Knapt u even dit klusje op voor de politie? Dank

Een man uit Haarlem ontvangt in zijn mailbox per ongeluk gevoelige informatie van de politie. Een proces-verbaal over namaak-Uggs, en het adres van de verdachte. Hoe kan dat gebeuren?

Stel, u ontvangt een e-mail met vertrouwelijke informatie van de politie. Het betreft het proces-verbaal van een man die in december te Rijswijk is aangehouden toen hij zes paar laarzen wilde verkopen. Het waren namaak-Uggs De mail bevat alle persoonsgegevens van de Nederlands-Marokkaanse verdachte, ook adres en burgerservicenummer. En het vriendelijke verzoek de „aangifte” te „verzorgen”. Wat denkt u dan?

Het overkwam ICT’er Sander van Leeuwen uit Haarlem, tot zijn verbazing. Via het mailadres van zijn werk. Hoe kon deze gevoelige informatie zomaar in zijn mailbox belanden, vroeg hij zich af. Het was bovendien niet de eerste keer. In september stuurde de Twentse politie hem afbeeldingen van bij een huiszoeking aangetroffen overhemden, met het verzoek te beoordelen of het om namaakkleding ging.

Navraag door Van Leeuwen brengt al snel licht in de zaak. Het mailadres van zijn werk lijkt sterk op het mailadres van de stichting React, een organisatie die vervalsing van merkproducten bestrijdt voor bedrijven als Adidas, Audi, Prada en Swarovski. Een medewerker van React ontving de mail van de politie, en stuurde hem per abuis door aan Van Leeuwen. Het stelt hem nauwelijks gerust. De politie deelt kennelijk vertrouwelijke informatie met een private club. Mag dat zomaar? Wat doet zo’n organisatie daarmee?

Dat wil directeur Ronald Brohm van React best vertellen. React schrijft zo’n verdachte een brief met het verzoek nóóit meer nep-Uggs te verkopen. En met de vraag waar hij de spullen vandaan heeft. „Zo komen we regelmatig uit bij leveranciers van namaak-merkartikelen”, zegt Brohm. „Die pakken we dan aan.” Een enkele keer probeert React ook schade te verhalen op de verkoper. Dat zijn claims van 100 à 200 euro. „Maar als iemand meteen zegt wie de leverancier is, laten we dat bijna altijd zitten.”

Doet React zo niet het werk van justitie? Ja en dat mag, zo blijkt, bij deze vorm van criminaliteit. Voor het Openbaar Ministerie geniet ‘civielrechtelijke handhaving door de rechthebbende’ zelfs de voorkeur als het gaat om ‘een inbreuk op het intellectuele eigendomsrecht’, blijkt uit een OM-richtlijn. Of, zoals Ronald Brohm zegt: „Justitie wil de strafrechtelijke capaciteit niet benutten voor namaakbestrijding. Daarom mogen civiele partijen het onderling uitmaken.” In de OM-richtlijn staat React genoemd als een van de organisaties waarmee justitie gegevens mag delen. Volgens het College Bescherming Persoonsgegevens biedt dat een solide wettelijke basis.

Niets aan de hand dus, zegt persofficier Wouter Bos van het Haagse Openbaar Ministerie. Justitie geeft volgens hem zeer regelmatig persoonsgegevens van verdachten aan belangenbehartigers van benadeelde partijen. Behalve stichtingen als React en Brein kunnen dat ook advocaten zijn, of verzekeringsmaatschappijen. En als het OM, zoals in het geval van de Uggs-verkoper, wel een boete oplegt voor merkvervalsing (van 156 euro), is het nog nodig React van informatie te voorzien. De ‘merkhouder’ moet namelijk aangifte doen. „Van ons krijgen ze de persoonsgegevens die ze daarvoor nodig hebben.”

„Ongelukkig” is het natuurlijk wel, die verkeerde adressering van de e-mail met het proces-verbaal door een medewerker van React, zegt Bos. Maar daar kan justitie niets aan doen. Moet justitie niet op zoek naar een veiliger manier van gegevensuitwisseling, bijvoorbeeld via een beveiligde site? Niets is honderd procent veilig, denkt Bos. React-directeur Brohm zegt wel van het incident te hebben geleerd. „Wij doen niets meer via de mail. Zeker geen processen-verbaal.”