Robert is al dertig jaar in de weer met computers: "Het is mijn lust en mijn leven." Hij repareert ze ook regelmatig. "Vaak gratis, soms voor een pakje shag." In het dagelijks leven werkt hij als chauffeur bij een zorgverlener voor mensen met een beperking.

Dat hij deze harde schrijven op de kop tikte, was puur toeval, vertelt hij. “Enkele weken geleden kwam ik terug uit het Belgische Turnhout. Ik was op weg naar huis, maar stopte bij vliegveld Weelde, want ik moest hoognodig naar de wc. Naast het vliegveld was een rommelmarkt. Ik ging even kijken en kocht vijf harde schijven van elk 500 gigabyte voor vijf euro per stuk bij een buitenlandse meneer.”

Robert is, naast computergek, ook hobbyfotograaf en maakt veel filmbeelden met drones. Hij kon de extra opslagruimte daarom goed gebruiken. 500 gigabyte is goed voor - afhankelijk van de bestandsgrootte en resolutie - zo'n 125.000 foto's.

Toen hij thuis de schijven ging controleren, bleken die vol te staan met medische gegevens uit de periode 2011 tot 2019. “Dat was wel even schrikken. Ik dacht: hoe kan zoiets gebeuren? Mijn zus of ik hadden hier ook zomaar tussen kunnen staan." Ook ging hij op zoek naar gewiste bestanden door middel van een zogeheten 'deep scan' en trof zo ook data aan.

Een deel van de documenten is ingezien door Omroep Brabant. Daarin zijn gegevens van patiënten te lezen, welke medicijnen zijn uitgeschreven, adressen, geboortedata en burgerservicenummers (BSN).

Uit een mailwisseling van Robert met een getroffen zorgorganisatie uit de provincie Utrecht, stelt de ICT-afdeling dat de gegevens afkomstig zijn van het bedrijf Nortade ICT Solutions uit Breda. Zij implementeerden software voor de zorgsector, maar het bedrijf lijkt inmiddels niet meer te bestaan. De website is niet meer online en in het handelsregister van de Kamer van Koophandel is er niets meer over het bedrijf te vinden.

Tot nu toe komen de adressen in de gegevens vooral uit de omgeving van Utrecht, Houten en Delft, zegt Robert. Maar dit is lang niet alles: hij heeft pas twee schijven uitgelezen. "Ik heb er nog dertien!" Want na zijn ontdekking reed Robert de week erop terug naar de rommelmarkt om de andere tien te kopen. "Gelukkig waren ze er nog." Hoe de verkoper aan de schijven kwam, kon Robert niet achterhalen. “Daarvoor is mijn Arabisch te gebrekkig”, grapt hij.

Want dat is ook wat Robert zich afvraagt: hoe kunnen deze data terechtkomen op een rommelmarkt. "Het is een schande. Normaal gesproken horen deze schijven officieel gewist te worden en krijg je daar een certificaat van", weet hij.

Het klopt dat schijven officieel gewist moeten worden, zegt Stefan Kasbergen. Hij is directeur van ASK Mobiele Archief- en Datavernietiging uit Den Bosch en gespecialiseerd in het vernietigen van data. "Wij hebben klanten die daar echt werk van maken. Zo'n certificaat heeft geen juridische waarde. Wij vernietigen daarom op locatie, zodat onze klant ziet dat het gebeurt", legt hij uit.

Karsbergen heeft wel een verklaring voor de gedumpte harde schijven. "Je kunt als bedrijf kiezen om het netjes te laten vernietigen en dan betaal je daar geld voor, of je verkoopt ze aan een 'refurbisher' en dan krijg je er geld voor. Je kunt, in het kader van het kostenplaatje, wel nagaan waar vaak voor wordt gekozen", legt Kasbergen uit. In het geval van de vondst van Robert denkt hij de harde schijven uit een faillissementsverkoop komen en op die manier op een rommelmarkt terecht zijn gekomen. "Zo krijgt een curator toch nog wat geld."

Robert heeft een aantal huisartsen, apotheken en zorginstellingen benaderd om ze te informeren over dit lek. Ook heeft hij contact gezocht met de Autoriteit Persoonsgegevens (AP). Een woordvoerder van AP zegt geen commentaar te kunnen geven op de vondst en melding van Robert. "Als een bedrijf of organisatie een melding heeft gemaakt van een lek, dan kunnen we daar mogelijk wel meer over zeggen."