Een man uit Breda heeft bij toeval een grote hoeveelheid vertrouwelijke, medische informatie gevonden. De gegevens stonden op harde schijven, die hij had gekocht op een rommelmarkt net over de grens in België. De harde schijven bevatten medische gegevens van honderden Nederlanders met geboortedata, huisarts- en apotheekgegevens, uitgeschreven medicatie en burgerservicenummers.

Volgens Robert Polet (62) was het puur toeval dat hij de harde schijven op de kop tikte. "Enkele weken geleden kwam ik terug uit het Belgische Turnhout. Ik was op weg naar huis, maar stopte bij vliegveld Weelde, want ik moest hoognodig naar de wc", vertelt hij aan Omroep Brabant. "Naast het vliegveld was een rommelmarkt. Ik ging even kijken en kocht bij iemand vijf harde schijven van elk 500 gigabyte voor 5 euro per stuk."

Toen hij thuis de schijven ging controleren bleken die vol te staan met medische gegevens uit de periode 2011 tot 2019. Op de schijven stonden onder meer geboortedata, huisarts- en apotheekgegevens, uitgeschreven recepten en burgerservicenummers van honderden mensen.

"Dat was wel even schrikken. Ik dacht: hoe kan zoiets gebeuren?", zegt Polet, computerliefhebber en in het dagelijks leven werkzaam als chauffeur voor een zorgverlener. Ook ging hij op zoek naar gewiste bestanden door middel van een zogeheten 'deep scan'. Daarbij trof hij nog meer data aan. Na zijn ontdekking besloot hij terug te gaan naar de rommelmarkt om de andere tien harde schijven te kopen. "Gelukkig waren ze er nog."

Adressen uit regio Utrecht

Polet ging op onderzoek uit en trok aan de bel bij een getroffen zorgorganisatie uit Utrecht. Volgens de organisatie waren de gegevens afkomstig van een softwarebedrijf uit Breda dat actief was in de zorgsector. Dat bedrijf lijkt inmiddels niet meer te bestaan. De website is niet meer online en in het handelsregister van de Kamer van Koophandel is er volgens Omroep Brabant niets meer over het bedrijf te vinden.

Volgens Polet komen de adressen in de gegevens die hij tot nu toe heeft uitgezocht vooral uit de omgeving van Utrecht, Houten en Delft. Maar dit is lang niet alles; hij heeft pas twee schijven uitgelezen. "Ik heb er nog dertien te gaan", zegt hij. Hoe de harde schijven op de rommelmarkt terecht zijn gekomen, is niet duidelijk. "Het is een schande. Normaal gesproken horen deze schijven officieel gewist te worden en krijg je daar een certificaat van", weet Polet.

Data wissen

Het klopt dat schijven officieel gewist moeten worden, zegt Stefan Kasbergen. Hij is directeur van ASK Mobiele Archief- en Datavernietiging en gespecialiseerd in het vernietigen van data. "Wij hebben klanten die daar echt werk van maken", legt hij uit. "Zo'n certificaat heeft geen juridische waarde. Wij vernietigen daarom op locatie, zodat onze klant ziet dat het gebeurt."

Kasbergen heeft wel een verklaring voor de gedumpte harde schijven. "Je kunt als bedrijf kiezen om het netjes te laten vernietigen en dan betaal je daar geld voor, of je verkoopt ze aan een 'refurbisher' en dan krijg je er geld voor", legt hij uit. "Je kunt, in het kader van het kostenplaatje, wel nagaan waar vaak voor wordt gekozen."

In het geval van de vondst van Polet denkt hij dat de harde schijven uit een faillissementsverkoop komen en op die manier op de rommelmarkt terecht zijn gekomen. "Zo krijgt een curator toch nog wat geld."

Polet heeft een aantal huisartsen, apotheken en zorginstellingen benaderd om ze te informeren over het datalek. Ook heeft hij contact gezocht met de Autoriteit Persoonsgegevens (AP). Een woordvoerder van AP laat aan Omroep Brabant weten geen commentaar te kunnen geven op de vondst van Polet. "Als een bedrijf of organisatie een melding heeft gemaakt van een lek, dan kunnen we daar mogelijk wel meer over zeggen."