Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties, 24.502 views •
Submitter: Rikkiz0r

Tweede Kamerlid Krol van 50Plus krijgt een boete na het binnendringen van een medisch systeem. Hij wordt niet veroordeeld voor het binnendringen van het systeem zelf, maar voor het bekijken van te veel medische dossiers en het te snel inschakelen van de media.

Henk KrolHenk Krol werd vervolgd omdat hij een medisch systeem van onderzoekscentrum Diagnostiek Voor U binnendrong en daarbij dossiers downloadde. Dat deed hij nadat iemand hem tipte dat de dossiers toegankelijk waren met een eenvoudig te raden wachtwoord, dat bestond uit vier identieke cijfers. Het Openbaar Ministerie stelde daarop vervolging in en eiste een geldboete van 1500 euro. De rechtbank in Den Bosch houdt het bij een boete van 750 euro. De tipgever krijgt een voorwaardelijke boete van 250 euro.

De rechtbank neemt het Kamerlid Krol, die destijds nog niet in de Tweede Kamer zat maar hoofdredacteur van de GayKrant en Statenlid was, niet kwalijk dat hij het systeem is binnengedrongen, zo blijkt uit het vonnis. Hoewel dat formeel in strijd is met de wet, rechtvaardigt het aantonen van gebrekkige beveiliging volgens de rechtbank de inbreuk op de wet. Dat Krol dossiers downloadde om de omvang van het probleem te kunnen inschatten, vindt de rechtbank eveneens niet bezwaarlijk.

Waar de rechters meer problemen mee hebben, is dat Krol meer dossiers heeft bekeken dan nodig. Krol heeft de dag nadat hij een drietal dossiers kon downloaden en dus had bevestigd dat er een beveiligingsprobleem was, nog een aantal dossiers opgezocht. Daaronder was het dossier van zijn partner, dat van de medeverdachte die hem over het probleem informeerde en nog vier of vijf andere dossiers. Dat was volgens de rechtbank niet noodzakelijk.

De rechters nemen het Krol verder kwalijk dat hij te snel naar de media is gestapt. Krol lichtte Omroep Brabant in over het beveiligingsprobleem. De omroep maakte er een reportage van. Krol had het onderzoekscentrum meer tijd moeten geven om te reageren op zijn bevindingen. De zaak was niet zo ernstig dat 'onmiddellijke inschakeling van de media noodzakelijk was'; het ging om één medewerker die onzorgvuldig was geweest met zijn logingegevens en er was geen reden om aan te nemen dat het om een groter probleem ging. Tegenover Nu.nl zegt Krol hoger beroep te overwegen.

Uit het vonnis in de zaak tegen de tipgever blijkt dat hij de logingegevens per ongeluk te horen kreeg tijdens een bezoek aan de onderzoekskliniek. De rechtbank zegt niet te twijfelen aan de goede bedoelingen van de tipgever, maar vindt dat hij te snel naar Krol is gestapt. Vanwege de 'slechte financiële positie' van de verdachte blijft het bij een voorwaardelijke boete, die hij enkel hoeft te betalen als hij een vergelijkbaar vergrijp begaat.

Reacties (84)

Reactiefilter:-184070+150+27+30
Moderatie-faq Wijzig weergave
Een kamerlid lijkt nu niet zonder de media te kunnen (al is die mediageilheid niet beperkt tot kamerleden). Dat is het irritante van de Haagse kaasstolp. Soms lijkt het erop dat het in het nieuws komen op zich al van levensbelang is. En Krol doet hier ook aan mee.

Terecht zegt de rechter dat je eerst betrokkenen informeert. Van wat ik hier lees, lijkt het een evenwichtig oordeel. Je mag dus fouten rapporteren ('ethisch hacken'). Nu nog even wachten totdat er wat meer jurisprudentie is.
Wat krijgt de persoon met het makkelijk te raden wachtwoord dan? Ik ga er vanuit dat zo'n dossiers wel voldoenden beschermd dienen te worden. Het keurt natuurlijk niet goed dat Krol gaat zoeken, maar ik vind dat de verantwoordelijkheid ook bij de 'bewarende' persoon moet liggen.
" Dat deed hij nadat iemand hem tipte dat de dossiers toegankelijk waren met een eenvoudig te raden wachtwoord, dat bestond uit vier identieke cijfers."
0000?
Zeer bescheiden boetes en een redelijk duidelijk signaal: dit kan niet.
Huh? De tipgever krijgt een voorwaardelijke boete? Had hij beter zijn mond kunnen houden dan?
Dat is over het algemeen met klokkenluiders.
Een zekere student in Canada.
In de VS kunnen ze er ook aardig wat van.
Oh ja, bij Cisco zijn ze ook niet blijk met klokkenluiders. (was dacht ik ook recenter bericht over)

Van mij mogen ze Henk Krol een lintje geven voor zijn daad.
Ik heb al vaker wachtwoorden gezien die een driejarige nog zou kunnen raden. "12345", [bedrijfsnaam], "admin", [gebruikersnaam] of "wachtwoord" zijn mooie voorbeelden. Ook voor accounts waarmee belangrijke/geheime bedrijfsgegevens te raadplegen waren (of zelfs manipuleren)
Hij ging veel verder dan alleen tips geven, hij heeft ook vertrouwelijke informatie gedownload, en meerdere malen, en dat is waar hij die boete voor krijgt!

Als hij alleen een tip wilde geven had hij moeten stoppen toen hij eenmaal in het systeem zat, en een dossier had geopend. Dat was voldoende om het lek aan te tonen. Maar hij heeft méér dan één dossier bekeken, en dat was echt niet nodig.
nee, die had beter "Diagnostiek Voor U" benaderd dan Henk Krol, en Henk Krol had beter "Diagnostiek Voor U" kunnen benaderen dan de media. Het wordt ze dus niet kwalijk genomen dat ze ingelogd hebben, maar dat ze dit onder de publieke aandacht hebben gebracht i.p.v. mee te helpen dit op te lossen (en het meer bekijken/doen dan nodig was om het probleem vast te stellen).
Uh... Henk krol had toch ook in eerste instantie die partij benaderd? Maar het interesserde ze domweg niets. Althans dat is wat is dacht ik wat hij destijds in het interview vertelde.
volgens het vonnis:

[gegevensbeheerder] gemeld. Hij kreeg een telefoniste aan de lijn en heeft
gevraagd naar de leiding. De telefoniste heeft verdachte niet doorverbonden met
de leiding van [gegevensbeheerder] maar heeft hem verzocht een en ander op
schrift te stellen. Verdachte voelde zich hierdoor niet serieus behandeld en
heeft daarna vrijwel meteen contact gezocht met Omroep Brabant.

Met andere woorden: hij heeft 1 keer gebeld, vond dat hij niet serieus genomen werd en is meteen naar de pers gestapt.
Stel je voor dat de telefonist(e) elk verzoek om de directie of andere mensen zomaar te spreken honoreert, dan doet hij/zij ook het werk niet goed.
Telefoniste moet doorverbinden, meer niet. Mag ik die en die van u. Wat wilt u van hem? Dat een secretaresse dat vraagt, prima. Dat Krol niet langs de telefoniste kwam pleit niet voor zijn slagvaardigheid. Toch staat hij nu volgens de peilingen op een stapel zetels, voor wat dat waard is. Ok offtopic maar moest het even kwijt :P
Nou, als dit al onder de noemer 'hacken' valt, dan valt gebruik maken van een onveilig netwerk van een van je buren zeker onder 'het plegen van een zwaar delict'.

Heeft de rechtbank wel enig idee wat hacken inhoudt ?
Als je het artikel goed leest kom je te weten dat het de rechter niet ging om het inbreken, maar om het meer dan een noodzakelijk aantal dossiers openen (eigen vrouw etc), en het daarna gelijk in de media gooien van het lek.

De rechter heeft imo een prima uitspraak gedaan, niks op aan te merken. Gevoelige prive info van andere personen = prive info, daar heb je af te blijven, ongeacht of je er wel of niet bij kunt.

[Reactie gewijzigd door Engineer op 15 februari 2013 18:58]

Dit is wel zeer verrassend nieuws, je mag dus een computer systeem inkomen en daar op valse gronden veel persoonlijke dossiers met zeer vertrouwelijke informatie illegaal verkrijgen.

Alleen het publiceren kost je 1500,-

Dat is wel opmerkelijk te noemen, hier zal veel jurisprudentie uit voortkomen.
De kans is groot dat er een hoger beroep komt in deze zaak omdat er juist zo'n opmerkelijke uitspraak is gedaan. Één dossier inzien is volgens mij net zo strafbaar (of niet strafbaar) dan tien of honderd dossiers. Waar ligt immers de grens? (volgens de wet)
Deze man is gewoon een burger die gebruik maakt van zijn kiesrecht, niets meer of niets minder. Ook hij moet gewoon zelf een primair onderzoek verrichten, of de benodigde instellingen en instanties inschakelen. Ook deze nieuws zender had gewoon hoor en wederhoor moeten toepassen.

Het moet niet gekker worden, zo direct staat Marianne Thieme nog bij de La Mar bontjassen af te pakken, of die CDA neemt alle dames van de wallen mee voor verhoor.
Geven ze dat bedrijf ook een boete dan? Zo'n makkelijk wachtwoord is gewoon nalatigheid in beveiliging
Dat staat los van het strafproces. Er loopt een onderzoek van het CPB.
Daar horen we dus nooit meer iets van.
Wat niet wil zeggen dat er niets gebeurt.
Maar dit betekend dan voor Krol toch wel dat hij een probleem heeft met het uitoefenen van zijn functie? Immers, hij is nu wel veroordeeld. (ook al is het niet spannend)

of zie ik dat verkeerd, want dat was ook zijn abngst had ik eerder ergens gelezen.
De halve PVV fractie was bestaat uit eerder veroordeelde mensen dus nee een misstap hoef niet te betekenen dat je nooit in dat soort functies kan werken.
50 Plus vind ik een goed initiatief heel veel oudere zitten zonder werk niet omdat ze niet geschoold zijn maar juist omdat ze te geschoold zijn en teveel verdienen naar leeftijd.
Dat maakt niet uit, je kan prima in de kamer zitten als je veroordeelt bent. Er zijn immers meer mensen veroordeeld voor allerlei zaken, die toch gewoon in de kamer zitten.

Hij heeft ook geen speciale functie oid, hij is gewoon kamerlid en fractievoorzitter, meer niet.

Of het moreel handig is, dat is een andere kwestie natuurlijk.
ALs je het zo bekijkt, dan is hij een van de laatste moreelridders in de kamer zeker? :X
Mwoah, het moreel van de kamerleden is over het algemeen niet zo'n probleem. Hun moraal daarentegen...
Zoals Wildhagen al zegt, een enkele uitzondering daargelaten (misdrijven tegen de democratie zoals poging tot staatsgreep, ernstig terrorisme etc.) mag een kamerlid best een strafblad hebben. Een rechter kan soms uitspreken dat iemand het 'passief kiesrecht' (het recht om verkozen te worden) verliest maar dat komt eigenlijk zelden voor. *

Dat is bewust, een kamerlid is namelijk in dienst van de mensen die hij vertegenwoordigt, zijn kiezers, en niemand anders. Als kiezers geen probleem hebben om op iemand te stemmen met een strafblad, meestal afhankelijk van het soort vergrijp, dan hoort het geen belemmering te zijn.

Er bestaan wel landen waar het een beperking is, die vinden we doorgaans niet of nauwelijks democratisch en zijn meestal schimmige dictaturen. Het is dan namelijk voor de heersende macht heel makkelijk om volksvertegenwoordigers te dwarsbomen, zorg gewoon dat ze veroordeelt worden voor een of ander vergrijp en je hebt er geen last meer van.

*
Grondwet Artikel 54
1.De leden van de Tweede Kamer worden rechtstreeks gekozen door de Nederlanders die de leeftijd van achttien jaar hebben bereikt, behoudens bij de wet te bepalen uitzonderingen ten aanzien van Nederlanders die geen ingezetenen zijn.

2.Van het kiesrecht is uitgesloten hij die wegens het begaan van een daartoe bij de wet aangewezen delict bij onherroepelijke rechterlijke uitspraak is veroordeeld tot een vrijheidsstraf van ten minste een jaar en hierbij tevens is ontzet van het kiesrecht.

http://wetten.overheid.nl...tum_15-02-2013#Hoofdstuk3

[Reactie gewijzigd door Maurits van Baerle op 15 februari 2013 16:35]

Juist, het is meer vanuit politiek oogpunt 'onhandig' om een strafblad te hebben. Zo zal de media aandacht omtrent dit politieke schandaal(tje) kamerlid Krol ongunstiger liggen dat de geldboete.

Er is niet eens daadwerkelijk sprake van hack, waarbij Krol daadwerkelijk zelf enige intellectuele inspanning heeft moeten doen om in het systeem te komen. De kop op Tweakers (en in kranten als bv. De Telegraaf zal dit nog een stap erger zijn) doet echter anders vermoeden. Ook het inkijken van meer dossiers is natuurlijk niet echt netjes: stuk voor stuk vuil op het plantsoen van Krol.
Verkeersboetes komen toch ook op je strafblad. Dus er zullen wel genoeg kamerleden zijn met een strafblad.
Verkeersboetes komen toch ook op je strafblad.
Bron: dikke duim?

Denk dat je verkeersmisdrijven bedoelt, maar niet de moeite hebt genomen om dat op te zoeken (kleine moeite).
Justitiele documentatie heet het tegenwoordig en alle verkeersovertredingen komen er op te staan.
"Dat deed hij nadat iemand hem tipte dat de dossiers toegankelijk waren met een eenvoudig te raden wachtwoord, dat bestond uit vier identieke cijfers."

"De zaak was niet zo ernstig dat 'onmiddellijke inschakeling van de media noodzakelijk was'; het ging om één medewerker die onzorgvuldig was geweest met zijn logingegevens en er was geen reden om aan te nemen dat het om een groter probleem ging."

Erg raar. Een wachtwoord met vier identieke cijfers hoort helemaal niet mogelijk te zijn, helemaal niet als het gaat om privé informatie als medische dossiers. In dit geval ging het om rondslingerende gegevens en daarbij maakt het natuurlijk niet uit hoe ingewikkeld het wachtwoord in elkaar zit, maar wachtwoorden van vier identieke karakters toestaan is vragen om inbrekers.
Exact! Helemaal de uitspraak van de rechtbank dat het slechts om 1 persoon ging en dat het niet aanmelelijk is dat het een groter probleem is stoort mij.

Op het moment dat je als IT afdeling binnen een organisatie waarin zulke gevoelige informatie wordt opgeslagen het toestaat dat je gebruikers zulke enorm zwakke wachtwoorden kunnen gebruiken mag je er wel zeker van uit gaan dat het probleem vele malen groter is.

Met documenten die zo gevoelig zijn mag je toch wel eisen dat de wachtwoorden minimaal 12 tekens lang zijn, ik zou zelfs zeggen minimaal een stuk of 20, laat mensen maar zinnetjes aanleren als wachtwoorden dan is de kans dat iets gekraakt wordt _vele_ malen minder.
Een heel lang wachtwoord heeft ook geen zin, mensen kunnen dat niet onthouden vaak en schrijven die dus op een postit op die ze dan op de monitor plakken...

Dat een wachtwoord van 4 dezelfde characters mogelijk is, is natuurlijk wel te gek voor woorden, maargoed toegang tot zulke systemen zou mijn inziens zelf beter zijn om een combinatie van wachtwoord en identiteitskaart moeten zijn (dus niet alleen een wachtwoord).. Maarja, waar leg je de grens....
Een post it op je beeldscherm is altijd nog een stuk veiliger dan een wachtwoord van 4 cijfers.
4 cijfers is vrij gemakkelijk te bruteforcen een post it op je beeld scherm met een degelijk wachtwoord bijna niet.
Wel is er een kans dat mensen je post it te zien krijgen. Maar het gevaar daarvan is een stuk lager dan een dienst die publiek te bereiken is en bijv brute force attack op los gelaten kan worden.
Als iemand de kans heeft om je post it te lezen kan hij ook gewoon met je mee kijken als je inlogt.
Precies, omdat er geen bewijs is dat anderen met de gegevens in het systeem aan de haal zijn gegaan mag je er nog niet vanuit gaan dat het dan ook niet is gebeurt. Daarbij, als Krol niet was getipt en er niet zo media hype was ontstaan, dan was het systeem nu nog steeds zo lek als het maar zijn kan. En welk signaal geef je met deze uitspraak af? Als ik ooit een lekke site tegenkom ga ik dat waarschijnlijk niet meer melden, en wie is daar bij gebaat?
Ik zie niet direct reden aan te nemen dat DvU niets met de melding zou doen. Een simpele email had op Krols weg gelegen.

Zolang je zorgvuldig te werk gaat kun je prima lekken melden.
De rechter zegt in het oordeel juist dat het gemeld had moeten worden, maar dan wel op de juiste plek:
Verdachte had de tijd en had deze ook moeten nemen om de psychiater, diens
werkgever en/of [gegevensbeheerder] gericht te benaderen en had het
geconstateerde probleem op een adequate manier daar onder de aandacht moeten
brengen. Indien op zijn melding niet adequaat zou zijn gereageerd, hadden
mogelijk andere wegen open gelegen, waaronder de thans gevolgde.
De veroordeling gaat niet over het inzien van de gegevens, de rechter stelt dat dit gezien het maatschappelijke belang acceptabel was. De rechter stelt alleen dat het eerst netjes op de juiste plek gemeld had moeten worden, voordat er naar de media gestapt werd. En dat lijk me ook de correcte manier om met zoiets om te gaan. En, hoewel dat hier theoretisch niet relevant is, meld de recht ook nog dat naar de media stappen acceptabel zou kunnen zijn geweest als er op een normale melding niet of onvoldoende gereageerd zou zijn.

Als je ooit een lekke site tegenkomt moet je dat dus eerst netjes op de juiste plek melden en kun je deze uitspraak gebruiken om uit te leggen dat wat je gedaan het niet strafbaar zou moeten zijn. Dat lijkt me vooruitgang. En als er dan niets opgelost wordt kun je met deze uitspraak in de hand ook nog eens de publiciteit opzoeken. Ook dat wordt hier duidelijk. Als je het allemaal netjes doet kun je er dus, juist met dank aan deze uitspraak, vanuit gaan dat er niets aan de hand is. Ik vindt het een goede uitspraak.
Er komt nog wel iets bij: Het eenmalig inzien was te billijken, het nogmaals raadplegen van gegevens wordt dhr. Krol wel degelijk kwalijk genomen:

"Verdachte heeft echter meer en vaker dan één maal gegevens geraadpleegd en
uitgeprint. In het licht van het door [verdachte] gestelde doel waartoe hij de
gegevens raadpleegde en uitprintte, te weten bevestiging van het verhaal van
[medeverdachte] en vergaring van bewijs om later het probleem tegenover
[gegevensbeheerder] en eventuele anderen aan te kunnen tonen, bestond hiertoe
geen enkele noodzaak. [verdachte] heeft voor dat deel van zijn handelen de grens
van proportionaliteit overschreden
."
Om aan te tonen dat het mogelijk was had hij met dat wachtwoord enkel zijn eigen gegevens hoeven te bekijken. Volgens mij is dat wat hij daarna deed dan ook gewoon echt bewust een misdaad en mag daar wel wat meer tegenover staan dan een simpele boete van 750¤.

@Delgul: Dat anoniem melden bij kranten en plaatsen op nieuwsgroepen achterhalen ze best snel als je niet heel erg goed je sporen weet te verwijderen dus dat is onzin.

[Reactie gewijzigd door Darkstriker op 15 februari 2013 16:47]

Dat geeft je nog steeds niet het recht om dan zelf ook maar de wet te overtreden, jij bent verantwoordelijk voor je eigen daden. Is niet of of, maar en en, dus beide aanpakken.

Zou zoveel niet mogelijk mogen zijn wat wel belangrijker is dan wat dossiers, vallen nog steeds vliegtuigen uit de lucht dat zou ook niet mogen gebeuren. ;)

Waar gewerkt worden worden fouten gemaakt, daar kan je niet omheen, dus moet je bedrijf kans geven om fout te herstellen.
dus moet je bedrijf kans geven om fout te herstellen.
Met die gedachte ben ik het niet eens. Dit is niet een 'foutje' maar - zeker gezien de gegevens die dit systeem omsloot - gewoon een grove nalatigheid. Als er ook maar één moment tijdens de planning of bouw/uitvoer zou zijn nagedacht over goede autorisatie en authenticatie, dan was dit probleem er nooit geweest.
Verder, waarom wordt het IT bedrijf die hierachter zit niet bij naam genoemd? Sinds Diginotar weten we dat name&shame best effectief kan werken voor dit soort gepruts. En is al bekend of zij een aanklacht hebben ontvangen, evt vanuit het CPB?
jij bent verantwoordelijk voor je eigen daden
Dat gaat niet altijd op. Criminelen die potentieel misbruik kunnen maken van deze slechte beveiliging leggen sowieso geen verantwoordelijkheid af, terwijl de mensen wier gegevens in dit systeem zitten hier wel de lasten van ondervinden. Wat je met jouw gedachte krijgt is dat mensen die wel een verantwoordelijkheidsgevoel hebben hier niet meer naar kunnen of durven handelen terwijl zij die daar sowieso lak aan hebben er vrolijk met de buit vandoor gaan. Dat lijkt me een verkeerd signaal.

[Reactie gewijzigd door Rick2910 op 15 februari 2013 14:46]

Cyberlabs is gemaakt door MIPS. Het CPB doet een onderzoek naar Diagnostiek voor U. Dat duurt meestal even.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True