Gevangenisstraffen voor datadiefstal uit CoronIT-systeem

Rechtbank Midden-Nederland 14 september 2021, IT 3657; ECLI:NL:RBMNE:2021:4419 Verdachte in deze zaak wordt ten laste gelegd dat hij computervredebreuk heeft gepleegd en vervolgens persoonsgegevens heeft overgenomen uit het CoronIT-systeem. In een onderzoek naar een gemeld data-lek bij de GGD werden op de telefoon van verdachte foto's aangetroffen van persoonsgegevens. Daarnaast had hij in diverse Telegram groepen geplaatst dat hij op verzoek persoonsgegevens zoals adres en BSN zou kunnen opzoeken. Ondanks dat verdachte niet is 'binnengedrongen', omdat hij als medewerker toegang had tot het CoronIT-systeem, is de rechtbank van mening dat verdachte zich schuldig heeft gemaakt aan computervredebreuk. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien. Dezelfde beredenering wordt ook in een soortgelijke zaak betreffende data-diefstal toegepast, waarbij een verdachte specifieke persoonsgegevens opzocht in het systeem. Beide verdachten worden veroordeeld tot een (deels voorwaardelijke) gevangenisstraf.

Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Het is een systeem dat toegankelijk is vanuit een webbrowser en valt daarmee te kwalificeren als een geautomatiseerd werk. Om toegang te krijgen tot het CoronIT-systeem moet gebruik gemaakt worden van een gebruikersnaam en een wachtwoord, waarover verdachte uit hoofde van zijn werk voor de GGD rechtmatig beschikte. Aan verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. Verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien.