Kamerlid Henk Krol wél vervolgd om 'hacken'

Henk Krol (tweede van links) naast VVD-fractievoorzitter Halbe Zijlstra en CU-voorzitter Arie Slob. Rechts Alexander Pechtold.Beeld ANP

Henk Krol, fractievoorzitter van 50-Plus, wilde aantonen hoe slecht de patiëntengegevens van de kliniek 'Diagnostiek voor U' zijn beschermd, maar wordt nu door het Openbaar Ministerie vervolgd. Wat is precies het verschil tussen zijn zaak en de situatie van andere 'hackers' of klokkenluiders?

In april vorig jaar hackte Kamerlid Krol het systeem van 'Diagnostiek voor U'. Toen hij over een gebruikersnaam van een arts beschikte en de bijbehorende viercijferige beveiligingscode had geraden, kon hij de dossiers van duizenden patiënten downloaden. Krol wilde zo laten zien hoe lek de beveiliging van de website was. De Inspectie voor de Gezondheidszorg (IGZ) concludeerde echter na een onderzoek dat er geen aanleiding bestond om dit te verbeteren.

Iemand die wél met succes een beveiligingsmisstand aan het licht bracht, is journalist Brenno de Winter. Hij reisde begin 2011 illegaal met een OV-chipkaart omdat hij geen andere manier zag om zijn 'journalistieke punt' te maken. Zowel conducteurs als de detectiepoortjes op de NS-stations konden niet zien dat de chipkaartkaart geen saldo bevatte. De Winter bracht zo de fundamentele tekortkomingen in de beveiliging van de OV-chipkaart aan het licht. Om deze reden seponeerde het Openbaar Ministerie uiteindelijk zijn zaak.

KH-251212-4003_hd.mp4
Krols zaak toont ook aan dat er een grens bestaat tussen 'inbreken' en door een stommiteit op een webpagina terecht komen. In december vorig jaar ontdekte Anne Jan Roeleveld dat de kersttoespraak van koningin Beatrix online te bekijken was. Volgens Rijksvoorlichtingdienst had hij de code gekraakt waarmee de pagina was 'beveiligd'. Dit was echter een hele andere vorm van beveiliging dan die waar Krol mee te maken kreeg.

De URL van het laatste filmpje dat vóór de kersttoespraak op de website van het Koninklijk Huis is gezet, eindigde op KH-181212-3998_hd.mp4. De eerste zes getallen stonden voor de publicatiedatum van 18 december 2012. Daarna volgde het getal 3998, de numerieke "beveiligingscode" waar de Rijksvoorlichtingsdienst het over had. Alleen het veranderen van de datum in de URL zou dus niet leiden naar het filmbestand. Ook het ophogen van 3998 naar 3999 was niet genoeg. Maar door een aantal keer te proberen trof 'hacker' Roeleveld bij KH-251212-4003_hd.mp4 wél de kersttoespraak aan.

Door de muur
Jurist Arnoud Engelfriet stelde tegenover de NOS dat ook het lekken van de kersttoespraak strafbaar zou zijn. De pagina stond dan wel online, maar was niet openbaar én niet voor publicatie bedoeld. Hieraan voegde hij wel dat een rechter Roeleveld waarschijnlijk niet zou veroordelen vanwege de omstandigheden; de getallen in de URL lagen 'vrij voor de hand'.

Een belangrijk verschil met het 'hacken' van de kersttoespraak is dus dat Krol doelbewust door de beveiligingsmuur van 'Diagnostiek voor U' ging. Zelfs als je met jouw sleutel toevallig ook het huis van de buren binnen kunt komen, maak je je schuldig aan inbraak - hoe slecht het slot ook is. Bovendien plaatst de IGZ (al dan niet terecht) een vraagteken bij de noodzaak om de beveiliging van 'Diagnostiek voor U' te verbeteren. Misschien niet heel gek, aangezien er met een viercijferige beveiligingscode nog steeds tienduizend verschillende wachtwoorden bestaan. Een voorwaarde is dan wel dat de gebruikersnamen geheim blijven.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden