Duits OM gaat criminelen achter ransomware niet vervolgen voor dood patiënte

Het Duitse Openbaar Ministerie heeft een twee maanden durend onderzoek naar de dood van een patiënte gestaakt zonder ransomwarecriminelen verantwoordelijk te houden. De dood hield mogelijk verband met een ransomware-aanval op een ziekenhuis in Düsseldorf.

Tegenover Wired maakt de Keulse openbaar aanklager Markus Hartmann bekend dat het OM besloten heeft om na het onderzoek geen vervolging in te stellen voor de dood van de vrouw. Uit zijn verklaring valt op te maken dat het niet lukt om te bewijzen dat er juridisch een causaal verband is tussen de ransomware-aanval en de dood van het slachtoffer.

Half september wilde een ambulance de patiënte met spoed naar het Universitair Ziekenhuis Düsseldorf brengen, maar door een ransomware-aanval lagen de systemen plat en moest de ambulance uitwijken naar het ziekenhuis in Wuppertal. Haar behandeling kon daardoor pas een uur later aanvangen. Het OM is tot de conclusie gekomen dat het geen zin heeft de zaak voort te zetten en de malwareverspreiders verantwoordelijk te houden, omdat niet te bewijzen is in welke mate het uitstel aan haar dood heeft bijgedragen en of ze nog veel langer had kunnen overleven.

Het OM onderzocht na het voorval of de cybercriminelen te vervolgen waren voor dood door nalatigheid. Volgens Hartmann is het een kwestie van tijd voordat er wel een geval komt waarbij ransomware onherroepelijk tot de dood van een persoon leidt, al zal het bewijs daarvoor volgens hem vaak lastig blijven.

Door Olaf van Miltenburg

Nieuwscoördinator

12-11-2020 • 20:42

100

Submitter: Anonymoussaurus

Reacties (100)

Sorteer op:

Weergave:

Hoewel ik de argumentatie snap, geef je hiermee wel een verkeerd signaal af richting deze criminelen. Het is wachten op een herhaling...
Hoewel ik de argumentatie snap, geef je hiermee wel een verkeerd signaal af richting deze criminelen.
Iemand vervolgen zonder causaal verband geeft een verkeerd signaal af richting de hele bevolking. Daarnaast is het gewoon tegen de wet en zal het in hoger beroep meteen afgeschraft worden.

Wetgeving en bestraffing gaat niet over wat mensen denken maar over wat we met zijn allen afgesproken en hebben en waarvoor we afgespoken hebben dat rechters daar onafhankelijk over kunnen oordelen. In een land waar dat niet zo is wil jij denk ik niet wonen.
Dat is niet wat er staat.
Er staat dat causaliteit juridisch lastig is te bewijzen.
Ergo: wetten zijn de oorzaak dat je kunt vervolgen, maar dat er door de verdediging, aan de hand van dezelfde wetten, dusdanige onzekerheid aangetoond kan worden, dat je er niets mee opschiet, in tegendeel zelfs.

Iedereen voelt aan zijn water dat dit niet klopt en dus zou je daar wat mee moeten doen.
Dus wijzig wet, voeg toe, doe wat aan deze afperstechnieken die een zeer hoge potentie heeft tot het nemen van levens heeft.

De hele cirkelredenering dat het niet kan omdat we dat nou eenmaal hebben afgesproken komt op mij altijd over als een uitgeperste citroen van onwil en in dit geval een goed voorbeeld dat vrouwe justitia liever een oogje dichtknijpt.
Hoe wil je de wet wijzigen waardoor je iemand kan veroordelen zonder dat je kunt aantonen dat wat die persoon gedaan heeft de oorzaak was? Een junior jurist maakt er direct gehakt van.
Als niet bewezen kan worden in hoeverre de malware de oorzaak van de dood van de patient(e) is, maar er kan wel worden bewezen wie de malware heeft geïnstalleerd dan is het een kwestie van daar de strafmaat wettelijk voor verhogen. Maar dat is een politieke discussie.

Ik ben in ieder geval een voorstander van het verzwaren van dergelijke straffen als de slachtoffers een cruciale levensreddende functie hebben. Malware in kerncentrales is ander voorbeeld wat zwaarder gestraft mag worden.

LET OP: Ik zeg niet dat er bewezen dient te worden in hoeverre er een direct verband is met n dodelijk slachtoffer en de daarbij behorende strafmaat, maar dat zodra bewezen is dat iemand verantwoordelijk is voor de installatie van malware bij levensreddende bedrijven/gebouwen/personen dat DIE strafmaat omhoog moet.

Edit: zinsbouw.

[Reactie gewijzigd door Ruben26 op 22 juli 2024 23:47]

Ik ben in ieder geval een voorstander van het verzwaren van dergelijke straffen als de slachtoffers een cruciale levensreddende functie hebben.
Dit gebeurt toch al? de rechter kan kiezen voor de maximale straf bij iemand die dit al drie keer gedaan heeft en geen berouw toont, of een lagere straf wanneer de situatie minder extreem is.

Stel: Als ik zit te appen achter het stuur, en daardoor niet door heb dat er een ambulance achter me zit, waardoor deze 2 seconden later in het ziekenhuis is, kan ik dan ook vervolgd worden voor de dood van de patient?

Dat is hier aan de hand: ze konden niet voldoende aantonen dat de patiënt wel geleefd zou hebben als de ze een uur eerder bij de EHBO geweest zou zijn. Ik verwacht dat in een ander geval (bijv. patient overlijdt in ambulance met een kwaal die goed te verhelpen is in ziekenhuis) er wel vervolging + veroordeling kan plaatsvinden. Ik zie dit als pech of heel misschien incompetentie van het OM, niet een fout in het rechtssysteem.
Ergens denk ik wel, dat is de consequentie van een ziekenhuis platleggen.

Dat gaat verder dan wanneer je een kantoor aanvalt, dat kost slechts verloren tijd en een zak geld. Hiermee zet je moedwillig mensenlevens op het spel. Dat alleen al zou vervolging op moeten leveren, met zwaardere straffen dan wanneer je een kantoor afperst.

Het moge duidelijk zijn dat met het vergrendelen van medische systemen je mensenlevens op het spel zet. Dat doe je ook nog bewust. Heel hard vervolgen die gasten. Het is wat mij betreft niet relevant of deze vrouw het anders wel of niet had gered.
Ze zullen gerust wel vervolgd worden, alleen niet voor de dood van deze vrouw waarvan niet aan kan worden getoond dat ze overleden is door de acties van deze criminelen.
Je zult ook moeten bewijzen dat de patient wel overleefd zou hebben als het hospitaal niet besmet was...
Anders is het nog steeds geen dood door schuld oid.

Een kantoor platleggen kan ook verregaande consequenties hebben, meer dan alleen een zak geld.

Je moet dus niet op (mogelijke) gevolgen handhaven, maar het zelfstandige feit... Kortom ALLE ransom aanvallen moeten vervolgd worden.
er wordt ook niet gezegd dat ze geen hogere straf krijgen van de rechter omdat ze een ziekenhuis hebben aangevallen. Alleen dat de dood door schuld niet bewezen kan worden.
Er is precedent voor om iemand verantwoordelijk te stellen voor de indirecte gevolgen van hun misdaden. In dat soort gevallen geldt niet de volledige verantwoordelijkheid maar een gedeeltelijke verantwoordelijkheid en wordt deze naar rato in straf omgezet. Mits de wetgever deze wet invoert is dit juridisch zeker uitvoerbaar.
De vraag in het hele onderzoek is niet of ze indirect verantwoordelijk ervoor zijn. Er staat redelijk duidelijk in het artikel dat het moeilijk te bewijzen is dat mevrouw nog zou leven als ze een uur eerder geholpen was (dus indien de ambulance niet had hoeven uitwijken naar een ander ziekenhuis).
Onder de huidige standaard ja, dat is waar ruimte is voor de wetgever om deze standaard voor toekomstige gevallen te verruimen.
Ik zie niet hoe je die standaard medicolegaal zinnig kunt oprekken. Indien deze mevrouw zó slecht lag dat ze niet eens een 30 minuten vertraging in behandeling kon hebben, dan valt ''een significante mate van schuld aan overlijden" sowieso al niet hard te maken, direct of indirect. Daarmee vervalt meteen het proportionaliteitsbeginsel, en als we daaraan gaan tornen zet je de deur open om mensen het handje af te laten hakken als ze een halfje bruin stelen in de buurtsuper. En kom niet met het argument dat dat een niet ter zake doende zijstraat is, want precendent is precedent, en als de verkeerde lui aan de macht komen, krijg je dat precedent wél om je oren, en gewoon onder de vlag van 'grondwet' in plaats van het gebruikelijke reli-gebazel.

Let wel: ik heb in eerdere Duitse berichtgeving meegekregen dat deze mevrouw chronisch ziek was met meervoudige (uiteindelijk dus levensbedreigende) aandoeningen, en het dus geen acuut trauma betrof; daar wil het eerste uur nog wel eens zéér kritisch zijn en had een 30 minuten vertraging dus potentieel erg veel uitgemaakt. Daar was de bewijsvoering ook zeer waarschijnlijk veel minder complex geweest.
Wat bedoel je precies met "indirecte gevolgen"..? Een belangrijke voorwaarde blijft steeds dat er sprake moet zijn van een conditio sine que non en dat is hier dus niet bewijsbaar.

Een indirect gevolg is als een gasmonteur een leiding niet goed afsluit waardoor er een ontploffing ontstaat, die ontploffing doet een automobilist zo schrikken dat hij een voetganger dood rijdt. Misschien was de automobilist zelf ook enigszins nalatig, maar de conditio is hier duidelijk.

De conditio is in de casus echter niet aanwezig. Er was een gerede kans dat de patiënt ook in normale omstandigheden was overleden. Overigens denk ik dat het OM met de wet in de hand de computercrimineel nog op tal van andere vergrijpen kan aanpakken.
Het is helemaal niet relevant of mevrouw wel of niet was blijven leven. Je mag nog steeds geen 150 in de bebouwde kom rijden, ookal botste je nergens tegenaan. Je nam het risico om iemand aan te rijden willens en wetend. Dat an sich lijkt mij heel strafbaar. De aanvallers weten dat de systemen op slot gaan en de medische zorg direct in de knel komt. Daarvan mag je redelijkerwijs verwachten dat dat heftige consequenties kan hebben.
Je redenering is niet op zijn plaats hier. Het gaat erom of de criminelen verantwoordelijk gehouden kunnen worden voor de dood van de vrouw. Dat is kennelijk niet (of te moeilijk) te bewijzen.
Dat zal het wel zijn idd.

Wel een boete voor 150 rijden in de bebouwde kom, geen dood door schuld door de man die overleden is door een hartaanval wellicht omdat die schrok van dat er zo hard gereden werd.
Dat is omdat het feit dat je 150 Kmpu rijdt op een plaats waar 30 of 50 is toegestaan een zelfstandig feit is.
Dat feit van te hard rijden met 100 a 120 Kmpu is dan ook de overtreding van een gestelde grens.
(meer dan overtreding).. Dat die grens gesteld is omdat de veiligheid in het geding is bij hoge snelheden is dus vooruitkijken naar mogelijke gevolgen van een oorzaak.
Indirecte gevolgen kunnen niet meegenomen worden. Zeker niet als die "wellicht" ontstaan kunnen zijn door de overtreding, ze moeten "zeker" onstaan zijn door een overtreding omdaar aan toe geschreven te worden.

Kijk naar verzekeringspremies..., die kunnen veel lager zijn als iedereen zich aan de regels houdt..
De premei voor een Diefstalverzekering kan zelfs 0 worden etc. Dat indirecte gevolg is niet aan dieven aan te rekenen...
Ik weet het, het voelt allemaal erg oneerlijk. Maar juist doordat er zulke strikte regels/wetten zijn, zal er minder snel sprake zijn van willekeur en toeval. Een voordeel daarbij is ook dat er minder snel onschuldigen een officiële kerfstok krijgen.
Als er verantwoordelijkheid is kan de rechter straffen, daar is geen nieuwe wet voor nodig. Je bent dit topic aan het volspuien met juridische onzin.
Je zou wel een wet kunnen maken dat hacken of onbruikbaar maken van een ziekenhuis an sich al zwaar bestraft wordt, zeg 10 jaar gevangenis. Dan hoef je niet te wachten tot iemand sterft, wat nu dus het geval is.
In België zit er zo al jaren iemand in de cel.. Zonder concreet bewijs, maar op grond van vermoedens.. Zoek maar op..
Juridisch houdt je betoog geen steek. Buikgevoel is geen bewijs. Punt. Anders krijg je willekeur en daarmee wetteloosheid.
Ik denk dat we vooral bij bezoekers op een tech website iets vergevingsgezinder mogen zijn met het door elkaar gebruiken van concepten zoals juridisch en wetgevend. Wat @mterbekke hier wil is niet een juridische oplossing maar een politieke oplossing. De wetgever mag absoluut binnen de perken van internationale verdragen de wet zo maken dat indirecte gevolgen van daden crimineel vervolgbaar zijn. Er bestaat zelfs als precedent voor strafverzwarende maatregelen wanneer een specifieke misdaad het gevolg is van het begaan van een andere misdaad. Juridisch wordt slechts de geldende wet uitgevoerd, als de wet dit mogelijk maakt is het juridisch zeker een steekhoudend argument.
Je betoog houdt juridisch geen enkele steek.

Je spreekt zelf over "indirecte gevolgen" en verder zelfs over "het gevolg is van". Gevolg betekent causaal verband. Als je niet kan bewijzen dat B een gevolg is van A (de term "indirect" doet er niet toe) dan kan je iemand die A veroorzaakt niet straffen voor feit B. Dat is een elementair juridisch basisprincipe essentieel voor rechtvaardige rechtspraak.

Dat heeft dus niets met wetten te maken, maar met juridische basisprincipes. Een dergelijke wet, als hij gemaakt zou worden (dat kan de wetgevende macht uiteraard), zal waardeloos blijken want hij zal niet de toetsing weerstaan aan het algemeen rechtskader (dat door de rechterlijke macht bewaakt wordt).

Internationale verdragen doen hier overigens niets ter zake.

Overigens - in dit concreet geval - kan bij het bestraffen van de misdaad (dwz het verspreiden van malware/ransomware) wèl meegenomen worden als (zeer zwaar doorwegende) verzwarende omstandigheid dat een ziekenhuis het doelwit was van de aanval, waardoor levens op het spel kunnen komen te staan.

[Reactie gewijzigd door Myaimistrue op 22 juli 2024 23:47]

De Nederlandse rechter mag expliciet een wet niet toetsen aan de grondwet (de bron van dit rechtskader), artikel 120. De enige bron van wetgeving die een rechter dan ook kan gebruiken om de rechtmatigheid van een wet te beoordelen is artikel 94. Causaliteit in het strafrecht betekent iets anders dan in het algemene taalgebruik. Ook wanneer de gedraging niet 100% en direct de oorzaak is van een bepaald gevolg kan er sprake zijn van causaliteit onder het strafrecht. Dit is onder andere de basis van vervolging voor nalatigheid of dood door schuld. In beide situaties heeft de vervolgde niet de bedoeling gehad een misdrijf te plegen (mens rea), is deze gedraging niet direct de oorzaak van het gevolg, maar wordt het toch als verwijtbaar handelen gezien en is er een basis voor vervolging. De wetgever kan een vergelijkbare redenering hanteren wanneer de kansen op overleven groter waren indien de behandeling eerder begonnen was. In zo'n geval is volledige verantwoordelijkheid dus niet van toepassing maar heeft de gedraging wel het gevolg bevordert.

Het algemeen rechtskader is niet één of andere standaard verkregen van een hogere macht die niet aan verandering onderhevig is. Het rechtskader is volledig gebaseerd op de door de wetgever vastgestelde wetten en door de wetgever vastgestelde internationale verdragen.
Ook dood door schuld en nalatigheid vereisen ook het aantonen van causaal verband. Als er geen causaal verband is, dan is er geen verband. Als "de gedragingen het gevolg bevorderen", als je spreekt over "indien", is er een causaal verband.

Maar altijd zal je dat causaal verband moeten bewijzen. Dat heeft niets met de grondwet te maken, maar alles met juridische basisprincipes.

Je hebt blijkbaar een paar klokken horen luiden, maar je ziet niet waar de klepel hangt. Een eerste jaar rechtenstudent maakt gehakt van je uitleg.

Opnieuw, dit heeft niets met internationale verdragen te maken. Als je denkt van wel: zeg me eens welk internationaal verdrag van toepassing is ;)

[Reactie gewijzigd door Myaimistrue op 22 juli 2024 23:47]

Grappig, deze uitleg is anders deels gebaseerd op de uitspraken van meerdere van mijn voormalige professoren aan de UvA. Dat er causaal verband nodig is heb ik niet ontkend. Dat is letterlijk de derde regel van wat ik hierboven zeg. Onder strafrecht is een causaal verband echter ruimer vast te stellen dan de letterlijke definitie van het woord inhoudt of de vereisten die aan causaliteit in de natuurlijke wetenschap gesteld wordt.

Er is dan ook mits de wet enigszins aangepast wordt een argument te maken dat de causaliteit gevestigd wordt doordat de ransomware aanval er direct toe geleid heeft dat de ambulance niet bij het genoemde ziekenhuis kon komen. Hierdoor kon de behandeling niet eerder starten. Als er ook maar een redelijke kans is dat vroeger behandelen zou hebben geleid tot een positievere uitkomst dan is er basis voor causaliteit in strafrechtelijk opzicht.

Wat betreft de internationale verdragen, artikel 7 EVRM is één van de overduidelijke die in dit specifieke geval gelden.
Ik vraag me af hoe je je wet dan zou formuleren zodat hij de toetsing met elementaire rechtsprincipes doorstaat?

En opnieuw, en je geeft het zelf uiteindelijk toe, je moet causaliteit kunnen aantonen. "Misschien zou... hebben kunnen leiden tot..." (en dus misschien ook niet), lijkt mij juridisch een zeer flauwe argumentatie.

Uiteraard helpt artikel 7 van EVRM je hier niet. Die wet zegt gewoon dat alleen dingen die volgens een wet strafbaar zijn bestraft kunnen worden. Ransomware is strafbaar. Bijdragen tot iemands dood is strafbaar. Maar je moet het bewijzen. Dat laatste is overigens een toepassing van artikel 6: recht op een eerlijk proces ;)

Wat wel juridisch steek houdt, is eenvoudigweg te bepalen dat bij het inzetten van ramsomware het aanvallen van bepaalde instellingen/doelen (dat kan best precies omschreven worden) er extra zware straffen zijn. Zulke wet is voor een rechter eenvoudig toepasbaar en stelt niet een probleem van moeilijke of dubieuze bewijsvoering.

[Reactie gewijzigd door Myaimistrue op 22 juli 2024 23:47]

"Ik denk dat we vooral bij bezoekers op een tech website iets vergevingsgezinder mogen zijn met het door elkaar gebruiken van concepten zoals juridisch en wetgevend".

Juist. En ik zie vaak dat het een soort welles nietes spelletje wordt tussen wat kan, de wet is en hoe een ander het allemaal niet begrijpt.
De juist vertaling van het alledaagse leven van mensen naar wetten is juist wat het draagvlak en zin geeft.
Daar moet de prioriteit liggen.
Dank voor dat inzicht en dat begrip!
De wet wijzigen is een oplossing.

Gelukkig zal de dader dan niet vervolgd worden, want we leven in een ontwikkeld land, en kun je niet gestraft worden wat eerst niet illegaal was, of waar eerst een een lichtere straf op stond.

(Nu denk je dat ik sarcastisch ben, maar het is echt goed dat in ontwikkelde landen dit zo werkt en willekeur niet de macht heeft, en dat dan zo'n iemand niet vervolgd kan worden offer ik daar graag voor op)
Ik denk ook niet dat hij argumenteert dat we deze wet met terugwerkende kracht moeten laten gelden (hoewel dit ook niet volledig ahistorisch is. Er zijn in het verleden dingen achteraf strafbaar gesteld met terugwerkende kracht, zoals misdaden tegen de menselijkheid in Neurenberg of verjaringstermijnen). Het lijkt me meer een argument voor de toekomst.
Strafbaar stellen met terugwerkende kracht is in strijd met het hierboven door jouzelf geciteerde artikel 7 van ERVM ;) .
Nee, met terugwerkende kracht is absoluut niet wat ik in het hoofd had, het idee alleen al.

Wat mij onbestaanbaar lijkt is dat een verdediging twijfel kan zaaien (en daarmee onschuld of onthouden vervolging bereikt) over of een iets elementairs als een ziekenhuis onbereikbaar maken, op een of andere manier strafbaar is.
Blijkbaar niet.

Andersom en even praktisch: zou het vervolgbaar moeten zijn als je de ingang van een ziekenhuis barricadeert of krijgen we dan (typisch juristen), de vraag of het echt wel zo is dat dat levensgevaarlijke risico's op heeft geleverd?
Ik formuleer de vraag even anders, maakt het m.i. wat gemakkelijker.
Er belanden met de huidige standaards ook al mensen onschuldig in de gevangenis. Dat is veel erger dan dat de afschrikkende werking op criminelen iets wordt verzwakt. Onschuldig in de gevangenis belanden is een van de eergste dingen die mensen kan overkomen.

https://eenvandaag.avrotr...uit-de-afgelopen-40-jaar/
https://eenvandaag.avrotr...genis-hoe-hou-je-dat-vol/
Maak van dit soort vergrijpen een "poging tot doodslag van meerdere personen" van en pak die klootzakken aan.
Niet dat ze daadwerkelijk opgepakt gaan worden daar in de Ukraine...
Ik denk niet dat het probleem hier de wetten zijn, die zijn vrij duidelijk. Aantonen dat de ransomware aanval een invloed heeft gehad, daar zit ook niet het probleem echter;

Is de dood het gevolg van de ransomware? Als we even aannemen dat dit zo is zonder discussie.

Zijn de malwareverspreiders dan verantwoordelijk voor die dood? Niet zo eenvoudig, stel de stroom valt uit en vervolgens sterft een patiënt en we kunnen duidelijk aantonen dat die patient niet overleden was als de stroom uitgevallen is, is de energiemaatschappij dan strafrechtelijk vervolgbaar? Of had het ziekenhuis de nodige maatregelen kunnen voorzien? We weten dat computers defecten kunnen hebben, had het ziekenhuis niet moeten voorzien dat men de patient moest verzorgen zonder systemen? Is het ziekenhuis dan verantwoordelijk voor die dood? Maar bij de energiemaatschappij was geen kwaad opzet, stel ik rijd dronken de zijdeur van het ziekenhuis binnen waardoor een labo buiten gebruik is, daardoor komen er resultaten te laat, daardoor is een overlijden, ben ik dan verantwoordelijk? En als dat ja is, en jij werkt als systeembeheerder in een ziekenhuis, jij maakt een fout waardoor je domein crasht, ben jij dan verantwoordelijk voor alle gevolgen die daaruit voort vloeien? Zo nee, waar stopt die verantwoordelijkheid dan juist?

Als we daar aan uit zijn en we stellen dat de aanvaller rechtstreeks en volledig aansprakelijk is voor deze gevolgen, als je wilt vervolgen voor doodslag dan moet je aantonen dat de digitale aanval de fysieke meststeek was in hart. Wie zegt dat de patient niet simpelweg terminaal was? Kan u aantonen dat dit indien dit uitstel er niet was geweest welk verschil er dan was geweest? Het klopt dat dit uitstel zeker niet bijgedragen heeft aan de overlevingskansen maar bewijs nu eens dat zonder dit uitstel de patient zonder enige twijfel niet overleden was. Want indien er ook maar enige twijfel bestaat dat het uitstel ten gevolge van de aanval (indien we dat bewezen achten) de hoofdoorzaak is dat de dood is ingetreden, als die twijfel er is, als we niet kunnen uitsluiten dat de patient anders hoofdwaarschijnlijk ook overleden was, dan kunnen we niet vervolgen voor doodslag. En dat is medisch juridisch steekspel waarbij je 20 experts krijgt waarbij niemand in eer en geweten zekerheid kan geven.

Als een perfect gezonde persoon een verkeerde dodelijke injectie krijgt met alle onderzoeken zwart op wit, dan is de zaak eenvoudig maar hier kun je zoveel kanten uit dat ik perfect begrijp dat het OM aangeeft dat ze het juridisch niet rond krijgen. Dan krijg je een juridisch steekspel dat oneindig lang kan doorgaan, niemand zit te wachten op 20 jaar rechtbank, al helemaal niet als daardoor de feiten dreigen te verjaren.

Dan begrijp ik volkomen dat het OM deze beslissing neemt en voor andere tenlastelegging gaat, ik zou zelfs niet weten hoe je dat met wetten zou kunnen oplossen tenzij je heel het rechtsysteem onderuit haalt en naar een dictatuur gaat.
Vrijspraak door een rechter zou nog erger zijn denk ik. Nu grijp je een zo waterdicht mogelijke case aan in de toekomst,dan heb je een wat sterker verhaal, ook voor zaken erna.

Als je dit nu door had gezet en je verliest is dat voor de toekomst niet beter. Maar ik begrijp je punt hoor, ik zit ook te springen om een hardere aanpak.
Exact. Precedent is heilig in de rechtspraak. en als je dit nu door overhaast handelen verpest heb je een probleem in de toekomst.
Klopt, plus dat dit enkel gestaakt onderzoek is.
Hierdoor kan het Duits OM gewoon opnieuw overgaan tot vervolging als er toch hard bewijs opduikt.
Erg interessant, dank voor je heldere uitleg, ik heb er nu begrip voor.
Jammer dat dit niet gelukt is, maar begrijpelijk dat er niet tot vervolging over gegaan is.
Er wordt uiteraard wel nog vervolgd voor het verspreiden van malware..
Daar ga ik wel van uit, maar het was een 'mooie' verzwaring geweest als je ook deze persoon/personen voor de gevolgschade en zelf voor bijv doodslag zou kunnen vervolgen. Als dat maar vaak en effectief genoeg gebeurd wordt het ook minder aantrekkelijk om dit soort dingen te doen lijkt me.
Ik snap dat het systeem zo werkt, maar als nabestaande had ik hier never nooit genoegen mee genomen. Juist omdat dit soort situaties zo lastig te beoordelen zijn is het extra walgelijk om. Ziekenhuizen te chanteren.
Volgens mij was het in dit geval een fout geweest van de malware verspreiders. Toen ze erachter kwamen dat het een ziekenhuis was hebben ze het weer ongedaan gemaakt. (dat zijn tenminste hun woorden).
Ik geloof wel dat het een fout was, ze hebben niet echt een reden om daarover te liegen want dat zou de aanklacht tegen hun niet veranderen.
is dit een bewuste aanval geweest op dit ziekenhuis? Of werden zo veel mogelijk pc's aangevallen en is dit ziekenhuis 'toevallig' slachtoffer geworden?
is dit een bewuste aanval geweest op dit ziekenhuis?
Ja en nee. Ja het was bewust gedaan. Maar het het was niet de bedoeling om een ziekenhuis te besmetten. De ziekenhuis had een naam wat lijkt op universiteit (Universitair Ziekenhuis). Hierdoor dacht de hacker dus een universiteit te hebben in plaats van ziekenhuis. Toen de politie heeft gesproken met de hacker en gezegd dat het echt een ziekenhuis was heeft de hacker de code vrijwillig gegeven.

Hier de originele artikel https://tweakers.net/nieu...jk-tot-dood-patiente.html
Ik snap dat het lastig is te bewijzen en dat een schuldig precedent belangrijk is maar ik vind het op zich fout. Als ik iemand perongeluk hard aanrijd en weg rij wordt ik ook schuldig bevonden terwijl er ook niet bewezen kan worden dat als ik zou blijven en hulpdiensten bel dat ze het wel overleeft. Ook bijvoorbeeld op ambulance expres hinderen staat een straf https://www.omroepbrabant...inderen-van-een-ambulance. Terwijl dit ook niet kan bewijzen of iemand het anders overleeft zou hebben. Uiteindelijk is het gewoon nooit echt te bewijzen want zelf een routine operatie kan iemand gewoon dood aan gaan.

En u ga ik wel erg ver denken maar misschien juist doordat de ambulance gehinderd wordt dat de patiënt het overleeft. Denk dan aan dat de chirurg dus iets later begint en dus alles anders zou verlopen. Dit kan zijn dat de chirurg dat echt net iets mee is uitgerust(eigenlijk niet eens merkbaar), net iets meer tijd zou hebben om de gegevens te bestuderen, op een net iets andere plek staat waardoor hij andere dingen ziet en gewoon anders beweegt en timing heeft voor bijvoorbeeld de instrumenten pakken. Mocht de patiënt het overleven bewijs dan maar eens dat het niet door het hinderen van de ambulance komt.
Als je iemand per ongeluk aanrijdt, dan is er vluchtmisdrijf, en dat misdrijf zal uiteraard des te zwaarder wegen naarmate het ongeval ernstiger was - want die inschatting heb je uiteraard kunnen maken en gemaakt. Je hebt bijvoorbeeld iemand die mogelijks kon sterven, bewust in de steek gelaten. Dat kan je zwaar aangerekend worden (als verzwarende omstandigheid van het misdrijf).

Als je daarentegen iemand aanreed zonder dat je je daarvan bewust was, dan is er wellicht zelfs geen sprake van een vluchtmisdrijf.
Als je weggereden bent na je vergewist te hebben van de toestand van het slachtoffer (en daarbij redenen had om aan te nemen dat het ongeval niet zo ernstig was), dan kan dat in je voordeel spreken (ook als de persoon achteraf blijkt te overlijden).
Dat het wegrijden zelf een misdaad is is 1 ding. Maar het gaat er mij om dat ze nooit kunnen bewijzen dat als de slachtoffer overlijd of de slachtoffer het overleefd zou hebben als gebleven zou zijn. Maar toch wordt je dus wel zwaarder gestraft. Nu zeggen ze bij deze zaak dat ze het niet kunnen bewijzen en dus maar laten vallen. Dan zou ik het dus in mijn vergelijking eerlijker vinden als ze dan ook gewon zeggen van omdat we niet kunnen bewijzen of de slachtoffer het overleeft zou hebben krijg je alleen de minimale straf voor het wegrijden.

En ja natuurlijk zit er een verschil in dat de hacker niet fysiek aanwezig was. Maar zijn acties hebben zeker niet geholpen. En daar gaat het me om. Dat allebei de situaties niet kunnen bewijzen of iets uitgemaakt zou hebben en toch dat er dus wel verschillende uitslagen zijn ervoor.
Je hebt als getuige / betrokkene een plaats van ongeval verlaten. Dat is op zich al fout, en kan meer gevolgen hebben dan het ongeval zelf.
Wat als vragen zijn vrijwel altijd een doodlopende weg, als een feit al gepasseerd is.
Ja het wegrijden is inderdaad al fout. Maar als de slachtoffer overlijdt dan wordt dit zwaarder gerekend terwijl ze niet kunnen bewijzen dat als je gebleven zou zijn dat de slachtoffer het overleefd zou hebben. Nou wordt er gezegd dat ze niet kunnen bewijzen dat de persoon in de ambulance het overleefd zou hebben en dus maar niets meer met de situatie doen. Dus voor de ene ding wat ze niet kunnen bewijzen wordt je wel afgerekend en de andere dus niet. Dan zou het in de aanrijding eerlijker zijn (in vergelijking met de hacker situatie) als ze zeggen "omdat we het niet kunnen bewijzen krijg je maar de minimale straf".
Het wegrijden is al een strafbaar feit zelfs als er verder niets meer gebeurd, niet meer dan een kras in een ego.

De vraag die beantwoord moet worden mbt aanrekenbaarheid is zou de vrouw het zeker overleefd hebben als ze wel was opgenomen, of was het zo wie zo al kantje boord. Inderdaad een uur vertraging helpt waarschijnlijk niet.
Op dit moment kan er alleen computervredebreuk ten laste worden gelegd, niet de verdere gevolgen.

Bij het doorrijden... als een uur later de andere partij struikelt en overlijd is er niet direct een verband met het ongeval en staat het doorrijden ook als losstaand feit en wordt er niet direct doodslag bij geteld.
Maar de andere partij is wel wel overleden.
Maar in jou voorbeeld hebben de 2 situaties niets met elkaar te maken. Je zou hooguit nog kunnen zeggen dat door de aanrijding de persoon een last heeft van een been en daardoor toevallig struikelt maar dat is wel heel ver denken. Maar in dit geval moest er actie ondernomen worden door de hacker. Een beter voorbeeld: ik pest een ambulance door expres veels te zacht te rijden en de patiënt overlijdt. Nu verwacht ik wel dat ik hiervoor extra gestraft wordt ook al kunnen ze niet bewijzen dat die het anders wel overleeft had.

Uiteindelijk weten we te weinig over de situatie van de vrouw, de afstanden en reistijd, de tijd van omrijden tot overlijden de verkeerssituatie, ect om het beter te munnen beoordelen al blijft de mens een variabele factor. Waar de ene aan dood gaat zou de andere kunnen het langer kunnen uithouden of zelfs overleven.
Zelfs zonder veroordeling van dood door schuld hoop ik ten zeerste dat er serieuze consequenties zijn voor wat hier gebeurd is.

Ik vergelijk deze situatie direct met het aanvallen van een agent, waardoor die agent een moordpartij niet kon tegenhouden. Je kunt dan ook niet bewijzen dat de aanvaller verantwoordelijk is voor de dood , maar je hebt nog steeds een agent (een ziekenhuis) aangevallen.

De consequenties voor 't aanvallen van een ziekenhuis zouden gewoon zwaarder moeten zijn dan voor het aanvallen van een persoon. Je brengt namelijk niet één persoon in gevaar, maar honderden-duizenden.
Ze hebben iets gedaan wat niet mag
Of er nou wel of niet iemand overleden is , moeten toch altijd vervolgd worden
Dus zolang er niemand dood aan gaat is het blijkbaar niet strafbaar
Rare ideeën hebben somige mensen
Het houd niet in dat ze niet voor de ransomware willen vervolgen maar niet de extra gedeelte van dat het ook nog eens doodslag zou kunnen zijn. Dit omdat ze niet kunnen bewijzen dat de vrouw het anderd wel overleeft zou hebben. Uiteraard zullen ze hem eerst moeten vinden.
Misschien het bestuur van het ziekenhuis aanklagen voor nalatigheid?

Hoofd IT heeft ook wat uit te leggen, maar die zal wel al jaren om meer budget aan het vragen zijn.
Ransomware kan ook gebeuren als alles up2date en beveiligd is..
Zeker nu nieuwere ransomware vaak weken of maanden inactief en onherkend is, en dus gewoon in al je backups van het afgelopen (half)jaar zit voor je erachter komt, is er echt maar heel weinig tegen te doen (behalve dingen als een whitelist voor processen of überhaupt geen internettoegang voor apparaten die het niet nodig hebben)
Doordat personeel niet op de hoogte is van gevaren of inloggegevens laten slingeren.

Maar hiervoor moet je je personeel waarschuwen en cursussen laten volgen; om te zorgen dat zij om kunnen gaan met de informatie tot welke zij beschikking hebben.

Door uit te gaan van "tja, het gebeurt toch wel, ook al zouden we alles up to date houden.", maak je ook een self-fulfilling prophecy.
Door uit te gaan van "tja, het gebeurt toch wel, ook al zouden we alles up to date houden.", maak je ook een self-fulfilling prophecy.
Dat doet ie dan ook helemaal niet.

Hij reageert toch op iemand die een ziekenhuis wil aanklagen voor nalatigheid zonder dat hij weet of ze nalatig zijn. Dan mag best duidelijk gemaakt worden dat het niet per definitie nalatigheid is, maar dingen gebeuren soms gewoon, en dat maakt niet dat je je daar naar moet gedragen en van uit moet gaan, dat maakte jij er dan weer van, maar komt helemaal niet uit zijn reactie naar voren...

[Reactie gewijzigd door watercoolertje op 22 juli 2024 23:47]

Ransomware kan ook gebeuren als alles up2date en beveiligd is..
Ja, en? Ook daar kun je op z'n minst over nadenken..
Wellicht zorgen dat niet alles aan het netwerk hangt en dat je toch het een en ander kunt doen zonder daar afhankelijk van te zijn.
Er is vast over nagedacht, wie weet was de ransomware er net een half uur. Dan kun je echt niet schalen naar wat anders
Dat is er ook. Er is een uitwijkplan. Nieuwe patiënten worden niet meer aangenomen en doorgestuurd naar omliggende ziekenhuizen. En de afdelingen gaan over op een standalone pc zonder enige koppeling met een netwerk. Daarnaast zijn er ook nog papieren opties beschikbaar.

Dat een nieuwe patiënten verder/langer onderweg is kan geen enkele procedure wat aan veranderen.
Maar de zorg op zich is nooit in gevaar geweest.
Ik denk inderdaad dat organisaties ook het eea te verwijten valt. Het lijkt me nogal belangrijk dat organisaties (zeker als ze van dergelijk kritiek belang zijn) zichzelf niet volledig afhankelijk maken van IT. Ik weet dat veel bedrijven in de jaren negentig en nul van alles gedigitaliseerd hebben zonder goed over de consequenties na te denken, maar ongewenst en onverantwoordelijk lijkt dat me wel. Als een van die bedrijven dan gehacked wordt, proberen ze de schuld vaak in de schoenen te schuiven van de hacker(s) in kwestie, maar het ljkt me niet meer dan redelijk dat de managers en bestuurders zichzelf ook voor een groot gedeelte aansprakelijk houden voor geleden schade.

Dat gezegd hebbende: het feit dat er zowaar iemand is overleden, is natuurlijk dieptriest.
Waarom het bestuur aanklagen? Misschien is het wel een IT manager geweest die de risico's van een malware aanval verkeerd heeft ingeschat en heeft het bestuur op basis van verkeerde informatie beslissingen genomen.
Die ITer doet z'n baan met de middelen die ie er voor krijgt.
Daar heb jij net zoveel bewijs voor als dat het management nalatig zou zijn geweest, geen...
Ja; maar als de IT'er zijn baan niet doet of kan doen, had de directie toch moeten ingrijpen?

Je kunt als directie elke maand flink cash binnenharken, maar als er iets mis is naar je persooneel wijzen (welke je zelf aangesteld, opgeleid en dient te controleren op functioneren) die nog niet de helft verdient?

Je hebt wel een punt dat de schuld eigenlijk alleen uit een onderzoek bewezen kan worden. Maar mijn punt is juist dat het bedrijf zelf aansprakelijk is en niet degene die toevallig op dat moment, de IT afdeling bemant?
Iedereen heeft zijn eigen verantwoording die bij zijn functie past, als er onderaan wat fout gaat houdt dit geenszins in dat de eindverantwoordelijke op de blaren dient te zitten, vindt je opvatting stuitend omdat je geen idee hebt of er wat fout is gegaan en zo ja wat er waarom fout is gegaan maar je hebt wel een opvatting over wie er verantwoordelijk moet worden gehouden.
Mijn vraag/discussiepunt is; is een individu persoonlijk aansprakelijk binnen een bedrijf?

Uiteindelijk is het bedrijf de entiteit die een fout heeft gemaakt. De directie had dit m.i. moeten voorkomen door middel van hun controlerende en leidinggevende functies.

Als bedrijf kun je niet zeggen: "met schadeclaims moet je naar onze hoofd IT, die heeft 't niet goed beveiligd". En is m.i. niet helemaal fair (uitgaande van goede intenties).

In dit specifieke geval valt er natuurlijk weinig te zeggen (zonder onderzoek) en was uit mijn bericht niet duidelijk; omdat ik het juist betrok op dit verhaal.
Maar mijn punt blijft staan, wie is verantwoordelijk en kan die persoon daadwerkelijk persoonlijk aansprakelijk zijn, of alleen in geval van nalatigheid. (En kan dit ook bij een normale werknemer, geen directielid?)

[Reactie gewijzigd door Accretion op 22 juli 2024 23:47]

Mijn vraag/discussiepunt is; is een individu persoonlijk aansprakelijk binnen een bedrijf?
Mag toch hopen van niet (in deze situatie), wie wil er dan uberhaubt nog in de zorg werken met kans op gevangenisstraffen als je reanimatie niet lukt (een ander had het misschien wel gelukt).

En je bent ook niet onschendbaar in je baas zijn tijd gelukkig.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 23:47]

Mijn vraag/discussiepunt is; is een individu persoonlijk aansprakelijk binnen een bedrijf?
...
Je begint zelf over het aanklagen van het bestuur, dat zijn personen....
Het voelt alsof, directie, IT en hacker in dit geval vrijuit gaan omdat hun acties niet direct te koppelen zijn aan het sterfgeval.

Maar in dat geval heeft er niemand schuld/aansprakelijkheid en was het een ongelukje?
De vrouw had ook kunnen overlijden als ze wel op tijd behandeld zou worden. Er is gewoon geen bewijs dat de vertraging invloed had.
Er hoeft niet altijd een schuldige te zijn..
Hmm, ja m'n eerste reactie was meer van; d'r kunnen toch niet zo maar mensen overlijden door de fout van een enkele persoon.
En andersom kan toch ook niet een 'bedrijf' een persoon laten overlijden, dan moet er toch iets/iemand aansprakelijk zijn.

Maar in een ziekenhuis overlijden mensen vermoedelijk vaker dan in een normaal bedrijf.

Als het invloed heeft gehad, is het waarschijnlijk wel de schuld van de hacker/ransomware.
Al had IT en directie de kans kunnen verkleinen, maar alleen uit onderzoek kan blijken of dat te verwijten is.

Lijkt me een prima conclusie.

In deze is het de hacker wel te verwijten dat hij op een kwaadwillende manier het ziekenhuis heeft gesaboteerd wat mogelijk maar (potentieel) niet direct heeft bijgedragen aan overlijden.
Ze kunnen de hacker dus niet pakken voor dood door schuld, alhoewel hij wel opzettelijk en bewust het ziekenhuis heeft verstoord.
alhoewel hij wel opzettelijk en bewust het ziekenhuis heeft verstoord.
Zelfs dat is niet zomaar te stellen, volgens de hackers was de Heinrich Heine Universiteit het doelwit en is het ziekenhuis "per ongeluk" besmet geraakt... daar gaat de opzet..
Voor een buitenstaander die een claim neer wil leggen is het bedrijf de verantwoordelijke en de claim maakt kans als het bedrijf door zijn handelen schade heeft veroorzaakt, het bedrijf zelf kan dan besluiten om 1 of meerdere van zijn werknemers verantwoordelijk te houden voor de schade indien het aan kan tonen dat werknemers nalatig genoeg hebben gehandeld om ook daadwerkelijk persoonlijk aansprakelijk te zijn. (en de grens daarvoor ligt in Nederland zeer hoog)
De IT-er heeft misschien wel hele dag zitten F5-en op Tweakers i.p.v. zijn netwerk op orde houden.
Ik voel me aangesproken. :P
Als die er niet zijn moet je als directie aan de bel trekken.
Bij wie?
En dan zit je dus weer met beperkt budget van het ziekenhuis. En prioriteit op patiënten.

Op t.net is alles altijd de schuld van de gemene managers die meer geld aan IT hadden moeten geven. IT maakt nooit zelf fouten en managers zitten nooit met moeilijke belangenafwegingen.
Onder de aanname dat die patient geleefd had als de IT op orde was geweest, dan was de IT van belang voor die patient. IT kan een ziekenhuis heel veel efficienter laten draaien. Efficientie betekent lagere overhead-kosten, dus meer budget beschikbaar per patient.
Wel goed om te weten dat causaliteit in Duitsland zwaar gewogen wordt.
(verwijderd omdat ik ben overtuigd door andere posten)
(ging over verantwoordelijkheid van ict afdeling in ransomware attacks)

[Reactie gewijzigd door harakiri576 op 22 juli 2024 23:47]

Wat het beveiligingsteam van het ziekenhuis kan doen houd nogal snel op, het gaat over het beveiligingsteam van Microsoft.
Ongelofelijk hoe Microsoft nooit in deze discussies naar boven komt.

[Reactie gewijzigd door novasurp op 22 juli 2024 23:47]

Op dit item kan niet meer gereageerd worden.