Een helpdeskmedewerker die bij een klant van zijn werkgever medische gegevens van dertigduizend mensen stal, en daarmee de klant vervolgens probeerde af te persen, is in hoger beroep veroordeeld tot een gevangenisstraf, taakstraf en geldboete. In eerste instantie werd de verdachte veroordeeld tot alleen een gevangenisstraf en taakstraf. In 2024 oordeelde de rechtbank al dat de helpdeskmedewerker zijn ex-werkgever 65.000 euro moest betalen.

De man werd op 30 april 2021 op staande voet door zijn werkgever ontslagen, die zich daarbij baseerde op informatie van de politie. Uit politieonderzoek bleek dat de helpdeskmedewerker verantwoordelijk was voor het afpersen van een klant, een stichting en de grootste klant van de werkgever, met gestolen medische gegevens. De man bleek onder andere bestanden op de server van zijn werkgever naar een persoonlijke usb-stick te hebben gekopieerd.

Het ging om de persoonlijke en medische gegevens van ongeveer dertigduizend personen. Vervolgens probeerde de man de klant af te persen. Als die geen betaling in bitcoins deed, zou de buitgemaakte informatie aan de hoogste bieder worden verkocht, waarbij ook informatie naar lokale kranten zou gaan. De helpdeskmedewerker stelde dat iemand misbruik van zijn wifi-netwerk had gemaakt om de bestanden op zijn usb-stick te downloaden. De rechter ging daar niet in mee, mede op basis van het gebruikte ip-adres voor het downloaden van de data.

De man werd in 2023 veroordeeld tot een gevangenisstraf van 180 dagen, waarvan 132 dagen voorwaardelijk, alsmede een taakstraf van 240 uur. Zowel de verdachte als het Openbaar Ministerie (OM) gingen tegen het vonnis in beroep. De verdachte wilde dat hij zou worden vrijgesproken, het OM wilde naast de eerder opgelegde straf ook dat er een geldboete van 10.000 euro werd opgelegd.

Volgens het gerechtshof Amsterdam is de verdachte schuldig en staat vast dat hij met behulp van een valse sleutel op de server is binnengedrongen. "Namelijk, door onbevoegd gebruik te maken van een toegangscertificaat (digitale sleutel) met bijbehorend wachtwoord en zich met dat certificaat en bijbehorend wachtwoord toegang te verschaffen tot de server van [bedrijf] (waarop de medische gegevens van de patiënten van [stichting] stonden) met een ander doel dan waarvoor hem toegang tot dat certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan, en vervolgens een hoeveelheid gegevens die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen."

Het hof stelt dat het hacken van systemen om vervolgens, met de buitgemaakte privacygevoelige data, bedrijven tot betaling proberen te dwingen, ernstige feiten zijn. "Het maakt een (potentieel) grote inbreuk op de privacy van de mensen van wie de data zijn verkregen en kan leiden tot (ernstige) vervolgcriminaliteit met die data, zoals oplichting", laat het hof verder weten. "Daarbij kan grote onzekerheid ontstaan en blijven bestaan bij de slachtoffers, omdat zij niet weten waar hun privacygevoelige gegevens belanden en wat daarmee in de toekomst mogelijk nog gebeurt. De impact van dergelijke ‘hacks’ is dus erg groot." Het hof veroordeelt de verdachte in hoger beroep tot een gevangenisstraf van 180 dagen, waarvan 132 voorwaardelijk, een taakstraf van 240 uur en een geldboete van 7500 euro.