Henk Krol, politiek leider van de partij 50PLUS, kreeg vorige lente ineens toegang tot de medische dossiers van „duizenden Brabanders” nadat een partijlid hem had laten zien dat het heel makkelijk was om in te loggen op een website van onderzoekscentrum Diagnostiek voor U.
„Het wachtwoord bestond uit vijf cijfers en was hetzelfde als de inlogcode. Kinderlijk eenvoudig”, vertelt Krol telefonisch. Zijn tipgever had van kennissen gehoord dat het wachtwoord „rond ging”.
Krol belde het centrum op, maar kreeg te horen dat hij het lek schriftelijk moest melden. Vervolgens nam Krol, toen nog lid van de Provinciale Staten van Brabant, contact op met de Statengriffie. „Die zei: wij gaan daar niet over. Toen heb ik iemand gebeld bij Omroep Brabant.” Van schriftelijk melden is het daarna niet meer gekomen, omdat snel na de uitzending Krol „ineens wel de directrice aan de lijn” kreeg. Diagnostiek voor U heeft tegen Krol en zijn tipgever aangifte gedaan, „op advies van de Inspectie voor de Gezondheidszorg”, aldus een woordvoerder van het diagnostisch centrum.
Heeft Henk Krol volgens de nieuwe leidraad van het ministerie van Veiligheid en Justitie gehandeld als ethisch hacker?
De intenties van Krol waren waarschijnlijk goed, maar het OM zal er vermoedelijk op wijzen dat hij meer had moeten doen om de beheerder van de website te bereiken dan het ene telefoontje. Ook zegt Krol dat hij een aantal voorbeelden van dossiers heeft uitgeprint. Om het veiligheidslek te tonen was dat niet nodig geweest.
De Inspectie voor de Gezondheidszorg laat weten dat zij „als overheidsinstelling altijd [dient] te verwijzen” naar politie en justitie als er „mogelijk strafbare feiten” zijn gepleegd. Wel zegt de Inspectie zich voortaan aan de leidraad van het ministerie te houden.
Gepubliceerd op dinsdag 29 januari in NRC Handelsblad en op 1 februari 2013 in nrc.next.
Peter Teffer 