. De advocaat van het laboratorium gaat nog een stapje verder bij het onderbouwen van zijn claim: “Krol heeft de privacy van de mensen te grabbel gegooid.” Pijn doet vooral dat een verslag van Omroep Brabant teveel informatie zou bevatten – en dat is de schuld van Krol.
Of dat allemaal waar is en er straf moet volgen, beslist de rechter op 15 februari. Dan hoort het Tweede Kamerlid of hij schuldig is aan privacyschending of niet.
Privacyschending alom
Maar los van die vraag, is hij zeker niet de enige privacyschender in dit dossier. Neem de psychiater van GGZ Eindhoven. Had hij wel op de waarschijnlijke bron van Krol moeten wijzen bij de politie? Is het zijn taak om zijn patiënt over te leveren aan het gerechtelijke systeem? Of zouden wij mogen verwachten dat een arts dat bij zo’n kwetsbare patiënt nou juist niet doet en begrijpt dat zo’n persoon juist meer hulp nodig heeft? Bovendien gaf de psychiater ook informatie over patiënten die niet eens verdacht waren.
Misschien heeft de advocaat van Krol wel gelijk dat ook het OM zich schuldig maakt aan privacyschending door wel overleg te voeren met Diagnostiek voor U en GGZ Eindhoven, maar er niet voor waarschuwt dat zeer privacygevoelige informatie niet vrijwillig mag mogen worden verstrekt en daarvoor vorderingen moeten worden gedaan?
Zorginstellingen
Of is de privacyschender de combinatie van GGZ Eindhoven en Diagnostiek voor U, dat patiënten benadert met het verzoek om bij de schadeclaim aan te haken, terwijl die tot dat moment niets weten? Daar gaat het immers om het inzetten van de persoonsgegevens voor een privaat doel en persoonsgegevens zijn niet met dat doel verstrekt.
Ook is het twijfelachtig dat een GGZ-instelling patiënten vraagt zich te mengen in de zaak. Een patiënt voelde zich achteraf onder druk gezet en mailde de advocaat van Krol: “De reden hiervoor is dat ik deze machtiging voor mijn gevoel onder druk van de GGZe op maandag 28 januari uit het niets, zonder duidelijke info binnen een tijdbestek van enkele uren heb, (moeten) tekenen/ getekend.”
Diagnostiek voor U?
Of is de winnaar Diagnostiek voor U? Zij hadden niet alleen falende beveiliging (een overtreding van de Wet bescherming persoonsgegevens, artikel 13), maar konden ze niet eens logboeken overleggen met benaderingen van de server tijdens de hack. Door die laatste makke was het noodzakelijk om uitdraaien te overleggen met namen van patiënten die niet eens waren doorgehaald.
Je kunt je zelfs afvragen of een bloedlab wel over namen moet beschikken en dat door deze te verwerken (en niet alleen een nummer te gebruiken) het wel erg kwetsbaar werd bij een hack. Ook is het hebben van zo’n online dienst en die met alleen een gebruikersnaam en wachtwoord te beveiligen op zichzelf een privacyschending.
Of zijn het tenslotte de toezichthouders die in dit proces beter hadden moeten begeleiden? Vragen, vragen en nog eens vragen. Aan u de vraag: wie vindt u de ergste privacyschender?
