OM eist twee jaar celstraf tegen hacker het Groene Hart Ziekenhuis
Het openbaar ministerie (OM) eist twee jaar celstraf in een rechtszaak tegen een 28-jarige man die het Groene Hart Ziekenhuis in Gouda hackte. De man stelt met zijn hack de slechte beveiliging van de ICT-systemen van het ziekenhuis te hebben willen aantonen. Het OM is echter van mening dat de man in zijn hack te ver is gegaan om te spreken van een ethische hacker.
De hacker wist in 2012 toegang te krijgen tot de medische gegevens van bijna een half miljoen Nederlanders. Het OM stelt dat de man hiermee het ‘veiligheidsgevoel’ van een half miljoen patiënten onnodig heeft aangetast. Om de problematische beveiliging van de ICT-systemen aan te tonen had de man zich ook kunnen beperken tot het opvragen van zijn eigen gegevens.
‘Juiste belangen afwegen’
“De verdachte lijkt zich op het standpunt te stellen dat hij met zijn handelen slechts een maatschappelijke misstand aan de kaak heeft willen stellen. Dat de beveiliging niet op orde was betekent niet dat de verdachte zomaar zijn gang kon gaan. Een slechte beveiliging weerhoudt de verdachte niet van zijn eigen verantwoordelijkheden of verplichting om de juiste belangen af te wegen.”, stellen de de officieren van justitie van het landelijk parket. “Als de verdachte alleen had willen aantonen dat er een lek in de beveiliging van het ziekenhuis aanwezig was, had hij zich in ieder geval moeten beperken tot het raadplegen van zijn eigen gegevens. Hij geeft namelijk in zijn verhoren zelf aan dat hij dit ziekenhuis heeft gekozen omdat hij zelf in het systeem zou staan. Er is geen enkele noodzaak geweest om de gegevens van nietsvermoedende derden te raadplegen en hun privacy op verregaande manier te schenden.”
De kritiek van de ethische hacker op de beveiliging van het Groene Hart Ziekenhuis bleek vorige week overigens niet onterecht. Het College Bescherming Persoonsgegevens maakte bekend dat het ziekenhuis lange tijd de wet heeft overtreden door de beveiliging van haar ICT-systemen niet op orde te hebben. Het ziekenhuis werkte met verouderde medische apparatuur, die niet langer kon worden geüpdatet. Ook werd in veel gevallen geen of verouderde beveiligingssoftware gebruikt. De apparatuur was daarnaast ondergebracht op één netwerk, waardoor een hacker die één systeem zou hebben weten te hacken zijn toegang eenvoudig had kunnen uitbreiden naar andere onderdelen van het netwerk.