Wanneer is er sprake van hacken?
Hacken of het inbreken in computers is strafbaar. Het Wetboek van Strafrecht noemt dit “computervredebreuk”. Maar wanneer is er sprake van een “computervredebreuk”? In dit artikel een voorbeeld aan de hand van een recente uitspraak van de rechtbank in Rotterdam.
Wanneer is er sprake van hacken?
In dit artikel ga ik in op een uitspraak van de rechtbank Rotterdam waarin een verdachte wordt vrijgesproken van computervredebreuk (maar wel wordt veroordeeld voor andere praktijken).Ik neem je eerst even mee naar artikel 138ab van het Strafrecht voordat ik op dit arrest zal ingaan. Op deze manier krijg je wat achtergrond bij een aantal definities uit het Strafrecht.
Wat is hacken?
Het inbreken in een computer, hacken, is strafbaar gesteld in art. 138ab van het Wetboek van Strafrecht (Sr) . Bij dit artikel is aansluiting gezocht bij huisvredebreuk.
Lid 1 van dit artikel spreekt bij computervredebreuk over: “ (…) hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij daarbij enige beveiliging doorbreekt of de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.”
Geautomatiseerd werk
Onder geautomatiseerd werk verstaat het Sr een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken. De Hoge Raad oordeelde in 2013 dat ook een router als een deel van een geautomatiseerd werk moet worden beschouwd, omdat “het begrip geautomatiseerd werk niet beperkt is tot apparaten die zelfstandig aan deze drievoudige eis voldoen.
Binnendringen in andermans computers
Van het binnendringen in een geautomatiseerd werk is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
In de praktijk komt het voor dat “computergebruikers” zijn geautoriseerd om toegang te krijgen tot bepaalde delen van een computersysteem, maar niet tot het gehele systeem. Om ervoor te zorgen dat ook degenen strafbaar zijn die doordringen in beveiligde delen van een systeem waartoe zij niet geautoriseerd zijn, is er expliciet in de wettekst opgenomen dat ook het wederrechtelijk binnendringen in een deel van een geautomatiseerd werk strafbaar is.
Ethisch hacken
Hoewel ethisch hacken door sommigen wordt gezien als iets anders dan “onethisch” hacken, maakt ook de ethische hacker zich schuldig aan computervredebreuk. Dit wordt natuurlijk anders als dit op verzoek wordt gedaan. Het Nationaal Cyber Security Centrum heeft in 2012 een richtlijn voor responsible disclosure uitgebracht. In deze responsible disclosure kan een organisatie zich uit spreken over het niet doen van aangifte indien conform de richtlijn wordt gehandeld. In principe mag de hacker dus verwachten dat de organisatie geen aangifte doet indien de hacker zich aan de regels houdt. Toch laat deze richtlijn de mogelijkheid van strafrechtelijke vervolging open.
Geen sprake van computervredebreuk
Verdachte heeft samen met een ander met valse personalia via VodafoneZiggo Group B.V modems besteld en deze aangesloten. Daarmee heeft de verdachte naar betaalde servicenummers gebeld. De telefoonrekeningen werden echter nooit betaald. De verdachte wordt veroordeeld voor het medeplegen van oplichting. Hij wordt echter vrijgesproken van computervredebreuk, omdat niet op andere wijze toegang is verkregen tot en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Ook wordt de verdachte vrijgesproken van “gewoontewitwassen” (een mooi woord voor galgje).
Om tot de veroordeling van computervredebreuk te komen heeft de officier van justitie aangevoerd dat de verdachte zich schuldig heeft gemaakt aan computervredebreuk door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten. Hierdoor, zo meent de OvJ is er sprake van het wederrechtelijk binnendringen in deze modems.
De rechtbank overweegt dat de verdachte de modems heeft gebruikt door deze aan te sluiten en daarmee een telefoonverbinding tot stand te brengen. (…) De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan worden gezegd, zo motiveert de rechtbank verder, dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems. Dat de verdachte de modems met gebruik van valse personalia heeft besteld en de telefoonrekeningen niet heeft betaald, maakt dit niet anders (…). De rechtbank acht de ten laste gelegde computervredebreuk dan ook niet wettig en overtuigend bewezen, zodat de verdachte daarvan zal worden vrijgesproken.
Meer weten?
Meer weten over dit onderwerp of andere onderwerpen rondom privacy- en ict recht? Kijk eens op www.juridict.nl. Vragen staat vrij!