Samenvatting ‘Strafrecht en ICT’
1. Computercriminaliteit in historisch perspectief
Definities en typen van computercriminaliteit
Cybercriminaliteit kan gedefinieerd worden als strafbare feiten die gepleegd zijn door
gebruikmaking van elektronische communicatienetwerken en informatiesystemen of tegen
dergelijke netwerken en systemen. Computercriminaliteit kan daarnaast gedefinieerd worden
als criminaliteit waarbij computers of computergegevens een substantiële rol spelen. Dit kan
vervolgens weer op twee manieren onderscheiden worden:
- Computercriminaliteit in enge zin: de computer speelt een substantiële rol;
- Computercriminaliteit in brede zin: de computer speelt geen substantiële rol, maar is
wel een onderdeel van de omgeving waarin potentieel bewijsmateriaal te vinden is.
Criminoloog Donn Parker maakt een onderscheid tussen drie soorten computer crime,
afhankelijk van de rol die het computersysteem in de desbetreffende gedraging speelt:
- De computer en zijn inhoud als object van strafbare gedragingen: het beïnvloeden of
verstoren van het geautomatiseerde proces of het aantasten of verkrijgen van
opgeslagen gegevens, waaronder programma’s (computercriminaliteit in enge zin);
- De computer als instrument van strafbare gedragingen: het manipuleren van een
computersysteem en de bijbehorende functionaliteiten waardoor een (traditioneel)
strafbaar feit gepleegd kan worden (computercriminaliteit in enge zin);
- De computer als omgeving van strafbare gedragingen: het computersysteem is een
onderdeel van de bredere omgeving waarbinnen het strafbare feit wordt gepleegd,
bijvoorbeeld het opzoeken van informatie over het slachtoffer of de modus operandi
(computercriminaliteit in brede zin).
Computergegevens zijn geen goederen
De Commissie computercriminaliteit (Commissie-Franken) is destijds aangesteld om te
onderzoeken of de Nederlandse wetgeving voldoet om computercriminaliteit te bestrijden.
Hierbij worden drie belangen onderscheiden:
- Beschikbaarheid van middelen: opslag, verwerkingen en overdracht van gegevens;
- Integriteit van systemen en de daarin vervatte gegevens: gegevens en programma’s
moeten correct en volledig zijn;
- Exclusiviteit van middelen en gegevens: onbevoegden mogen geen kennisnemen van
als geheim of vertrouwelijk gekenmerkte gegevens of gebruikmaken van de middelen
waarmee deze gegevens zijn opgeslagen.
Computergegevens dienen volgens de Commissie als zelfstandig object van strafbare
handelingen te worden aangemerkt. Daarentegen kunnen computergegevens om de
volgende redenen niet vereenzelvigd worden met het vermogensobject ‘goed’:
- Geen unieke beschikkingsmacht: gegevens zijn multipel, wat betekent dat veel
mensen tegelijkertijd de beschikking over dezelfde gegevens kunnen hebben;
1
, - Product van geestelijke arbeid: gegevens zijn in beginsel het product van geestelijke
arbeid, terwijl goederen (evenals elektriciteit) het product zijn van fysieke arbeid.
In het Elektriciteitsarrest1 heeft de Hoge Raad elektriciteit als goed gekwalificeerd omdat deze
computergegevens het karakter dragen van overdraagbaarheid, reproduceerbaarheid en
beschikbaar, en bovendien economisch waardeerbaar zijn. Het Arnhemse hof heeft onder
verwijzing naar deze argumenten op 27 oktober 19832 verduistering van computergegevens
bewezen geacht, ook al heeft de wetgever bepaald dat dit niet mogelijk was. Pas in 1996
heeft de Hoge Raad de gelegenheid gekregen deze opvatting te verwerpen en definitief vast
te stellen dat gegevens geen goederen zijn. Het Runescape-arrest3 is een uitzondering,
aangezien deze gegevens wel exclusieve beschikkingsmacht lijken te hebben.
2. Materieel strafrecht en ICT
Inleiding
Gegevens worden als zodanig niet strafrechtelijk beschermd tegen (onrechtmatige) toegang
of kennisneming; slechts strafbaar is de wijze waarop men zich die gegevens toe-eigent, door
in te breken in computers of (tele)communicatie af te luisteren. Hierbij speelt het beginsel
van de free flow of information een belangrijke rol: het uitgangspunt bij gegevens is, anders
dan bij goederen die in beginsel eigendom van iemand zijn, dat zij vrijelijk moeten kunnen
worden uitgewisseld. Dit heeft ertoe geleid dat er nieuwe strafbepalingen geïntroduceerd
zijn, zoals het helen van gegevens.
Gegevens worden gedefinieerd als ‘iedere weergave van feiten, begrippen of instructies, op
een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door
personen of geautomatiseerde werken’ (artikel 80quinquies Sr).
Een geautomatiseerd werk wordt gedefinieerd als ‘een apparaat of groep van onderling
verbonden of samenhangende apparaten, waarvan er een of meer op basis van een
programma automatisch computergegevens verwerken’ (artikel 80sexies Sr).
Strafbare feiten: computervredebreuk
Computervredebreuk, ook wel hacking of het opzettelijk en wederrechtelijk binnendringen in
een geautomatiseerd werk, is strafbaar gesteld in artikel 138ab Sr. De bepaling is geredigeerd
naar analogie van de huisvredebreukbepaling met de toevoeging dat van binnendringen in elk
geval sprake is indien de toegang tot het werk wordt verworven door enige beveiliging te
doorbreken of door een technische ingreep, met behulp van valse signalen of een valse
sleutel, dan wel door het aannemen van een valse hoedanigheid. Onder binnendringen wordt
niet begrepen het enkel scannen van een website op kwetsbaarheiden (dit levert wel een
poging tot computervredebreuk op). Met betrekking tot het verspreiden van malware met
behulp van een Toxbot bestaat enige discussie of er gesproken kan worden van
binnendringen. In de rechtspraak is bepaald dat de verspreider van een Toxbot-malware
binnendringt in de (zombie)computers door het enkele besmetten van die computers. Koops
1 HR 23 mei 1921, NJ 1921, p. 564 e.v.
2 Hof Arnhem 27 oktober 1983, NJ 1984/80.
3 HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape).
2
, en Oerlemans zijn het hier niet mee eens: malware kan weliswaar gezien worden als een
verlengstuk van de verspreider, maar door de ongerichte verspreidingsvorm kan niet per se
gezegd worden dat met het virus ook de verspreider in een computer binnendringt.
De Hoge Raad heeft bepaald dat een sleutel ook vals is als een slechte sleutel wordt gebruikt
door iemand die daartoe niet gerechtigd is.4 Het (opzettelijk) manipuleren van URL’s om
toegang te krijgen tot niet-toegankelijk bedoelde delen van een website kan tevens tot
computervredebreuk leiden. Dit is geen technische ingreep, maar zou wel kunnen worden
gezien als gebruik van een valse sleutel. In tegenstelling tot veel andere landen, is het in
Nederland niet strafbaar om onrechtmatig in een computer aanwezig te blijven.
De beveiligingseis is in 2006 vervallen als uitvloeisel van het Cybercrimeverdrag en het EU-
Kaderbesluit 2005/222/JBZ, alhoewel de discussie rondom deze eis nog steeds relevant is. De
wetgever maakt een onderscheid tussen verschillende mate van beveiliging:
- Absolute beveiliging: dit is volgens de wetgever onmogelijk;
- Maximale beveiliging: dit kan volgens de wetgever niet verlangd worden;
- Adequate beveiliging: een evenwicht tussen het te beveiligen belang en de mate
waarop beveiligingsmaatregelen zijn aangebracht;
- Minimale beveiliging: de ondergrens voor strafbaarheid;
- Pro-formabeveiliging: bijvoorbeeld een mededeling ‘verboden toegang’ (onvoldoende
voor strafbaarheid).
Alhoewel de eerdergenoemde regelingen een beveiligingseis toelaten, heeft de minister
willen vasthouden aan de huidige formulering omdat anders de varianten van technische
ingreep, valse sleutel en valse hoedanigheid zouden vervallen. Deze varianten zijn echter in
de wetsgeschiedenis opgenomen, dus de beveiligingseis had gehandhaafd kunnen blijven. Het
voordeel hiervan is namelijk dat een beveiligingseis een signaal aan computergebruikers geeft
dat het wenselijk is dat zij enige vorm van beveiliging hanteren.
Een vorm van computervredebreuk is ethisch hacken (ook wel ‘white hat hacking’ genoemd).
Het onderliggende idee hiervan is dat door het in brede kring openbaar maken van
kwetsbaarheden sneller oplossingen voor beveiligingsproblemen worden gevonden en dat dit
de informatieveiligheid ten goede komt. Voor het gecontroleerd en op verantwoorde wijze
openbaren van kwetsbaarheden in de beveiliging in informatiesystemen stellen instellingen
ook wel een responsible disclosure-beleid op. Hierin wordt vaak het volgende vermeld:
- De termijn waarop de kwetsbaarheid verholpen moet zijn (een redelijke
standaardtermijn voor kwetsbaarheden in software bedraagt 60 dagen; voor
kwetsbaarheden in hardware is dit 6 maanden);
- De wijze waarop de organisatie en de melder met elkaar communiceren;
- De wijze waarop de kwetsbaarheid eventueel openbaar wordt gemaakt en de ICT-
security-community geïnformeerd wordt;
- Het uitsluiten van het doen van aangifte indien conform de richtlijn wordt gehandeld;
- Een eventuele eer of beloning voor het ontdekken van de kwetsbaarheid;
In bepaalde gevallen kan het OM ambtshalve beslissen om de melder te vervolgen. Er wordt
dan onderzocht of er sprake is van omstandigheden die kunnen rechtvaardigen dat
strafvervolging uitblijft.
4 HR 20 mei 1986, NJ 1987/130.
3