Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties

Het openbaar ministerie heeft een celstraf van twee jaar geŽist tegen een 28-jarige hacker die zou hebben ingebroken bij systemen van het Groene Hart Ziekenhuis in Gouda. Hij zou patiŽntendossiers van de servers hebben gehaald.

De eis is een celstraf van twee jaar, waarvan acht maanden voorwaardelijk met een proeftijd van drie jaar. Daarnaast vindt het OM psychische behandeling nodig. Het is nog onbekend welke straf de hacker krijgt: de rechtbank Den Haag spreekt het vonnis op 17 december uit.

In 2012 werd de hack bekend. Het ging om een server die data uitwisselde via onversleutelde ftp-verbindingen en die het ziekenhuis met een zwak wachtwoord had beveiligd. Naast medische dossiers zou de verdachte gegevens van meer dan 493.000 personen in handen hebben gekregen, waaronder burgerservicenummers en naw-gegevens.

De verdachte verdedigde zich door te bepleiten dat hij een ethische hacker is. De officieren van justitie van het landelijk parket vinden echter dat er geen sprake was van een ethische hack bij het kraken van de systemen van van het Groene Hart Ziekenhuis.. De 28-jarige man, in het oorspronkelijke bericht aangehaald als 'Bonnie van de hackende huisvrouwen', wordt niet alleen verdacht van het misbruik maken van het door hem ontdekte lek, maar ook van het downloaden van patiëntendossiers en het plaatsen van malware. Daarnaast trof de politie een grote hoeveelheid kinderporno aan op de computers van de verdachte.

Volgens het OM zijn 'de grenzen die voor ethisch hacken zouden kunnen gelden in ernstige mate overschreden'. "Door zichzelf steeds weer toegang te verschaffen tot de gegevens van het ziekenhuis, deze gegevens te downloaden, te bespreken en soms zelfs te delen met derden en door het achterlaten van kwaadaardige software had deze hack op geen enkele wijze meer met ideologische motieven te maken", aldus het openbaar ministerie in een verklaring.

Moderatie-faq Wijzig weergave

Reacties (78)

Ik lees wel veel verklaringen om te verdoezelend at het ziekenhuis zijn beveiliging bar slecht op orde had maar geen achtergrond informatie. Had de man een reden om het systeem van het Groene Hart te gaan 'testen'? Had hij een hufter van een manager die zijn overuren niet uitbetaalde terwijl hij hem jaren psychologiseerde? Wat was er nu precies aan de hand? Veel te gemakkelijk wordt er over het motief voor de daad heengestapt waardoor het een kwestie van wachten is voordat er daadwerkelijk patentgegevens van deze of een andere zorginstelling over het internet gaan.als ze al niet bij de samenwerkende zorgverzekeraars die zich een monopolie gecreŽerd hebben in de burelen bevinden.
(Edit: Iets meer achtergrondinfo gevonden: http://bit.ly/11X6Afz ; http://bit.ly/11X7jgO ; http://bit.ly/11X7E3j ; http://bit.ly/1ynPvZ7; http://bit.ly/11X9X6h; http://bit.ly/1ynQnNi)

Begrijp me niet verkeerd, de dader moet stevig worden aangepakt als die uit was op chantage of reputatiebeschadiging maar mij dunkt dat er veel meer van de voorwaarden tot deze daad in het zonnetje komen te staan en dat op zijn minst een naar het zich laat aanzien wel erg laconieke dienst Automatisering betere aansturing en geprofessionaliseerd beheer krijgt. Overigens lijkt het er sterk op dat het OM welbewust zit te zwartepieten richting dader die zelf de hack meldde om *af te leiden* van de wel erg kwalijke zaak van hoe er is omgesprongen met patiŽntendata. Dat gaat niet bepaald motiverend werken om zulke misstanden op een nette wijze opgelost te krijgen.

[Reactie gewijzigd door sjun op 4 december 2014 06:01]

Ik wilde eerst zeggen dat ik 2 jaar absurd vond, maar toen ik las over de kinderporno verzameling mogen ze hem van mij wel een flink tijdje opsluiten.
Het kinderporno verhaal staat imho volledig los van het hack gebeuren. Dit gedeelte van het bericht is een heel stuk belangrijker:

"Door zichzelf steeds weer toegang te verschaffen tot de gegevens van het ziekenhuis, deze gegevens te downloaden, te bespreken en soms zelfs te delen met derden en door het achterlaten van kwaadaardige software had deze hack op geen enkele wijze meer met ideologische motieven te maken"

Als het om een ethische hack ging dan zou het ziekenhuis verwittigd worden dat het lek er is, en de tijd gegeven worden om het op te lossen. Deze persoon heeft het lek gebruikt voor persoonlijk gewin waardoor er zeker geen sprake meer is van een ethische hack.

Ik ben het dus eens met het feit dat het kinderporno verhaal nog eens los berecht zal moeten worden van deze zaak, twee strafbare feiten die los staan van elkaar, voor zover ik dat uit de informatie kan opmaken.
Ben ik het ook helemaal mee eens, ik hou gewoon niet zo van mensen die kinderporno bezitten of bekijken :(
Inderdaad, maar vind dat de kinderporno dan in een apparte zaak zou moeten worden behandeld. Vooral het laatste punt dat hij het met derde heeft gedeeld. Als je het ziet dat de verbinding niet beveiligd is en dan evengoed nog rustig de tijd neemt om te kijken of je nog meer er af kan snoepen ben je niet meer ethis bezig maar is het puur voor je zelf.

Als je ondekt dat er een gat zit in de beveiliging dan melt je dat bij de ICT afdeling van het ziekenhuis en ga je niet rustig verder zitten vissen en al helemaal geen malware installeren.
Terwijl het wel of niet hebben van kinderporno geheel los staat van het hacken lijkt me. Leg kinderporno gewoon apart ten laste zodat de rechter er apart uitspraak over kan doen en de verdachte zich apart kan verdedigen.

Bij een aanklacht voor het hacken hoort alleen het hacken centraal te staan - zuivere rechtspraak.
Ik zou zeggen 5 jaar voor beide feiten 10 jaar dus).

Het moet eens duidelijk worden dat een straf echt een straf is, de laatste tijd zijn straffen een lachertje in Nederland.
"de laatste tijd zijn straffen een lachertje in Nederland."

...want jij bent expert op het gebied van straffen, hoe effectief ze zijn, hoeveel ze de maatschappij kosten, e.d.? Interessant! Vertel hier eens meer over. En omdat het - kennelijk - de verkeerde kant op gaat met de straffen, heb je ook statistieken van hoe het veranderd is sinds het verleden?

Thanks!
[...] ik zie al uit je post dat verder uitleggen geen zin heeft [...]
Iemand vraagt je om uitleg en dit is je antwoord, prima reactie. Hoe conludeer je uit je voorbeelden dat de straffen slecht zijn? Als je dat uitlegt heb je al wat onderbouwing.
Zolang je niet de feiten uit het onderzoek weet zijn de voorbeelden die je geeft natuurlijk appels met peren vergelijken....

Het klinkt idd erg weinig 120 uur werkstraf voor 3 doden maar toch zou deze beste man hier ook volledig onschuldig kunnen zijn. Als hij niet te hard heeft gereden maar b.v. een klapband heeft gekregen (of b.v. olie op de weg) dan kan deze beste man dit enorme drama niet als opzettelijk aangerekend krijgen hoe dramatisch het ook is.
Ken jij de feiten? Ik niet iig, en 99% van de Nederlanders ook niet.

Mensen hebben nogal snel de neiging om (in hun emotie) ongenuanceerd hun mening te uiten, dit zonder zich eerst te verdiepen en/of kennis van de feiten te hebben in wat er nu ťcht gebeurd is.
Jij weet waar je over praat. Ik hou wel van mensen die onpartijdig hun uit spraak doen. Feiten heb je nodig meningen heb je niks aan.
Precies, en als je dan verder vraagt krijg je dingen als "Dat terzijde, ik zie al uit je post dat verder uitleggen geen zin heeft," naar je hoofd geslingerd.

Ik scrollde even naar boven om te kijken of ik niet op geenstijl zat...
Ik zou die voorbeelden niet zonder zich erin te verdiepen noemen.
Als je je had verdiept in de zaak van de Pool die drie mensen doodreed, dan had je de straf wel begrepen. Het enige dat bewezen werd geacht is dat de man gevaar op de weg veroorzaakte. Iemand die door rood rijdt is hier ook schuldig aan. Wil jij tien jaar celstraf zien voor iedereen die door rood rijdt? Het is namelijk dat of overgaan op een systeem waarin verdachten gestraft kunnen worden voor niet-bewezen misdaden.
Als ik 10 jaar cel krijg omdat ik iemand dood reed omdatvik door rood reed is dan mijn eigen stomme fout, de stoplicht is niet voor niets rood.
En daarom hebben we gelukkig in Nederland rechters die over de hele linie kijken naar feiten en omstandigheden. En in de zaak van de pool met de BMW die opa, oma en kleindochter van twee dood reed konden de zwaardere componenten in de ten laste legging niet worden bewezen. Dan rest inderdaad zoals eerder is aangegeven gevaarsetting veroorzaken waarvoor hij de maximale straf heeft gekregen te weten 120 uur werkstraf.
Inderdaad.
Het is het werk van het OM om met goede bewijzen te komen : als zij dus geen overtuigend bewijs kunnen aanleveren dan kan een rechter ook niet zomaar op basis van onderbuikgevoelens een hoge straf opleggen.
(Gelukkig hebben wij geen jury rechtspraak)
Als je door rood rijdt en iemand dood rijdt is dat iets anders dan als je alleen door rood rijdt. Even lezen wat er staat...
Ach het is gewoon een jurisprudentielijn die hier gevolgd wordt voor de strafmaat ten aanzien van het doodrijden van personen. De constante factor hierbij is dat het absurd lage straffen zijn, zelfs bij een dronken bestuurder.

120 uur taakstraf voor stomdronken een voetganger aanrijden:
http://www.bd.nl/regio/ti...ijden-diessense-1.3673894
240 uur taakstraf voor bumperklever die vier mensen aan heeft gereden: http://nos.nl/artikel/611...r-doodrijden-viertal.html
120 uur taakstraf bewezen 'aan zijn schuld te wijten':
http://www.parool.nl/paro...or-doodrijden-Boris.dhtml
240 uur taakstraf bij veel te hard rijden, bevestiging hiervan door het Hof: http://www.hartvannederla...ng-voor-doodrijden-vrouw/

[Reactie gewijzigd door ChicaneBT op 4 december 2014 01:03]

Wat een onzin. Als jij bewezen door rood bent gereden met als gevolg dat je een dodelijk ongeluk veroorzaakt ben je gewoon schuldig. Het is in dat geval aan jouw schuld te wijten, je bent immers door rood gereden. Bij deze Pool is het onvoldoende bewezen dat het aan zijn schuld te wijten is. Als jij trouwens door rood rijdt en je veroorzaakt geen ongeval dan wordt je daar ook niet voor gestraft.

[Reactie gewijzigd door ChicaneBT op 3 december 2014 22:18]

Als je door rood rijdt en iemand doodt, dan is dat iets anders dan alleen door rood rijden. Goed lezen wat ik zeg.
Dan ben ik (oprecht) geÔnteresseerd waarom deze straf dan te laag zou zijn.
Ik heb me namelijk niet in de zaak verdiept en heb geen kennis van het dossier...
Op basis waarvan ben jij van mening dat deze straf hoger had moeten zijn?
Waarvan ik toch betwijfel of dit ook door de hacker zelf op zijn computer is gekomen, of dat de politie zich zelf wat gegund heeft. Iemand die een beetje kan hacken weet wel hoe je met dat soort zaken om moet gaan. In dit geval wist deze man waarschijnlijk wel dat er onderzoek naar hem verricht werd.

Als je al pedofiel bent zou je met zo'n computerachtergrond onder zulke omstandigheden toch wel anders handelen dan het er op laten staan.
Het eerste wat ik dacht. Dit ruikt een beetje.

Of het is een scriptkiddie die geen ruk van hacken weet en geluk had met het juiste tooltje, of het is een echt goede hacker waarbij de politie zelf crea bea is geweest met bewijs of wat harde schijven door elkaar heeft gehaald.
Vertel eens: hoe vaak is de Nederlandse politie al betrapt op het plaatsen van valse bewijzen? Ik kan me in ieder geval geen enkele zaak voor de geest halen waar dat bij gebeurd is.
Dus waar de (paranoide?) beschuldigingen van jou en hleistra vandaan komen is mij een raadsel...
Ik denk dat ik weet waar jij op doel, ergens in Augustus als ik mij goed kan herinneren.

Jammer dat daarvan niet veel in de media naar buiten is gekomen en veel in de doofpot gestopt is door de overheid. Denk dat iedereen hierboven dan toch even 2 keer nadenkt om te zeggen dat de politie geen bewijs "creŽert"/plaatst.
@Lezzmeister
Ik zou graag meer zeggen maar... Denk dat dat mensen in de problemen brengt.
Interessant-doenerij. Anders kan ik het niet zien.
Geen onderbouwing, we moeten hier je linkerduim maar geloven? :?

@defixje
Jammer dat daarvan niet veel in de media naar buiten is gekomen
Niet veel, dus wel iets? Ik ben benieuwd, laat maar zien dan....

Of is het weer eens een uitzondering van ťťn foute agent die nu door de grote ongewassen massa als standaard wordt aangemerkt?
Zoals ik al zei: vraag het iemand als je details wil. Het is niet een agent, maar complete teams.
Ik vraag het jou. Maar aangezien jij met niet onderbouwde beschuldigingen komt en je vervolgens probeert te verschuilen achter anderen ("vraag het iemand"? Wat is dat voor rare kreet als iemand JOU een vraag stelt?) vrees ik dat het dus bij een "bewonderende blik" op je linkerduim zal blijven...
Natuurlijk, in elk arrestatieteam is er een zogenoemde "joker" ,die heeft een USB stick met kinderporno bij zich, een paar zakjes cocaine en een Koran waarin passages over strijd onderstreept zijn, zodat ze je altijd kunnen pakken! 8)7 Tot zover de fictie, nu weer over naar de feiten.
Dat van die drugs hoorde ik van een politie-instrukteur dat het op de politie-adacie onderwezen wordt, dus dat zou voo =r die USBstick en koran ook wel eens kunnen gelden.
Hij gaat niet voor 2 jaar voor kinderporno. Dat is een totaal andere zaak.
Normaal gezien heb ik toch de neiging dit soort "klokkenluiders" een warm hart toe te dragen maar gezien:
"Door zichzelf steeds weer toegang te verschaffen tot de gegevens van het ziekenhuis, deze gegevens te downloaden, te bespreken en soms zelfs te delen met derden en door het achterlaten van kwaadaardige software had deze hack op geen enkele wijze meer met ideologische motieven te maken",

- Herhaaldelijk
- Delen met derden
- Malware plaatsen

Geef ik het OM volledig gelijk. Dit past totaal niet in het beeld van een white hat hacker.
Als die zaken werkelijk waar zijn. Het OM claimt dat wel, maar het moet wel nog voor de rechter bewezen worden. Dit is nog maar een kant van het verhaal en dat is te weinig om te oordelen. (Het OM probeert soms ook hoger in te zetten dan werkelijk bewezen kan worden.)
Zelfs als het niet bewezen kan worden, wil dat nog niet zeggen dat het ook niet waar is. Er kan alleen geen straf worden opgelegd.
Klopt. Maar als het niet bewezen kan worden kunnen we niet weten of het waar is, en moeten we er dus van uitgaan dat het niet waar is. Laten we die paar uitgangspunten van onze rechtspraak toch nog in ere houden.

(Als verdachte word je toch al flink benadeeld door de gang van zaken, het OM heeft een veel gunstigere uitgangspositie dan de verdachte.)
Dat klopt dus niet. Juridisch zijn deze mensen wellicht onschuldig, maar eenieder is vrij zijn of haar eigen mening daarop na te houden. Zo is niemand verplicht te veronderstellen dat OJ Simpson onschuldig is.
Daar geef ik gelijk in. Ook het feit van de verdenking van bezit kinderporno word er eigenlijk bij gepakt. Wat hoe erg dat ook kan zijn, zou dat geen invloed op deze zaak moeten hebben. Samen met jou heb ik ook mijn twijfels. Maar van die 3 punten is imo als white hat het delen met derden het punt. Herhaaldelijk, ok. (Je wil toch wel weten of het geen toevalstreffer is, en in geval van, weten waarom), Malware plaatsen, (Testen van escalatie, hoe ver kan je gaan aka hoever kan het lek gaan).
Maar nooit en te nimmer deel je iets met derden voordat je een melding hebt gemaakt..
"Door zichzelf steeds weer toegang te verschaffen tot de gegevens van het ziekenhuis, deze gegevens te downloaden, te bespreken en soms zelfs te delen met derden

Hoe weten ze dat hij dit heeft besproken en gedeeld met 3-den? Wie zijn dat dan geweest en wanneer? Waarom hebben die niet aan de bel getrokken (bij de politie)? Niet om het goed te praten, maar gebaseerd op enkel bovenstaande feiten kan hij wel gepoogd hebben dit aan te kaarten bij bepaalde personen (de slechte beveiliging) om er iets aan te laten doen.
Je kunt moeilijk veroordeeld worden voor zaken die niet bewezen zijn geacht, dus er zal vast iets van bewijs zijn dat hij het gedeeld heeft met derden.

Als je dat soort informatie wil weten kun je de uitspraak opzoeken op rechtspraak.nl. Daar zijn die zaken die je noemt gewoon in vermeld.
Nog niet ;)
Er is nog geen uitspraak namelijk. We hebben het hier over de strafeis.
De rechter kan hem uiteraard nog vrij spreken.
Wordt de "hacker" ook nog vervolgt voor het in bezit hebben van kinderporno?
Dat beide delicten vervolgd worden in een keer heeft te maken met het leerstuk van de meerdaadse samenloop. De maximum straft wordt het strafmaximum van het zwaarste delict plus eenderde. Dus delict A staat 3 jaar op, delict B 6, dus maximum straf is dan 8 jaar... Raar maar waar, als je meer delicten pleeft krijg je "korting"...
Het openbaar ministerie heeft een celstraf van twee jaar geŽist tegen een 28-jarige hacker die zou hebben ingebroken bij systemen van het Groene Hart Ziekenhuis in Gouda. Hij zou patiŽntendossiers van de servers hebben gehaald.
Hoeveel jaar eisen ze tegen de directie, die verantwoordelijk is voor deze slecht beveiligde server?
Van straffen heb ik geen verstand.
Van beveiligen wel.......
Als het waar is dat het systeem van het ziekenhuis zo slecht beveiligd is mag de verantwoordlijke daarvoor ook ter verantwoording worden geroepen.

[Reactie gewijzigd door Dorus12 op 3 december 2014 18:43]

Ik zou eens de kant van de verdachte willen horen. En van die kinderporno vind ik het ook maar vaag (kheb waarschijnlijk teveel House of Cards gekeken :P )
Dit is erg weinig - minstens 20 jaar effectieve celstraf lijkt me eerder op z'n plaats - diefstal van medische data is een veel te ernstig vergrijp om zomaar te laten passeren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True