Er zijn weinig dingen in het cyberstrafrecht waarmee je mensen zo op de kast kunt krijgen als deze vraag: als je userid=481 in een URL verandert in userid=482, heb je dan een strafbaar feit gepleegd? Dit raakt aan de kern van het delict ‘computervredebreuk’, oftewel computerinbraak of wat niet- Tweakers ‘hacken’ noemen. Hoe zit dit juridisch?
Zoals ik al eerder schreef, is computercriminaliteit een onderwerp waar politici en ook wetshandhavers zwaar aan tillen. Dit komt door de documentaire WarGames (1983), waarin in detail wordt onthuld hoe handige jongens al dan niet opzettelijk binnendringen in computers van Defensie en zo de Derde Wereldoorlog zouden kunnen beginnen. Oké, we weten dat dit een film was, maar vergis je niet; voor de beeldvorming is dit verhaal enorm belangrijk geweest. Het sluit aan bij andere, wel echt gebeurde voorvallen, zoals gedocumenteerd in The Cuckoo’s Egg van Clifford Stoll, en zoals de Morris-worm.
Een voor Nederland relevant incident was een geval van binnendringen in de computers van het Pentagon in 1990, waar schrijfster Karin Spaink enige tijd terug een mooi verhaal over heeft geschreven. Dat binnendringen was rond die tijd niet ongebruikelijk als je wilde warmlopen als hacker, maar in 1990 viel het nogal verkeerd, omdat de (eerste) Golfoorlog aan de gang was. Vandaar dat de in 1986 aangenomen Computer Fraud and Abuse Act in de VS werd klaargezet om deze Nederlandse figuur te vervolgen. Er was alleen één probleem; in Nederland was het binnendringen in andermans computersysteem niet strafbaar, zodat de betrokkene niet uitgeleverd kon worden.
Vrij rap daarna, in 1993, had Nederland ineens een Wet computercriminaliteit, die onder meer het binnendringen in een geautomatiseerd werk strafbaar stelt. Althans, als je daarbij (a) enige beveiliging doorbreekt of (b) een technische ingreep, valse signalen of een valse sleutel of valse hoedanigheid toepast. Het onderscheid is subtiel, maar de bedoeling van de wetgever was om te voorkomen dat er discussies zouden komen over of iets wel ‘beveiligd’ was en of je dat wel doorbrak. Denk aan inloggen met een afgekeken wachtwoord, maak je dan iets stuk? Goeie vraag, maar in ieder geval gebruik je dan een ‘valse’ sleutel.
De term ‘binnendringen’ laat zien dat Nederland het delict anders benadert dan bijvoorbeeld de Verenigde Staten. Die spreken van fraude en misbruik van computersystemen en sluiten daarbij dichter aan bij wat de bedoeling was van jouw gebruik van die computer. Nederland trekt de analogie met huis-, lokaal- en erfvredebreuk: ergens binnengaan waar je niet mag zijn. Het doet er dus niet toe of je van plan was te frauderen, gegevens te kopiëren of iets stuk te maken. Je bent binnen, dat mag niet, je bent strafbaar.
In 2006 werd de wet herzien. In februari 2005 had de Europese Unie een zogeheten Kaderbesluit genomen, dat kortweg bepaalde: “Iedere lidstaat treft de nodige maatregelen om opzettelijke, onrechtmatige toegang tot een informatiesysteem of enig onderdeel daarvan strafbaar te stellen, althans voor gevallen die niet onbeduidend zijn.” Nou was dat dus al mooi geregeld met die strafbaarstelling van computervredebreuk, maar er was één lastig probleem: lid 2 van die bepaling voegde toe: “Iedere lidstaat kan beslissen dat de in lid 1 bedoelde gedragingen alleen strafbaar worden gesteld indien het feit wordt gepleegd door een inbreuk op de beveiligingsmaatregelen.”
In gewone taal: van het Kaderbesluit moest je computervredebreuk strafbaar stellen en daarbij mocht je het houden bij een brede, algemene strafbaarstelling of je kon deze beperken tot het specifieke delict 'doorbreken van een beveiliging'. Nederland had geen van beide. Weliswaar kon je strafbaar zijn door een beveiliging te doorbreken, maar er waren dus ook die ingrepen, signalen enzovoort die je kon gebruiken. Dat gaf een dilemma; moest Nederland dan naar die open norm of moest het zijn optie voor ingrepen en signalen uit de wet halen en zo de deur openen voor allerlei spitsvondige discussies over beveiligingen en wat ‘doorbreken’ allemaal is? Uit pragmatisch oogpunt koos men maar voor het eerste.
Wel werden de oude opties bewaard als voorbeeld. Als het OM kon bewijzen dat iemand een beveiliging had doorbroken of een valse sleutel had gebruikt enzovoort, dan was dat genoeg om te bewijzen dat hij was binnengedrongen. Maar let op: dit zijn voldoende voorwaarden, geen noodzakelijke voorwaarden. Het wetsartikel kent een open norm, dus het is mogelijk dat je geen van die vier dingen doet, maar tóch iets uithaalt dat als binnendringen kan worden aangemerkt. De minister noemde het voorbeeld van huisvredebreuk. Als iemand inbreekt in een huis, staat vast dat hij is binnengedrongen. Loop je echter door een open deur naar binnen terwijl de eigenaar “Nee, ga weg” roept, dan heb je niet ingebroken, maar wél huisvredebreuk gepleegd.
Het is dus sinds 2006 mogelijk om binnen te dringen in een computersysteem zonder dat je de beveiliging kraakt, dan wel een vals signaal, valse sleutel of valse hoedanigheid hanteert. Bij invoering van het wetsvoorstel was diverse keren de vraag gesteld of de minister voorbeelden kon noemen van hoe dan. Verder dan 'een virtueel bordje Verboden Toegang' kwam hij echter niet. Dat zou bijvoorbeeld een loginbanner kunnen zijn, of een netwerknaam (ssid), of wat bij jouw specifieke systeem maar een logische en niet te missen manier is om Verboden Toegang te communiceren naar je ongenode bezoekers.
Wel merkte de minister op dat 'de potentiële dader moet weten dat hij zich op verboden terrein gaat begeven'. Foutjes waardoor je ergens binnenkomt – je heet Adriaan Min, je typt de voor de hand liggende usernaam en het beheerswachtwoord blijkt hetzelfde als het jouwe – maken je dus niet strafbaar, omdat de vereiste opzet ontbreekt. In de praktijk wordt dat ‘weten’ overigens aangevuld met 'had moeten weten'. Iedereen kan zich wel van de domme houden, maar als het evident is, kom je echt niet weg met: “Nee sorry, echt géén idee.”
Dus hoe dan ook, de kern is dat we sinds 2006 een open norm hebben. Je bent strafbaar als je (opzettelijk) ergens binnengaat terwijl je weet of had moeten weten dat je daar niet mocht zijn, ongeacht aangebrachte beveiligingen of andere maatregelen om je tegen te houden. Er moet echter wel íets zijn: een bordje, een waarschuwing, een drempel, enige hobbel waardoor jij beseft: “Ho, wacht even, dit is niet de bedoeling.” Een loginbanner 'Verboden toegang. Alleen geautoriseerde gebruikers / login' zou een mooie hobbel zijn, ook al volstaat twee keer op enter drukken om binnen te komen. Jij was niet geautoriseerd, dus hoezo druk jij twee keer op enter?
Meestal is de situatie duidelijk genoeg als iemand van buitenaf komt. Die hoort helemaal niet in dat systeem te zijn, dus als hij er toch belandt, is dat binnendringen. Net zoals een passant op straat niet in een bedrijfspand hoort te zijn. Dan mag de deur tien keer openstaan, je weet dat bedrijven niet zomaar mensen laten binnenlopen en al helemaal niet tot aan het magazijn. Dus als jij dan ‘ineens’ in het magazijn staat, weet je dat je fout zit. Juridisch heet dat de 'kom nou'-toets.
Lastiger is het als de persoon op zich wel geautoriseerd is het systeem te gebruiken, maar vervolgens dingen doet die niet de bedoeling zijn. Onder de Amerikaanse CFAA werd dit 'exceeding authorized access' genoemd en die term werd breed ingezet. Als jij een dossier bekeek waar je vanuit je werk niet naar hoorde te kijken, pleegde je computerfraude, want je had geen autorisatie. Dit voelt raar aan, vooral omdat een andere burger dan kan bepalen (met de huisregels/terms of service) wanneer jij een strafbaar feit pleegt. Dat wringt, want het is wel een héél zwaar middel om het strafrecht in te zetten waar het eigenlijk gaat om een overtreding van een contractuele bepaling.
In deze situatie is in Amerika pas in 2021 verandering gekomen; je mag alleen van 'exceeding' spreken als je iets voor elkaar krijgt dat je niet zou moeten kunnen. Je doorbreekt een beveiliging of je misbruikt een technische voorziening, zouden wij in Nederlandse termen zeggen. Een systeem gebruiken zoals je dat gewoonlijk ook zou doen, maar dan terwijl dat niet de bedoeling is, is dan mogelijk plichtsverzuim, maar geen computervredebreuk. Een voorbeeld is je collega opzoeken in het hypothekenregister van de bank waar je werkt als hypotheekadviseur. Vergelijk: je gaat naar je werk op de bouwplaats, maar je draagt niet de veiligheidshelm die je volgens de werkinstructie op moet hebben. Dan pleeg je geen erfvredebreuk, maar je wanpresteert bij je werk. Erfvredebreuk zou het pas zijn als je op zondagmiddag het terrein betreedt, terwijl er geen werk bezig is.
In Nederland hebben we een andere insteek; het gaat om er niet mogen zijn, terwijl je dat wist. Misbruik van de faciliteit is geen computervredebreuk, zoals bij een verdachte in 2005 die vervalste machtigingen instuurde naar de Rabobank en zo onterecht geld kon afboeken. Dat was geen binnendringen; hij mócht immers met dat account telebankieren. “Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.” Aldus het Gerechtshof. Wellicht is dit fraude (valsheid in geschrifte, oplichting enzovoort), maar dat is een ander delict.
Althans, meestal, want in 2019 veroordeelde de rechtbank Midden-Nederland een wijkagent wegens computervredebreuk omdat hij 'een aanzienlijk aantal bevragingen [had] gedaan in de computersystemen van de politie zonder dat daartoe vanuit de uitoefening van de politietaak enige aanleiding bestond'. Hij ging daarmee de grenzen van zijn autorisatie ‘ver’ te buiten e Source: Tweakers.net