ECLI:NL:RBMNE:2021:4419

• Datum uitspraak: 14 september 2021
• Publicatiedatum: 13 september 2021
• Zaaknummer: 16/021907-21 (P)
• Instantie: Rechtbank Midden-Nederland
• Type: Uitspraak
• Rechtsgebied: Strafrecht
• Procedures: Eerste aanleg - meervoudig
• Rechters: R.A. Hebly; E.J. van Rijssen; J.W.B. Snijders Blok
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Computervredebreuk en datadiefstal uit het CoronIT-systeem van de GGD

In deze zaak heeft de Rechtbank Midden-Nederland op 14 september 2021 uitspraak gedaan in een strafzaak tegen een verdachte die beschuldigd werd van computervredebreuk en datadiefstal uit het CoronIT-systeem van de GGD. De verdachte had in de periode van 19 november 2020 tot en met 23 januari 2021, terwijl hij werkzaam was voor de GGD, opzettelijk en wederrechtelijk toegang verkregen tot het systeem door gebruik te maken van een rechtmatig verkregen wachtwoord voor andere doeleinden dan waarvoor het was bedoeld. De rechtbank oordeelde dat het gebruik van het wachtwoord in dit geval als een 'valse sleutel' kan worden gekwalificeerd volgens artikel 138ab van het Wetboek van Strafrecht. De verdachte werd veroordeeld tot een gevangenisstraf van 10 maanden, waarvan 5 maanden voorwaardelijk, met aftrek van voorarrest. De rechtbank overwoog dat de verdachte op sluwe wijze misbruik had gemaakt van zijn toegang tot het systeem en persoonsgegevens had verhandeld, wat een ernstige inbreuk op de privacy van de betrokkenen betekende. De rechtbank hield rekening met de jeugdige leeftijd van de verdachte en zijn openheid tijdens de rechtszitting, maar rekende het hem zwaar aan dat hij de privacy van een groot aantal mensen had geschonden en het vertrouwen in de GGD had geschaad, vooral in een tijd waarin deze organisatie een cruciale rol speelde tijdens de coronacrisis.

Uitspraak

RECHTBANK MIDDEN-NEDERLAND

Strafrecht

Zittingsplaats Utrecht

Parketnummer: 16/021907-21 (P)

Vonnis van de meervoudige kamer van 14 september 2021

in de strafzaak tegen

[verdachte] ,

geboren op [1999] te [geboorteplaats] ,

wonende aan de [adres] te [woonplaats] ,

(hierna te noemen: verdachte).

1. ONDERZOEK TER TERECHTZITTING

Dit vonnis is op tegenspraak gewezen naar aanleiding van het onderzoek op de terechtzittingen van 4 mei 2021 en 31 augustus 2021.

De rechtbank heeft kennisgenomen van de vordering en standpunten van officier van justitie mr. N.T.R.M. Franken en van hetgeen verdachte en zijn raadsvrouw, mr. N.W.A. Dekens, advocaat te Amsterdam, naar voren hebben gebracht.

2. TENLASTELEGGING

De tenlastelegging is als bijlage aan dit vonnis gehecht.

De verdenking komt er, kort en feitelijk weergegeven, op neer dat verdachte:

primair:
in de periode van 19 november 2020 tot en met 23 januari 2021 te Heiloo en/of Utrecht alleen of samen met anderen computervredebreuk heeft gepleegd en vervolgens persoonsgegevens heeft overgenomen uit het CoronIT-systeem;

subsidiair:
in de periode van 19 november 2020 tot en met 23 januari 2021 te Heiloo en/of Utrecht alleen of samen met anderen persoonsgegevens heeft overgenomen uit het CoronIT-systeem.

3. VOORVRAGEN

De dagvaarding is geldig, de rechtbank is bevoegd tot kennisneming van het ten laste gelegde, de officier van justitie is ontvankelijk in de vervolging van verdachte en er zijn geen redenen voor schorsing van de vervolging.

4. WAARDERING VAN HET BEWIJS

4.1

Het standpunt van de officier van justitie

De officier van justitie acht het primair ten laste gelegde wettig en overtuigend te bewijzen.

4.2

Het standpunt van de verdediging

De raadsvrouw heeft vrijspraak bepleit van het primair tenlastegelegde. De raadsvrouw heeft hiertoe aangevoerd dat er geen sprake is van het ‘binnendringen’ en van ‘wederrechtelijk’ in het CoronIT-systeem aanwezig zijn. Verdachte had immers vrije toegang tot alle gegevens die zich in het CoronIT-systeem bevonden.

Ten aanzien van de bewezenverklaring van het subsidiair tenlastegelegde heeft de raadsvrouw zich gerefereerd aan het oordeel van de rechtbank.

4.3

Het oordeel van de rechtbank

Vrijspraak medeplegen

De rechtbank zal verdachte vrijspreken van het tenlastegelegde medeplegen. Uit het dossier en het verhandelde ter terechtzitting blijkt niet dat verdachte de tenlastegelegde handelingen samen met iemand anders heeft verricht. Verdachte heeft gegevens gedeeld met anderen maar er is geen sprake van samenwerking in het wederechtelijk binnendringen of het overnemen.

De rechtbank acht het
primair aan verdachte tenlastegelegde wettig en overtuigend bewezen op grond van de volgende bewijsmiddelen.

Bewijsmiddelen ^[1]

Op 23 januari 2021 meldt [aangever] , informatiemanager bij de GGD, zich op het hoofdbureau van de Politie Eenheid Midden-Nederland. Verbalisanten [verbalisant 1] en [verbalisant 2] verklaren hierover het volgende:

‘Door dhr. [aangever] werd gemeld dat er […] door een journalist van het mediabedrijf RTL melding was gemaakt van een datalek. De melding was dat er persoonsgegevens verhandeld werden uit het systeem CoronIT. Het systeem CoronIT is het systeem dat gebruikt wordt voor de registratie rondom de COVID19 testen door de GGD GHOR Nederland. […] Wij, verbalisanten, hoorden dhr. [aangever] verklaren dat hij hierna in de logging van het systeem CoronIT onderzoek heeft gedaan. Wij hoorden dat hij zei dat hij gekeken heeft wie de dossiers van dhr. [A] en dhr. [B] heeft geraadpleegd en dat er twee gebruikers, werkzaam bij het call center van Teleperformance, van het systeem CoronIT naar voren kwamen. Verder waren er geen gebruikers die beide accounts hadden geraadpleegd. De gebruikersgegevens van [
een van de twee ] accounts zijn:

- [verdachte] geboren op [1999] .
[…] Het raadplegen van de dossiers door bovenstaande persoon heeft plaatsgevonden na het afsluiten van de dossiers’. ^[2]

Onder verdachte is een telefoon (iPhone X) in beslag genomen. Deze telefoon is onderzocht door verbalisanten [verbalisant 3] en [verbalisant 4] . Zij verklaren hierover het volgende:

‘Ik […] zag dat er 71 foto’s gemaakt waren vanaf deze telefoon waarin ik het CoronIT systeem herkende. Op een aantal van deze foto’s zag ik persoonsgegevens, waarvan ik een aantal van de opgezochte namen herkende als zijnde van bekende Nederlanders, waaronder die van [A] en [B] . […] Ik zag op de foto met als naam ‘ [naam] ’ de naam [C] staan voorzien van een adres en mobiel telefoonnummer. In de tabbladen die zichtbaar waren in de foto zag ik ook namen van personen die ik herkende als bekende Nederlanders, namelijk [D] en [E] . Ik zag dat deze foto gemaakt was met een iPhone X en coördinaten bevatten in de metadata. Deze coördinaten wezen naar het huisadres van de verdachte aan de [adres] te [woonplaats] . […] Ik zag in de logging van het CoronIT account behorend tot verdachte [verdachte] die verstrekt was door de GGD dat het moment van openen van de dossiers qua tijd dichtbij het moment van het maken van de foto’s lag. […] Op basis van de dossiers van [F] en [G] , bleek verdachte [verdachte] de enige te zijn die een BSN check deed op deze namen op het moment waarop de foto’s genomen zijn. […]

In foto’s van het rooster binnen CoronIT zag ik […] dat verdachte [verdachte] niet ingeroosterd was op 27 december 2020. In de logs van de GGD en op foto’s aanwezig op de telefoon zag ik dat er op deze datum wel ingelogd is in het systeem, dossiers bevraagd zijn en foto’s gemaakt zijn van persoonsgegevens.

Ik zag dat er meerdere gesprekken via WhatsApp gevoerd werden met [H] . ^[3] […] Ik zag dat [verdachte] op 18 november 2020 een foto deelde met [H] van een 25 jarige vrouw, waarbij besproken werd dat het de zus van een bekende was en dat ze positief getest was. Ik zag dat er op 14 december 2020 een foto gedeeld werd via Whatsapp door ‘ [verdachte] ’ met ‘ [H] ’ waarop het CoronIT systeem zichtbaar was met de gegevens van een 21 jarige vrouw zichtbaar waren. Ik zag dat voorafgaand aan deze foto het bericht 'Ik heb een cadeautje voor je' gestuurd werd. Ik zag dat [verdachte] op 17 januari 2021 een foto deelde met [H] waarop de gegevens te zien waren van een zestien jarig meisje.

Ik zag dat het volgende bericht […] geplaatst was in diverse Telegram groepen door gebruiker Meneer [gebruikersnaam 1] […]:
!! !! Ben je opzoek naar iemand zijn adres, BSN-nummer etc. Dan ben je hier aan het juiste adres. Bericht me voor meer info !! !!

Ik zag een Telegram gesprek op 21 januari 2021 tussen gebruiker ‘ [gebruikersnaam 2] ’ en gebruiker ‘Meneer [gebruikersnaam 1] ’ waarbij gesproken werd over het afnemen van persoonsgegevens. Tevens zag ik dat Meneer [gebruikersnaam 1] een bitcoin adres verstrekte […].Ik zag dat in dit gesprek een foto gedeeld werd waarop de naam ‘ [A] ’ te zien was en met roze strepen de overige gegevens weggekrast waren.

Later in het gesprek zag ik dat een foto met daarin persoonsgegevens van een 26 jarige man gedeeld werden door Meneer [gebruikersnaam 1] nadat de naam en geboortedatum van deze persoon doorgegeven waren door gebruiker [gebruikersnaam 2] . Verder zag ik diverse gesprekken met geïnteresseerden. […]

Ik, verbalisant [verbalisant 4] , zag ik dat er op Telegram een conversatie is geweest tussen Meneer [gebruikersnaam 1] en ‘ [gebruikersnaam 3] .’. [gebruikersnaam 3] . geeft aan dat hij persoonsgegevens van iemand wil opvragen. Meneer [gebruikersnaam 1] verstuurt een foto met hierop de persoonsgegevens van de opgevraagde persoon in een tekstbestand, alleen de naam, geboortedatum, woonplaats en het telefoonnummer zijn zichtbaar, de rest is onleesbaar gemaakt. ^[4] Uiteindelijk gaf [gebruikersnaam 3] . aan geen gegevens te willen kopen. […] Ik zag dat er uit naam van ‘ [I] ’ […] via Facebook gesprekken werden gevoerd over het aanbieden van gegevens. Tevens zag ik een gesprek met [gebruikersnaam 4] waarbij gebruiker [I] haar informeert dat haar gegevens opgevraagd zijn bij hem door ‘ [gebruikersnaam 3] .’. ^[5]

Ik, verbalisant [verbalisant 3] , zag dat er delen van een gesprek op Snapchat aanwezig was tussen user ID [user ID] en [user ID] . In dit gesprek zijn vanaf 30 december 2020

persoonsgegevens gedeeld door user ID [user ID] . Ik zag dat er door user ID [user ID] een bedrag van 350 euro genoemd werd. […] Ik herkende een aantal gegevenssets die user ID [user ID] deelde als die van bekende Nederlanders. In de user accounts van de telefoon zag ik dat bij user ID [user ID] de gebruiker [gebruikersnaam 5] hoorde met e-mailadres [e-mailadres] @hotmail.com en telefoonnummer [telefoonnummer] . Ik herkende het telefoonnummer als het telefoonnummer wat toebehoort aan verdachte [verdachte] en ik herkende zijn voornaam en eerste letter van zijn achternaam in het gebruikte e-mailadres.

Ik zag dat het account ‘ [instagram account] ’ op 27 december 2020 via Instagram de volgende twee berichten stuurde aan gebruiker ‘ [gebruikersnaam 6] ’:

Hey, ik kan iedereen zijn adres, bsn nummer etc. Fixen

en

Wellicht kan je hier gebruik van maken en hebben we beiden wat aan elkaar

[…] Ik zag dat ‘ [instagram account] ’ een van de opgeslagen Instagram accounts was die in de iPhone X opgeslagen stond’. ^[6]

Op de telefoon van verdachte zijn zoals hierboven beschreven 71 foto’s gemaakt waarop het CoronIT-systeem herkenbaar was. Over deze foto’s verklaart verbalisant [verbalisant 3] het volgende:

‘In de in beslag genomen Iphone X zag ik dat er 62 foto’s aanwezig waren waarop het CoronIT systeem zichtbaar was en persoonsgegevens te zien waren. ^[7]

Verbalisant [verbalisant 2] heeft nader onderzoek gedaan naar het Telegram account van ‘Meneer [gebruikersnaam 1] ’ en heeft hierover het volgende verklaard:

‘In dit proces-verbaal wordt gekeken naar het systematisch aanbieden van de persoonsgegevens door het Telegram account “Meneer [gebruikersnaam 1] ”. ^[8] […]

Groepsnaam

Berichten ^[9]

Datum of periode

[groepsnaam]

13

29-12-2021 t/m 21-01-2021

[groepsnaam]

4

17-01-2021 t/m 21-01-2021

[groepsnaam]

1

21-01-2021

[groepsnaam]

17

26-12-2020 t/m 21-01-2021

[groepsnaam]

4

17-01-2020 t/m t/m 21-01-2021

[groepsnaam]

20

16-12-2020 t/m 21-01-2021

[groepsnaam]

24

16-12-2020 t/m 21-01-2021

[groepsnaam]

21

16-12-2020 t/m 21-01-2021

[groepsnaam]

25

16-12-2020 t/m 21-01-2021

[groepsnaam]

19

26-12-2020 t/m 21-01-2021

[groepsnaam]

8

02-01-2021 t/m 21-01-2021

[groepsnaam]

5

10-01-2021 t/m 21-01-2021

[groepsnaam]

21

16-12-2020 t/m 21-01-2021

[groepsnaam]

6

10-01-2021 t/m 21-01-2021

[groepsnaam]

15

16-12-2020 t/m 21-01-2021

[groepsnaam]

17

26-12-2020 t/m 21-01-2021

[groepsnaam]

10

16-12-2020 t/m 21-01-2021

[…] Ik zag dat de volgende teksten in verschillende Telegram groepen waren geplaatst door de gebruiker “Meneer [gebruikersnaam 1] ”:

• “Ben je opzoek naar iemand zijn adres, BSN-nummer etc. Dan ben je hier aan het juiste adres. Bericht me voor meer info”

• “Ben jij opzoek naar een specifieke persoon, dan ben je hier aan het juiste adres. Stuur me even een privé berichtje voor meer informatie”

• “Ik kan aan elke persoon zijn NAW-gegevens/BSN-nummer etc. komen. Bericht mij voor meer info” ^[10] ’

Via het Telegram account ‘Meneer [gebruikersnaam 1] ’ wordt ook een gesprek gevoerd met een gebruiker onder de naam ‘ [gebruikersnaam 7] ’. Verbalisant [verbalisant 5] verklaart hierover het volgende:

‘Op woensdag 06 januari 2021 om 01.53 uur komt er een bericht binnen van gebruiker " [gebruikersnaam 7] ” met de vraag of Meneer [gebruikersnaam 1] NAW gegevens kan leveren. [gebruikersnaam 7] heeft een kenteken en wil graag het adres van de tenaamgestelde weten. Er wordt gereageerd dat het mogelijk is, het enige wat nodig is is een achternaam en geboorte datum. ^[11] […] Op 06 januari 2021 om 16.18 uur geeft [gebruikersnaam 7] de naam [J] . door aan Meneer [gebruikersnaam 1] . […] In de logging van CoronIT is te zien is dat op dezelfde dag om 16.25 uur het dossier van [K] . wordt geopend. Daarna werden 32 verschillende dossier geopend met als achternaam [K] . ^[12] ’

Ook de laptop van verdachte is onderzocht door de politie. Verbalisant [verbalisant 3] verklaart hierover als volgt:

‘Ik zag dat dit bestand leads.xlsx aanwezig was op het bureaublad van de Macbook behorend tot [verdachte] . Ik zag dat dit document aangemaakt was op 12 oktober 2020 en voor het laatst bewerkt was op 26 december 2020. Ik zag dat er in totaal gegevens van 67 personen in dit Exceldocument stonden. […] Ik herkende een aantal van deze

personen als bekende Nederlanders. Van 28 personen waren tevens foto’s gemaakt van het CoronIT systeem en aanwezig op de in beslag genomen iPhone X. Een aantal namen waren voorzien van de tekst ‘AKA’ gevolgd door de artiestennaam, zoals ‘ [L] AKA [naam] ’. […] Ik heb de gegevens van de personen in het Excel bestand vergeleken met de reeds bij ons bekende gegevens. Ik zag op basis van de gemaakte vergelijking dat de gegevens van 36 persoon nog niet eerder in het onderzoek naar voren gekomen zijn. ^[13] ’

Ter terechtzitting van 31 augustus 2021 heeft verdachte het volgende verklaard:

‘Ik kwam erachter dat ik van iedereen persoonskaarten met persoonsgegevens kon opzoeken in het CoronIT-systeem. Ik dacht dat anderen dat misschien ook interessant zouden vinden. Het Telegram account onder de naam ‘Meneer [gebruikersnaam 1] ’ is mijn account en hiermee heb ik berichten geplaatst. Dit resulteerde uiteindelijk in één transactie. Ik heb de gegevens van een gewone burger verkocht. Ik kreeg hier €50,- aan Bitcoin voor. In de Excellijst die is aangetroffen op mijn laptop heb ik gegevens overgenomen van mensen die ik kon opvragen via het systeem. Die gegevens zette ik er handmatig in. Dit waren de gegevens van bekende en onbekende Nederlandse. Ik realiseerde mij op dat moment min of meer wel dat het delen van gegevens niet mocht. Ik dacht dat ik er misschien een zakcentje aan kon verdienen. Ik heb de AVG awareness training hoogstwaarschijnlijk wel gevolgd. Dit ging over privacy en hoe je om moest gaan met gegevens. De geheimhoudingsverklaring heb ik getekend.’ ^[14]

Bewijsoverweging

Het opzettelijk binnendringen van het CoronIT-systeem

De raadsvrouw heeft bepleit dat er geen sprake kan zijn van het ‘binnendringen’ van een ‘geautomatiseerd werk’, omdat verdachte uit hoofde van zijn werk voor de GGD rechtmatig toegang had tot het CoronIT-systeem, en vrije toegang had tot de personeelsgegevens. De rechtbank overweegt hierover het volgende.

Met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht is aansluiting gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor
delen van het geautomatiseerde werk wordt overschreden, kan een sleutel, door het onbevoegd gebruik maken daarvan, een valse sleutel worden. ^[15]

Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Het is een systeem dat toegankelijk is vanuit een webbrowser en valt daarmee te kwalificeren als een geautomatiseerd werk. Om toegang te krijgen tot het CoronIT-systeem moet gebruik gemaakt worden van een gebruikersnaam en een wachtwoord, waarover verdachte uit hoofde van zijn werk voor de GGD rechtmatig beschikte. Aan verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. Verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien.

Verdachte heeft van een groot aantal personen gegevens opgezocht in het CoronIT-systeem en de daarbij behorende dossiers geopend zonder dat is gebleken dat daartoe in de uitoefening van zijn werkzaamheden bij de GGD enige aanleiding bestond. Van de gegevens van 62 personen heeft verdachte vervolgens foto’s gemaakt met zijn mobiele telefoon en van nog eens 36 andere personen heeft verdachte gegevens overgenomen in een Excelbestand op zijn laptop. Vervolgens heeft verdachte gegevens uit het CoronIT-systeem te koop aangeboden op Snapchat, Instagram, Facebook en Telegram. Via Telegram, Snapchat en Whatsapp heeft verdachte ook daadwerkelijk gegevens gedeeld met derden. Eenmaal heeft verdachte hiervoor €50,- aan Bitcoin ontvangen.

Hieruit volgt dat verdachte weliswaar geautoriseerd, maar onbevoegd ter zake van de gegevens van de personen die hij op eigen initiatief heeft opgezocht, zich opzettelijk en wederrechtelijk de toegang heeft verschaft tot het CoronIT-systeem. Verdachte wist dat hij zich in een beveiligd systeem bevond en heeft doelbewust de beveiliging van dat systeem doorbroken, met een ander doel dan het uitvoeren van zijn werkzaamheden. Verdachte is daarmee opzettelijk en wederrechtelijk een geautomatiseerd werk binnengedrongen met behulp van een valse sleutel. Dat betekent dan ook dat verdachte zich schuldig heeft gemaakt aan computervredebreuk, zoals omschreven in artikel 138ab van het Wetboek van Strafrecht.

5. BEWEZENVERKLARING

De rechtbank acht wettig en overtuigend bewezen dat verdachte:

op tijdstippen in de periode van 18 november 2020 tot en met 23 januari 2021 te Heiloo, althans in Nederland, telkens opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten een computersysteem van de GGD (het zogenaamde CoronIT-systeem), is binnengedrongen met behulp van een valse sleutel, te weten door het inloggen met een onrechtmatig gebruikt account en wachtwoord en hij vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk, waarin hij, verdachte, zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen, immers heeft hij, verdachte, telkens persoonsgegevens (zogenaamde persoonskaarten) overgenomen.

Voor zover in het bewezen verklaarde deel van de tenlastelegging taal- en/of schrijffouten voorkomen, zijn deze in de bewezenverklaring verbeterd. Verdachte is daardoor niet in de verdediging geschaad.

Hetgeen meer of anders is ten laste gelegd is niet bewezen. Verdachte wordt hiervan vrijgesproken.

6. STRAFBAARHEID VAN HET FEIT

Er is geen omstandigheid aannemelijk geworden die de strafbaarheid van het bewezen verklaarde uitsluit, zodat dit strafbaar is.

Het bewezen verklaarde levert volgens de wet het volgende strafbare feit op:

computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt en worden overgedragen door middel van het geautomatiseerde werk waarin hij zich wederrechtelijk bevindt, voor zichzelf en een ander overneemt, meermalen gepleegd.

7. STRAFBAARHEID VAN VERDACHTE

Er is geen omstandigheid gebleken of aannemelijk geworden die de strafbaarheid van verdachte uitsluit. Verdachte is dan ook strafbaar.

8. OPLEGGING VAN STRAF

8.1

De vordering van de officier van justitie

De officier van justitie heeft gevorderd verdachte ter zake van het door de officier van justitie bewezen geachte te veroordelen tot een gevangenisstraf van 12 maanden, met aftrek van het voorarrest, waarvan een gedeelte van 4 maanden voorwaardelijk met een proeftijd van 2 jaren, met daarbij de bijzondere voorwaarden zoals geadviseerd door de reclassering. De officier van justitie heeft hierbij tevens gevraagd om het bevel tot schorsing van de voorlopige hechtenis niet eerder op te heffen dan bij onherroepelijk worden van het vonnis, zodat verdachte een eventueel door hem in te stellen hoger beroep in vrijheid kan afwachten.

8.2

Het standpunt van de verdediging

De raadsvrouw van verdachte heeft de rechtbank verzocht om geen onvoorwaardelijk strafdeel op te leggen van langere duur dan reeds door verdachte in voorlopige hechtenis is uitgezeten. Verdachte heeft als first offender reeds 3 maanden in voorlopige hechtenis doorgebracht en dit heeft veel indruk op hem gemaakt. Ook spreekt de media over veel meer gedupeerden dan daadwerkelijk het geval is geweest. Verdachte heeft inmiddels zijn studie hervat, werkt in deeltijd en de reclassering is tevreden over het verloop van de schorsing.

8.3

Het oordeel van de rechtbank

Bij het bepalen van de straf heeft de rechtbank rekening gehouden met de ernst van het bewezen verklaarde, de omstandigheden waaronder dit is begaan en de persoon van verdachte, zoals ter terechtzitting is gebleken.

Ernst van het feit

Verdachte heeft zich schuldig gemaakt aan computervredebreuk door buiten zijn bevoegdheid om in het CoronIT-systeem de gegevens van een groot aantal personen in te zien. Vervolgens heeft verdachte van de gegevens van 62 personen foto’s gemaakt met zijn mobiele telefoon en een Excelbestand aangemaakt op zijn laptop waar hij onder andere de gegevens van 36 andere personen in heeft opgeslagen. Via verschillende sociale media kanalen en Telegram heeft verdachte 230 advertenties geplaatst waarin hij aangaf tegen betaling de privégegevens van iedere persoon te kunnen verschaffen, waarbij het eenmaal tot een afgeronde transactie is gekomen. Verdachte heeft met zijn handelen ernstige inbreuk gemaakt op de privacy van deze personen en daarmee ook het vertrouwen van en in de GGD geschaad, terwijl deze organisatie juist tijdens de coronacrisis een cruciale rol vervult in de bescherming van de samenleving en het zoveel mogelijk draaiende houden daarvan. Verdachte heeft op sluwe wijze misbruik gemaakt van een bijzondere situatie om er financieel beter van te worden. De rechtbank rekent het verdachte zwaar aan dat hij ook daadwerkelijk persoonsgegevens heeft verspreid, waaronder de – deels geanonimiseerde - persoonskaart van een misdaadjournalist, van wie bekend is dat hij ernstig werd bedreigd. Juist bij deze personen met een dergelijk beroep brengt het inzien en verspreiden van hun persoonsgegevens door onbevoegden grote veiligheidsrisico’s met zich.

Persoon verdachte

Uit een de verdachte betreffend uittreksel van de justitiële documentatie (strafblad) van 6 mei 2021 blijkt dat verdachte niet eerder is veroordeeld voor soortgelijke feiten. De rechtbank weegt dit in het voordeel, noch in het nadeel van verdachte mee.

De rechtbank heeft daarnaast kennis genomen van een rapport van de Reclassering Nederland van 9 juli 2021, opgemaakt door S.J. Soffner, reclasseringsmedewerker. Hieruit volgt dat onder meer dat de reclassering veel beschermende en steunende factoren ziet, waaronder huisvesting, dagbesteding, een hecht oudersysteem en het ontbreken van financiële problemen. Als risicofactoren benoemt de reclassering de impulsiviteit van verdachte en de naïviteit van zijn handelen. De reclassering adviseert om het volwassenenstrafrecht toe te passen en een deels voorwaardelijke straf op te leggen met als bijzondere voorwaarden een meldplicht bij de reclassering en het deelnemen aan de gedragsinterventie cognitieve vaardigheden.

Strafoplegging

Gelet op de ernst van het bewezen verklaarde feit en de omstandigheden waaronder dit is begaan, acht de rechtbank oplegging van een gevangenisstraf gerechtvaardigd. Bij het bepalen van de duur hiervan weegt de rechtbank in strafverzwarende zin mee dat het erop lijkt dat verdachte op bedrijfsmatige wijze de door hem verkregen persoonsgegevens wilde verhandelen. Dat blijkt onder andere uit de vele advertenties die hij via verschillende sociale media stuurde en de op zijn laptop aangetroffen lijst met persoonsgegevens. Het is zorgelijk dat verdachte dit enkel en alleen uit financieel motief deed, en zich daarbij niet heeft gerealiseerd dat hij hiermee de privacy van een groot aantal mensen op grove wijze heeft geschonden. Ook is hij zich niet bewust geweest van de mogelijk ernstige gevolgen die het verspreiden van persoonsgegevens aan derden teweeg zou kunnen brengen. De rechtbank rekent dit verdachte dan ook zwaar aan. De rechtbank zal desondanks een lagere straf opleggen dat is geëist door de officier van justitie, vanwege de jeugdige leeftijd van verdachte, het feit dat hij openheid van zaken heeft gegeven en dat hij spijt heeft betuigd.

De rechtbank acht, alles afwegende, een gevangenisstraf voor de duur van 10 maanden, met aftrek van de tijd die verdachte in voorarrest heeft doorgebracht, waarvan 5 maanden voorwaardelijk met een proeftijd van 2 jaren en daarbij de oplegging van de bijzondere voorwaarden zoals deze zijn geadviseerd door de reclassering, passend en geboden.

Tenuitvoerlegging van de opgelegde gevangenisstraf zal volledig plaatsvinden binnen de penitentiaire inrichting, tot het moment dat de veroordeelde in aanmerking komt voor deelname aan een penitentiair programma, als bedoeld in artikel 4 Penitentiaire beginselenwet, dan wel de regeling van voorwaardelijke invrijheidsstelling, als bedoeld in artikel 6:2:10 Wetboek van Strafvordering, aan de orde is.

9. TOEPASSELIJKE WETTELIJKE VOORSCHRIFTEN

De beslissing berust op de artikelen 14a, 14b, 14c, 57 en 138ab van het Wetboek van Strafrecht, zoals de artikelen luidden ten tijde van het bewezen verklaarde.

10. BESLISSING

De rechtbank:

Bewezenverklaring

- verklaart het primair tenlastegelegde bewezen zoals hiervoor in rubriek 5 is vermeld;

- verklaart het meer of anders tenlastegelegde niet bewezen en spreekt verdachte daarvan vrij;

Strafbaarheid

- verklaart het bewezenverklaarde strafbaar en kwalificeert dit zoals hiervoor in rubriek 6 is vermeld;

- verklaart verdachte strafbaar;

Strafoplegging

- veroordeelt verdachte tot
een gevangenisstraf van 10 maanden ;

- bepaalt dat de tijd, door verdachte vóór de tenuitvoerlegging van deze uitspraak in verzekering en voorlopige hechtenis doorgebracht, bij de tenuitvoerlegging van de gevangenisstraf in mindering zal worden gebracht (te weten: 102 dagen);

- bepaalt dat van de gevangenisstraf
een gedeelte van 5 maanden niet zal worden ten uitvoer gelegd , tenzij de rechter later anders gelast op grond van het feit dat verdachte de hierna te melden algemene en bijzondere voorwaarden niet heeft nageleefd;

- stelt daarbij een proeftijd van 2 (twee) jaren vast;

- als algemene voorwaarden gelden dat verdachte:

* zich voor het einde van de proeftijd niet schuldig maakt aan een strafbaar feit;

* ten behoeve van het vaststellen van zijn identiteit medewerking verleent aan het nemen van één of meer vingerafdrukken of een identiteitsbewijs als bedoeld in artikel 1 van de Wet op de identificatieplicht ter inzage aanbiedt;

* medewerking verleent aan het reclasseringstoezicht, bedoeld in artikel 14c, zesde lid, van het Wetboek van Strafrecht, de medewerking aan huisbezoeken en het zich melden bij de reclassering zo vaak en zolang als de reclassering dit noodzakelijk acht, daaronder begrepen;

- en stelt als bijzondere voorwaarden dat verdachte:

* zich gedurende de proeftijd zal melden bij Reclassering Alkmaar, zo lang en zo frequent de reclassering dit noodzakelijk acht om het reclasseringstoezicht uit te oefenen;

* actief deelneemt aan de gedragsinterventie / training cognitieve vaardigheden (CoVa), of een andere gedragsinterventie die gericht is op cognitieve vaardigheden, zulks te bepalen door de reclassering. Verdachte houdt zich hierbij aan de afspraken en aanwijzingen van de trainer/begeleider;

- waarbij de reclassering opdracht wordt gegeven als bedoeld in artikel 14c, zesde lid, van het Wetboek van Strafrecht toezicht te houden op de naleving van deze hiervoor genoemde voorwaarden en verdachte ten behoeve daarvan te begeleiden;

- heft op het - reeds geschorste - bevel tot voorlopige hechtenis.

Dit vonnis is gewezen door mr. R.A. Hebly, voorzitter, mrs. E.J. van Rijssen en J.W.B. Snijders Blok, rechters, in tegenwoordigheid van mr. L. Steijns, griffier, en is uitgesproken op de openbare terechtzitting van 14 september 2021.

Bijlage: de tenlastelegging

Aan verdachte wordt ten laste gelegd dat:

hij op een of meer tijdstip(pen) in of omstreeks de periode van 18 november 2020 tot en met 23 januari 2021 te Heiloo en/of Utrecht, althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen (telkens) opzettelijk en wederrechtelijk in een (gedeelte van) (een) geautomatiseerd(e) werk(en), te weten computersyste(e)m(en) en/of server(s) van de GGD (het zogenaamde CoronIT-systeem), is/zijn binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid te weten door het inloggen met een onrechtmatig gebruikt account en/of wachtwoord, althans met een ander doel dan waarvoor hem/hen dat account en/of wachtwoord ter beschikking stond en waarvoor hem/hen die toegang was toegestaan en hij en/of zijn mededader(s) vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk(en), waarin hij, verdachte, en/of zijn mededader(s) zich wederrechtelijk bevond(en), voor zichzelf en/of een ander heeft/hebben overgenomen, afgetapt en/of opgenomen immers heeft/hebben hij, verdachte, en/of zijn mededader(s) (telkens) persoonsgegevens (zogenaamde persoonskaarten), althans (gevoelige) bedrijfsinformatie, overgenomen;

( art 138ab lid 2 Wetboek van Strafrecht )

subsidiair althans, indien het vorenstaande niet tot een veroordeling mocht of zou kunnen leiden:

hij op een of meer tijdstip(pen) in of omstreeks de periode van 18 november 2020 tot en met 23 januari 2021 te Heiloo en/of Utrecht, althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen (telkens) opzettelijk en wederrechtelijk niet-openbare gegevens van de GGD, te weten persoonsgegevens (zogenaamde persoonskaarten), althans (gevoelige) bedrijfsinformatie, die waren opgeslagen door middel van (een) geautomatiseerd(e) werk(en), te weten computersyste(e)m(en) en/of server(s) van de GGD (het zogenaamde CoronIT-systeem), voor zichzelf en/of voor een ander heeft/hebben overgenomen;

( art 138c Wetboek van Strafrecht )

Voetnoten

1. Wanneer hierna wordt verwezen naar paginanummers betreft dit pagina’s van op ambtseed of ambtsbelofte opgemaakte processen-verbaal. Deze processen-verbaal zijn als bijlagen opgenomen bij het in de wettelijke vorm opgemaakte proces-verbaal van 25 januari 2021, genummerd 2021024499, opgemaakt door politie Midden-Nederland, Dienst Regionale Recherche, doorgenummerd 1 tot en met 914. Tenzij anders vermeld, zijn dit processen-verbaal in de wettelijke vorm opgemaakt door daartoe bevoegde opsporingsambtenaren.

2. Proces-verbaal van bevindingen, opgemaakt door verbalisanten [verbalisant 1] en [verbalisant 2] , p. 6.

3. Proces-verbaal van bevindingen van verbalisanten [verbalisant 3] en [verbalisant 4] , p. 418.

4. Proces-verbaal van bevindingen van verbalisanten [verbalisant 3] en [verbalisant 4] , p. 419.

5. Proces-verbaal van bevindingen van verbalisanten [verbalisant 3] en [verbalisant 4] , p. 420.

6. Proces-verbaal van bevindingen van verbalisanten [verbalisant 3] en [verbalisant 4] , p. 420.

7. Proces-verbaal van bevindingen, opgemaakt door verbalisant [verbalisant 3] , p. 494.

8. Proces-verbaal van bevindingen van verbalisant [verbalisant 2] , p. 425.

9. In totaal betreffen dit 230 berichten.

10. Proces-verbaal van bevindingen van verbalisant [verbalisant 2] , p. 426.

11. Proces-verbaal van bevindingen van verbalisant [verbalisant 7] , p. 482.

12. Proces-verbaal van bevindingen van verbalisant [verbalisant 7] , p. 483.

13. Proces-verbaal van bevindingen van verbalisant [verbalisant 3] , p. 503.

14. Verklaring van verdachte zoals afgelegd ter terechtzitting op 31 augustus 2021.

15. Gerechtshof ’s-Hertogenbosch, 4 mei 2020, ECLI:NL:GHSHE:2020:1514; Conclusie AG Parket bij de Hoge Raad, 31 augustus 2021, ECLI:NL:PHR:2021:777.