De beveiliging van computersystemen

is cruciaal, zeker wanneer deze met in-

ternet zijn verbonden. Veel landen heb-
ben wetgeving die specifiek gericht is
op computercriminaliteit (“cybercrime”).
Inbreken, denial of service-aanvallen
en virusverspreiding wordt daarin straf-
baar verklaard. Helaas blijken veel van
Over de auteur
deze wetten bijzonder verreikend, waar- De auteur, Arnoud Engelfriet is partner en juridisch
door ze ook bijvoorbeeld security- adviseur bij juridisch adviesbureau ICTRecht.
Engelfriet richt zich graag op complexe technisch-
onderzoek hinderen.
juridische ICT-vraagstukken en softwarelicenties. In
Dit boek legt u op een duidelijke en praktische 2008 maakte hij de overstap naar ICTRecht. Daar-
manier uit welke wetten en regels er gelden voor voor werkte hij negen jaar lang bij Philips, onder
securityresearchers, beveiligers, hackers en bedrijven meer als software- en open source-specialist.
die met ICT werken. Aan de hand van concrete
voorbeelden worden de strafbepalingen rond com-
putervredebreuk, datadiefstal, aftappen en virus-
verspreiding toegelicht. Ook wordt uitgebreid in-
gegaan op de Wet bescherming persoonsgegevens
en wat deze betekent in de context van security.
Mag men medewerkers afluisteren of mailboxen
lezen? Ook forensisch onderzoek en ethisch hacken Dit boek is tot stand gekomen in samenwerking met
worden belicht. de Security Academy.
www.securityacademy.nl
Het boek bevat tevens een overzicht met de
belangrijkste wetsartikelen omtrent computercri- ISBN 9789081336055
90000 >
minaliteit en de bevoegdheden van Justitie om bij
opsporing daarvan gegevens te vorderen of af te xemplaar van
kt e
tappen. Een gedru nt u kopen via
dit b o ek ku /
n/security
ictrecht.nl/boek / ictre cht.nl/boeke
ttp:/
h
9 789081 336055
 Security
Deskundig en praktisch juridisch advies

Arnoud Engelfriet

Een gedrukt exemplaar van dit boek kunt u kopen via

http://ictrecht.nl/boeken/security/
 Inhoudsopgave

inhoud
Inhoud
1 Computervredebreuk......................................1
Binnendringen in computersystemen ...............................1
Beveiliging doorbreken.................................................2
Per ongeluk binnendringen............................................5
Poortscannen...............................................................7
Poortscannen als poging...............................................8
Andere vormen van uitproberen.....................................9
Verzwaarde vormen ...................................................10
Hulpmiddelen ............................................................12
Oogmerk van criminaliteit ...........................................14
Honeypots en uitlokken ...............................................15
Op eigen initiatief ......................................................16

2 Virussen en andere hinder ............................19

Virussen en wormen ...................................................19
Bestemd om schade aan te richten ...............................20
Trojaanse paarden .....................................................21
Achterdeuren.............................................................23
Rootkits .....................................................................25

ISBN 978 90 813360 5 5

Spyware ...................................................................26

Copyright © 2011 ICTRecht B.V.

Ransomware .............................................................27

Uitgever: Ius Mentis te Eindhoven

Hoaxes en nepvirussen ...............................................28

Omslag, ontwerp, fotografie, zetwerk: Jolie van der Klis, jolie.nl

Vernielen van gegevens ..............................................29
Verstoren van dienstverlening ......................................31

Alles uit deze uitgave mag worden verveelvoudigd en/of openbaar

Denial of service-aanvallen..........................................31

worden gemaakt door middel van druk, fotokopie, geluidsband,

Hinderen of bemoeilijken van telecommunicatie.............32

elektronisch of op welke wijze dan ook, onder de vereisten van de

Geen opzet, wel schuld ..............................................34

Creative Commons licentie Naamsvermelding-Gelijkdelen versie 2.5

Onderzoek naar malware...........................................35

Nederlands, zie
http://creativecommons.org/licenses/by-sa/2.5/nl/
3 Aftappen en kopiëren van data ....................37
Aftappen van datacommunicatie..................................37
Aftappen door de overheid .........................................39

iii
 Vrije signalen uit de ether............................................41
Diefstal van gegevens.................................................42
Digitaal briefgeheim...................................................44
Toegang zonder te betalen..........................................45
Films en muziek zonder te betalen................................46
Software zonder te betalen .........................................47
Kopiëren van betaalkaarten ........................................48
Opnemen van gesprekken ..........................................50
Hulpmiddelen voor aftappen en opnemen.....................51
4 Privacy en persoonsgegevens .......................53
Twee soorten privacy..................................................53
Wet bescherming persoonsgegevens ............................54
Toestemming voor verwerking......................................56
Cookies en toestemming .............................................57
Grenzen aan toestemming ..........................................58
Aanmelden van verwerking.........................................59
Informeren, inzage en correctie ...................................61
Beveiliging van persoonsgegevens ...............................62
Identiteitsfraude .........................................................64
Vorderen van persoonsgegevens..................................66
Vriendelijk verzoek.....................................................67
Afgifte aan private partijen .........................................68
De Wet bewaarplicht..................................................69
5 Monitoren en toezicht ...................................71
Monitoren van werknemers .........................................71
Legitiem doel .............................................................72
Protocol voor privégebruik ..........................................74
Monitoren van social media ........................................76
Beperkt monitoren ......................................................77
Blokkeren ..................................................................77
Geheimhouding voor systeembeheerder .......................79
Doorzoeken van de bedrijfspc .....................................79
iv
Sancties bij overtreding ..............................................80
Inhoud
Cameratoezicht in de openbare ruimte .........................81
Meeluisteren bij cameratoezicht...................................83
Cameratoezicht in private ruimte .................................84
Cameratoezicht op het werk........................................84
Cameratoezicht bij de buren .......................................84
6 Ethisch verantwoord .....................................87
Vrijheid van meningsuiting ..........................................87
Aan de kaak stellen van misstanden .............................89
Verder gaan dan nodig ..............................................90
Publiceren van gelekte geheimen .................................91
Melden van beveiligingsfouten ....................................93
Responsible disclosure ................................................95
Onderzoeken van software .........................................97
Opruimen van malware ..............................................99
Denial of service-aanval als protest ............................101
7 Forensisch onderzoek en rechtszaken .........103
Aangifte doen .........................................................103
Verplicht opnemen ...................................................105
Aangifte niet verplicht...............................................106
Schadevergoeding van de dader ...............................106
Bewijsvoering bij de civiele rechter ............................108
Bewijsvoering bij de strafrechter ................................110
Verklaringen van deskundigen ...................................111
Forensisch bewijs .....................................................113
Vervalst bewijs.........................................................114
Illegaal verkregen bewijs ..........................................116
Toegang en wachtwoorden .......................................117
Zelf proberen te raden..............................................118
Digitaal rechercheur .................................................120
Eigen verantwoordelijkheid .......................................121
v
Juridische woordenlijst ..................................123

Inhoud
Naslag wetsartikelen ....................................135
Computervredebreuk ................................................135
Virussen en andere overlast.......................................136
Aftappen of opnemen...............................................138
Overige ..................................................................140
Tabel van bevoegdheden ..........................................141

Bronvermelding .............................................143

vi
Voorwoord

Twintig jaar geleden kon computercriminaliteit alleen worden

bestraft als “diefstal van elektriciteit”. Dankzij de Wet compu-

Voorwoord
tercriminaliteit uit 1993, en een update in 2006 zijn er nu uitge-
breide strafbepalingen over inbreken in computers, gegevens-
diefstal, virussen en andere kwaadaardige software en het
uitvoeren van denial of service-aanvallen. Ook zijn er regels
over het afluisteren en aftappen van communicatie en het kraken
of hacken van beveiligde diensten zoals betaaltelevisie.

Onder computercriminaliteit wordt vaak verstaan misdrijven

die met een computer gepleegd worden. Het is uiteraard niet
de bedoeling dat iemand neerslaan met een laptop als compu-
tercriminaliteit wordt gezien, vandaar dat de definitie meestal
iets beperkter wordt gezien: het gebruik van ICT moet een we-
zenlijke rol spelen bij het misdrijf. Iemand mishandelen kan
met vele voorwerpen, dat het nu een laptop is, is niet relevant
voor het misdrijf mishandeling. Maar wie gegevens wegneemt
of vernielt na het kraken van de firewall, pleegt wél een compu-
termisdrijf.

Wat precies de impact is van computercriminaliteit, is lastig in

te schatten. Al jarenlang blijkt dat slechts weinig bedrijven
aangifte doen wanneer zij slachtoffer zijn van computercrimi-
naliteit. En als er aangifte wordt gedaan, zijn het met name
grote ondernemingen. De meeste bedrijven volstaan met tech-
nische maatregelen tegen computercriminaliteit, zoals firewalls,
virusscanners en een intrusion detection systeem. Daarbij komt
echter weer de privacywetgeving om de hoek kijken: het is na-
melijk niet toegestaan om zomaar vérgaande maatregelen te ge-
bruiken om personen in de gaten te houden.

ix
 1
In dit boek besteden we aparte aandacht aan ethisch hacken.
Het kraken van beveiligingen, inbreken in gebouwen of het
wegnemen van documenten is verboden, en daarbij maakt het
beroep dat je uitoefent niet uit. Maar onder uitzonderlijke om- Computervredebreuk
standigheden kan een hacker vrijuit gaan met een beroep op de
persvrijheid.

1-Computer-
vredebreuk
Arnoud, 1 november 2011
e bekendste vorm van computercriminaliteit is het binnen-
dringen in een computersysteem of netwerk. Dit heet com-
putervredebreuk (soms ook wel computerinbraak of
hacken) en is een misdrijf. In tegenstelling tot wat vaak gedacht
wordt, is het óók strafbaar om binnen te dringen in onbeveiligde
computers of netwerken. Pogingen tot inbreken (bijvoorbeeld
een poortscan) zijn al snel eveneens strafbaar, net als het bezit
van hulpmiddelen die bedoeld zijn om mee binnen te dringen.

Binnendringen in computersystemen
Binnendringen (‘inbreken’) in een computersysteem of netwerk kan op
vele manieren, en de wet geeft daar geen algemene definitie voor. Dat
kan ook niet, want er zijn altijd weer slimmeriken die dan een compu-
terinbraak gaan verzinnen die niet onder die definitie valt. Bij de behan-
deling in de Tweede Kamer van de Wet computercriminaliteit gaf de
minister aan dat dit van geval tot geval uit de rechtspraak zal moeten
blijken. Met zo’n open definitie die door de rechter kan worden ingevuld,
is de wet voorbereid op toekomstige ontwikkelingen.

Tot 2006 stond wél expliciet in de wet dat een beveiliging moest
worden doorbroken. Wie toen rondsnuffelde op een onbevei-
ligde computer, was niet strafbaar. Pas als je enige beveiliging
doorbrak, liep je tegen de wet aan. Door de wetswijziging van
2006 werd ook dat rondsnuffelen zonder wachtwoorden te

x 1
 raden of iets te kraken strafbaar. Meer dan wéten dat je niet op
die plek hoort te zijn, is al genoeg onder de huidige wet. De eis
van een beveiliging doorbreken is geschrapt om de wet in lijn te
krijgen met het Europese Cybercrimeverdrag.
Voor het binnendringen in computersystemen wordt vaak de
term ‘hacken’ gebruikt. Dit is eigenlijk niet juist; een hacker is
iemand die zeer goed en creatief met computers of andere ap-
• Een technische ingreep: onder meer het systeem zover krijgen
dat het een instructie uitvoert waardoor de toegang wordt ver-
leend tot bepaalde gegevens (het digitale equivalent van het
kortsluiten van een elektronisch slot zodat de deur opengaat).
Een voorbeeld is een SQL-injectie, waarbij meer informatie uit
een database kan worden gehaald dan toegestaan.
• Valse signalen of een valse sleutel: bijvoorbeeld een geraden
of afgekeken wachtwoord van een ander gebruiken, of je com-

paraten om kan gaan, en er meestal niet op uit is om schade aan
te richten. Toch worden activiteiten van hackers (in deze posi-
tieve betekenis van het woord) gezien als computervredebreuk
als ze – om welke reden dan ook – in andermans systemen bin-
nendringen. Wanneer het inbreken met een nobel doel gebeurt,
wordt vaak gesproken van ‘ethisch hacken’ of ‘white hat’ hacken,
waarover meer in hoofdstuk 6. In de pers (en ook in de recht-
spraak) worden de termen ‘hackers’ en ‘inbrekers’ als synoniem
gebruikt.
1-Computer-
vredebreuk
puter andermans IP-adres laten aannemen (IP spoofing). Er
zijn diverse veroordelingen geweest van mensen die ‘ge-
leende’ wachtwoorden gebruikten, of wachtwoorden van hun
ex-werkgever die nog bleken te werken nadat ze een nieuwe
baan hadden.
• Het aannemen van een valse hoedanigheid: jezelf anders
voordoen dan je bent, bijvoorbeeld door je computer de naam
te geven van de printserver en zo toegang tot de map met
printjobs krijgen. IP spoofen kan dus ook onder dit kopje ge-
schaard worden. ‘Social engineering’ is ook op deze manier

Beveiliging doorbreken
De wet noemt vier handelingen die in ieder geval computervredebreuk
zijn. De definities zijn niet heel hard, en ze worden in de praktijk ook
niet altijd even consequent toegepast. Omdat uiteindelijk de wet een
open definitie hanteert, is het niet heel erg dat een bepaalde situatie af-
wijkt van deze vier handelingen. Ze zijn meer bedoeld ter illustratie van
het soort zaken dat typisch computervredebreuk is.

De vier in de wet genoemde vormen zijn

• Doorbreken van een beveiliging: denk aan het omzeilen van
een restrictie op wat een programma mag, waarmee volledige
toegang mogelijk wordt (‘privilege escalation’). Het gebruiken
van een gebrekkige controle op ingevoerde gegevens om com-
mando’s uit te voeren (zoals bij een ‘buffer overflow’) is een
voorbeeld.

2 3
 soms strafbaar: de helpdesk bellen, zeggen dat je de nieuwe
manager bent en vragen of men de beveiliging even uitzet
omdat je nú heel belangrijk werk moet doen.
Wie een van deze handelingen verricht, pleegt in ieder geval
computervredebreuk. Er kunnen echter ook andere vormen van
binnendringen zijn (of komen) die hier niet onder vallen. De rech-
ter zal dan moeten bepalen of dit een strafbare vorm van binnen-
dringen is. Zo kun je soms door een webadres (URL) handmatig
te veranderen, pagina’s te zien krijgen die eigenlijk nog niet pu-
bliek toegankelijk hadden moeten zijn. Het is niet duidelijk of dit
een strafbare vorm van binnendringen is. Hierover zullen nieuwe
rechtszaken jurisprudentie moeten scheppen.
De beveiliging van je eigen computer kraken is natuurlijk niet
strafbaar. Maar bij andere apparaten kan dat zomaar wel het
geval zijn. De rechter vond eind 2010 het kraken en zelf opladen
van OV-chipkaarten een vorm van computervredebreuk, omdat
daarmee werd binnengedrongen in de chip in de kaart. Omdat
volgens de algemene voorwaarden de kaart eigendom was en
bleef van Trans Link Systems, had de verdachte daarmee inge-
broken in “andermans computer”. Het herprogrammeren van
apparatuur in bruikleen (bijvoorbeeld het modem van je provi-
der) zou hier dus ook onder kunnen vallen.
De Hoge Raad oordeelde in februari 2011 overigens dat de mate
van beveiliging niet heel hoog hoeft te zijn. Meer dan “een ken-
bare drempel zodat onbevoegden zich niet simpelweg de toe-
gang kunnen verschaffen” is niet vereist. Een netwerk dat met
een standaardwachtwoord is beveiligd, mag niet worden bena-
derd door een derde. Maar wie een bepaalde map op zijn harde
schijf deelt met iedereen via filesharing software, kan niet ach-
teraf klagen dat mensen binnengedrongen zijn in die map.
4 5
Het aanleveren van valse gegevens is geen binnendringen. Dit
bleek uit een rechtszaak over het aanleveren van valse auto-
matische incasso's bij de bank. Dit was geen binnendringen,
omdat de toegang tot het banksysteem op zichzelf geautoriseerd
was. Via die toegang werd vervalste informatie aangeleverd. Er
was dus sprake van fraude, maar niet van binnendringen. Let
wel: als het gaat om gebruik van valse inloggegevens is het wel
binnendringen.
1-Computer-
vredebreuk
Het overtreden van de gebruiksvoorwaarden van een site is ook
geen computervredebreuk. Dergelijke regels overtreden leidt wel
tot contractbreuk, en de site-eigenaar mag je dan verwijderen of
je account blokkeren. Maar zolang je alleen de interfaces gebruikt
die de site je ter beschikking stelt, kan er geen sprake zijn van
strafbaar handelen. Hetzelfde geldt voor software die draait met
bepaalde restricties, zoals de controlesoftware die bij spellen moet
voorkomen dat mensen valsspelen of een illegale kopie gebrui-
ken. Het uitschakelen van die software is geen computervrede-
breuk, maar kan wel inbreuk op het auteursrecht opleveren.
Omdat er bij computervredebreuk geen eis geldt dat je actief iets
Per ongeluk binnendringen
moet kraken of uitschakelen, zou ook het per ongeluk binnen-
dringen in iemands computersysteem of netwerk een misdrijf
kunnen zijn. Een voorbeeld is het zonder toestemming gebruik-
maken van andermans onbeveiligde draadloze netwerk, wat
vaak automatisch gaat als het netwerk in de buurt is. De minister
heeft bij invoering van de wetswijziging in 2006 bij het schrap-
pen van de beveiligingseis echter aangegeven dat het voor de
potentiële dader wel kenbaar moet zijn dat hij zich op verboden
terrein gaat begeven. Dat hoeft dus niet per se een beveiliging
te zijn, een voor mensen zichtbare mededeling “Verboden voor
onbevoegden” kan al genoeg zijn.

Door een draadloos netwerk als naam “Privé-netwerk, verboden
toegang” te geven, weten derden die het netwerk toevallig zien
dat het niet de bedoeling is dat ze daar gebruik van maken. Doen
ze dat toch, dan plegen ze computervredebreuk. Een netwerk
met de naam “Gratis Wifi” mag natuurlijk wél zomaar worden
gebruikt. En bij een netwerk dat een nietszeggende naam (zoals
‘linksys’ of ‘SpeedtouchTHX1138’) zal het van de overige om-
standigheden afhangen of de gebruiker had moeten weten dat
hij dit netwerk wel of niet mocht gebruiken.
In een strafzaak over bedreiging via internet werd in hoger be-
roep geoordeeld dat meesurfen via het netwerk van de buren
nooit strafbaar is. Dit omdat de wet eist dat je binnen moet drin-
gen in een “geautomatiseerd werk”, en dat is een apparaat dat
gegevens opslaat, verwerkt én overdraagt. De gebruikte router
was een simpel apparaat dat geen gegevens van buitenaf op-
sloeg, en het netwerk met die router voldeed daarmee niet aan
6 7
de wettelijke definitie. De zaak is naar de Hoge Raad, maar het
zal nog wel even duren voor deze een definitieve uitspraak doet.
Een router die wél netwerkverkeer opslaat (voor meer dan een
paar seconden) zou wel onder de wettelijke definitie van “geau-
tomatiseerd werk” vallen.
Ook het opvragen van webpagina’s die nog niet voor het pu-
bliek bedoeld waren, kan strafbaar zijn volgens deze definitie.
1-Computer-
vredebreuk
Denk aan het raden of manipuleren van webadressen. Het op-
roepen van webadressen (URLs) die in een ‘robots.txt’ bestand
zijn geblokkeerd, valt hier echter waarschijnlijk niet onder. Dat
bestand is bedoeld voor zoekmachines (robots) en verbiedt dus
niet iedereen (maar alleen robots) deze adressen op te roepen.
Om een computerinbraak te plegen is het vaak handig om infor-
Poortscannen
matie te hebben over bijvoorbeeld de versie van het besturings-
systeem of de beschikbare diensten. Om dergelijke informatie te
achterhalen zijn allerlei hulpmiddelen beschikbaar. Het bekend-
ste hulpmiddel is de poortscan (een niet helemaal juiste maar in-
geburgerde vertaling van het Engelse ‘portscan’). Dit is het
proces waarbij verbinding wordt gemaakt met netwerkpoorten
op het doelsysteem om vast te stellen welke services er actief zijn
en waarmee een verbinding kan worden gelegd.
Voor poortscannen zijn verschillende scantechnieken ontwik-
keld, ieder met een verschillende vorm en volledigheid van de
verbinding met het doelsysteem. Deze verschillende vormen en
volledigheid van de verbinding dienen er ten eerste voor om te
bepalen welke “actieve” poorten daadwerkelijk door het sys-
teem gebruikt worden en ten tweede om het risico van ontdek-
king te beperken. Een van de meest gebruikte poortscanners is
‘Nmap’ van de bekende hacker Fyodor.
 Een poortscan wordt alleen gebruikt om te onderzoeken welke
poorten er op een geautomatiseerd systeem aanwezig zijn. Er
wordt geen enkele verdere actie op het systeem ondernomen.
Daarmee is er dus geen sprake van inbraak of binnendringen,
net zo min als sprake is van inbraak wanneer je met een verre-
kijker constateert welke ramen open staan of hoe laat de achter-
deur op slot wordt gedaan.
Poortscannen als poging
De wet kent ook de constructie van “poging tot” het plegen van een mis-
drijf. Van een poging is sprake wanneer de dader een “begin van uit-
voering” heeft gemaakt met het misdrijf, maar het nog niet heeft
afgerond. Poortscannen kan dan ook in principe aangemerkt worden
als strafbare poging tot het plegen van een misdrijf. Het zal echter van
de omstandigheden van het geval afhangen of de poortscan wordt ge-
bruikt voor het plegen van een ander strafbaar feit (bijvoorbeeld com-
putervredebreuk). Essentieel is dat kan worden aangetoond dat de
verdachte van plan was om na de poortscan ook daadwerkelijk ergens
binnen te gaan dringen, of een ander strafbaar feit te plegen. Dit zal in
de praktijk echter bijzonder lastig te bewijzen zijn.
Een poging is namelijk niet strafbaar als de dader halverwege
besluit er toch maar mee te stoppen. Dit heet ook wel “vrijwillige
terugtred”. Iemand die na zijn poortscan tot inkeer komt, of die
puur uit nieuwsgierigheid een scan uitvoerde en nooit van plan
was daadwerkelijk in te breken, is dus niet strafbaar. En het zal
zelden tot nooit mogelijk zijn om bewijs te vinden dat deze per-
soon wel degelijk van plan was de informatie uit de poortscan
te gebruiken om ergens binnen te dringen.
Het al genoemde Nmap biedt de mogelijkheid om het tijdstip
van uitvoering van poortscans in te stellen, bijvoorbeeld op
een moment dat er weinig of geen systeembeheerders aanwe-
zig zijn of met voldoende tijd tussen de verschillende scans om
8 9
geen argwaan te wekken. Daarnaast biedt Nmap de mogelijk-
heid om ‘sneaky’ scans uit te voeren. Dit zijn scans die niet of
slecht opgemerkt kunnen worden door firewalls of Intrusion
Detection Systems (IDS’en). Ook kunnen andere technieken
worden gebruikt, zoals een vervalst (gespoofd) IP-adres, om
detectie te bemoeilijken. Het gebruik van een dergelijke scan
zou bewijs kunnen zijn van de intentie om in te gaan breken.
Immers, uit nieuwsgierigheid gebruik je geen sneaky trucs.
1-Computer-
vredebreuk
Ook andere vormen van uitproberen van de beveiliging van
Andere vormen van uitproberen
computersystemen kunnen strafbaar zijn als poging tot compu-
tervredebreuk. Zo biedt het softwarepakket ‘DirBuster’ de mo-
gelijkheid om te kijken of een site informatie online heeft die
eigenlijk niet vrij beschikbaar had mogen zijn. DirBuster pro-
beert op basis van grote lijsten met veelgebruikte directoryna-
men en bestandsnamen uit of er bestanden te vinden zijn met
die namen op de gekozen doelsite. Dit gaat wel een stapje verder
dan poortscannen: je kijkt niet alleen of er diensten beschikbaar
zijn, maar je vraagt ook informatie op die wellicht nog niet open-
baar had moeten zijn. De rechter zou hier al snel kunnen aanne-
men dat je intentie was om die niet-publieke informatie op te
vragen, wat bewijs is van strafbaar binnendringen.
Een andere vorm van uitproberen is het manipuleren van een
webadres (URL) om te zien of deze werkende webpagina’s op-
leveren, bijvoorbeeld door een identificatienummer van een pa-
gina met één te verhogen of een dag/maand/jaartal in de URL
aan te passen om te zien wat er morgen gepubliceerd gaat wor-
den. Ook daarmee kun je toegang krijgen tot niet-publieke in-
formatie. Dergelijk manipuleren kan dus een poging tot com-
putervredebreuk zijn.
 In een rechtszaak over manipulatie van een e-learningcursus
noemde de rechter het aanpassen van de URL (waarmee de cur-
sist een hoger cijfer kreeg) echter een “goedbedoelde en onschul-
dige actie”, omdat de cursist meteen na het aanpassen de
dienstverlener had geïnformeerd over de fout. Er was in juridi-
sche termen geen opzet (bedoeling) op het wederrechtelijk bin-
nendringen.

1-Computer-
vredebreuk
In de context van draadloze netwerken is ‘wardriving’ een be-
kend verschijnsel. Hierbij gaat iemand met een laptop en an-
tenne op zoek naar draadloze netwerken. Hij kan vervolgens
proberen zich daarop aan te melden en de internetverbinding te
gebruiken, maar ook volstaan met in een (vaak openbare) data-
base registreren waar dit netwerk zich bevindt en hoe het heet.
Anderen kunnen er dan gebruik van maken – voor goede of
voor kwade doelen. Zolang er geen toegang tot computers op
het netwerk zelf wordt gezocht, is dit legaal.
De meest voorkomende strafverzwarende handeling is na het bin-
Google kwam met haar Streetview-auto’s in juridische proble- nendringen gegevens kopiëren. Dergelijk handelen wordt wel ‘ge-
men toen bleek dat zij niet alleen foto’s nam op straat maar ook gevensdiefstal’ genoemd, maar juridisch is dat eigenlijk onjuist.
gegevens over draadloze netwerken vastlegde. Deze gegevens Gegevens in een computerbestand kunnen niet worden wegge-
omvatten niet alleen de naam van netwerken maar ook frag- nomen, en zonder wegnemen kan er geen sprake van diefstal zijn.
menten van datacommunicatie op die netwerken, met soms zelfs Wel kan dit strafbaar zijn als aftappen of afluisteren (zie hoofdstuk
wachtwoorden of creditcardgegevens. Dat is een vorm van bin- 3). Een inbraak in de computersystemen van gamesbedrijf Activi-
nendringen in een computersysteem. sion, waarbij conceptversies van games werden gekopieerd, le-
verde de dader zes maanden voorwaardelijke gevangenisstraf en
een werkstraf van 240 uur op. Naast kopiëren is ook het vernielen
Verzwaarde vormen of manipuleren van gegevens strafverzwarend.

Ook een strafverzwarende omstandigheid is het misbruiken van

Het binnendringen in een computersysteem – zonder dus iets te doen –

een computer om bijvoorbeeld gratis dingen te laten doorreke-

is al genoeg om volgens de wet computervredebreuk te plegen. Echter,

nen. De wet spreekt van misbruiken van de ‘verwerkingscapa-

als de inbreker meer doet, kan dat tot strafverzwaring leiden. De maxi-

citeit’ van de computer. Het inzetten van een systeem met een
mumstraf die de rechter op kan leggen wordt dan verhoogd van één

snelle internetverbinding om bestanden zonder toestemming ter

naar vier jaar. Google werd echter alleen op de vingers getikt voor de
vastlegging van persoonsgegevens (zie hoofdstuk 4).

10 11
 verspreiding aan te bieden (bijvoorbeeld films of warez, illegaal
gekopieerde software) valt hier ook onder. Daarnaast is zulk
aanbieden een schending van het auteursrecht, wat formeel ook
een misdrijf is – al wordt in de praktijk zelden tot nooit strafver-
volging ingezet tegen auteursrechtschenders.
Een andere vorm van verzwaarde computervredebreuk is het
gebruik als ‘springplank’ naar andere systemen. Denk bijvoor-
beeld aan het kraken van de firewall die een intranet afschermt
van het publieke internet. Hiermee heeft de inbreker makkelijk
toegang tot de computers in dat intranet. Die andere computers
herkennen de gekraakte computer namelijk als “een van hen”.
Ook kan een gekraakte computer voorzien zijn van logincodes
of wachtwoorden (credentials) waarmee automatisch op een
ander systeem kan worden ingelogd. Denk aan een FTP-pro-
gramma dat voorgeprogrammeerd is om op de webserver in te
loggen, of een VPN-programma dat na het opstarten de compu-
ter automatisch aanmeldt bij het bedrijfsnetwerk.
Hulpmiddelen
Voor computercriminaliteit worden meestal speciale ‘hack’-programma’s
gebruikt. Het kraken van wachtwoorden, het exploiteren van fouten in
de beveiliging (‘exploits’) of het zich voordoen als een ander persoon of
systeem gaat een stuk gemakkelijker met speciale hulpmiddelen. Omdat
het vaak lastig is een computercrimineel te betrappen terwijl hij inbreekt,
is het bezitten, verspreiden of verkopen van hulpmiddelen apart straf-
baar gesteld. Zo kan iemand toch vervolgd worden als het bewijs van
een daadwerkelijke inbraak niet rond te krijgen is.
Dergelijke hulpmiddelen hoeven niet per se uit software te be-
staan. Ook hardware kan een hulpmiddel voor computervrede-
breuk zijn. Er bestaan apparaatjes die tussen toetsenbord en
computer kunnen worden aangebracht en alle ingedrukte toetsen
registreren. Dergelijke hardwarematige keyloggers zijn te zien
12
als hulpmiddelen, als ze zo aangeprezen worden of specifieke
functionaliteit hebben (zoals het herkennen van creditcardnum-
mers) die eigenlijk alleen nuttig is voor criminele handelingen.
Software om beveiligingen te testen kan voor legitieme maar
ook voor criminele doelen worden gebruikt. De wet stelt derge-
lijke hulpmiddelen dan ook strafbaar als ze “hoofdzakelijk ge-
schikt gemaakt of ontworpen zijn tot het plegen” van compu-
1-Computer-
vredebreuk
tervredebreuk. Een algemeen hulpmiddel zoals netcat, ssh of
een tekstverwerker zou je kunnen gebruiken bij het inbraak,
maar daar zijn deze middelen niet speciaal voor gemaakt. Deze
hulpmiddelen zijn dus niet strafbaar. Een softwaretool die wacht-
woorden probeert te raden, is ook niet verboden: een systeem-
beheerder kan deze gebruiken om de wachtwoorden van eigen
gebruikers te testen, en dat is een legitiem doel. Een Trojaans
paard (zie hoofdstuk 2) dat geprogrammeerd is om een rootkit
te installeren, valt wel onder dit wetsartikel, want dergelijke
software heeft hoofdzakelijk maar één doel en dat is de controle
over andermans computer overnemen.
Bekende software om beveiligingen te testen is Nessus, waarmee
controles op bekende beveiligingsfouten worden uitgevoerd, en
Metasploit, dat net als Nessus controles kan uitvoeren en voor-
zien is van een raamwerk om snel controles op nieuw ontdekte
fouten toe te voegen. Dergelijke software wordt gebruikt door
systeembeheerders en beveiligingsmedewerkers, maar ook wel
door criminelen. Zolang deze software maar duidelijk wordt
ontworpen én gepresenteerd als legitiem beveiligingshulpmid-
del, is dergelijke software legaal. Het moge duidelijk zijn dat dit
een groot grijs gebied is, waar gemakkelijk misbruik van kan
worden gemaakt. Het toevoegen van “Deze software mag alleen
voor legale doeleinden worden gebruikt!” is in ieder geval niet
genoeg.
13

De wet stelt hulpmiddelen pas strafbaar als ze ter beschikking
Oogmerk van criminaliteit
worden gesteld of voorhanden zijn met het oogmerk dat daar-
mee computervredebreuk wordt gepleegd. Een onderzoeker die
informatie of software (exploits) deelt met collega’s, heeft niet
het oogmerk dat daarmee ingebroken wordt. Hij valt dan buiten
het wettelijk verbod. Publicatie van een exploit voor het alge-
mene publiek kán strafbaar zijn afhankelijk van hoe veel detail
de publicatie kent en hoe deze opgezet is. Een direct bruikbare
exploit die de doelsite direct platlegt, met als toelichting “haha
wat een sukkels”, zou waarschijnlijk wel strafbaar zijn. Een we-
tenschappelijke publicatie met alleen een theoretische analyse
die niet direct bruikbaar is voor criminele activiteiten is niet
strafbaar. Maar let wel: ook instructies en stappenplannen in ge-
woon Nederlands, zonder computercode erbij, kunnen volgens
de Hoge Raad onder het verbod vallen.
14
Op sommige sites worden exploits verhandeld. Op zich maakt
het voor de wet niet uit of je je laat betalen voor het delen van
informatie. Maar als iemand geld vraagt voor exploits of infor-
matie over onbekende (“zero-day”) lekken, kan daaruit vaak
wel een crimineel oogmerk worden afgeleid. Immers, als je geld
wil verdienen met lekken of cracks dan doe je dat meestal door
die aan criminelen te verkopen. Natuurlijk zullen er ook mensen
zijn die legitiem handelen in cracks maar die hebben dan in
1-Computer-
vredebreuk
ieder geval de schijn flink tegen.
Hetzelfde geldt voor het verkrijgen, verkopen, verspreiden of
voorhanden hebben van andermans wachtwoorden, toegangs-
codes en dergelijke. Ook dit is strafbaar, mits het gebeurt met
het oogmerk dat iemand daarmee computervredebreuk gaat ple-
gen. De systeembeheerder die een kopie van alle wachtwoorden
van gebruikers in de kluis bewaart, omdat mensen die steeds
kwijtraken, pleegt dus geen misdrijf.
Een loknetwerk of lokcomputer (‘honeypot’) is een opzettelijk
Honeypots en uitlokken
zwak beveiligd systeem dat opgezet wordt met als doel compu-
tercriminelen, virussen, Trojans en dergelijke te kunnen detecte-
ren. De zwakke beveiliging zorgt ervoor dat de honeypot een
aantrekkelijk doel wordt, en doordat het systeem is voorzien van
uitgebreide logging en dergelijke, zijn IP-adressen, hacktechnie-
ken en misschien wel meer van de aanvallers te achterhalen. De
exploitatie van een honeypot zorgt er dus voor dat mensen daar
computervredebreuk, vernieling van gegevens en andere mis-
drijven kunnen plegen.
Het uitlokken van misdrijven is strafbaar. Wie bijvoorbeeld een
huurmoordenaar inschakelt, lokt de moord uit en is daarmee net
zo strafbaar als de moordenaar zelf. Maar ook het bedreigen met
15
 geweld van een klasgenoot om in de supermarkt iets te stelen,
valt onder uitlokking. Je honkbalknuppel uitlenen aan een buur-
man die grote ruzie heeft met zijn ex kan ook al snel als uitlok-
king of poging daartoe worden gezien. Wel zal het Openbaar
Ministerie (OM) moeten aantonen dat je die knuppel gaf met de
bedoeling dat de buurman daarmee de ex zou mishandelen of
diens huis ging vernielen.
Op eigen initiatief
Een belangrijk aspect bij uitlokking is dat de uitlokker degene is van wie
het initiatief moet komen. Als de buurman al zelf van plan was om het
huis van zijn ex kort en klein te slaan, dan lok je dat feit niet uit door
hem je honkbalknuppel te lenen. De vraag is dan waar de grens ligt.
In 2008 oordeelde de Hoge Raad dat het toegestaan is om een
lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De
lokfiets stond niet op slot, maar dat was onvoldoende om van
16
uitlokken te spreken. Had een agent de dief aangesproken en ge-
zegd “kijk, op die hoek staat een rode fiets zonder slot, die kun
je zo meenemen”, dan zou wel sprake van uitlokking zijn ge-
weest. Ook allerlei andere lokmiddelen (van lokvuilniszakken
tot lokhoeren, lokvrachtwagens, lokoma’s, lokhomo’s en ga zo
maar door) zijn met deze redenering legaal. Het maakt daarbij
niet uit of een particulier of de politie het lokmiddel inzet.
Met dezelfde redenering is het dus legaal om een honeypot op
te zetten. Daarmee zet je mensen immers niet aan om iets te doen
1-Computer-
dat ze niet al zelf van plan waren. Wel is het af te raden om de
vredebreuk
honeypot actief te promoten op plaatsen waar inbrekers actief
zijn. Dan kan een verweer van uitlokking namelijk best wel eens
effect hebben: “Ik was alleen wat aan het lezen en toen haalde
hij me over om het eens te proberen bij die site”. Ook kan een
honeypot na gehackt te zijn, worden ingezet als springplank
voor aanvallen bij derden. Deze kunnen de schade verhalen op
de eigenaar van de honeypot. Zorg er dus voor dat een dergelijk
systeem niet met de buitenwereld kan communiceren.
17
 Virussen en andere hinder
2
M

andere hinder
2-Virussen en
alware (‘kwaadaardige software’) is software met als doel
schade of overlast aan te richten bij degenen die de soft-
ware installeren. Bekende voorbeelden zijn virussen, wor-
men, Trojaanse paarden, rootkits en spyware. Het verspreiden
van malware is naast computervredebreuk de meest voorko-
mende vorm van cybercrime.

Ook andere vormen van computercriminaliteit richten schade

aan of veroorzaken overlast. Zo kan een kwaadwillende gegevens
vernielen, of de toegang tot computersystemen hinderen. Een
bekende vorm is de ‘denial of service’-aanval (in het Nederlands
een ‘verstikkingsaanval’), waarbij grote hoeveelheden gegevens
worden verstuurd om zo een computer of netwerk te storen.

Virussen en wormen
Virussen en wormen zijn de populairste soorten malware. Ze versprei-
den zich allebei door gebruik te maken van kwetsbaarheden in soft-
ware. Beiden kunnen forse schade aanrichten aan besmette systemen
of netwerken.

Het belangrijkste verschil tussen een virus en een worm is dat

een virus zich alleen verspreidt wanneer de gebruiker een
geïnfecteerd bestand of programma opent. Een worm kan zich
al verspreiden als de computer of ander apparaat (zoals een

18 19
 smartphone) alleen maar aan staat. Zowel virus als worm zijn
meestal geprogrammeerd om een bepaalde actie uit te voeren,
zoals het installeren van een achterdeur (zie onder) op geïn-
fecteerde systemen zodat die door de verspreider kunnen
worden overgenomen. Een worm richt vaak vooral schade aan
door zichzelf te verspreiden, bijvoorbeeld door overlast op het
netwerk, terwijl een virus pas schade aanricht na verspreiding.
De meeste wormen verspreiden zich als ‘drive-by download’:
een populaire website wordt gehackt en voorzien van kwaad-
vermenigvuldigen in een geautomatiseerd werk’. Op deze bijzin
was veel kritiek, aangezien de meeste virussen en wormen geen
schade aanrichten door het enkele zichzelf verspreiden. De
schade komt later, bijvoorbeeld in de vorm van een gewiste
harde schijf. Overigens was deze bijzin geen belemmering om
de verspreider van het Kournikova-virus te veroordelen, hoewel
dat virus door de verspreiding zelf geen materiële schade aanrichtte.
De schade trad pas op bij het opruimen van het virus. De rechter
vond dat ook deze schade het gevolg was van het verspreiden.
De (Nederlandse) maker kreeg een werkstraf van 150 uur.

andere hinder
2-Virussen en
aardige software, die argeloze bezoekers dan (vaak volautoma-
tisch) downloaden zonder het door te hebben. Wormen ver-
spreiden zich ook wel door volautomatisch een mail te genereren
Trojaanse paarden

met een kopie van zichzelf als bijlage middels het mailpro-
Een Trojaans paard (‘Trojan horse’) is een programma dat zich voordoet

gramma van de gebruiker. De ontvanger denkt dan een legitieme

als legitieme software, maar kwaadaardige functionaliteit bevat. Een

e-mail te krijgen, want de afzender van de mail is dan vaak een

screensaver die stiekem alle bestanden uit de map ‘Mijn documenten’

bekend persoon. Hij zal dan snel geneigd zijn de bijlage te ope-
verstuurt naar een server, is een voorbeeld van een Trojaans paard.

nen, zodat zijn eigen computer ook geïnfecteerd kan raken.

Bestemd om schade aan te richten

De wet stelt het opzettelijk verspreiden of ter beschikking stellen van
kwaadaardige software zoals virussen en wormen strafbaar, met de ge-
nerieke definitie ‘programma’s die bestemd zijn om schade aan te richten
in een geautomatiseerd werk’. Daarmee zijn zo ongeveer alle soorten
virussen en wormen gedekt, ook als ze geen computer infecteren maar
een telefoon, router of ander apparaat.

De malware moet wel schade aanrichten. Malware die alleen een

achterdeur openzet, richt niet per se schade aan, maar zulke mal-
ware kan wel worden gezien als een hulpmiddel voor compu-
tervredebreuk (zie het vorige hoofdstuk).

Onder de oude wet computercriminaliteit moest een virus of

worm ‘bedoeld zijn om schade aan te richten door zichzelf te

20 21
 Een ander voorbeeld is een programma dat wordt geadverteerd
als een toolbar voor Internet Explorer, maar tevens (op de ach-
tergrond) een stuk software installeert waarmee de computer op
afstand te besturen is. Ook populair zijn de apps voor mobiele
telefoons of tablets die zich presenteren als leuk spelletje of wid-
get maar stiekem een heel ander doel hebben.
In tegenstelling tot virussen en wormen verspreiden Trojaanse
paarden zichzelf niet. Deze software wordt door partijen geïn-
stalleerd die niet doorhebben dat de software niet legitiem is. De
verspreiding van zulke software lastig juridisch aan te pakken.
Er wordt niets gekraakt of via een achterdeur binnengeloodst.
De gebruiker is misleid over wat de software doet, maar dat is
in principe geen strafbare zaak. De koper kan als het gaat om be-
taalde software hooguit zijn geld terugeisen omdat sprake is van
dwaling bij de aankoop.
Wanneer de software extra componenten installeert zonder dit
aan de gebruiker te melden, kan sprake zijn van overtreding van
de Telecommunicatiewet: het via een netwerk downloaden en
installeren van software vereist namelijk expliciete toestemming
van de eindgebruiker. Een in de gebruiksvoorwaarden (EULA)
verstopte zin is daarbij overigens niet genoeg. De toestemming
moet ondubbelzinnig en expliciet gegeven worden, nadat de ge-
bruiker in gewone taal is verteld wat deze software doet.
In 2008 legde de OPTA op grond van deze wet een boete van
16.000 euro op aan verspreiders van de beruchte DollarRevenue
software. Deze werd verspreid via MSN: argeloze gebruikers
kregen een link naar de software toegestuurd via een contact-
persoon uit hun MSN-contactenlijst wiens computer al besmet
was. Zodra men de link opende, werd advertentie- en versprei-
dingssoftware op zijn computer geïnstalleerd. De volgende keer
22
dat de gebruiker het chatprogramma MSN opstartte, werd au-
tomatisch aan al zijn contactpersonen in de contactenlijst de-
zelfde link toegestuurd. De rechtbank bevestigde de boete in
hoger beroep, hoewel het boetebedrag gematigd werd naar
14.000 euro.
Trojaans paard-software richt geen directe schade aan in de sys-
temen waarop deze is geïnstalleerd, en valt dus niet onder de
wettelijke definitie van virussen. Deze software richt meestal
hooguit indirect schade aan, bijvoorbeeld door andere software
andere hinder
2-Virussen en
te installeren of door privégegevens te lekken. Zou de software
een achterdeur installeren, bijvoorbeeld om de computer te ge-
bruiken voor een botnet, dan zou deze kunnen worden gezien
als een hulpmiddel voor computervredebreuk.
Achterdeuren
Een achterdeur (‘backdoor’) is precies wat de naam aangeeft: een pro-
gramma dat oneigenlijke toegang biedt tot de computer waarop het is
geïnstalleerd. Vaak wordt achterdeur-software geïnstalleerd door wor-
men of Trojaanse paarden, en maken ze gebruik van rootkits om zich te
verbergen. Eén van de oudste voorbeelden is Back Orifice, maar tegen-
woordig zijn er tientallen vergelijkbare software-pakketten. Omdat ach-
terdeuren worden gebruikt om binnen te dringen in andermans computer,
zijn ze strafbaar als hulpmiddel voor computervredebreuk.
Het bedieningsgemak van de meeste van deze pakketten is
groot. Daardoor is het bruikbaar voor een grote groep mensen,
ook voor mensen die niet voldoende technische kennis hebben
om zelf beveiligingslekken te ontdekken, maar die wel eens een
ander een hak willen zetten. De enige truc die je hoeft te
beheersen, is het kunnen overhalen van je slachtoffer tot het in-
stalleren van de software. Helaas is het nog steeds zo dat veel
mensen een ‘grappig’ programmaatje zomaar uitproberen of
23

automatisch op ‘Yes’ in een dialoogvenster klikken, waardoor
ze gemakkelijk kunnen worden verleid tot het installeren van
een dergelijk pakket.
Via de achterdeur kan de computer op afstand worden bestuurd.
Een veel gebruikte toepassing hiervan is het versturen van spam,
ongevraagde bulkreclame. Ook kan hiermee bijvoorbeeld een
denial of service-aanval worden uitgevoerd. Als de aanvaller dit
met veel computers tegelijk doet, is de aanval bijzonder lastig te
stoppen voor degene wiens computer onder vuur ligt. Sommige
achterdeuren maken het mogelijk de webcam en/of microfoon
op de doelcomputer te activeren om zo mee te kunnen kijken of
luisteren.
Een verzameling computers die voorzien is van dergelijke ach-
terdeuren wordt ook wel een botnet genoemd, omdat ze in
wezen als een netwerk van willoze robots als één geheel ingezet
kan worden door de beheerder van de software (de ‘botherder’).
24
Vanwege het ‘willoos’ heten de computers soms ook wel zom-
bies. Botnets worden veel gebruikt om reclamemails (spam) te
versturen of om denial-of-service aanvallen uit te voeren. Bot-
nets worden zelfs verhuurd door criminelen, zo blijkt uit onder-
zoek. Voor zo’n 50 euro mag men een dag lang tienduizenden
computers inzetten naar eigen wens, met een professioneel con-
trolepaneel om ze aan te sturen.
Een heel andere betekenis van ‘achterdeur’ is ‘truc waarmee
stiekem toegang tot een systeem te krijgen is’. Een programmeur
andere hinder
2-Virussen en
kan bijvoorbeeld een speciaal wachtwoord inbouwen in zijn
software waarmee hij altijd in kan loggen of de beveiliging kan
omzeilen. Ook dergelijke achterdeuren zijn strafbaar als hulp-
middel voor computervredebreuk. Zo had een ICT-medewerker
een achterdeur in een webapplicatie ingebouwd, waarmee hij
op afstand willekeurige records uit de klantendatabase kon wis-
sen. De rechter kwalificeerde de webapplicatie als een hulpmid-
del om binnen te dringen in de webserver en veroordeelde hem
voor computervredebreuk, met als verzwarende omstandigheid
(zie hoofdstuk 1) het vernielen van gegevens.
Rootkits
Een rootkit draait ongemerkt op de computer van het slachtoffer en ver-
bergt bepaalde activiteiten die daarop plaatsvinden. Zo kan een rootkit
bijvoorbeeld de aanwezigheid van een virus verhullen, door besmette
bestanden aan de gebruiker te laten zien alsof ze dat niet zijn. Een root-
kit kan ook een achterdeur verborgen houden, waarmee een inbreker
gemakkelijk de computer op afstand kan besturen.
Vaak worden rootkits als onderdeel van andere malware
geïnstalleerd. Zo kan een Trojaans paard of een worm bijvoor-
beeld een rootkit met zich meedragen en deze bij het slachtoffer
installeren. Ze kunnen dan zelfs geprogrammeerd zijn om het
25
 verwijderen van die malware te detecteren en ongedaan te
maken. Ook zijn er rootkits bekend die de ‘concurrentie’
verwijderen.
Een berucht voorbeeld is de ‘Sony rootkit’ die werd geïnstalleerd
als bepaalde CD's met muziek van Sony Music op de PC werden
afgespeeld. Het verwijderen bleek bijzonder moeilijk en leidde
tot schade en niet meer opstartende computers. Toen dit werd
ontdekt, leidde dit tot grote verontwaardiging en zelfs tot diverse
rechtszaken. Sony heeft de meeste zaken geschikt, en er is geen
veroordeling van het bedrijf uitgesproken. Wel werd Sony in de
VS tot een terughaalactie gedwongen in diverse staten.
Doordat rootkits vaak zeer moeilijk te verwijderen zijn, kunnen
de hoge kosten van het opruimen worden gezien als schade. Het
is echter onduidelijk of het daarmee voldoet aan de eis van ‘pro-
gramma’s die bestemd zijn om schade aan te richten in een ge-
automatiseerd werk’. Immers, het programma richt geen schade
aan, het verwijderen doet dat. Als het slachtoffer de verspreider
kan traceren én zijn schade kan hardmaken, dan kan hij wel een
schadeclaim indienen op grond van onrechtmatige daad.
Spyware
Spyware geeft stiekem gegevens over de gebruiker of diens PC door
aan derden. Zo zijn er programma’s die het surfgedrag van gebruikers
bijhouden en dat doorgeven naar een centrale site, die zo passende ad-
vertenties kan aanleveren. Spyware ligt juridisch in een grijs gebied.
Om software gratis aan te kunnen bieden, en toch geld te ver-
dienen, bieden leveranciers ‘advertentieversies’ van hun
programma's aan. Deze downloaden regelmatig advertenties
van een site en tonen die aan de gebruiker. De adverteerder
betaalt hiervoor, en de gebruiker krijgt reclame te zien en mag
26
het programma gratis gebruiken. Vaak wordt informatie over de
gebruiker opgestuurd naar een server, zodat de reclame aan de
gebruiker kan worden aangepast of de adverteerder gedetail-
leerde informatie kan krijgen over de effectiviteit van de
advertenties.
Niet elk programma dat gegevens doorstuurt, is spyware. Veel
software biedt de mogelijkheid tot registratie. Als dat expliciet ge-
vraagd wordt, en de gebruiker kan weigeren, dan is geen sprake
van spyware. Ook als bij installatie wordt toegelicht wat men gaat
andere hinder
2-Virussen en
doen en de gebruiker expliciet akkoord geeft, is de software geen
spyware te noemen. Zou de software zelfstandig de naam en het
e-mail adres van de gebruiker opsturen zonder dit te melden, dan
voldoet de software wel aan de definitie van spyware.
Het stiekem doorgeven van privé-gegevens is geen schade in de
zin van het strafrecht. Spyware valt daarom niet direct onder
vernielen van gegevens. Of het bij iemand installeren van spy-
ware te zien is als computervredebreuk (vanwege het ‘opzettelijk
en wederrechtelijk binnendringen in een computer’) is op dit
moment een open vraag. Wel is bij spyware sprake van schen-
ding van de Wet bescherming persoonsgegevens (zie hoofdstuk
4) omdat geen toestemming wordt gevraagd voor het verzame-
len en versturen van de gegevens. Telecomtoezichthouder OPTA
kan een boete opleggen in dergelijke gevallen.
Ransomware
Een heel bijzondere soort malware is ransomware (‘gijzelsoftware’). Der-
gelijke software wist geen gegevens maar versleutelt ze, zodat ze on-
bruikbaar zijn totdat de juiste sleutel wordt ingevoerd. De verspreider
van deze software geeft de sleutel pas af nadat de eigenaar van de ge-
gevens heeft betaald. De gegevens worden dus als het ware in gijzeling
genomen tot het losgeld is betaald.
27
 Het verspreiden of gebruiken van zulke software is strafbaar als
een vorm van afpersing: bedreiging dat gegevens die door mid-
del van een geautomatiseerd werk zijn opgeslagen, onbruikbaar
of ontoegankelijk zullen worden gemaakt of zullen worden ge-
wist. Als de ransomware daadwerkelijk het dreigement uitvoert,
is sprake van ‘vernielen of ontoegankelijk maken van gegevens’
en dat is op zichzelf een strafbaar feit (zie het tussenkopje ‘Ver-
nielen van gegevens’).
ziekenhuis heeft sindsdien 35 miljoen kaarten ontvangen, terwijl
Shergold al lang hersteld is. En nog steeds ontvangt men tien-
tallen kaarten per maand.
Een bedrijf dat valselijk meldt dat een computer besmet is met
een virus of andere malware, en vervolgens aanbiedt dit tegen
een vergoeding te verwijderen, pleegt een vorm van fraude.
Dergelijke onjuiste mededelingen vallen onder de Wet op de
oneerlijke handelspraktijken, en overtreding daarvan is al snel
een strafbaar feit.

andere hinder
2-Virussen en
Hoaxes en nepvirussen
Naast echte virussen, wormen en andere kwaadaardige software doen
ook berichten over malware regelmatig de ronde. Meestal zijn zulke be-
richten nep: ze waarschuwen voor virussen die niet bestaan of die on- Vernielen van gegevens
waarschijnlijke dingen zouden kunnen doen (zoals op afstand gegevens Het opzettelijk vernielen, beschadigen of onbruikbaar maken van een
wissen). Een destructief voorbeeld van zo’n nepbericht is een mail waarin computer- of communicatiesysteem of het vernielen van opgeslagen
de ontvanger wordt uitgelegd dat er een geavanceerd virus in omloop gegevens is ook strafbaar. Hieronder valt niet alleen fysiek vernielen
is, dat zich nestelt als een DLL in de \Windows\System32 map op zijn (bijvoorbeeld uit het raam gooien) daarvan. Ook strafbaar is het
computer. Als de ontvanger geschrokken dit bestand verwijdert, werkt
zijn computer niet meer omdat de genoemde DLL in feite een essentieel
onderdeel van Windows is.

Niet alle nepberichten zijn waarschuwingen tegen virussen. Er

zijn ook vele varianten op ‘stuur dit bericht door en maak ergens
kans op’. Dergelijke berichten zijn hinderlijk maar niet strafbaar.
Al jaren circuleert een mailbericht waarin werd aangekondigd
dat Microsoft een programma test om e-mail te kunnen volgen.
Wie het bericht doorstuurt, zou op een lijst terechtkomen, en een
aantal mensen van deze lijst maakte dan kans op een prijs. Het
aantal en de prijs varieerde regelmatig. Soms ging het om een
geldbedrag, soms om een reisje naar Disneyworld.

Ook berucht is de oproep uit 1989 om het negenjarige kanker-

patiëntje Craig Shergold zo veel mogelijk ansichtkaarten te sturen
omdat hij in het Guinness Book of Records wilde komen. Het

28 29

veroorzaken van een storing waardoor de werking van de computer (of
het netwerk) wordt gehinderd. Zo plaatste een medewerker van de Uni-
versiteit Twente software op een netwerkschijf waardoor de bestanden
op die schijf ontoegankelijk werden. Hij kreeg drie jaar cel (en TBS,
vanwege eveneens gepleegde brandstichting).
Onder vernielen van gegevens valt het veranderen, wissen en
onbruikbaar of ontoegankelijk maken van gegevens. Maar ook
het toevoegen van andere gegevens is een vorm van vernieling.
Denk aan inbreken op iemands website en daar een pornogra-
fische foto aan toevoegen. Of aan het toevoegen van nep-
facturen aan een klantenadministratie; ook dat kan aardig wat
schade aanrichten. Het toevoegen van een worm is strikt
gesproken geen vernieling, omdat de website zelf nog net zo
goed werkt.
Het ‘defacen’ van een site is een vorm van vandalisme die grof-
weg het elektronisch equivalent is van graffiti spuiten. Na het
hacken van de site wordt de inhoud van de pagina’s aangepast
of vervangen, meestal met beledigende of expliciete tekst en
foto’s. Dit is natuurlijk ook een vorm van onbruikbaar maken of
vernielen van gegevens en dus strafbaar. Soms wordt een website
gedefacet vanuit politieke of ideologische motieven (‘hackti-
visme’). Zie over de strafbaarheid in dat geval hoofdstuk 6.
Net als bij computervredebreuk wordt ook het vernielen,
beschadigen of onbruikbaar maken van systemen vaak met
hulpmiddelen gepleegd. Dit kan hardware of software zijn, maar
ook een toegangscode of wachtwoord. Denk bijvoorbeeld aan
het sturen van een code waardoor het systeem automatisch
uitschakelt. Het bezit, verhandelen of verspreiden van hulp-
middelen die specifiek bestemd zijn voor vernielen of
beschadigen is op zichzelf strafbaar gesteld.
30
Net als bij hulpmiddelen voor computervredebreuk is voor deze
strafbaarstelling gekozen zodat men altijd iets in reserve heeft
mocht het bewijs van de vernieling zelf niet rond te krijgen zijn.
Het hulpmiddel moet wel specifiek voor vernieling bestemd
zijn. Een algemene tool die ook ingezet kan worden voor dit
doel, valt niet onder het verbod.
Verstoren van dienstverlening
Het verstoren van dienstverlening via telecommunicatie aan het publiek
andere hinder
2-Virussen en
is een strafverzwarende omstandigheid bij het vernielen of onbruikbaar
maken van diensten of computersystemen. Helemaal als door de ver-
nieling goederen of mensen in gevaar worden gebracht, en nog meer
als sprake is van (potentieel) levensgevaar. Denk aan het vernielen van
software in een ziekenhuis of het herprogrammeren van de navigatie-
software van de brandweer zodat ze niet op tijd bij een brandend huis
aankomen. Een denial of service-aanval die naast de website van het
beoogde slachtoffer ook andere sites platlegt, kan ook onder dit artikel
vallen.
In een zaak uit februari 2011 oordeelde de Hoge Raad dat er
ook sprake is van ‘verstoring’ als niet de servers maar juist de
clients aangevallen worden. Het gaat erom of van de opzettelijk
veroorzaakte storing gevaar te duchten was voor een onge-
stoorde dienstverlening. In die zaak werd het Toxbot-virus in-
gezet om eBay- en Paypal-accounts te kapen. Daarmee was aan
het strafwetartikel voldaan. Immers, de dienst wordt op die ma-
nier onbetrouwbaar omdat mensen hun vertrouwen erin verlie-
zen – en dat is eigenlijk erger dan dat de servers er om de ha-
verklap uitliggen.
Denial of service-aanvallen
Bij een denial of service-aanval wordt een server of netwerk met verkeer
bestookt zodat deze niet of veel minder goed kan functioneren. Voor-
beelden zijn het massaal sturen van nepverzoeken naar websites,
31
 Zo vond de rechtbank dat een DoS-aanval tegen de sites van
overheid.nl en geenstijl.nl onder bemoeilijken van een openbare
iemands mailbox volstoppen met tienduizenden e-mailberichten (of juist

telecommunicatiedienst viel. Ook de DDoS-aanval op twee Ne-

met een paar hele grote berichten – een e-mailbom), of het zo vaak

derlandse forumsites, www.turkishplace.nl en www.turkplace.nl,

opvragen van een webpagina dat de server dit niet meer aankan.

Een denial of service- of DoS-aanval kan worden gepleegd vanaf
één enkele computer, maar dat is niet zo effectief omdat de
meeste computers slechts een beperkte hoeveelheid gegevens
kunnen versturen. Bovendien is dan de aanvaller natuurlijk snel
te traceren of te blokkeren. Vandaar dat de zogeheten distributed
denial of service (DDoS) aanval de laatste jaren steeds populair-
werd onder dat artikel strafbaar geacht. Die aanvallen waren zo
zwaar dat ook andere klanten van de hostingproviders daar
last van ondervonden. Hierdoor kon de rechter een zwaarder
artikel uit de kast halen: het veroorzaken van ‘gemeen gevaar
voor goederen of voor de verlening van diensten’, waar tot zes
jaar cel op staat. De verdachte kreeg vijftien maanden cel,

andere hinder
2-Virussen en
der is geworden. Hierbij worden honderden of duizenden com- waarvan vijf voorwaardelijk.
puters (samengevoegd tot een botnet) tegelijk ingezet om
gegevens te versturen naar het slachtoffer. Ook dit is strafbaar, Het versturen van ongewenste e-mail (spam) is weliswaar ver-
maar bijzonder lastig op te sporen. boden, maar geen computercriminaliteit. Veel mails versturen is
nog niet hetzelfde als een DoS-aanval. Daarvan kan pas sprake
Een denial of service-aanval hoeft niet per se te bestaan uit een zijn als de ontvangende mailserver het niet meer aankan. Een
grote hoeveelheid informatie. Soms kan een systeem op afstand extreem voorbeeld is een e-mailactie uit 2002 waarbij binnen een
gecrasht worden door het versturen van een slim gekozen net-
werkbericht. Eén van de eerste aanvallen in deze categorie was
het programma ‘winnuke’, waarmee elke Windows 95-PC ge-
crasht kon worden door een fout in de netwerksoftware, die
zich verslikte in een pakketje dat net niet voldeed aan de TCP/IP-
specificaties. Dit programma werd oorspronkelijk uitgebracht
om te laten zien dat het besturingssysteem niet veilig was, maar
al snel was het wijdverspreid in gebruik om IRC-oorlogen uit te
vechten.

Hinderen of bemoeilijken van telecommunicatie

Het uitvoeren van een DoS-aanval is strafbaar. Als bij een dergelijke aan-
val de goede werking van (een significant deel van) internet wordt ge-
hinderd, kan de aanval ook gerekend worden onder het verhinderen of
bemoeilijken van een openbare telecommunicatiedienst. Dan kan de aan-
valler tot maximaal zes (in plaats van één) jaar cel veroordeeld worden.

32 33
 paar maanden meer dan 600 miljoen(!) e-mails worden ver-
stuurd naar één mailserver, namelijk die van de Tweede Kamer.
Dit komt neer op meer dan 30 per seconde. Omdat dit onder de
oude Wet computercriminaliteit gebeurde, was het niet strafbaar,
maar onder de huidige wet zou dit zonder meer strafbaar zijn
geweest.
firewall op de pc moet hebben, kan het grof nalatig worden om
dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun
software niet bijwerken door de updates van Microsoft, Apache
en andere bedrijven niet te installeren.
Onderzoek naar malware

Het uitvoeren van een (D)DoS-aanval wordt soms ook wel uit-
Het ontwikkelen en verspreiden van virussen en andere malware is een

gevoerd bij wijze van hacktivisme’, oftewel digitaal protesteren

strafbaar feit. Dit maakt onderzoek naar de werking van malware wel

tegen een bedrijf of instelling. Het is denkbaar dat in dat geval

erg moeilijk, terwijl dat onderzoek eigenlijk dringend noodzakelijk is

de aanval legaal is op grond van de vrijheid van meningsuiting.

om nieuwe malware te kunnen bestrijden. Vandaar dat er een expliciete

Zie hiervoor hoofdstuk 6.

uitzondering in de wet staat: het verspreiden van malware mag wel
wanneer daarmee de schade juist wordt beperkt.

andere hinder
2-Virussen en
Iemand die een nieuw virus aantreft op zijn pc mag dus een
kopie van het virus naar experts opsturen zodat deze dit kunnen
Geen opzet, wel schuld

analyseren en een tegenmaatregel kunnen ontwikkelen. En ex-

Het vernielen, beschadigen of onbruikbaar maken hoeft niet altijd op-

perts mogen binnen een gecontroleerde omgeving het virus los-

zettelijk te gebeuren. Iemand kan per ongeluk op een knop in een elec-

laten om te zien hoe het werkt.

triciteitscentrale drukken, of denken dat hij in een simulator of spelletje
is ingelogd terwijl het werkelijk de bediening van een MRI-scanner in

In theorie is het mogelijk een virus te maken dat geen schade

een ziekenhuis is (of de nucleaire lanceerinstallaties van de Verenigde

aanricht, maar juist schade beperkt of voorkomt: het infecteert

Staten). Ook virussen en wormen kunnen per ongeluk worden verspreid.

computers en downloadt daar een virusscanner, beveiligingsup-

Sterker nog, meestal worden deze per ongeluk verspreid, omdat de

dates en andere zaken die elke computer nodig heeft. Vervolgens

meeste mensen niet met opzet hun systeem besmet laten worden.

Het per ongeluk (laten) verspreiden van virussen of het bescha-
digen van systemen of informatie is in principe niet strafbaar. Er
is echter een ondergrens: als systemen door grove nalatigheid be-
schadigd of onbruikbaar worden gemaakt, dan is de persoon in
kwestie wel degelijk strafbaar. Wel worden de maximumstraffen
dan verlaagd. Er is nog nooit iemand aangeklaagd met als be-
schuldiging grof nalatig te hebben gehandeld bij het verspreiden
van virussen of het laten aanrichten van schade.
verspreidt het virus zichzelf en verwijdert het zich van deze ‘her-
stelde’ computer. Zo’n anti-virus zou volgens de wet niet straf-
baar zijn omdat het geen schade aanricht. Maar als het onjuiste
updates installeert of de verkeerde zaken blokkeert, ontstaat wel
schade.

Wellicht dat dit in de toekomst gaat gebeuren: nu het eigenlijk

algemeen bekend is dat men eigenlijk een virusscanner en

34 35
 Aftappen en kopiëren van data
3
G
egevens kun je niet stelen, maar je kunt ze wel kopiëren of
aftappen zonder dat de verzender en ontvanger dat goed
vinden. Omdat hiermee de privacy van personen of de vei-

3-Aftappen en ko-
piëren van data
ligheid van netwerken in het geding komt, is dit strafbaar ge-
steld. Er zijn speciale regelingen over het afluisteren en opnemen
van datacommunicatie of gesprekken tussen mensen. Natuurlijk
is er ook een briefgeheim, maar dat geldt niet voor e-mail. En
voor de belangen van de muziek-, film- en softwareindustrie zijn
er ook wetsbepalingen tegen het kopiëren of kraken van bevei-
ligde content.

Aftappen van datacommunicatie

Het aftappen (‘sniffen’) of afluisteren van gegevens is vaak verrassend
eenvoudig. Iedereen kan alle communicatie via draadloze netwerken
ontvangen. In veel gevallen zijn ook gewone, bedrade netwerken aftap-
baar voor systemen die op dat netwerk zijn aangesloten. Zo kan op een
typisch bedraad huisnetwerk door elke computer al het netwerkverkeer
binnen dat netwerk worden opgevangen.

Aftappen, afluisteren of opnemen van datacommunicatie is straf-

baar wanneer dit met een technisch hulpmiddel gebeurt. Dat
kan bijvoorbeeld een programma zijn dat op de achtergrond
draait en kopieën van alle verzonden e-mails maakt. Op veel
netwerken kan elke computer in principe al het dataverkeer op

36 37
 dat netwerk aftappen. Het moet wel met een technisch hulp-
middel gebeuren: in een internetcafé over de schouder van de
buurman meelezen met diens e-mail is niet strafbaar (maar wel
onbeleefd). Een programma installeren dat stiekem diens e-mail
naar een andere PC kopieert is natuurlijk weer wel strafbaar.
Uiteraard is hier een grijs gebied: is een verrekijker een ‘technisch
hulpmiddel’?

Aftappen en opnemen van datacommunicatie is echter niet straf-

baar wanneer het gebeurt door één van de partijen die deel-
neemt aan de communicatie. Het is dus altijd toegestaan je eigen
communicatie te loggen en deze logs te bewaren. Publicatie of
verspreiding daarvan kan wel leiden tot een privacyschending

3-Aftappen en ko-
piëren van data
bij de wederpartij.

Internettend Nederland stond op zijn achterste benen toen tele-

combedrijf KPN begin 2011 tussen neus en lippen door opmerkte
‘deep packet inspection’ (DPI) toe te passen op al het internet-
verkeer. DPI staat bekend als een zeer invasieve techniek waarbij
de inhoud van elk internetpakketje wordt gelezen. KPN wilde
hiermee toegang tot bepaalde internetdiensten (zoals WhatsApp
en Skype) alleen tegen premiumtarieven mogelijk maken.
In veel gevallen kunnen gegevens pas worden afgetapt wanneer
de tappende persoon toegang heeft gekregen tot een computer
of netwerk. Iemands mailbox kopiëren vereist toegang tot de
mailserver. Om MSN-gesprekken af te luisteren moet een pro-
gramma draaien op de PC van het slachtoffer. Dit zijn vormen
van computervredebreuk, waar een verzwaarde straf op staat
(zie hoofdstuk 1).

De rel die vervolgens ontstond, leidde onder meer tot een wets-
voorstel voor ‘netneutraliteit’ dat dit soort constructies expliciet
Aftappen door de overheid

verbiedt. In augustus 2011 maakte het OM bekend af te zien van

Een bedrijf dat telecommunicatiediensten levert aan het publiek is ver-

strafvervolging, omdat niet kon worden bewezen dat mensen

plicht dat netwerk aftapbaar te maken voor Justitie. Dit houdt in dat Jus-

bij KPN ook werkelijk de inhoud van pakketjes zelf hadden

titie het bedrijf kan verplichten bepaalde gegevens die klanten via haar

gelezen, zodat geen sprake was van strafbaar aftappen. De

netwerk versturen (zoals e-mail of chats) op te nemen en een kopie daar-

netwerkapparatuur bleek geautomatiseerd te kijken naar

van aan de officier van justitie te geven.

routeringsinformatie om de pakketjes zo sneller te kunnen Instanties als politie en justitie hebben de bevoegdheid om dit te
doorsturen. Dergelijk inspecteren van netwerkverkeer is geen vragen zodra er een vermoeden is van een ernstig misdrijf, zoals
DPI maar hooguit 'shallow' packet inspection. georganiseerde misdaad, ontvoeringen of terrorisme. Als het

38 39
 netwerkverkeer versleuteld is, kan het bedrijf tot medewerking
worden verplicht om de gegevens te ontsleutelen, voor zover dat
binnen haar macht ligt. Een lijst van bevoegdheden en de bijbe-
horende randvoorwaarden staat in de bijlage achterin dit boek.

Deze verplichting geldt zowel voor reeds opgeslagen gegevens

(bijvoorbeeld bestanden of mailarchieven) als voor ‘nieuwe ge-
gevens’, oftewel gegevens die de klant opslaat of verzendt nadat
het bevel is gegeven. In dat geval krijgt het bedrijf steeds per vier
weken te horen dat het door moet gaan met het aftappen van
deze gegevens. Om dergelijke informatie op te vragen, moet een
bevel van de officier van justitie of de rechter-commissaris wor-
den overlegd waarin staat wat er wordt gevorderd en op welke

3-Aftappen en ko-
piëren van data
grond. Wanneer een dergelijk bevel wordt gegeven, moet het be-
drijf dit natuurlijk geheimhouden voor de getapte persoon.

Telefonieproviders zoals KPN of Vodafone, en internetproviders

zoals XS4All of UPC vallen onder de definitie van ‘telecommu-
Vrije signalen uit de ether

nicatiedienstverleners aan het publiek’. Een universiteits- of be-

Het ontvangen van vrije signalen uit de ether is niet verboden, tenzij je

drijfsnetwerk valt daar echter niet onder, omdat dit slechts voor
een ‘bijzondere inspanning’ moet leveren om de signalen te kunnen in-

een beperkt publiek openstaat. Een internetdienst (zoals Hyves

terpreteren. Onderdeel van het grondrecht vrije meningsuiting is name-

of Google) ook niet: internetdiensten zijn geen ‘telecommunica-

lijk het mogen vergaren van informatie uit openbare bronnen. Zo is het

tiedienst’. De OPTA veroorzaakte enige onrust eind 2010 door

bijvoorbeeld legaal om mee te luisteren met de politieradio via een scan-

hotels die gasten internettoegang boden, aan te merken als ‘tele-

ner. Ook kan soms met een beroep op de vrije meningsuiting het mogen

communicatiedienstverleners aan het publiek’. Al snel kwam

ophangen van een satellietontvanger aan een flatgebouw worden afge-

men daarop terug: het zou alleen gaan om enkele grote hotelke-
dwongen bij de verhuurder of eigenaar van de flat. De Hoge Raad oor-

tens die meer deden dan “een WiFi-verbinding op een terras voor
deelde in 2008 echter dat het gebruik van een snelheidsradardetector

je klanten ter beschikking stellen”, aldus de toezichthouder.

niet via dit grondrecht gerechtvaardigd kon worden, omdat radargolven
“geen kennis of gedachten overbrengen”, oftewel geen mening of infor-
matie bevatten die onder dit grondrecht vallen.

Sinds enkele jaren moeten providers proactief gegevens bewaren Wanneer men dus datacommunicatie aftapt of opneemt via een
die nuttig kunnen zijn voor de opsporing van zware misdrijven. radio-ontvanger is er geen sprake van een strafbaar feit. Wordt
Op deze ‘bewaarplicht’ is veel kritiek, waarover meer in hoofd- echter een bijzondere inspanning geleverd, of een niet toegestane
stuk 4. ontvanginrichting gebruikt, dan is er toch sprake van strafbaar

40 41
 afluisteren. Een bijzondere inspanning kan bijvoorbeeld zijn
het kraken van de WPA-encryptiesleutel bij 802.11-communicatie
die kunnen worden weggenomen. Zonder wegnemen kan er geen

(WiFi) of het zich voordoen als de beoogde ontvanger (denk

sprake van diefstal zijn. Wat meestal gebeurt is dat de hacker de gege-

aan het spoofen oftewel vervalsen van een MAC-adres). Met

vens kopieert naar zijn eigen systeem, en ze zo zelf kan gebruiken of

‘niet toegestane ontvanginrichting’ wordt een radio-ontvanger

aan derden kan doorgeven. De oorspronkelijke eigenaar heeft ze dan

bedoeld die zonder vergunning verkocht wordt of is opgevoerd

nog steeds. Het enige dat hij kwijt is, is de exclusieve beschikking over

om signalen op te kunnen pikken uit een ‘verboden’ band.

de gegevens.

Het kunnen wegnemen van het origineel is een essentieel aspect

Het scannen naar beschikbare WiFi-netwerken valt op zichzelf
onder de uitzondering van vrije signalen. Een computer met
WiFi-antenne is gewoon een radio-ontvanger die pakketgeba-
seerde informatie analyseert en is dus geen niet-toegestaan de-
codeerapparaat.
van diefstal, zo bepaalde de Hoge Raad. Computergegevens
“ontberen deze eigenschap”, aldus onze hoogste rechtbank, en
kunnen daarom per definitie niet gestolen worden. Giraal geld
is dan weer wél te stelen, oordeelde men later, omdat na een
overboeking het geld niet meer op de originele rekening staat.

3-Aftappen en ko-
piëren van data
In de context van virtuele werelden werd het stelen van objecten
Google kwam een jaar terug onder vuur vanwege de auto’s die uit Runescape of uit Habbo Hotel strafbaar geacht als diefstal.
foto’s maakten voor haar dienst Street View. Deze bleken ook Een virtueel zwaard of meubelstuk kan immers worden wegge-
volautomatisch van alle beschikbare draadloze netwerken in- nomen, want zodra de ene speler het heeft, heeft per definitie de
formatie te registreren, en daarbij werd ook communicatie op- andere het niet meer.
genomen die over die netwerken plaatsvond. Zo werden frag-
menten van e-mailberichten, wachtwoorden en dergelijke
vastgelegd. Diverse privacytoezichthouders in Europa hebben
onderzoeken gestart, en de Nederlandse privacytoezichthouder
legde Google een last onder dwangsom op om dit registreren te
staken. Dit werd later omgezet in een verplichting om alleen
netwerken te negeren waar ‘No Map’ deel is van de netwerk-
naam (SSID). Er werd echter geen strafvervolging tegen Google
gestart op grond van overtreding van het artikel over aftappen.

Diefstal van gegevens

Aftappen of overnemen van gegevens is apart strafbaar gesteld. Dat
lijkt raar: diefstal is allang strafbaar, dus waarom niet gewoon spreken
van ‘diefstal van gegevens’? Dit heeft vooral een juridisch-technische
reden: gegevens in een computerbestand worden niet gezien als ‘zaken’

42 43
 Een juridisch ongeregeld punt is het ‘helen’ van gegevens. Met
enige regelmaat duiken illegaal verkregen (‘gestolen’) foto’s of
videobeelden van bekende personen op. In Nederland is pre-
sentatrice Manon Thomas het bekendste voorbeeld. Haar buur-
man wist naaktfoto’s te kopiëren vanaf haar thuisnetwerk, en
deze doken al snel op velerlei plaatsen op internet op. De buur-
man kreeg 180 uur werkstraf voor deze computervredebreuk,
maar de sites die de foto’s overnamen, waren niet strafbaar. Mi-
nister Hirsch Ballin kondigde in 2009 aan om ‘heling van infor-
matie’ strafbaar te maken, maar het wetsvoorstel laat op zich
wachten. De maker van de foto’s kan wel op grond van zijn au-
teursrecht een civiele rechtszaak starten tegen iedereen die de
foto’s publiceert.
Digitaal briefgeheim
De Grondwet garandeert dat “telefoongesprekken, papieren post en te-
legraafberichten” geheim zijn. Dit briefgeheim geldt echter niet voor
elektronische communicatie. Een voorgestelde grondwetswijziging eind
jaren negentig om dit te veranderen sneuvelde, onder meer vanwege
het argument dat dan het aftappen door de politie van elektronische
communicatie moeilijker zou worden(!).
Het feit dat elektronische communicatie niet in de Grondwet
staat, wil echter niet zeggen dat e-mail nu vogelvrij is. Wanneer
iemand zich met een geraden wachtwoord of andere truc toe-
gang verschaft tot andermans mailbox, pleegt hij een misdrijf:
computervredebreuk (zie hoofdstuk 1).
Medewerkers van bedrijven die een telecommunicatiedienst
aanbieden, zijn strafbaar als ze kennisnemen van de inhoud
van overgebrachte privécommunicatie. Dit geldt bijvoorbeeld
voor mensen die bij een internetprovider werken, maar ook
voor beheerders van webmaildiensten of discussieforums en
44
netwerksites. Zij mogen e-mail of privéberichten van gebruikers
dus niet zomaar lezen. Uitzondering is als dit noodzakelijk is
voor de dienst, maar dan hebben ze geheimhoudingsplicht op
de inhoud.
De ontvanger van een e-mail heeft met dit alles niets te maken.
De mail zit in zijn mailbox, hij is niet gebonden aan een
geheimhoudingsplicht en het briefgeheim bestaat niet voor e-
mail. Toch mag hij niet zomaar doen met die mail wat hij wil.
Hij mag de inhoud delen met anderen – maar dat moet hij dan
wel in zijn eigen woorden doen. Want op de tekst van de e-mail
zelf rust normaliter auteursrecht. De ontvanger van een e-mail
heeft slechts een beperkt gebruiksrecht: hij mag de e-mail
3-Aftappen en ko-
piëren van data
bewaren en printen, maar niet veel meer dan dat. Hij mag het
niet publiceren, ook niet in de vorm van een citaat. Alleen in zeer
uitzonderlijke gevallen, wanneer publicatie essentieel is om een
nieuwsfeit te brengen, is het toegestaan privémail te publiceren.
Het verwijderen van de contactgegevens van de afzender is dan
wel vereist.
Toegang zonder te betalen
Veel telecommunicatiediensten worden tegen betaling aangeboden.
Denk bijvoorbeeld aan betaaltelevisie, mobiele telefonie of gewoon toe-
gang tot internet. Het is soms mogelijk om met een speciaal kastje of
met de inzet van speciale software zo’n dienst te gebruiken zonder te
betalen. Dit is apart strafbaar gesteld als misdrijf.
Opsporing van dit misdrijf is lastig, omdat het immers heel
moeilijk is na te gaan wie de dienst ontvangt en of zijn aanslui-
ting terecht is. Vandaar dat de bestrijding van dit misdrijf
meestal gebeurt door verspreiders van hulpmiddelen aan te pak-
ken. Die zijn namelijk ook verboden. Zulke hulpmiddelen zijn
meestal softwaretoepassingen, maar ook speciaal ontworpen ap-
paraten worden wel gebruikt.
45
 Het oudste voorbeeld van zo’n apparaat is waarschijnlijk het
fluitje dat in 1971 als cadeautje in de Cap’n Crunch cornflakes
zat. Het bleek dat met het geluid van dit fluitje gratis gebeld kon
worden in de hele VS. In Nederland is een oud voorbeeld het
kopen van credits via andermans telefoonverbinding bij een
duur 0909-nummer. Ook een apparaat waarmee verbruikte te-
lefoonkaarten konden worden opgewaardeerd was een dergelijk
hulpmiddel, zo vond de Hoge Raad in 2003.
Films en muziek zonder te betalen
Naast diensten zoals telefonie of televisie worden ook wel producten
zoals elektronische boeken, muziek en films voorzien van beveiligingen
(‘digital rights management’ of DRM). Het omzeilen van dergelijke be-
veiligingen kan onrechtmatig zijn, maar dit is geen strafbaar feit in de
zin dat er gevangenisstraf of een boete op staat. De maker van het werk
kan wel in een civiele rechtszaak schadevergoeding eisen.
46
Hetzelfde geldt voor het verkopen van software of apparaten om
het verwijderen of omzeilen van beveiligingsmechanismen te
vergemakkelijken, of het beroepsmatig verwijderen van zulke
beveiligingen. De rechthebbende kan alleen in een civiele proce-
dure een schadevergoeding eisen, of afgifte en vernietiging van
deze hulpmiddelen. De beveiliging moet overigens wel ‘effectief’
zijn. In de enige zaak tot nu toe over wat dat betekent, oordeelde
een Finse rechter dat de CSS-beveiliging van dvd’s niet ‘effectief’
was: deze was zo eenvoudig te kraken dat je overal op internet
gebruiksvriendelijke tools kon vinden daarvoor.
Het downloaden van muziek en films uit illegale bron is in Ne-
derland legaal, zo bepaalden het Gerechtshof Den Haag en de
3-Aftappen en ko-
piëren van data
rechtbank Haarlem vorig jaar. De Auteurswet kent een ‘thuis-
kopie’-regeling die consumenten toestaat voor strikt eigen ge-
bruik kopieën te maken van muziek en films (maar niet van
software), en deze regeling vermeldt niet dat men dit uit legale
bron moet doen. De minister had ook bij herhaling in reactie op
Kamervragen bevestigd dat dit geen wettelijke eis was. Het pu-
bliek mocht op die regeringsopvatting afgaan, aldus de recht-
banken. Het uploaden of verspreiden van muziek en films is
daarentegen wel een inbreuk op auteursrechten. Sites die zulk
illegaal uploaden faciliteren, handelen onrechtmatig. Dat bleek
uit rechtszaken tegen onder meer Mininova en FTD.
Software zonder te betalen
Het maken, verspreiden of uit winstbejag bezitten van middelen die uit-
sluitend bestemd zijn voor het omzeilen van de beveiliging van software
is wel een misdrijf. In 2010 werden op deze grond diverse handelaren
in modchips voor Nintendo-spelcomputers veroordeeld. Deze speciale
chips maakten het mogelijk om illegaal gedownloade spellen te spelen,
doordat de beveiliging van de spelcomputers daartegen werd omzeild.
Deze beveiliging doorbreken was tegen de wet.
47
 Een simlock doorbreken is dan weer niet strafbaar, omdat de
simlock geen auteursrechtelijk beschermde werken of software
beveiligt. Maar de OV-chipkaart kraken werd eind 2010 wel
strafbaar verklaard als vorm van computervredebreuk, omdat
daarmee werd binnengedrongen in de chip in de kaart (die vol-
gens de gebruiksvoorwaarden eigendom van Trans Link Sys-
tems bleef). Journalist Brenno de Winter, die de onveiligheid van
de chipkaart aan de kaak stelde en daarbij gebruikmaakte van
gekraakte kaarten, werd echter niet vervolgd. Zijn onderzoek
was een schoolvoorbeeld van zuiver journalistiek handelen en
daarmee niet strafbaar.
een skimapparaat installeren neerkomt op een ‘poging’ tot het
namaken van de pinpas. Juridisch gezien is sprake van een po-
ging wanneer iemand een stap tot het plegen van het misdrijf
neemt, en het registreren van gegevens van een originele kaart
is de eerste stap tot het namaken daarvan.
Het afkijken of met een slim verhaal aftroggelen van iemands
wachtwoord of pincode is niet strafbaar. Het wordt pas strafbaar
als die gegevens worden gebruikt, bijvoorbeeld door in te log-
gen, geld op te nemen of iets te kopen met die gegevens. Dat is
dan oplichting, computervredebreuk of mogelijk een ander mis-
drijf. Wellicht kan net als bij skimmen worden betoogd dat dit
aftroggelen een poging tot oplichting of poging tot computer-

3-Aftappen en ko-
piëren van data
vredebreuk is, maar dat is nog nooit bij de rechter getest. Iemand
Kopiëren van betaalkaarten

bedreigen om zo zijn pincode of wachtwoord te krijgen, is wel

Een heel speciale vorm van het aftappen van gegevens is ‘skimmen’.

apart strafbaar gesteld.

Hieronder wordt verstaan het registreren van gegevens op een betaal-
kaart, zoals de inhoud van de magneetstrip en de pincode, zodat deze
kan worden nagemaakt. Hiervoor worden de meest ingenieuze appa-
raten en constructies bedacht, soms tot een complete nep-pinautomaat
aan toe. Skimmen is een groot probleem, en de belangrijkste reden voor
‘Het Nieuwe Pinnen’, waarbij de magneetstrip wordt vervangen door
een chipkaart.

Het vervalsen van een betaalpas, waardekaart of toegangskaart

is strafbaar. Hieronder valt het zelf namaken van een echt uit-
ziende pas, maar ook het met een hack opladen van een kaart
zoals de OV-chipkaart. Ook is het strafbaar om ‘stoffen, voor-
werpen of gegevens’ te verkopen of voorhanden te hebben waar-
mee dit mogelijk is.

Een skimapparaat op zichzelf kan geen kaarten namaken, want

deze legt alleen vast wat er op het origineel staat. Daarmee is
zo’n apparaat niet strafbaar, zo lijkt het. Maar diverse rechtban-
ken hebben toch skimmers veroordeeld, met als argument dat

48 49

Opnemen van gesprekken
Naast algemene regels over het aftappen van datacommunicatie kent
de wet ook speciale regels over het aftappen, afluisteren of opnemen
van gesprekken tussen mensen. Het afluisteren en opnemen van ge-
sprekken van anderen kan op vele manieren. Bekende voorbeelden zijn
richtmicrofoons, verborgen dictafoons of het opvangen van elektromag-
netische signalen van computerschermen uit de buurt (‘Tempest’). Om te
bepalen of afluisteren of opnemen strafbaar is, richt de wet zich echter
vooral op het karakter van het gesprek en de locatie waar het wordt
gevoerd.
Iemand die geen deelnemer is aan een gesprek in een woning,
besloten lokaal of erf (zoals een hotelkamer of parkeergarage),
mag dit niet opnemen. Een gesprek in zo’n besloten omgeving
heeft immers vrijwel altijd een privé-karakter. Gesprekken die
buiten een woning worden gevoerd, mogen ook niet worden op-
genomen door een derde, als die dat heimelijk doet. Wie bijvoor-
beeld stiekem in de bus een gesprek tussen twee andere
passagiers opneemt, pleegt dus een strafbaar feit. Maar als het
in alle openbaarheid gebeurt, is opnemen van gesprekken geen
probleem. Een bedrijf mag dus gesprekken tussen klanten en
medewerkers opnemen, wanneer dit bij het begin van het ge-
sprek wordt vermeld.
Met een ‘gesprek’ bedoelt de wet expliciet niet datacommunica-
tie. Een gesprek dat wordt afgetapt of afgeluisterd door het com-
municatiekanaal te tappen, valt daarmee niet onder 'afluisteren
van een gesprek'. Wie een MSN-chat stiekem logt, luistert dus
geen gesprek af maar een datacommunicatie. Wie een microfoon
installeert om met een Skype-conversatie mee te luisteren, luistert
wél een gesprek af. De microfoon vangt dan immers het geluid
van het gesprek op en niet de data die de Skype-software ver-
zendt of ontvangt.
50
Deelnemers aan een gesprek mogen wel zelf hun gesprekken op-
nemen, ook wanneer ze dat niet met de andere partij besproken
hebben. Ze mogen het gesprek ook door een ander laten opne-
men. Dan is die ander uiteraard niet strafbaar. Een telefoonge-
sprek opnemen dat je zelf voert, mag je dus opnemen - ook
wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk
opnemen van zo’n gesprek is dus strafbaar (tenzij degene die
opneemt deelnemer is of toestemming van een deelnemer heeft).
Een heimelijke opname mag niet zomaar gepubliceerd worden.
De andere partij zal waarschijnlijk niet verwacht hebben dat het
gesprek opgenomen werd. Er moet een goede reden zijn om
diens privacybelang opzij te zetten. Dat kan bijvoorbeeld een
3-Aftappen en ko-
piëren van data
nieuwsbelang zijn, de reden waarom veel consumentenpro-
gramma’s op televisie gesprekken met (vermeend) malafide on-
dernemers mogen uitzenden. Ook een goede reden is de rechter
het bewijs te kunnen laten horen zodat vaststaat dat iemand een
bedreiging uitte of een toezegging deed is dan weer wel legaal.
Dat mag altijd, ook als de wederpartij niet geïnformeerd is over
het opnemen.
Een gesprek kan ook worden opgenomen met een videocamera,
zodat naast geluid ook beelden worden vastgelegd. Wordt echter
gefilmd zonder geluid op te nemen, dan gelden andere regels.
Meer over de grenzen aan cameratoezicht in hoofdstuk 5.
Naast het afluisteren of aftappen van gegevens en gesprekken
Hulpmiddelen voor aftappen en opnemen
zelf stelt de wet ook het plaatsen en aanbieden van afluisterap-
paratuur strafbaar. Hieronder vallen ook computerprogramma's
waarmee kan worden afgeluisterd, afgetapt of opgenomen. Dat
wil niet zeggen dat elk programma waarmee netwerkverkeer
kan worden opgenomen nu verboden is. Het apparaat of de
51
 4
software moet hoofdzakelijk geschikt of ontworpen zijn om hei-
melijk op te nemen. Een Trojaans paard dat op de achtergrond
draait en alle communicatie stiekem naar een server stuurt, is
dus verboden. Een programma dat alleen het langskomend net-
werkverkeer laat zien (zoals tcpdump en wireshark) maar niet
speciaal geschikt of bedoeld is voor het heimelijk afluisteren
van netwerkverkeer, is niet verboden. Privacy en persoonsgegevens
Het zonder toestemming van een communicatie- of gespreks-

P
partij plaatsen van afluister-, aftap- of opnameapparatuur met
het doel om gesprekken, telecommunicatie, gegevensoverdracht
of gegevensverwerking af te luisteren of op te nemen is een mis-
drijf. Ook wanneer er nog niets afgeluisterd of getapt is. En wie
een afluisterapparaat maakt, voorhanden heeft, verkoopt of rivacy houdt niet op bij de voordeur. Ook in het openbare
weggeeft, loopt eveneens het risico op een celstraf of boete. Het leven, en dus ook bij wat iemand doet op internet, bestaat een

4-Privacy en per-
maakt daarbij niet uit of het apparaat geadverteerd wordt als recht op bescherming van de privacy, in juridische taal de

zijnde ‘alleen voor legaal opnemen’. Het gaat erom of het appa-
raat concreet bekeken vooral bestemd is voor illegaal opnemen
(denk aan een microfoontje ingebouwd in een schilderij of
kunstwerk).
Naar analogie van heling, het doorgeven of doorverkopen van
gestolen goederen, is ook het doorgeven of verkopen van illegaal
afgeluisterde gegevens strafbaar gesteld. Het hebben van een
voorwerp waarop wederrechtelijk verkregen gegevens zijn op-
soonsgegevens
‘persoonlijke levenssfeer. Deze persoonlijke levenssfeer is heel
breed, en kan op allerlei manieren worden ingeperkt. Er bestaat
dan ook niet één ‘wet op de privacy’. Er zijn diverse wetten die
elk een bepaald aspect van de privacy in Nederland regelen. De
belangrijkste en bekendste wet is de Wet bescherming persoons-
gegevens (Wbp). Deze regelt hoe persoonlijke gegevens mogen
worden opgeslagen en verwerkt.
Twee soorten privacy

geslagen, dus bijvoorbeeld een bestand op een harde schijf, kan

Privacy wordt wel omschreven als ‘het recht om met rust gelaten te wor-

zes maanden cel opleveren. Ook op het doorgeven van zo'n

den’. Iets formeler omschrijvingen zijn ‘het recht op een eigen identiteit’

voorwerp (of alleen de gegevens zelf) staat deze straf. Gek ge-
en ‘het recht op zelfontplooiing’, maar ze komen op ongeveer hetzelfde

noeg geldt dit artikel dan weer niet voor gegevens die zijn ver-
neer: je hebt als mens het recht om je leven op je eigen manier te leiden

kregen uit computervredebreuk.

en in te vullen zoals jij dat prettig vindt. Dit wordt wel de relationele pri-
vacy genoemd. Schendingen van dit recht omvatten onder meer het be-
spioneren of stelselmatig observeren van mensen of het lezen van hun
post, waarover meer in hoofdstuk 5.

52 53
 Met de komst van internet en grootschalig ICT-gebruik ontstond
er nog een ander soort privacy: de informationele privacy. Dank-
zij ICT is het mogelijk allerlei informatie over mensen te verza-
melen en die op allerlei manieren te analyseren, zonder dat de
betrokken persoon dat door heeft. Op internet worden bijvoor-
beeld van iedere internetter honderden profielen bijgehouden
door websites en adverteerders, die precies vastleggen welke in-
teresses zij hebben. Bovendien is elke internetprovider verplicht
een jaar lang alle IP-adressen en e-mailverkeersgegevens van
zijn klanten te bewaren ten behoeve van terrorismebestrijding.

Het briefgeheim, iets algemener het ‘communicatiegeheim’, is

ook onderdeel van de privacywetgeving. Dit concept is eigenlijk
iets breder omdat ook zakelijke communicatie beschermd wordt.
Er is echter geen ‘digitaal briefgeheim’: volgens de Grondwet

4-Privacy en per-
zijn alleen papieren communicaties beschermd. De regels tegen

soonsgegevens
aftappen en afluisteren (zie hoofdstuk 3) beschermen indirect Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid
toch het communicatiegeheim. voor de Wbp genoeg. Natuurlijk zijn er ook IP-adressen die niet
aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van
een thuisnetwerk, bedrijfsproxy of webserver), maar als vuist-
regel is het aan te bevelen alle IP-adressen te behandelen alsof
het persoonsgegevens zijn. Weblog GeenCommentaar werd eind
Wet bescherming persoonsgegevens

2008 op de vingers getikt omdat ze IP-adressen van bezoekers

De informationele privacy wordt gegarandeerd door de Wbp. Deze wet

(‘reaguurders’) bij concurrent GeenStijl had verzameld en deze

regelt onder welke voorwaarden persoonsgegevens verwerkt mogen

publiceerde in een zogeheten ‘roze horden-checker’ waarmee je

worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot

deze personen kon weren van je eigen site. Het verzamelen was
een bepaald individu. Het bekendste voorbeeld is iemands naam of

onder valse voorwendselen gebeurd en daarmee in strijd met de

adres. Maar aan een foto is iemand ook te herkennen. Een foto is dus

Wbp.
net zo goed een persoonsgegeven. En het houdt niet op bij zulke feitelijke
gegevens: gegevens die een waardering over een bepaalde persoon in-

Persoonsgegevens mogen alleen worden verwerkt in overeen-

houden, bijvoorbeeld een beoordeling van diens manager, kan ook een

stemming met de regels van de Wbp. Die term ‘verwerken’

persoonsgegeven zijn.

Een IP-adres wordt over het algemeen als persoonsgegeven ge- omvat zo ongeveer alles dat iemand zou kunnen doen met per-
zien, omdat het meestal in gebruik is bij één persoon (op een ge- soonsgegevens. En dat is ook de bedoeling. De Wbp moet na-
geven tijdstip). Deze is te identificeren via zijn internetprovider. melijk als brede wet in zo ongeveer elke situatie toepasselijk zijn.

54 55
 De Wbp geeft daarmee de burger veel rechten tegenover partijen
die zijn persoonsgegevens verwerken. Er zijn echter maar weinig
mogelijkheden om die rechten te halen. Je kunt eigenlijk alleen
naar de rechter als je concreet schade hebt geleden, en die is zeer
lastig te bewijzen bij privacyschendingen. Emotionele schade
wordt niet erkend bij dit soort zaken, en concrete financiële
schade lijd je niet door een privacyschending.
De wet kan ook voor buitenlandse bedrijven gelden. Wanneer
een Amerikaans bedrijf op een Nederlandse computer een cookie
plaatst, is daarmee de Wbp van toepassing. Dat Amerikaans be-
drijf gebruikt dan een Nederlands systeem voor privacygevoe-
lige handelingen. Natuurlijk is het wel lastig om een Amerikaans
bedrijf daadwerkelijk te dwingen deze wet na te leven, maar als
zo’n bedrijf een vestiging in Europa heeft dan wordt dat een
recht om persoonsgegevens op te eisen (zie de sectie Vorderen
van persoonsgegevens verderop in dit hoofdstuk), en een bedrijf
moet daaraan meewerken. Ook als de betrokken persoon geen
toestemming geeft.
Als meest algemene uitzondering geldt dat men persoonsgege-
vens mag gebruiken als er een aantoonbare, zwaarwegende
noodzaak is om dat te doen én die noodzaak na een belangenaf-
weging belangrijker blijkt dan de privacy van de betrokken per-
soon. Een voorbeeld is een nieuwsuitzending waarin de naam
van een persoon wordt genoemd. Als het nieuwsbelang van die
naam groter is dan het privacybelang van die persoon, dan is
dit legaal ook al geeft deze persoon geen toestemming voor de
uitzending.

4-Privacy en per-
stuk eenvoudiger. Google is bijvoorbeeld al diverse malen in

soonsgegevens
Europa veroordeeld door privacytoezichthouders wegens schen-
Cookies en toestemming

dingen van de privacy van Europese burgers.

Op grond van de onlangs gewijzigde Telecommunicatiewet zal het
vanaf ergens in 2012 ook noodzakelijk zijn om voor cookies toestemming
te vragen voordat ze mogen worden geplaatst. Dergelijke cookies
worden gebruikt om internetters te volgen en interesseprofielen op te
Toestemming voor verwerking bouwen, en dat is een verwerking van persoonsgegevens. Hoe dit in de
Uitgangspunt van de Wbp is dat de betreffende persoon zijn toestem-
ming moet hebben gegeven voor de verwerking. Worden gegevens ge-
vraagd aan die persoon zelf, dan moet deze vooraf geïnformeerd
worden over wat er met de gegevens gaat gebeuren. Bovendien mag
de toestemming op elk moment worden ingetrokken, waarna de betref-
fende verwerking moet worden gestaakt.

Van dit uitgangspunt mag slechts in enkele bijzondere situaties

worden afgeweken. Zo is het toegestaan om gegevens te gebrui-
ken zonder aparte toestemming, als dat noodzakelijk is voor de
uitvoering van een contract, bijvoorbeeld wanneer een pakket-
bedrijf het adres moet weten van een klant om daar een bestel-
ling af te leveren. Opsporingsambtenaren hebben een wettelijk

56 57

praktijk gaat werken, is helaas nog steeds niet duidelijk. Er geldt
overigens wel een uitzondering voor ‘technisch noodzakelijke’ cookies,
zoals voor inloggen op een site of het gebruiken van een webwinkel.
Deze vereisen geen toestemming, zolang ze maar niet ook voor het
volgen van internetters worden gebruikt.
Toestemming voor verwerking van persoonsgegevens moet ex-
pliciet worden verkregen. Zo moet bijvoorbeeld een registratie-
formulier expliciet een aanvinkvakje hebben waarin de vereiste
toestemming wordt gevraagd. De toestemming verstoppen in
de algemene voorwaarden of een privacystatement is niet
genoeg. Bij persoonsgegevens die uit andere bronnen worden
verkregen, moet de betreffende persoon worden geïnformeerd
wanneer dat mogelijk is.
Persoonsgegevens mogen alleen worden verwerkt in overeen-
Grenzen aan toestemming
stemming met de legitieme doeleinden waarvoor ze zijn verkre-
gen. Oftewel, als toestemming is verkregen voor bepaald doel,
mogen de gegevens niet ook voor andere doelen worden ge-
bruikt, tenzij die andere doelen daarmee in een direct verband
staan. Zo mogen foto’s gemaakt voor de toegangspas niet zon-
der nadere toestemming in het smoelenboek worden gezet. Wel
mogen ze worden opgeslagen in de computer van de beveili-
gingsafdeling, omdat deze de foto’s op de pas moet kunnen ver-
gelijken met de originele foto.
Ook mag er niet meer worden verzameld dan noodzakelijk voor
de afgesproken doelen. Voor toegang tot een kantoor is het
prima om de identiteit van bezoekers te controleren middels hun
identiteitskaart of paspoort, maar daarbij hóeft hun burger-
servicenummer (BSN) of pasfoto niet te worden gekopieerd en
vastgelegd. Deze gegevens mógen dan dus ook niet worden
vastgelegd. De Rijkspas, de toegangspas voor de overheid,
58
gebruikte het BSN omdat het “controleren van ambtenaren op
basis van hun BSN nodig is voor beveiliging”, aldus de minister.
Die redenering werd echter niet geaccepteerd door de rechter.
Aanmelden van verwerking
Een geautomatiseerde verwerking van persoonsgegevens moet altijd
worden aangemeld bij het College bescherming persoonsgegevens
(Cbp), de Nederlandse privacytoezichthouder. Dit moet vooraf gebeuren,
en in de melding moet worden toegelicht wat het doel van de beoogde
verwerking is, welke gegevens worden verzameld en hoe deze verwer-
king beschermd is tegen misbruik.
Als de verwerking ingrijpend is of bijzonder gevoelige persoons-
gegevens betreft, kan het Cbp een voorafgaand onderzoek in-
stellen. Dit gebeurt onder meer als een bedrijf meldt verborgen
4-Privacy en per-
camera’s in te zetten voor stelselmatige observatie of wanneer
soonsgegevens
een recherchebureau onderzoek wil doen naar de achtergrond
van een persoon.
Op het eerste gezicht zou deze aanmeldplicht tot een enorme
stortvloed aan meldingen moeten leiden, want elk Outlook-
adresboek is formeel gezien een 'verwerking'. Voor eenvoudige
verwerkingen zijn er echter vrijstellingen, totaal zo’n 30 stuks
voor allerlei categorieën. Wie zich houdt aan de restricties daar-
uit, hoeft zijn verwerking niet aan te melden. Het voert te ver ze
hier allemaal te bespreken, maar er zijn onder meer vrijstellingen
voor klantenadministraties, netwerkbeheer en toegangscontrole.
Vereist bij een vrijstelling is dat men zich aan de gegeven restric-
ties houdt. Zo vermeldt de vrijstelling voor netwerksystemen
dat het bijhouden van logs en dergelijke in het kader van beheer,
controle en beveiliging van een bedrijfsnetwerk niet hoeft te
worden aangemeld. Maar dan mogen alleen de volgende
59
 persoonsgegevens mogen worden verwerkt:
• gegevens nodig voor identificatie van de gebruikers binnen
Informeren, inzage en correctie

het netwerk;
Alle organisaties die persoonsgegevens verzamelen of gebruiken, hebben

• gegevens nodig voor communicatie met de gebruikers bin-

een informatieplicht. Dit betekent dat zij de personen op wie de gegevens

nen het netwerk;

betrekking hebben, moeten laten weten wat zij met hun gegevens gaan

• gegevens die betrekking hebben op bevoegdheden van de

doen, en wel vooraf. Dit hoeft niet wanneer het vanzelfsprekend is (bij-

gebruiker en de netwerkbeheerder in verband met de aange-

voorbeeld bij het invullen van een registratieformulier voor een seminar)

boden faciliteiten en diensten op het netwerk;

of wanneer het zeer tijdrovend is om contactgegevens van de betrokkene

• gegevens die betrekking hebben op de verrichtingen van de

te achterhalen.

gebruikers en de netwerkbeheerder;
• gegevens die betrekking hebben op elektronische berichten
afkomstig van of bestemd voor de gebruikers.
Deze persoonsgegevens mogen alleen worden verstrekt aan de
netwerkbeheerders en alleen worden gebruikt voor het doel van
Daarnaast hebben personen die in een bestand zijn opgenomen
het recht om hun geregistreerde gegevens in te zien, en om te
vragen hoe en waarvoor deze worden gebruikt. Dit geldt niet al-
leen voor tekstuele data, maar ook voor bijvoorbeeld audio-op-
names en videobeelden. Ook kunnen zij eisen dat hun gegevens
verbeterd, aangevuld, verwijderd of afgeschermd worden wan-

4-Privacy en per-
beheer, controle en beveiliging. Ook moeten de logbestanden (in- neer deze gegevens feitelijk onjuist, onvolledig of niet ter zake

soonsgegevens
clusief back-ups) na zes maanden worden gewist. Als een bedrijf doend zijn voor het doel of de doeleinden van de verwerking.
meer wil doen (zie hoofdstuk 5), dan moet de verwerking wor-
den aangemeld bij het Cbp.

Cameratoezicht is ook onderworpen aan deze strenge wet wan-

neer de beelden opgenomen en vastgelegd worden in een
digitaal bestand, maar ook voor cameratoezicht is er een vrijstel-
ling. Deze bepaalt onder meer dat de beelden binnen 24 uur
moeten worden gewist, dat alleen beveiligingspersoneel toe-
gang tot de beelden mag hebben en dat de beelden alleen voor
beveiligingsdoeleinden mogen worden gebruikt. En natuurlijk
moet er een duidelijke aankondiging van het cameratoezicht
zijn. Wie de beelden langer wil gebruiken, of ze ook voor andere
doelen wil gebruiken, moet documenteren wat men van plan is
en dat aanmelden bij het Cbp. Er zijn plannen om deze termijn
van 24 uur naar vier weken te verlengen, maar dat is nog in een
pril stadium.

60 61
 Een wanbetaler kan bijvoorbeeld geen verwijdering van zijn per-
soonsgegevens eisen bij de debiteurenadministratie van een bedrijf.
Een bezoeker van een open dag op school kan wel eisen dat zijn
postadres uit de verzendlijst van de schoolfolder wordt gehaald.
De beheerder van het bestand mag een verzoek alleen weigeren
als het disproportioneel grote lasten op zou leveren. Hij mag
bovendien geen hoge administratiekosten rekenen – de wet
noemt expliciet een bedrag van 5 euro als maximumvergoeding
voor het afhandelen van een dergelijk verzoek. Dat er mogelijk
een hoop moet worden gekopieerd of uitgetypt, maakt het verv-
zoek nog niet meteen disproportioneel, zo besliste de Hoge Raad
in de Dexia-zaak. Dexia werd verplicht alle opgenomen tele-
foongesprekken uit te typen en aan haar klanten te verstrekken
– op haar eigen kosten.
Beveiliging van persoonsgegevens
Wie persoonsgegevens verwerkt, moet adequate beveiligingsmaatrege-
len nemen tegen misbruik en ongeautoriseerde toegang tot deze gege-
vens. De wet werkt ‘adequaat’ niet nader uit, omdat dit begrip
afhankelijk is van de situatie: een lijst e-mailadressen voor een nieuws-
brief is onvergelijkbaar met een server met elektronische patiëntendos-
siers in een ziekenhuis. Het Cbp heeft een handreiking Achtergrond
Studies en Verkenningen 23 (AV-23) gepubliceerd met daarin een me-
thodiek voor het bepalen van passende beveiligingsmaatregelen in ver-
schillende toepassingsgebieden. Deze handreiking is formeel echter niet
bindend.
Diverse branches hebben hun eigen normen ontwikkeld. Ook
deze normen zijn formeel niet bindend, maar wie algemeen aan-
vaarde normen negeert, heeft wel wat uit te leggen in het geval
zijn database met gegevens gekraakt of misbruikt wordt. Zo gel-
den in de zorg diverse NEN-normen (met name NEN 7510) als
62
algemeen aanvaard en in veel gevallen dankzij andere wet- en
regelgeving zelfs als verplicht. Het keurmerk Thuiswinkel.org
eist dat bij haar aangesloten webwinkels alle bestellingen over
beveiligde SSL-verbindingen laten lopen. En in de informatie-
beveiliging kunnen normen als ISO/IEC 27002 een standaard
bieden voor wat ‘adequate’ beveiliging zou moeten zijn.
Regelmatig blijken bedrijven hun databanken met persoonsge-
gevens niet afdoende te beveiligen, waarna ineens klant- of ge-
bruikersgegevens op straat liggen. Omdat zulke gegevens
misbruikt kunnen worden voor bijvoorbeeld identiteitsfraude,
zou zo’n getroffen bedrijf de betrokkenen moeten waarschuwen.
Veel bedrijven doen dit niet uit angst voor reputatieschade of
omdat ze denken dat er toch niets zal gebeuren.
4-Privacy en per-
Er is wetgeving in de maak om een meldplicht in te voeren bij
soonsgegevens
het lekken van persoonsgegevens, maar het afbakenen van de
grenzen en de handhaafbaarheid van zo’n wet blijkt erg lastig.
Zo is er de vraag of je iedere triviale kraak moet melden. Dat
leidt er misschien toe dat mensen niet meer op meldingen letten.
Maar als alleen ‘grote’ inbraken gemeld hoeven te worden, dan
kunnen bedrijven alle inbraken afdoen als ‘klein’ om ze niet te
hoeven melden.
Een belangrijk aandachtspunt dat vaak wordt vergeten is dat
persoonsgegevens niet mogen worden geëxporteerd naar een
land buiten de Europese Unie. Dit omdat deze landen meestal
een minder strenge wettelijke bescherming van de privacy en
persoonsgegevens hanteren. Een bedrijf kan hier al tegenaan
lopen als zij gegevens opslaat op een server in de Verenigde Sta-
ten. Dit is alleen toegestaan als het Amerikaanse bedrijf een zo-
geheten Safe Harbor-overeenkomst heeft gesloten, waarin het
belooft de strenge Europese regels na te leven.
63
 Volgens sommige juristen blijft dit een probleem, omdat de
Amerikaanse antiterrorismewetgeving té brede bevoegdheden
geeft aan FBI en inlichtingendiensten om te grasduinen in gege-
vens van Amerikaanse bedrijven. Cloud computing heeft hier-
mee een groot probleem, aangezien dat vrijwel altijd wordt
verzorgd met inschakeling van Amerikaanse bedrijven zoals
Amazon of Google. Maar ook iets simpels als Google Analytics
en Facebook’s Like-knopje lopen hier tegenaan.
Een bericht onder andermans naam op een internetforum zetten
is niet strafbaar, omdat zo’n bericht niet als bewijs bedoeld is. Der-
gelijk gebruik van iemands naam zou eventueel smaad of laster
kunnen opleveren, omdat dit een poging is de eer of goede naam
aan te tasten van die persoon. Smaad is niet alleen ‘hij is een dief’
maar ook een vervalst bericht met daarin ‘hallo ik ben een dief’.
Inloggen op andermans account is ook geen identiteitsdiefstal,
maar wél een vorm van computervredebreuk (zie hoofdstuk 1).

Ook andere gevolgen van identiteitsdiefstal kunnen strafbare

Identiteitsfraude

feiten opleveren. Maar in alle gevallen geldt: er kan formeel pas

Het aannemen van andermans identiteit, oftewel identiteitsdiefstal of iden-

iets aan worden gedaan nadat die gevolgen zijn ingetreden. Dat
titeitsfraude, is een hot topic. Echter, ‘identiteitsdiefstal’ staat als zodanig

iemand je wachtwoord weet, of je BSN heeft overgeschreven, is

niet in het wetboek van strafrecht. Andermans naam aannemen (met opzet

nog geen grond om hem te laten vervolgen bij de strafrechter.

of per ongeluk) is dus niet strafbaar. Pas vervolghandelingen verricht

4-Privacy en per-
Pas als hij inlogt met je wachtwoord, of je BSN gebruikt om je

soonsgegevens
onder die aangenomen identiteit kunnen leiden tot strafbare feiten.

Gebruik van iemands identiteit om bijvoorbeeld spullen te belastingteruggaaf op zijn bankrekening te krijgen, is een straf-
kopen of bestellingen te doen is natuurlijk strafbaar: dat is op- baar feit gepleegd waarvan aangifte kan worden gedaan. Maar
lichting. Het wetsartikel over oplichting noemt expliciet ‘het aan- dan is de schade al opgetreden.
nemen van een valse naam’ als grond om van oplichting te
mogen spreken. Het opheffen van iemands account onder diens
naam is vernieling van gegevens. Het gebruiken van die naam
om het wachtwoord van zijn mailbox op te vragen is strafbaar
als computervredebreuk.

Het valselijk opmaken of vervalsen van geschriften is verboden,

en dat geldt ook voor elektronische geschriften (databestanden).
Wie dus zonder toestemming andermans naam onder een do-
cument zet, pleegt een strafbaar feit. Alleen moet dat geschrift
wel ‘bestemd zijn om tot bewijs van enig feit te dienen’. Het ge-
schrift moet dus iets bewijzen over wat die persoon heeft ver-
klaard of wat hij wil. Daarvan is bijvoorbeeld sprake als men een
bestelformulier invult of een verhuisbericht opstuurt.

64 65
 Wie wachtwoorden, pincodes en dergelijke voor betalingsdien-
sten lospeutert via bijvoorbeeld een nagemaakte bankwebsite
(‘phishing’), pleegt waarschijnlijk al wel een strafbaar feit: dit is
te zien als poging tot het namaken van de bankpas, of oplichting
van bank of andere instelling. Net zoals het ‘skimmen’ van een
betaalpas een poging tot namaken is (zie hoofdstuk 3, sectie Ko-
piëren van betaalkaarten). Het maakt daarbij niet uit of de kaart
ook daadwerkelijk is gebruikt.
Vorderen van persoonsgegevens
Een bedrijf dat persoonsgegevens verwerkt, kan van een overheidsinstantie
zoals politie of Justitie een bevel (‘vordering’) krijgen om inzage te
geven in het bestand. Zo kan een internetprovider een vordering krijgen
om de naam, adres en woonplaats van een klant te geven die op een
bepaald tijdstip een bepaald IP-adres gebruikt. Een bedrijf moet hieraan
meewerken, mits de vordering op een wettelijke grondslag heeft.
De vordering moet te herleiden zijn tot een artikel in het Wet-
boek van Strafvordering, de Telecommunicatiewet of een andere
relevante wet (zoals belastingwetgeving, de Woningwet of de
Wet milieubeheer). Dit moet in de vordering zelf genoemd zijn.
Elk wetsartikel noemt een aantal elementen oftewel eisen, zoals
dat sprake moet zijn van een zwaar misdrijf of dat alleen een
naam, adres en woonplaats mag worden gevorderd. Aan alle ele-
menten uit het wetsartikel moet zijn voldaan, anders hoeft de
vordering niet te worden nagekomen. In de bijlage achterin dit
boek staat een overzicht van bevoegdheden en vereisten uit de
diverse wetsartikelen.
De belangrijkste eis is dat de in het wetsartikel genoemde auto-
riteiten toestemming moeten hebben gegeven. Meestal is dat de
officier van justitie, maar soms de rechter-commissaris. Er zijn
ook enkele vorderingen die iedere bevoegde ambtenaar zelf mag
indienen, zoals het opvragen van naam, adres en woonplaats
66
van gebruikers van communicatiediensten. De gedachte dat Jus-
titie altijd een ‘gerechtelijk bevel’ moet hebben, is dus een mis-
verstand (dat komt uit Amerikaanse televisieseries). In de meer-
derheid van de vorderingen komt er geen rechter aan te pas.
Als aan de wettelijke eisen is voldaan, is het bedrijf verplicht
om mee te werken. Men mag niet zelf nog een eigen onderzoek
doen of er bijvoorbeeld wel echt een misdrijf is gepleegd en of
de verdenking tegen de betreffende persoon wel terecht is. Een
bedrijf mag niet meer doen dan een formele check of het juiste
wetsartikel is gekozen en of alle genoemde informatie er is.
Vriendelijk verzoek
4-Privacy en per-
soonsgegevens
Het komt nogal eens voor dat een opsporingsambtenaar een verzoek
tot afgifte van gegevens indient zonder daarvoor een formele grond te
hebben. Dit wordt dan meestal ingekleed als een vriendelijk verzoek,
hoewel er ook gevallen bekend zijn waarbij flink wat druk werd uitge-
oefend omdat bijvoorbeeld niet zou kunnen worden gewacht tot de rech-
ter-commissaris wakker was. Een bedrijf is niet verplicht dergelijke
verzoeken te honoreren, hoe vriendelijk het verzoek ook geformuleerd
is of hoe dringend de aanleiding klinkt. Als er écht haast is, is er altijd
wel een officier van justitie of rechter-commissaris te vinden die snel de
vordering kan tekenen.
De achtergrond van deze strenge manier van werken is dat de wet-
gever bij de diverse in de wet genoemde vorderingen heeft nage-
dacht over de afweging tussen privacy en opsporing. Bij een vrij-
willig verzoek is die afweging er niet, zodat de burger niet weet of
het afgeven wel gepast is gezien de privacy van de betrokkene.
Begin 2011 werd de nieuwswebsite Crimesite.nl onder druk
gezet om IP-adressen af te geven van bezoekers die een reactie
hadden geplaatst onder een bepaald bericht over een misdrijf.
67
 De politie wilde zo getuigen van dat misdrijf benaderen. Dit
leidde tot de nodige ophef, waar de minister uiteindelijk Kamer-
vragen over kreeg. Daarop antwoordde hij expliciet “Een ver-
zoek tot vrijwillige verstrekking behoort niet tot de
mogelijkheden: opsporingsambtenaren moeten van de vorde-
ringsbevoegdheid gebruik maken”. Daarmee zou de kous af
moeten zijn; helaas blijken in de praktijk sommige agenten toch
te menen dat zij wél ‘vriendelijke verzoeken’ mogen indienen.
Afgifte aan private partijen
Naast deze plicht om aan overheidsinstanties gegevens af te geven, kan
het soms ook verplicht zijn om aan private partijen NAW-gegevens te
verschaffen. De Hoge Raad heeft in het Lycos/Pessers-arrest bepaald
dat een partij die een voldoende zwaarwegend belang heeft bij die ge-
gevens, ze zonder meer mag opeisen van de partij die ze heeft, als het
voldoende aannemelijk is dat de betrokken partij inderdaad de aan te
spreken partij is. Denk aan een website-eigenaar die een smadelijke
tekst online zet. De besmade persoon mag dan de NAW-gegevens van
deze persoon opeisen bij de hostingprovider.
68
Er is dus géén gerechtelijk bevel nodig: de enige eis is een afwe-
ging of de afgifte terecht en gepast is. Hoe die afweging gemaakt
moet worden, is in het algemeen heel lastig te zeggen. Factoren
die meespelen, zijn of het gaat om een zakelijk of privéadres, of
weghalen van de informatie het probleem al oplost en of de
adresgegevens niet misbruikt zullen worden om bijvoorbeeld de
klant lastig te vallen of te stalken. Als de provider de afweging
niet correct maakt en ze niet afgeeft, wordt hij (mede) aanspra-
kelijk voor de schade die zijn klant veroorzaakt. Maar geeft hij
ze ten onrechte af, dan kan zijn klant hem aansprakelijk stellen
voor diens schade als gevolg van deze privacyschending.
De Wet bewaarplicht
Sinds enkele jaren geldt voor internetproviders in Europa de zogeheten
4-Privacy en per-
soonsgegevens
bewaarplicht (‘dataretentie’): zij moeten ‘verkeersgegevens’ van hun
klanten een jaar lang bijhouden en op verzoek aan opsporingsdiensten
beschikbaar stellen. De bewaarplicht is door de Europese wetgever in-
gevoerd om terrorisme en zware misdrijven te bestrijden. Het idee is dat
men aan de hand van verkeersgegevens (wie communiceert met wie)
criminele en terroristische netwerken in kaart kan brengen en zo sneller
die netwerken kan oprollen.
Verkeersgegevens zijn onder meer de telefoonnummers van wie
met wie belt, e-mailadressen van wie met wie mailt en de MAC–,
IMEI- en andere nummers van randapparaten waarmee iemand
online gaat of een telefoongesprek aangaat. De inhoud van ge-
sprekken of de bezochte websites hoeven niet te worden bijge-
houden. Een provider hoeft echter alleen die verkeersgegevens
te bewaren die automatisch in zijn systemen ontstaan. Hij hoeft
in principe geen gegevens te bewaren die hij niet zelf al gene-
reerde, of infrastructuur aan te leggen voor het genereren van
nieuwe gegevens. Meer over de wet bewaarplicht en de impact
voor telecomproviders leest u in ons boek Hosting: Deskundig en
praktisch juridisch advies.
69

Om inzage in al deze bewaarde gegevens voor de overheid te
vereenvoudigen is het Centraal Informatiepunt Onderzoek Te-
lecommunicatie (CIOT) ingesteld. Telecombedrijven zijn ver-
plicht om telefoonnummers, e-mailadressen en IP-adressen van
klanten elke 24 uur aan te leveren aan het CIOT, zodat de be-
voegde instanties daarin kunnen grasduinen als dat nodig lijkt
voor het onderzoek. Om een beeld te geven: deze instanties zijn
de regiopolities, units van de Nationale Recherche, de Rijksre-
cherche, de Koninklijke Marechaussee (KMAR), het Korps Lan-
delijke Politiediensten (KLPD), het Landelijk Parket-Openbaar
Ministerie, de Fiscale Inlichtingen- en Opsporingsdienst (FIOD),
de Algemene Inspectiedienst (AID), de Inlichtingen- en Opspo-
ringsdienst (IOD), de Sociale Inlichtingen- en Opsporingsdienst
(SIOD), de Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). In
2010 werd het CIOT bijna 3 miljoen keer geraadpleegd.
De bewaarplicht wordt al sinds de invoering door vele rechts-
geleerden gehekeld, omdat het nut van dergelijke dataretentie
nooit goed is onderbouwd en bij lange na niet opweegt tegen de
nadelen. Ook bij diverse rechtbanken in Europa blijkt de Wet be-
waarplicht het niet goed te doen. Het Duitse constitutioneel hof
(‘Bundesverfassungsgericht’) schorste in 2010 de Duitse Wet be-
waarplicht, omdat deze de privacy van de burger disproportio-
neel zou schenden. Eerder deed een lagere Roemeense rechter
hetzelfde met de Roemeense wet. Eurocommissaris Viviane Re-
ding (Justitie) heeft al aangekondigd het nut en de gevaren van
de bewaarplicht grondig tegen het licht te zullen houden.
70
5
Monitoren en toezicht
V
rijwel iedere organisatie doet het, of overweegt het op zijn
minst: het monitoren van het gedrag van medewerkers, be-
zoekers of klanten. Netwerkverkeer is eenvoudig te loggen,
e-mail kan worden gescand en bezoeken aan websites kunnen
worden geanalyseerd om niet-werkgerelateerde sites te kunnen
identificeren. Met cameratoezicht is ander gedrag na te gaan.
Ook in het openbare leven bestaat het recht op privacy. Organi-
5-Monitoren en
saties mogen niet zomaar bijhouden wat medewerkers, bezoe-
toezicht
kers of klanten doen, ook niet bij privégebruik van internet,
e-mail of telefoon. Dergelijk bijhouden valt namelijk ook onder
de Wet bescherming persoonsgegevens (Wbp), die in het vorige
hoofdstuk is besproken.
Monitoren van werknemers
Bedrijfsmiddelen zoals internettoegang worden beschikbaar gesteld
omdat ze nodig zijn voor het werk. Ze zijn eigendom van de werkgever.
Deze mag dus regels stellen aan het gebruik van die middelen, en nagaan
of mensen zich daar wel aan houden. Maar als het om internettoegang
of computergebruik gaat, dan wordt het lastig: de werknemer heeft recht
op privacy, óók bij privégebruik van computer of internet. Dat betekent
niet dat de werknemer zomaar alles mag – de werkgever mag grenzen,
stellen maar die grenzen mogen niet neerkomen op een totaalverbod van
privégebruik of een absolute bevoegdheid tot persoonsgericht monitoren.
71
 Vandaag de dag zijn de grenzen tussen privé en zakelijk sterk
vervaagd. Werkgevers moeten accepteren dat werknemers pri-
vézaken regelen en hun persoonlijke netwerk onderhouden
onder werktijd. Net zo goed als werknemers moeten accepteren
dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten
kantoor worden aangekeken op hun positie. Dit betekent dat een
werkgever niet zomaar privégebruik van ICT-middelen volledig
kan verbieden. Werknemers mogen een ‘redelijk niveau’ van pri-
vacy verwachten op de werkplek, zo blijkt uit de rechtspraak.
Op scholen gelden vergelijkbare regels. Leerlingen hebben net
als werknemers recht op privacy, ook als ze de schoolcomputers
of het schoolnetwerk gebruiken. De school mag regels stellen,
maar moet daarbij wel het privacybelang van de leerlingen in
het oog houden. Hier is wel een moeilijker spanningsveld: leer-
lingen zijn vaak minderjarig, en de school heeft dan een grotere
zorgplicht, zodat ze eerder gerechtigd kan zijn leerlingen in be-
scherming te nemen tegen ongewenste invloeden van buitenaf.
Legitiem doel
Het bijhouden van wat werknemers doen op hun pc of via de bedrijfsin-
ternetverbinding is een verwerking van persoonsgegevens en mag dus al-
leen met een legitiem doel (zie hoofdstuk 4). Daarbij geldt dat de privacy
van de werknemer onder normale omstandigheden boven het bedrijfsbe-
lang gaat. De regel “Privé internetten is verboden” is daarmee niet legitiem,
en zo’n vérgaand verbod mag een werkgever dus niet instellen. Wel kan
hij misbruik van faciliteiten verbieden, of activiteiten die disproportioneel
veel verkeer vergen of schade aan de bedrijfsvoering toebrengen.
Vaak voorkomende legitieme doelen zijn:
• Kosten: internetverkeer kost geld, en voor grote bedrijven
bestaan vaak geen contracten die onbeperkt internetten voor
een vast bedrag toestaan. Privégebruik van internet kan de
72
werkgever dus op kosten jagen. Een ander kostenaspect is
onderhoud: het gebruik van zelf geïnstalleerde software kan
een bedrijfscomputer instabiel maken.
• Beveiligingsrisico’s: een werknemer kan virussen of spyware
downloaden, die gevoelige bedrijfsgegevens in gevaar kunnen
brengen. Via filesharing software kan hij per ongeluk een map
met bedrijfsgegevens delen met de hele wereld. En natuurlijk
kunnen bedrijfsgeheimen (al of niet met opzet) naar derden
worden gemaild of geüpload.
• Public relations: als een werknemer vanaf een bedrijfsnet-
werk of met een zakelijk e-mailadres met anderen
communiceert, zouden anderen kunnen denken dat hij
namens het bedrijf spreekt. Zeker als hij bijvoorbeeld reageert
op een bericht over het bedrijf, of blogt over zijn werk. Maar
ook het op die manier publiceren van smadelijke of racistische
teksten heeft consequenties voor het bedrijf. Het bedrijf mag
de werknemer daar dan op aanspreken.
• Juridische risico’s: een werknemer kan misdrijven plegen of
5-Monitoren en
mensen schade berokkenen vanaf het bedrijfsnetwerk. Denk
toezicht
aan het illegaal verspreiden van muziek of films, of door het
downloaden en installeren van software die niet bedrijfsmatig
gebruikt mag worden.
• Arbeidsconflicten: het bekijken en zeker het binnen het
bedrijf rondsturen van pornografie of racistische teksten of
beeldmateriaal kan de sfeer op de werkvloer negatief beïn-
vloeden. En als iemand de hele dag alleen op internet zit te
surfen en zijn werk niet doet, kan dat kwaad bloed zetten bij
collega’s.
Het spreekt vanzelf dat wanneer een bepaald doel wordt ge-
noemd, de maatregelen ook werkelijk dat doel moeten dienen.
Het lezen van e-mail is moeilijk te verenigen met het doel ‘kos-
ten’, want e-mails zijn zelden zó groot dat ze tot hoge kosten
leiden.
73
 Ook moet de maatregel de minst schadelijke zijn om het doel te
halen. Alle mails lezen voor het geval er mogelijk iemand een
pornofoto rondstuurt, is niet de minst schadelijke. Beter zou zijn
om te wachten tot iemand komt klagen, om vervolgens de mail-
box van de dader te onderzoeken. (In het reglement moet dan
natuurlijk wél vastgelegd zijn dat de werkgever zichzelf dat
recht voorbehoudt.)

Protocol voor privégebruik

Een werkgever moet werknemers vooraf informeren over hoe en wan-
neer er gemonitord wordt. Dit gebeurt meestal door invoering van een
protocol (ook wel ‘Acceptable Use Policy’ of ‘Fair Use Policy’). Hierin
worden algemene regels gegeven over wat wel en niet mag met de be-
drijfspc, bedrijfsmail, internetverbinding en (mobiele) telefoon. Zo kan
een protocol verbieden om een abonnement te nemen op premium SMS-

blijkt dat er zeer overmatig wordt gedownload, het bedrijf per-

diensten, of voorschrijven dat in het buitenland een belkaart wordt ge-

soonsgericht mag kijken wie daarvoor verantwoordelijk is en

bruikt in plaats van de mobiele telefoon.

5-Monitoren en
Een protocol mag privégebruik van ICT-faciliteiten niet volledig die persoon daarop mag aanspreken. Een waarschuwing vooraf

verbieden, maar mag er wel (redelijke) grenzen aan stellen. Vaak
wordt de formulering “mits dit niet storend is voor de dagelijkse
werkzaamheden” gehanteerd. De situaties waarin de werkgever
gericht mag kijken of deze grenzen worden overschreden, moe-
ten expliciet worden genoemd. Zo kan meelezen van e-mail ge-
rechtvaardigd zijn als er klachten komen over beledigende mails
of verzonden spam. Maar dit is niet de enige mogelijke formu-
lering. Men kan ook een aparte computer inrichten waarmee
men het internet op kan en die niet op het interne netwerk aan-
gesloten is, bijvoorbeeld.
Persoonsgericht monitoren mag alleen bij concrete aanwijzingen
dat die persoon iets fout doet, en als het hoe en wat is gedocu-
menteerd in het IT-reglement. Zo kan bijvoorbeeld worden vast-
gelegd dat wanneer uit het maandelijks dataverkeer-rapport
toezicht
aan de hele afdeling dat er te veel gedownload is en dat men
vanaf de volgende werkdag persoonsgericht gaat monitoren is
dan wel zo netjes.
Een bedrijf met meer dan 50 medewerkers is wettelijk verplicht
een ondernemingsraad (OR) in te stellen. Eén van de taken van
die OR is toezien op de privacy van medewerkers. Omdat een
internet/e-mailprotocol over privacygevoelige zaken gaat, is in-
stemming van de OR verplicht bij het invoeren van zo’n protocol.
Los daarvan moet het protocol natuurlijk altijd aan alle mede-
werkers beschikbaar worden gesteld. Bij scholen vervult de me-
dezeggenschapsraad (MR) een vergelijkbare rol; deze heeft dus
instemmingsrecht. Wanneer de regels uit het protocol ook over
leerlingen gaan, is instemming van specifiek de leerlingen uit
de MR vereist.

74 75
 Werkgeversorganisatie VNO-NCW heeft een modelgedragscode
voor het gebruik van (mobiele) telefoon, internet, e-mail, en an-
Beperkt monitoren

dere huidige en toekomstige elektronische informatie- en com-

Het monitoren en met name het loggen moet zo veel mogelijk worden

municatiemiddelen opgesteld. Deze gaat uit van het standpunt

beperkt. Een organisatie mag alleen monitoren wat strikt noodzakelijk

dat privégebruik van elektronische communicatiemiddelen in

is om het aangekondigde doel te realiseren. In de praktijk betekent dit

zekere mate toegestaan is, mits dit niet storend is voor de dage-
dat monitoren en loggen van internet- of computergebruik zo veel mo-

lijkse werkzaamheden en mits wordt voldaan aan de overige

gelijk anoniem moet gebeuren. Pas als daarna wangedrag boven tafel

voorwaarden van deze modelgedragscode. Uitgaan van deze

komt, is het toegestaan uit te zoeken wie daarvoor verantwoordelijk is.

modelcode is zeer aan te bevelen voor bedrijven die eigen ge-

Wel moet de werkgever daarbij uitkijken dat andere werknemers niet

dragscodes of reglementen willen ontwikkelen.

onnodig ook gemonitord worden. Zo mocht een vervoersbedrijf van de
rechter niet zomaar al haar medewerkers heimelijk filmen omdat er
klachten waren van klanten over enkele chauffeurs.

De privacywet is alleen van toepassing wanneer bij het monito-

Monitoren van social media

ren gegevens van individuele gebruikers worden vastgelegd en

Een protocol kan ook regels stellen aan het gebruik van sociale media,

voor de werkgever toegankelijk gemaakt worden. Geanonimi-

zoals Twitter, Facebook of Google+. Wel moet er dan natuurlijk een re-

seerd monitoren of geautomatiseerd ingrijpen op basis van me-

delijk belang zijn voor de werkgever om iets te mogen zeggen over wat

tingen is privacytechnisch nooit een probleem. Wel is het bij

werknemers twitteren of Facebooken. Dit belang moet te herleiden zijn

ongebruikelijke vormen van monitoren verstandig om te melden

tot het werk: werknemers kunnen bedrijfsgeheimen onthullen door bij-

5-Monitoren en
dat dit gebeurt.
voorbeeld een voorgenomen fusie op Facebook te melden, of arbeids-

toezicht
conflicten veroorzaken door te twitteren dat een collega onfris ruikt.

Zo mag een bedrijf van de privacywet elke mail van of naar een
Maar ook het vragen beantwoorden over producten of diensten kan het

medewerker scannen op virussen, en zelfs gedetecteerde virussen

bedrijfsbelang raken: dergelijke communicatie wordt toegerekend aan

automatisch verwijderen of de mails in een aparte mailbox plaat-

het bedrijf, en kan het bedrijf dus binden aan bijvoorbeeld een toege-

sen. Bij dergelijk handelen krijgt immers geen mens zelf de mail
zegde schadevergoeding of vervangend product.

Dergelijke regels leveren een beperking van de vrije meningsui- te zien, en medewerkers kunnen zelf nagaan wat er gebeurt. De
ting van de werknemer op, maar dat is legaal. De werknemer privacy van de medewerkers blijft dan gewaarborgd. Zouden
kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar twijfelachtige mails worden doorgestuurd naar een manager voor
de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. handmatige controle, dan ontstaat wel een privacyschending.
Zo kan een werkgever een werknemer niet verbieden zijn me-
ning over zijn favoriete voetbalclub te uiten, behalve wellicht
wanneer hij bij een concurrerende club werkt. Een werknemer
bij een bank mag niet zomaar zeer negatieve artikelen over het
Blokkeren

bankwezen publiceren. Ook niet als hij dat doet ‘op persoonlijke
Een alternatief voor controleren is blokkeren. Zo kan het installeren van

titel’, terwijl de bedrijfsnaam erbij staat.

software door werknemers technisch onmogelijk gemaakt worden. Voor
het werk niet relevante sites (zoals Hyves) kunnen op een zwarte lijst

76 77
 Natuurlijk is zo’n blokkade te omzeilen. Door een proxy te ge-
bruiken, kunnen werknemers sites bezoeken ondanks het filter.
En door het administrator-wachtwoord te kraken, kan software
worden geïnstalleerd terwijl dat niet de bedoeling was. Derge-
lijke handelingen zullen in het bedrijfsreglement over internet-
gebruik meestal verboden zijn, en soms zelf strafbaar (zoals het
kraken van een wachtwoord). Wie een dergelijke regel over-
treedt, hoeft bij de rechter op weinig sympathie te rekenen.

Geheimhouding voor systeembeheerder

De systeembeheerder of IT-afdeling kan technisch heel veel. Alle e-mail
lezen, alle bestanden op netwerkschijven openen en met een beetje moeite
zelfs meelezen met elke chatconversatie via bijvoorbeeld MSN. Dat mogen
zij echter niet zomaar. Het Wetboek van Strafrecht verbiedt beheerders
van een netwerk om opzettelijk en wederrechtelijk kennis te nemen van
vertrouwelijke communicatie van gebruikers. Dit geldt zowel voor publieke
netwerken als voor private netwerken (zoals bedrijfsnetwerken).

5-Monitoren en
Berichten inzien mag alleen als dat strikt nodig is voor de goede
worden gezet zodat werknemers daar niet bij kunnen. Ook kan men het

toezicht
werking van het netwerk. Denk bijvoorbeeld aan een mailserver
installeren van ongewenste software bemoeilijken. Dat is in principe toe-

die niet goed functioneert vanwege een e-mail met een gigantische
gestaan, omdat dit de privacy van werknemers niet raakt. Het kan na-

bijlage. Dan zal de beheerder de mail moeten lezen om te kijken

tuurlijk wél kwaad bloed zetten: mensen willen even hun privémail bij

wat er aan de hand is. Hij is dan wel tot geheimhouding verplicht
Gmail controleren of krabbelen dat het wat later wordt, en dat mag dan

over de inhoud. Ook bij zaken als een abnormaal hoog dataverkeer
niet. Uit onderzoek blijkt ook dat beperkt privégebruik van internet de

is het natuurlijk toegestaan om te kijken wat dit veroorzaakt.

productiviteit juist positief beïnvloedt. Het al te streng blokkeren van
websites of diensten lijkt dan ook niet echt raadzaam.

Een bedrijf moet wel nagaan hoe de verboden zich onderling

verhouden. Een verbod op gebruik van Gmail in combinatie
Doorzoeken van de bedrijfspc

met verboden op het gebruik van de zakelijke mail voor privé-

Medewerkers kunnen ziek worden, op staande voet ontslag krijgen of

doeleinden is bijvoorbeeld zeer dubieus. Zo is het onmogelijk

om andere redenen niet beschikbaar zijn. Omdat het werk door moet

om even snel een privémailtje te versturen, ook als dat geen

gaan, is het dan vaak nodig toegang te krijgen tot diens computer of

enkel probleem zou moeten zijn (bijvoorbeeld de partner melden

bestanden omdat alleen daar de benodigde informatie te vinden is.

dat het later wordt vandaag).

Daarbij speelt echter het probleem dat er ook informatie opgeslagen kan
zijn die privé is. Denk aan privémails in de map ‘Verzonden’, of aan pri-
véfoto’s gemaakt tijdens een dienstreis.

78 79
 De werkgever dient zich in te spannen om niet nodeloos derge-
lijke gegevens te onderzoeken. Het is daarom een goed idee om
werknemers aan te raden privébestanden in een aparte map te
laten stoppen, die dan ook het woord ‘privé’ in de naam moet
hebben. Zo weet de werkgever dat daar niets werkgerelateerds
te vinden is. Voor mail kan ook een aparte map worden gehan-
teerd, of kan worden gekozen voor het woord ‘privé’ in de on-
derwerpregel. Ook dit helpt de werkgever onderscheid te
maken.
Een andere manier om de privacy van de werknemer te bescher-
men, is niet één persoon het doorzoeken uit te laten voeren, maar
twee. Dit zouden bijvoorbeeld de beoogde vervanger van de
werknemer en de privacy officer van het bedrijf kunnen zijn, of
de afdelingschef en een lid van de OR. Bij twee personen is de
kans klein dat zij gaan snuffelen in evident niet relevante
bestanden.
Ook kan een bedrijf de regel hebben dat de secretaresse of col-
lega geautoriseerd moet zijn tot het lezen van mail en/of kalen-
der. Dit is toegestaan, mits ook hier een manier wordt verzonnen
om de privacy te waarborgen. Zo bieden de meeste gedeelde ka-
lenders (zoals Exchange) de mogelijkheid om afspraken als privé
te markeren, waarna ze niet meer voor andere gebruikers van
de gedeelde agenda leesbaar zijn, maar de beschikbaarheid an
sich nog wel te achterhalen is.
Sancties bij overtreding
Wanneer een werkgever regels stelt via een protocol kan hij sancties
verbinden aan het overtreden van deze regels, zoals een waarschuwing,
schorsing of ontslag. De betreffende sanctie dient wel noodzakelijk en
gepast te zijn bij de ongewenste situatie. Iemand meteen ontslaan is
meestal geen gepaste maatregel bij overtreding van het reglement. Zeker
voor werknemers met een goede staat van dienst zou een eenmalige
80
overtreding geen ontslag, laat staan op staande voet, tot gevolg moeten
hebben. Een waarschuwing of berisping is dan meer op zijn plaats. Gaat
hij daarna verder met hetzelfde gedrag, dan behoort ontslag wél tot de
mogelijkheden.
Toen internet nog een nieuw fenomeen was voor veel bedrijven,
werd misbruik van de internetfaciliteiten streng bestraft. Enkel
het bezoeken van een privésite kon al reden zijn voor ontslag,
soms zelfs op staande voet. Tegenwoordig is de rechter lang
niet meer zo makkelijk in het toekennen van een ontslag op der-
gelijke gronden.
Uit de rechtspraak blijkt dat de rechter vooral kijkt naar de
schade die de werknemer aanrichtte en in hoeverre het invloed
had op het werk. De hele dag gigabytes porno downloaden is
duidelijk niet de bedoeling. Collega’s daarmee lastigvallen al he-
lemaal niet. Ontslag op staande voet daarvoor is een gepaste re-
5-Monitoren en
medie, zo vindt de arbeidsrechter. Maar op een rustig moment
toezicht
je privémail controleren of om half vijf op Buienradar kijken of
je droog thuiskomt met de fiets doet niemand kwaad en kan en
mag dus geen probleem zijn.
Cameratoezicht in de openbare ruimte
Cameratoezicht en filmen van mensen op straat, in winkels en andere
openbare locaties gebeurt steeds vaker. Meestal aangekondigd, maar
soms ook wel in het geheim. Omdat dergelijk filmen een inbreuk op de
relationele privacy (zie hoofdstuk 4) kan zijn, is cameratoezicht onder-
worpen aan wettelijke regels. Daarnaast valt cameratoezicht onder de
Wbp, indien de beelden gestructureerd toegankelijk worden opgeslagen.
De belangrijkste regel uit het Wetboek van Strafrecht is dat ca-
meratoezicht en filmen met een aangebrachte (vaste) camera al-
leen mag als dat duidelijk is aangekondigd. Met een handcamera
81
 mag je wel filmen (of fotograferen) op de openbare weg, ook hei-
melijk. De aankondiging wordt meestal verricht door een bordje
bij de ingang op te hangen. Ook een mededeling op een uitno-
diging of ticket wordt wel gebruikt. De aankondiging hoeft ech-
ter niet per se schriftelijk te zijn. Sommige winkels hangen
bijvoorbeeld een monitor net na de ingang waarop te zien is wat
de beveiligingscamera’s filmen. Ook zo kun je mensen informe-
ren dat er camera’s hangen. En als de camera zelf duidelijk zicht-
baar is, dan is een apart bordje niet meer nodig (mits je de
camera maar kunt zien vóórdat je in beeld komt).

De wet regelt cameratoezicht in de openbare ruimte. Dat is niet

alleen de openbare weg. Ook winkels, horeca, parkeerplaatsen,
casino’s en dergelijke vallen hier onder. Dit is weliswaar privé-
terrein en eigendom van de winkelier of uitbater, maar zij stellen
hun terrein open voor het publiek en daarmee is de ruimte
‘openbaar’ in de zin van de strafwet. Of je nu moet betalen of
niet, of bijvoorbeeld minstens 18 moet zijn om naar binnen te

5-Monitoren en
mogen, is dan verder irrelevant.

toezicht
Meeluisteren bij cameratoezicht

Voor overheidsinstanties gelden andere regels. De politie mag

Steeds meer camera’s zijn ook uitgerust met microfoons. Een microfoon

mensen heimelijk filmen of fotograferen in het kader van een

die alleen gebruikt wordt om de camera te activeren bij ongewoon ge-

strafrechtelijk onderzoek. Zij hebben hiervoor goedkeuring

luid is juridisch geen probleem. Maar wanneer het opgevangen geluid

nodig van de officier van justitie. Ook de AIVD en andere ge-

wordt opgeslagen of de beveiligingsmedewerker meeluistert, wordt het

heime diensten mogen mensen heimelijk filmen. Een gemeente

lastiger. Het is immers verboden (zie hoofdstuk 3, sectie Opnemen van

mag cameratoezicht gebruiken als dat noodzakelijk is om de

gesprekken) om een gesprek op te nemen of af te luisteren waar je geen

openbare orde te handhaven.

deelnemer aan bent. En dat is precies wat er gebeurt als een camera
met microfoon wordt gebruikt.

Deze vorm van cameratoezicht mag alleen plaatsvinden op plaat-
sen die voor een ieder toegankelijk zijn, zoals het stadscentrum
of openbare parkeergelegenheden. Bovendien moet een ge-
meente in haar Algemene Plaatselijke Verordening (APV) regelen
wanneer en hoe cameratoezicht zal plaatsvinden.
Expliciet uitgezonderd van dat verbod op afluisteren is opnemen
van gesprekken dat gebeurt door de eigenaar van de woning of
bedrijfsruimte, mits de microfoon daar niet verstopt is. Zolang
de microfoon dus maar zichtbaar is, is er geen sprake meer van
een strafbaar feit.

82 83

Cameratoezicht in private ruimte
Fotograferen of filmen in eigen huis of tuin of binnen een bedrijfsruimte
valt niet onder bovenstaande regeling. Deze ruimten zijn immers niet
voor het publiek toegankelijk. Hier stelt de wet strengere regels. Elk op-
zettelijk filmen of fotograferen is verboden als dit niet aangekondigd is.
Het maakt daarbij niet uit of de camera ergens aangebracht is of vast-
gehouden wordt door de fotograaf of cameraman. Het in bezit hebben
van een foto of film die op die verboden manier is gemaakt, is zelf ook
verboden.
Het verbod van filmen in privéruimtes is gebaseerd op het feit
dat onaangekondigd filmen een schending van de privacy van
de gefilmde personen is. Dat betekent dat wanneer er geen
sprake is van een privacyschending, het filmen toegestaan is.
Dit is van belang bij inbrekers, dieven en andere personen die
zelf wederrechtelijk een locatie betreden. Dergelijke personen
kunnen geen aanspraak maken op eerbiediging van hun privacy,
en kunnen dus geen bezwaar maken tegen cameratoezicht. Ook
niet als de camera er in strijd met de wet hangt.
Het publiceren op internet van de beelden is een ander verhaal:
het aan de schandpaal nagelen van verdachten (of zelfs veroor-
deelde criminelen) is eigenlijk altijd verboden. En de grens
tussen het opsporen van een verdachte en het aan de schandpaal
nagelen is erg dun.
Cameratoezicht op het werk
Een bijzonder geval van cameratoezicht in besloten ruimtes is het ge-
bruik van een verborgen camera op het werk. Meestal gebeurt dit in het
kader van een onderzoek naar onregelmatigheden, zoals bijvoorbeeld
diefstal uit het magazijn. Als er duidelijke aanwijzingen zijn van betrok-
kenheid van bepaalde personeelsleden, mag de werkgever met verbor-
gen camera’s proberen deze betrokkenheid vast te leggen.
84
Daarbij gelden drie belangrijke beperkingen:
1. De werkgever mag alleen specifiek die werknemers filmen
die mogelijk betrokken zijn. Dus niet preventief iedereen.
Dit vereist een afweging tussen de privacy-belangen van de
werknemers en de opsporing van de onregelmatigheden. De
werkgever moet zijn best doen alleen die locaties of die
werknemers te filmen die relevant zijn. Wordt er bijvoor-
beeld gestolen uit het magazijn, dan mag hij een verborgen
camera in het magazijn ophangen. Een camera bij de hoofd-
ingang mag niet om die reden, omdat daarmee veel te veel
mensen heimelijk gefilmd worden.
2. De werkgever moet vooraf hebben gemeld dat er verborgen
camera’s gebruikt kunnen worden (maar natuurlijk niet
waar die staan). Het bedrijfsreglement is een prima plaats,
maar een duidelijk zichtbaar bord bij de personeelsingang is
ook goed. De OR heeft wel instemmingsrecht over het ge-
bruik van verborgen camera’s.
3. Het middel moet proportioneel zijn. De werkgever moet
5-Monitoren en
aantonen dat er geen andere oplossing was dan het gebruik
toezicht
van verborgen camera’s. Voor bijvoorbeeld het voorkomen
van diefstal zou een detectiepoortje bij de personeelsuitgang
soms ook kunnen werken.
Cameratoezicht bij de buren
Een camera van een private partij mag in beginsel alleen de eigen ruimte
filmen, dus wel de tuin en de carport maar niet de openbare weg. Enige
overlap zal onvermijdelijk zijn. Bij het filmen van een carport zal bij-
voorbeeld altijd wel iets van de stoep in beeld komen, maar dat maakt
het cameratoezicht niet meteen strafbaar.
In een Leeuwardse rechtszaak werd bevestigd dat dit ook geldt
voor het filmen van de geparkeerde auto als deze aan de
openbare weg staat. De rechter vond dit geen verboden came-
ratoezicht: “In wezen komt dit gebruik van de camera en het
85

observeren van de auto overeen met hetgeen [de eiser] met het
blote oog zou waarnemen vanuit zijn raam indien hij overging
tot verwijdering van de daarvoor geplaatste bosschage.”
Ethisch verantwoord
Filmen van privéterrein van de buren is echter onrechtmatig
richting de buren. Bij cameratoezicht dient dit dan ook zo veel
D
mogelijk tegengegaan te worden. Moderne camerasurveillance-
systemen hebben hiervoor softwarematige oplossingen, waarbij
een specifiek stuk van het beeld uitgeblokt wordt tijdens het op-
nemen, zodat er in het geheel geen beelden van bijvoorbeeld de
achtertuin van de buren worden vastgelegd maar wél van de ge-
meenschappelijke opgang tussen de tuinen. Daarmee is aan de
wet voldaan.
Een lastig punt is dat de buurman niet kan zien of dat uitblokken
ook werkelijk gebeurt. Zelfs als hij dit zelf mag controleren, kan
de optie natuurlijk vijf minuten later worden uitgeschakeld. Een
praktisch advies is dan ook om een sticker of stuk plakband
over de camera te plakken, of expliciet een plaatje op te hangen
zodat het fysiek onmogelijk is om de betreffende tuin in beeld
te krijgen. Dergelijke oplossingen kunnen grote burenruzies
voorkomen.
86
6
e strafwet geldt voor iedereen. Het zonder toestemming kra-
ken van beveiligingen, inbreken in gebouwen of het weg-
nemen van documenten is verboden, en daarbij maakt het
beroep dat je uitoefent niet uit. Maar onder uitzonderlijke om-
standigheden kan iemand vrijuit gaan met een beroep op de
persvrijheid.
De persvrijheid geldt namelijk voor iedereen, en niet alleen voor
professionele journalisten. Wanneer een publicatie een maat-
schappelijk belang dient en niet verder gaat dan noodzakelijk
voor dat doel, kan het toegestaan zijn om in die publicatie bij-
6-Ethisch verant-
voorbeeld te onthullen dat een bepaald systeem onveilig of lek
woord
is. Ook zou je onder die omstandigheden geheime of ‘gestolen’
informatie kunnen publiceren. Maar of je met een beroep op de
persvrijheid een computersysteem mag platleggen, is een open
vraag.
Vrijheid van meningsuiting
De vrijheid van meningsuiting geldt voor iedereen, want dit is een grond-
recht. Iedereen kan journalistiek bezig zijn, dus niet alleen professionele
journalisten die bij de massamedia werken of een perskaart hebben. De
term ‘persvrijheid’ is dus eigenlijk misleidend: deze vrijheid geldt niet
alleen voor de pers. Bij deze vrijheid hoort ook het onderzoeken van
misstanden en het verzamelen van bewijs en feiten die je wilt publiceren.
87
 De strafwet maakt geen onderscheid tussen journalisten en an-
dere burgers. Iedereen moet zich aan de wet houden. Pas in heel
bijzondere situaties kan een journalist zich beroepen op de vrije
meningsuiting en zo een strafrechtelijke veroordeling ontlopen.
Een camerawagen van de NOS mag bijvoorbeeld niet over de
vluchtstrook omdat de reporters anders te laat zouden komen
bij een nieuwsfeit. Ook de bezitter van een perskaart (eigenlijk
‘politieperskaart’) mag niet meer dan anderen. Het enige bijzon-
dere recht van een politieperskaart is dat de bezitter daarvan op
verzoek vaak toegang kan krijgen tot een plaats delict, als de po-
litie dat gepast acht. Dit omdat hun identiteit en het doel van
hun bezoek dan in voldoende mate vaststaat.

Wie bij een bedrijf werkt, komt soms misstanden tegen. Die pu-
bliekelijk aan de kaak stellen heet klokkenluiden. Ook dit valt
onder journalistiek of vrije meningsuiting, maar het leidt al heel
snel tot juridische problemen. Het publiceren van bedrijfsgehei-
men is immers strafbaar. Ook wordt dan vaak contractuele ge-
heimhouding geschonden. Juridische stappen tegen klokken-
luiders komen dan ook regelmatig voor. Ook klokkenluiders
kunnen zich echter op de persvrijheid beroepen. Wie in aanra-
of de publicatie een ‘publiek belang’ dient, oftewel een bijdrage
aan het publieke debat levert over een ‘maatschappelijk rele-
vante kwestie’. Als de publicatie in dat kader past, zou deze in
principe niet tot een veroordeling mogen leiden. Wel moet de
journalist terughoudend zijn, en met name niet verder gaan dan
noodzakelijk voor die kwestie. Wie bijvoorbeeld wil aantonen
dat fietssloten eenvoudig te kraken zijn, kan dat laten zien met

6-Ethisch verant-
king komt met interne, vertrouwelijke informatie, waarvan de een zelf gekocht slot. Het is voor dit doel niet noodzakelijk om

openbaarmaking een zwaarwegend publiek belang kan dienen,
mag dat doen als er geen effectieve interne wegen zijn om dit
op te lossen en deze werknemer (vrijwel) de enige is die iets
kan doen. Hij mag dan zelfs eventuele geheimhoudingsclausules
in zijn contract negeren – mits het publiek belang daar zwaar-
wegend genoeg voor is.
woord
bij het station tientallen sloten te kraken van fietsen van wille-
keurige derden. Gaat het om het slot van een fietsenstalling dan
kan de onveiligheid alleen worden aangetoond door specifiek
dat slot te kraken.
Aan de kaak stellen van misstanden
Een belangrijke taak van journalisten is het aan de kaak stellen van mis-

Omdat de afweging tussen strafwet en persvrijheid sterk verwe-

standen. Soms is het daarbij nodig om strafbare feiten te plegen, omdat

ven is met de omstandigheden van het specifieke geval, is het

anders de misstand niet kan worden aangetoond. In dergelijke gevallen

erg moeilijk een harde regel te geven wanneer je nu wel of niet

kán de persvrijheid de strafwet opzij zetten. Vereist is dan dat sprake is

mag publiceren over fouten of lekken. Heel algemeen is de vraag

van een maatschappelijk relevante kwestie waarbij het misdrijf niet ver-
der gaat dan noodzakelijk voor het journalistieke doel van de journalist.

88 89
 Publiceren over lekken of zwakheden in de beveiliging van com-
puters of netwerken dient het algemeen belang, en is dus in prin-
cipe toegestaan als daarbij geen details worden gegeven over
hoe de fout kan worden misbruikt. De publicatie mag namelijk
niet neerkomen op een eenvoudig stappenplan of een handlei-
ding voor misbruik. Het tijdschrift Computer idee werd ooit ver-
oordeeld omdat ze in detail uitlegden hoe gratis Canal+
betaaltelevisie kon worden gekeken zonder te betalen. Zo’n
handleiding bevat veel meer informatie dan nodig is voor het
melden van een misstand en is om die reden strafbaar.
In 2008 stonden onderzoekers van de Universiteit Nijmegen bij
de rechter vanwege een publicatie over fundamentele zwakhe-
den in de OV-chipkaart. Hun publicatie werd niet verboden, on-
danks de schade die volgens chipfabrikant NXP dreigde als het
publiek deze zwakheden te weten zou komen. Volgens de rechter
bevatte het artikel “een in hoge mate theoretische beschrijving,
maar ... in ieder geval zeker niet een praktische handleiding voor
het kraken en klonen van de chip.” Een beschrijving op hoog ni-
veau is dus niet verboden. Maar hoe praktischer je de beschrij-
ving maakt, hoe riskanter de publicatie wordt.
Verder gaan dan nodig
Een andere belangrijke eis is dat de journalist niet verder mag gaan dan
nodig is voor het bewijzen dat de misstand bestaat. Het onderzoek moet
gericht zijn op het verzamelen van dat bewijs, en niet meer. Als het on-
derzoek impact heeft op een ander, moet de journalist nadenken hoe hij
die impact kan beperken.
Wie bijvoorbeeld wil onderzoeken of een gekraakte OV-chip-
kaart herkend wordt bij het inchecken, reist formeel gesproken
zwart en dat is een misdrijf. Door echter eerst in te checken met
een echte OV-chipkaart, en pas daarna ook de gekraakte kaart
in te checken, reis je legaal.
90
Een voorbeeld van hoe het niet moet, is een journalist die wilde
aantonen dat er een gat in het bancaire systeem van automatische
incasso zat, waarmee kwaadwillenden zonder enige controle geld
konden incasseren. Daarbij had hij maar liefst € 739.435,80 geïn-
casseerd van tientallen partijen. Dat ging de Hoge Raad te ver.
De journalist had met name ook met een kleiner bedrag kunnen
werken om zijn punt te maken. Dat het hier ging om geld dat bij
willekeurige mensen werd afgeboekt en niet bij kennissen die hij
had kunnen vragen om medewerking, woog ook zwaar mee.
Nieuwe Revu zocht de grens op bij een onderzoek naar het kraken
van de privémailbox van de staatssecretaris van Defensie. Daarbij
werd een botnet van 14.000 computers ingezet om het wachtwoord
te raden (‘brute forcen’). Dat mocht: het testen van dat wachtwoord
was maatschappelijk relevant, omdat dit in een tijd gebeurde dat
diverse buitenlandse bewindspersonen in het nieuws waren geko-
men omdat ze zwakke wachtwoorden gebruikten. De Revu-jour-
nalisten werden echter wél veroordeeld voor het snuffelen in de
mailbox nadat het wachtwoord was gekraakt. Immers, als je punt
is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is
het niet nodig om zijn mail te lezen - laat staan daaruit te citeren.
6-Ethisch verant-
woord
Wie dus mogelijk strafbare handelingen gaat verrichten in het kader
van een nieuwswaardig item, moet in ieder geval kunnen aantonen
dat die handelingen absoluut noodzakelijk zijn om de waarheid
boven water te krijgen. Ook is het verstandig alles te doen waarmee
schade bij het onderwerp van het onderzoek vermeden wordt.
Publiceren van gelekte geheimen
Het grote nieuws van 2010 was klokkenluidersite Wikileaks, die beschikte
over honderdduizenden gelekte staatsgeheime berichten van de Amerikaanse
overheid. Wikileaks is uniek, omdat het buitengewoon veel documenten
heeft en daar regelmatig uit put om nieuwswaardige onthullingen te doen.
91
 Het aan de kaak stellen van misstanden bij overheden kan een
grond zijn om geheime documenten te lekken. Zo stond het Eu-
ropese Hof voor de Rechten van de Mens (EHRM) toe dat een
krant interne stukken van het Moldavische Openbaar Ministerie
publiceerde om zo duidelijk te maken dat daar een corrupte
officier actief was. Dat is een zwaarwegend belang in een de-
mocratie, dus daar mag men over schrijven. Een jaar later
bepaalde het Gerechtshof Amsterdam dat het publiceren van
staatsgeheime documenten niet per se strafbaar is als dit gebeurt
door personen die aan een maatschappelijk belangrijke zaak
werken (in dit geval ging het om gelekte staatsgeheimen). Het
Hof bepaalde:
Aangezien een journalist, afhankelijk van de omstandigheden van het
geval, aanspraak kan maken op de in artikel 10, eerste lid, [van het Eu-
ropees Verdrag voor de Rechten van de Mens] gewaarborgde vrijheid
van informatieverstrekking, ook indien hij weet, of redelijkerwijs moet
vermoeden, dat zijn publicatie gegevens bevat die onder een wettelijke
geheimhoudingsplicht vallen, kan uit diens publiceren van gegevens
die (in enige gradatie) als ‘staatsgeheim’ zijn bestempeld niet zonder
meer het ernstige vermoeden worden afgeleid dat hij een gevaar vormt
De website Flitsservice.nl mocht van de rechter foto’s van flit-
sende agenten publiceren, maar moest hun gezichten onherken-
baar maken en hun namen verwijderen. De foto’s droegen bij
aan het debat over of flitsen nu wel of niet zinvol is en hoe de
politie dit werk uitvoerde, maar de identiteit van de betrokken
agenten is in dat debat natuurlijk irrelevant. Zou een publicatie
gaan over misdragingen door een specifieke agent, dan kán pu-
blicatie van diens foto relevant zijn. Het moet dan wel een ernstige
misdraging zijn, en het moet vaststaan dat het deze agent was.
Melden van beveiligingsfouten
Veel softwareleveranciers hebben een erg slechte reputatie als het gaat
om het repareren van beveiligingsfouten. Om hen wat meer onder druk
te zetten, worden berichten over dergelijke fouten vaak voorzien van
zogeheten ‘exploits’, programmaatjes die de fout exploiteren. Hiermee

6-Ethisch verant-
voor het voortbestaan van de democratische rechtsorde, dan wel voor

woord
de veiligheid of voor andere gewichtige belangen van de staat.

Nu mag iedereen zich ‘journalist’ noemen, maar deze uitspraak

betekent nog niet dat iedereen zomaar geheime documenten
mag publiceren onder het motto “ik breng nieuws”. Het is es-
sentieel dat de publicatie een maatschappelijk relevant doel
dient, dat daarbij het onthullen van de geheime informatie on-
vermijdelijk is en dat de eventuele schade niet opweegt tegen
het nieuwsbelang. Publiceren van de namen of thuisadressen
van politieagenten dient bijvoorbeeld geen relevant doel en richt
potentieel grote schade aan bij deze agenten. Dit is dan ook niet
toegestaan.

92 93

kan de gebruiker bijvoorbeeld systeembeheer-privileges krijgen, ander-
mans bestanden inzien of een computer laten crashen. Het idee is dat
de leverancier na die publicatie niet langer kan ontkennen dat het pro-
bleem bestaat. Ook zal hij nu snel met een oplossing voor het probleem
moeten komen, omdat anders zijn klanten nadeel zullen ondervinden
en dus zullen gaan klagen.
Veel exploits worden echter niet alleen gebruikt om een onwil-
lige leverancier te overtuigen. Ze zijn ook een handig startpunt
voor vandalen die andere gebruikers lastig willen vallen. Er
hoeft immers nauwelijks nog werk verricht te worden;
download een exploit, kies het IP adres van je slachtoffer en je
bent binnen. En als het niet werkt, download je gewoon de vol-
gende tot het wel werkt. Het publiceren van zulke exploits is dan
ook een riskante onderneming. Een ‘disclaimer’ waarin men
meldt “Deze exploit mag alleen voor legale toepassingen wor-
den gebruikt” verandert daar weinig aan.
Sommige bedrijven reageren fel op mensen die beveiligingsfou-
ten melden: ze dreigen met rechtszaken of aangifte wegens com-
putervredebreuk nadat iemand heeft ontdekt dat hun
beveiliging niet op orde was. Het zal echter niet snel gebeuren
dat iemand daadwerkelijk vervolgd wordt voor het ontdekken
en rapporteren van een fout, zolang de fout niet is misbruikt en
de ontdekker geen schade heeft veroorzaakt.
Zo had een cursist eens ontdekt dat het e-learning systeem dat
hij gebruikte een fout had. Hierover werd de leverancier zelfs
zo kwaad dat hij een rechtszaak aanspande. Maar de rechter
wees de eis af: “Om te beginnen is voldoende aannemelijk dat
in dit geval sprake is van een goedbedoelde en onschuldige
actie, juist gericht op het behartigen van het belang van de eiser
die dit zeer wel zó kon begrijpen en er zó ook profijt van had
kunnen hebben.”
94
Wie een fout ontdekt, en het betrokken bedrijf daarover inlicht,
wil nog wel eens een beloning krijgen. Sommige bedrijven (zoals
Microsoft en Google, en in Nederland internetprovider XS4All)
hanteren dit als standaardbeleid. Een beloning geven is echter
bepaald niet verplicht. Het actief hengelen naar een beloning is
zeer dubieus: het kan worden gezien als chantage (“Ik heb een
beveiligingslek ontdekt, betaal me 10.000 euro anders publiceer
ik”). Ook de handel in informatie over fouten bevindt zich in een
grijs gebied. Wie geld wil verdienen met het ontdekken van be-
veiligingsfouten, kan beter bij een beveiligingsbedrijf werken dat
ingehuurd wordt door bedrijven die zich zorgen maken over
fouten in hun producten.
Responsible disclosure
Om het publiek te waarschuwen, en de leverancier nog wat meer onder
druk te zetten, kan de ontdekker van een fout de details publiceren over
hoe de fout precies kan worden misbruikt. In het verleden werd daarmee
vaak gewacht tot de leverancier de fout hersteld had, om zo misbruik
van de publicatie te voorkomen. Helaas bleken leveranciers nogal eens
hun tijd te nemen, of hielden ze fouten zelfs bewust onder de pet. Om
6-Ethisch verant-
deze praktijk tegen te gaan, is op zeker moment het alternatief van ‘full
woord
disclosure’ in zwang geraakt. Daarbij worden de volledige details van
een fout gepubliceerd. De gedachte hierachter is dat de publicatie de le-
verancier dwingt tot reageren (en herstellen), omdat zijn klanten nu
kwetsbaar zijn geworden.
Omdat sommige fouten grote impact kunnen hebben en niet
alles meteen te repareren is, kan full disclosure leiden tot grote
schade. Bij wijze van compromis is het concept van ‘responsible
disclosure’ ontstaan: de ontdekker meldt eerst het bedrijf waar
de fout zit en geeft ze een redelijke termijn om deze te herstellen.
Pas na die termijn publiceert de ontdekker zijn bevindingen –
maar dat doet hij óók als het bedrijf niet heeft gereageerd of niet
met een oplossing voor de fout kan of wil komen.
95
 De grote vraag bij responsible disclosure is natuurlijk hoe lang
je moet wachten. Dit zal sterk afhangen van de aard van de fout
en de tijd die nodig is voor herstel. Securityonderzoeker Dan
Kaminsky ontdekte in februari 2008 een grote fout in het Domain
Naming System (DNS) die iedereen in staat zou stellen inter-
netverkeer om te leiden naar malafide sites. Hij stelde eerst in
het geheim enkele betrokken partijen op de hoogte, zodat deze
hun software konden aanpassen. Pas na enkele maanden publi-
ceerde hij op de Black Hat-conferentie zijn bevindingen. De Nij-
meegse onderzoekers wachtten zelfs zes maanden met publice-
ren van de door hen gevonden zwakheden in de Mifare classic
chip op de OV-chipkaart. Maar er zijn ook onderzoekers die al
na enkele weken hun bevindingen publiceren.
De wet schrijft geen procedure voor. Het is niet verplicht een fa-
brikant of ontwikkelaar te informeren over een fout, en ook niet
om te wachten tot deze meldt een oplossing voor de fout te heb-
ben. De rechter zal alleen onderzoeken of de gevolgde procedure
96
zorgvuldig is: hoeveel moeite was het om de fabrikant te con-
tacteren, was daar een snelle reactie van te verwachten en hoe
belangrijk was het om het publiek te informeren voordat de fout
was hersteld? Ook zal de mate van gepubliceerd detail meewe-
gen. Publicatie van een theoretische analyse zonder concrete ex-
ploit is minder snel een probleem dan publicatie van alleen een
stuk software dat de fout misbruikt.
Een praktische vuistregel is dat een publicatie van een exploit
enkele irrelevante technische details zou moeten weglaten of
veranderen, zodat deze niet direct bruikbaar is voor iedereen.
Ook zou een exploit eigenlijk alleen op relatief onschuldige wijze
moeten laten zien dat het lek bestaat. Een exploit die aantoont
dat willekeurige commando’s onder Windows kunnen worden
uitgevoerd, kan dat prima demonstreren door het Kladblok te
starten in plaats van de System32 directory te wissen. Deze
vuistregel werkt niet altijd, en slimme hackers kunnen de exploit
vast ombouwen tot iets schadelijkers, maar zo heb je in ieder
geval gedaan wat je kon om de schade te beperken.
6-Ethisch verant-
Onderzoeken van software
woord
Reverse engineeren is een algemene term voor het uit elkaar halen van
een product (of software) om te zien hoe dit opgebouwd is of hoe het com-
municeert met andere producten. Specifiek voor software worden ook wel
termen als disassembleren of decompileren gebruikt, maar uiteindelijk ko-
men ze op hetzelfde neer: de software wordt uit elkaar geplozen en ge-
analyseerd om te zien hoe deze werkt. Omdat hierbij een kopie van de
software wordt gemaakt, valt dit in principe onder het auteursrecht.
Het is toegestaan om te achterhalen hoe dingen werken. Wie wil
weten welke signalen een sensor afgeeft, mag gerust met de mul-
timeter aan de slag. En het openschroeven van een televisie om
te zien hoe deze er van binnen uitziet, is ook legaal. De garantie
vervalt natuurlijk wel, maar dat terzijde. Voor software ligt dit
97
 iets moeilijker: bij reverse engineeren moet je vaak de software
uitvoeren (al dan niet in een debugger of andere speciale omge-
ving) om te kunnen zien wat deze doet. Deze handelingen vallen
echter onder het auteursrecht, en mogen dus in principe alleen
als men de voorwaarden van de bijbehorende licentie naleeft.
Die verbiedt meestal het onderzoeken of reverse engineeren van
de software.
(bijvoorbeeld een eigen afspeelsysteem aansluiten op het
beveiligde Blu-Ray disc systeem) of zelfs als de beveiliging ten
onrechte legale handelingen tegenhoudt. Het is nog onduidelijk
of dit wettelijk verbod houdbaar is, omdat het wel érg ver gaat,
maar het reverse engineeren van dergelijke beveiligingen is
juridisch daarmee zeer riskant.

De Auteurswet bepaalt op grond van Europese regels echter dat

Opruimen van malware

reverse engineeren legaal is om de achterliggende ideeën te ach-

Het Team High Tech Crime, een speciale afdeling van de politie, baarde in

terhalen, of om interoperabiliteit van onafhankelijk gemaakte

2010 opzien met hun actie tegen het Bredolab-botnet. Men slaagde erin

software tot stand te brengen met de software die je wilt reverse

toegang te krijgen tot de command & control servers van het botnet, en

engineeren. Wie bijvoorbeeld een eigen encryptiemodule wil in-

daarmee kon men de controle overnemen. Het vermoedelijke brein achter

tegreren in Microsoft Outlook, mag daarvoor het mailpro-

het botnet werd ook gearresteerd. Vervolgens vatte men het plan op

gramma onderzoeken om de relevante interfaces te achterhalen

slachtoffers te waarschuwen dat hun pc geïnfecteerd was, en wel door ze

en dit aan de gang te krijgen. Reverse engineeren voor deze doe-

bij het opstarten van hun browser naar een speciale pagina te sturen. Dit

len mag niet worden verboden in de licentie. Staat het er toch,

deden zij door via het botnet binnen te dringen op de besmette computers.

dan is dat een niet-afdwingbare bepaling.

Dat is in theorie een vorm van computervredebreuk, want er was geen
toestemming van de eigenaren om op die pc die boodschap te deponeren.

Een beperking is wel dat de gegevens niet al snel en gemakkelijk

langs andere weg beschikbaar zijn. Biedt Microsoft dus een offi-

6-Ethisch verant-
ciële interface (‘application programming interface’ of API) om

woord
dit soort modules toe te kunnen voegen, dan hoef je niet meer
te reverse engineeren om die API te achterhalen en dan mag je
ook niet meer reverse engineeren. Ook mogen de gegevens niet
worden gebruikt om een kloon te maken van het origineel. Meer
over de juridische kant van software in ons boek Software: Des-
kundig en praktisch juridisch advies.

Het omzeilen van de beveiliging van software, e-boeken, muziek

en films is apart verboden in de Auteurswet (zie ook hoofdstuk
3). Dit verbod kent geen expliciete uitzondering voor reverse
engineering, ook niet als dat een legitiem doel zou hebben

98 99
 Deze actie was opmerkelijk, omdat het niet echt de bedoeling is
dat de politie zelf misdrijven pleegt. Tegelijkertijd is het wel net-
jes dat de politie je waarschuwt dat er iets mis is met je beveili-
ging en je daardoor slachtoffer van een misdadiger bent
geworden. Vroeger deed men nog wel eens briefjes in de bus of
achter de ruitenwisser met teksten als: “Tijdens uw afwezigheid
stond het keukenraam open” of “Er liggen waardevolle zaken
in deze auto, doe dat nou niet”. Dergelijk handelen zou ook bij
ICT-zaken moeten kunnen.
De wet is niet duidelijk hoe te handelen bij ICT-zaken. Bij
‘gewone’ problemen is het slachtoffer bij de politie bekend (bij-
voorbeeld omdat deze aangifte deed), zodat langsgaan en advi-
seren of meehelpen met het opruimen van de rommel juridisch
geen probleem is. Maar met ICT-zaken zoals deze weet de
politie niet om wie het gaat en is er toch een dringende behoefte
om alle betrokken computers te desinfecteren. Zeker als de
computers overlast bij derden veroorzaken en de eigenaren
zich daar niet van bewust zijn.
We kennen in het recht de constructie van ‘zaakwaarneming‘. Je
mag andermans problemen gaan oplossen als daar een goede
reden voor is en die persoon dat niet zelf kan doen. Als je buren
op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je
de deur forceren en het dier naar een dierenarts of asiel brengen.
Dat is dan geen inbraak maar een gerechtvaardigd binnentreden
op grond van zaakwaarneming. De buurman kan hier geen be-
zwaar tegen maken. Sterker nog, hij moet de rekening van de
slotenmaker betalen die je hielp binnen te komen. De constructie
van zaakwaarneming kan in principe ook gelden bij ICT-zaken.
Er is alleen nog nooit een rechtszaak over geweest, zodat ondui-
delijk is waar de grenzen liggen.
100
Denial of service-aanval als protest
Een (distributed) denial of service- of (D)DoS-aanval is een strafbaar feit
(zie hoofdstuk 2). Hiermee worden websites platgelegd, mailboxen ver-
stopt of de werking van computersystemen geblokkeerd. Meestal ge-
beurt dit vanuit criminele motieven: men wil een concurrent hinderen of
iemand pesten vanwege een ruzie. Ook worden mensen wel afgeperst
met een dergelijke aanval: betaal of we gooien je site plat zodat je omzet
misloopt.
DoS-aanvallen worden echter niet altijd voor criminele doelein-
den uitgevoerd. Met een dergelijke aanval willen mensen soms
alleen een signaal afgeven dat ze het oneens zijn met een bedrijf
of instelling. Zo werden de servers van Mastercard en Visa aan-
gevallen nadat deze bedrijven betalingen aan klokkenluidersite
Wikileaks weigerden te faciliteren. Diverse mensen in Nederland
zijn hiervoor gearresteerd, en in minstens één geval heeft de ver-
dachte zich daarbij expliciet beroepen op de vrijheid van me-
ningsuiting.
De achterliggende gedachte is dat het erg moeilijk is je stem via
internet te laten horen naar zo’n bedrijf, en een demonstratie
6-Ethisch verant-
voor de deur van het hoofdkantoor onpraktisch is om te organi-
woord
seren. Het middel van een DoS-aanval laat luid en duidelijk mer-
ken dat een hoop mensen ontevreden zijn. Wel zal waarschijnlijk
meespelen welke middelen deze mensen inzetten. Als een hoop
mensen vanaf zijn eigen computer een DoS-aanval uitvoert, is
het signaal duidelijk: ze zijn allemaal boos en dat willen ze laten
merken ook. Wanneer een paar mensen een botnet met honderd-
duizenden computers inzetten, is dit standpunt veel moeilijker
te verdedigen. Anders gezegd: als veel mensen gaan demonstre-
ren en daarbij leuzen roepen, blijft dat binnen de grens van een
legitieme meningsuiting. Eén iemand die met een grote geluids-
installatie even veel geluid produceert, kan gemakkelijk over
deze grens gaan.
101
 7
Omdat het middel van een DoS-aanval erg nieuw is, is er nog
geen duidelijkheid of de rechter het beroep zal accepteren. Uit-
gesloten is het niet: als je bij een protest tegen regeringsbeleid de
A4 mag blokkeren met tractoren of bij een staking de ingang van Forensisch onderzoek en rechtszaken
het bedrijf mag barricaderen, waarom zou dan het blokkeren van
een webserver dan niet mogen?

I
n de vorige hoofdstukken zijn vele computermisdrijven en -over-
tredingen aan de orde gekomen. Hiertegen kan de politie in actie
komen. Dergelijke zaken zijn ook aan te pakken als onrechtma-
tige daad, waarbij het slachtoffer zelf bij de civiele rechter de
schade probeert te verhalen op de dader. Bij zowel strafzaken
als civiele procedures is wel bewijs nodig. Dit kan via forensisch
onderzoek worden verkregen, maar daar zitten de nodige haken
en ogen aan. En ook de procedure bij de rechter zelf is niet een-
voudig.

Aangifte doen
Computercriminaliteit is een misdrijf. De politie kan hier onderzoek naar
doen, en bij voldoende bewijs de zaak overdragen aan het OM dat dan

7-Onderzoek en
rechtszaken
de vermoedelijke dader kan vervolgen. Als de rechter overtuigd is van
diens schuld kan de dader bestraft worden met een werkstraf, een boete
of celstraf. Schuldigverklaring zonder straf kan ook, als de rechter vindt
dat de dader een rechtvaardigingsgrond had voor zijn daad.

Een strafrechtelijk onderzoek begint vrijwel altijd met een aan-

gifte. Bij cybercrime gelden geen andere regels dan bij andere
misdrijven. Het slachtoffer moet dus ‘gewoon’ naar het politie-
bureau. Wel is aan te bevelen om vooraf een afspraak te maken,
zodat een agent met de juiste expertise de aangifte kan opnemen.
Helaas blijkt uit de praktijk dat het opnemen van aangiften bij

102 103

complexe ICT-misdrijven lastig is, omdat de vereiste technische
kennis om het bewijs en het misdrijf te begrijpen geen deel is van
de opleiding tot politieagent.
Bij grote of zwaarwegende misdrijven kan het Team High Tech
Crime (THTC) van de Nationale Recherche de zaak in behande-
ling nemen. Dit speciaal voor de bestrijding van cybercrime op-
gerichte team beschikt over bijzondere expertise op het gebied
van ICT. Zij onderzoekt onder meer fraude bij banken en in Ne-
derland actieve botnets, zoals het Bredolabs-botnet (zie hoofd-
stuk 2) dat men wist te ontmantelen. Maar dit team is niet groot
genoeg om alle cybercrime aan te pakken.
Naast aangifte kun je ook een melding doen van een misdrijf.
Een melding start geen strafrechtelijk onderzoek maar kan wel
nuttig zijn voor de politie om een dossier op te bouwen. Bij
zaken als internetoplichting is zo’n dossier belangrijk: één keer
niets leveren is wanprestatie, honderd keer niets leveren is
104
oplichting. Een stapel aangiften of meldingen is nodig, omdat
die stapel het patroon bewijst waaruit blijkt dat de verdachte
geen legitieme bedoelingen had.
Verplicht opnemen
De politie is altijd verplicht een aangifte op te nemen. Men mag niet wei-
geren met bijvoorbeeld als motivatie dat er niet genoeg bewijs is. Maar
men is niet verplicht om tot opsporing over te gaan. De politie of het OM
kunnen besluiten de zaak te seponeren, zoals dat heet. Meestal gebeurt
dat omdat er te weinig aanwijzingen zijn die tot de dader kunnen leiden.
Bij ICT-zaken zijn vaak buitenlandse computers betrokken, wat interna-
tionale samenwerking vereist en dat is complex en tijdrovend.
Als het slachtoffer het oneens is met de beslissing te seponeren,
kan hij via een zogeheten artikel 12-procedure bij het Gerechts-
hof eisen dat alsnog opsporing en vervolging wordt ingesteld.
Het Hof onderzoekt de zaak dan nogmaals en bepaalt of vervol-
ging zinvol is of niet. Een positieve beslissing betekent niet dat
de verdachte schuldig is, maar alleen dat er genoeg bewijs is om
onderzoek te starten en dat het in het algemeen belang is om dit
onderzoek uit te voeren.
Soms worden aangevers naar huis gestuurd met de mededeling
“Dit is een civiele kwestie”. Daarmee bedoelt men dat dit een
7-Onderzoek en
conflict is tussen twee burgers over bijvoorbeeld een contract of
rechtszaken
iets anders dat buiten het strafrecht ligt. Van een website die een
account zomaar sluit, kan geen aangifte worden gedaan. Wie het
daarmee oneens is, moet zelf naar de rechter en toegang
terugeisen. Maar als iemand zich toegang verschaft tot an-
dermans account zonder toestemming van de eigenaar, dan is
dat zonder meer strafbaar. De politie moet de aangifte opnemen
(maar kan vijf minuten later besluiten de zaak toch te
seponeren).
105
 Aangifte niet verplicht
Een slachtoffer van computercriminaliteit is niet verplicht om aangifte te
doen. Afgezien van een paar heel specifieke gevallen (zoals wanneer je
kennis krijgt van geplande aanslagen op regering of koningshuis of van
misdrijven waarbij levensgevaar ontstaat) geldt deze plicht nooit. Het
mág natuurlijk wel. Iedereen mag aangifte doen van strafbare feiten,
ook als hij er niet zelf slachtoffer van is.
Het is niet verboden om een inbreker zijn gang te laten gaan om
zo meer bewijs te verzamelen, maar dit heeft wel het risico dat
hij meer schade aanricht dan gewenst is. Een inbreker zijn gang
laten gaan is echter géén uitlokking (zie ook hoofdstuk 1). De in-
breker is immers al binnen en hij wordt dus niet meer uitgeno-
digd of overgehaald om binnen te dringen. Wie echter snel een
honeypot opzet of wat documentjes voor zijn neus neerzet met
een aanlokkelijke titel, kan in deze situatie wellicht alsnog een
poging tot uitlokking begaan.
Het is toegestaan om bij een inbraakpoging de aanvaller uit het
netwerk te verwijderen, de toegang snel dicht te timmeren en
vervolgens het betrokken systeem meteen geheel opnieuw te in-
stalleren en alle gegevens vanaf reservekopieën te herstellen. Dat
daarbij mogelijk bewijs wordt vernietigd is niet relevant. Een
private partij is niet verplicht om zulk bewijs te bewaren, tenzij
men een vordering van de politie heeft gehad om bepaalde data
te verzamelen en/of te bewaren en aan hen te geven. Het is ech-
ter wel verstandig eerst goed na te denken of het mogelijke be-
wijsmateriaal later misschien nog nodig is in het geval er
aangifte gedaan gaat worden.
Schadevergoeding van de dader
Een bedrijf dat schade heeft geleden door computercriminaliteit, kan
deze verhalen via een civiele rechtszaak tegen de daders. Als deze straf-
rechtelijk vervolgd worden, kan het bedrijf zich ‘voegen’ in de strafzaak.
106
Dit is eenvoudiger dan een eigen rechtszaak starten. Wel moet de scha-
declaim dan eenvoudig te controleren zijn door de strafrechter, en de be-
handeling van de claim mag de rechtszaak niet onredelijk lang vertragen.
Een eigen rechtszaak starten kan altijd, mits natuurlijk bekend
is wie aangesproken moet worden op de geleden schade. De be-
nadeelde partij vordert dan vergoeding van de schade op grond
van een onrechtmatige daad, oftewel de gepleegde computer-
criminaliteit. Belangrijk is wel dat de schade onderbouwd is, bij-
voorbeeld met facturen van het beveiligingsbedrijf dat de
rommel opgeruimd heeft of met een overzicht van de uren die
het systeembeheer nodig had voor het herstellen van gegevens
vanaf reservekopieën.
Ook bepaalde juridische kosten mogen worden gevorderd als
schade, maar de rekening van de advocaat zal het bedrijf echter
zelf moeten dragen. De kosten van zo'n advocaat zijn duur,
reken op enkele duizenden euro's minimaal. Ook speelt vaak
de mogelijke publiciteit en daaruit voortkomende reputatieschade
een rol: rechtszaken zijn in principe openbaar, dus iedereen kan
dan lezen hoe slecht het bedrijf beveiligd was of wat voor
impact de aanval had. Vanwege deze factoren zien veel bedrijven
af van zo’n civiele rechtszaak.
7-Onderzoek en
rechtszaken
Een schadevergoeding is beperkt tot de kosten voor het herstel-
len van het systeem in de oorspronkelijke toestand. Een bedrijf
zou een inbraak kunnen aangrijpen om de beveiliging eens fors
te upgraden, maar de kosten van de nieuwe hardware en soft-
ware zijn géén schade. Gevolgschade, zoals gemiste omzet in de
tijd dat het systeem niet beschikbaar was, komt in principe in
aanmerking – maar bewijs maar eens dat je werkelijk die omzet
misgelopen bent en dat dat écht alleen kwam omdat het systeem
niet beschikbaar is.
107
 In 2006 werden de plegers van een denial-of-service aanval tegen
de overheid veroordeeld. De claim van overheidsautomatiseer-
der ICTU voor een schadevergoeding werd echter grotendeels
afgewezen. Men had naast de noodmaatregelen ook de kosten
van netwerkupgrades om toekomstige aanvallen te voorkomen
doorberekend. De rechter oordeelde echter dat slechts de kosten
voor het oplossen van de crisis veroorzaakt door aanval zelf
vergoed moesten worden. Het nemen van aanvullende structu-
rele beveiligingsmaatregelen was de eigen keuze van ICTU en
dus waren de kosten daarvan niet verhaalbaar.
Bewijsvoering bij de civiele rechter
Wanneer de rechter niet goed kan inschatten wat een bewijsstuk
nu precies bewijst, of er gerede twijfel is over de echtheid, kan
een deskundige worden ingeschakeld die daar een verklaring
over afgeeft. De rechter kan ook kijken naar andere omstandig-
heden. Wie bijvoorbeeld stelt dat een mail over een lening ver-
valst is, maar wel vanaf zijn bankrekening geld heeft overge-
maakt onder vermelding van “aflossing lening”, staat niet sterk.
Natuurlijk kunnen digitale documenten triviaal vervalst wor-
den. Maar zolang er geen reden is om te vermoeden dat in dit
specifieke geval de documenten zijn vervalst, is dat geen argu-
ment. Wel is en blijft het de vraag wat het bestand nu precies be-
wijst. Er moeten concrete aanwijzingen zijn waarom nu net in
deze zaak deze mail gemanipuleerd zou zijn. Je komt er dus niet

met “dit is e-mail, dat kan triviaal worden gemanipuleerd”. Net

We hebben in Nederland bij civiele rechtszaken geen regels die bepalen

zo min als “getuigen kunnen worden omgekocht dus u mag niet

wanneer bewijs toelaatbaar of bruikbaar is. De rechter mag alles ge-

naar deze getuige luisteren” genoeg is. Nee, je moet aannemelijk

bruiken wat hem onder ogen komt om te bepalen wat de waarheid is

maken dat nu net deze getuige is omgekocht.

en welke partij zou moeten winnen. Er zijn geen wettelijke regels die
bijvoorbeeld voorschrijven hoe een logbestand eruit moet zien, dat een
foto onderzocht moet worden op manipulatie of dat camerabeelden een
watermerk moeten dragen voordat ze getoond mogen worden in de
rechtszaal.

Het is een misverstand dat bewijs “niet rechtsgeldig” zou zijn

vanwege het medium waarin ze zijn opgenomen. Bewijs mag in

7-Onderzoek en
elke vorm worden geleverd, zolang de rechter maar overtuigd

rechtszaken
raakt dat het aangeleverde materiaal duidelijk onderbouwt wat
de partijen daarover zeggen. De enige uitzondering is de onderte-
kende akte: een stuk papier met handtekening, al of niet bij de no-
taris. Daarvan geldt in beginsel dat dit voor partijen bindend
bewijs is van wat er afgesproken is. De rechter zal dus nooit vooraf
gaan onderzoeken of de e-mail wel echt is, of mails afwijzen enkel
omdat het mails zijn. Hoofdregel is, zolang de partijen zelf niet
onderbouwd bezwaar maken, mag alles worden overlegd en kan
de rechter dat gewoon meenemen in de beoordeling van de zaak.

108 109
 Mogelijk zijn er nog andere bronnen waar je uit kunt putten.
Heeft wellicht iemand anders een kopie ontvangen van het mail-
bericht? Wordt er verwezen naar gesprekken of documenten die
nog ergens voorhanden zijn? Kan met een agenda of bankaf-
schriften nog iets gereconstrueerd worden? Zit er in de over-
legde e-mailconversatie misschien een inconsistentie, waaruit
blijkt dat er gemanipuleerd is? Mensen die mails aanpassen ver-
geten nog wel eens om ook de kopieën die onderaan latere mails
bungelen aan te passen.

Bewijsvoering bij de strafrechter

Het strafrecht heeft strengere regels over het gebruik van bewijs dan het
hierboven besproken civiele recht. De hoofdregel is dat het OM wettig
en overtuigend bewijs moet leveren dat de verdachte het strafbare feit
gepleegd moet hebben. ‘Wettig’ wil zeggen dat het bewijs niet met bij-
voorbeeld een illegale tap of door verboden dwang is verkregen. En het

‘vormfouten’ leiden in de praktijk zelden tot vrijspraak. De rech-

bewijs moet ‘overtuigend’ zijn, zodat de rechtbank geen gerede twijfel

ter toetst of de verdachte door de fout in zijn verdediging ge-

meer heeft over wat het bewijs nu eigenlijk bewijst.

Bewijs is alleen te leveren met één of meer van de in de wet
genoemde ‘bewijsmiddelen’:
• verklaringen van de verdachte, van getuigen of deskundigen,
• schriftelijke stukken zoals een proces-verbaal of een rapport
van een deskundige, en
schaad is, en als dat niet zo is, dan gaat de zaak gewoon door.
Pas bij serieuze schendingen van het recht kan vrijspraak of een
lagere straf volgen.

7-Onderzoek en
• wat de rechter zelf zoal is opgevallen tijdens het proces.
Verklaringen van deskundigen

rechtszaken
Bij ICT-zaken zal het bewijs vrijwel altijd neerkomen op verklaringen of

De rechter mag zelf vragen stellen aan de verdachte, aan getui-

rapporten van deskundigen over wat er in opslagmedia, logbestanden

gen of aan deskundigen. En feiten die algemeen bekend zijn,

en andere bestanden te vinden is. Die deskundige kan bijvoorbeeld een

hoeven niet bewezen te worden. Een verklaring van een ver-

computer onderzoeken en op basis daarvan zijn conclusies trekken,

dachte of van een getuige is niet genoeg voor een veroordeling;

waarmee de rechter zich kan laten overtuigen.

er is altijd aanvullend bewijs nodig. De rechter mag zelf afgaan op wat hij in de logbestanden en an-
dere bewijsstukken leest, maar logbestanden en andere ICT-aan-
Het is een fabeltje dat in strafzaken de verdachte meteen vrijuit wijzingen zijn op zichzelf meestal niet duidelijk genoeg om
kan bij de geringste taal- of spelfout door Justitie. Zogeheten meteen als bewijs te dienen. Als bijvoorbeeld een verdachte stelt

110 111
 dat hij het niet heeft gedaan maar dat een derde zijn computer
heeft misbruikt, dan kan een getuige-deskundige worden opge-
roepen die moet uitleggen wat voor elektronische aanwijzingen
hij heeft gevonden op de computersystemen van de verdachte,
en of daaruit redelijkerwijs blijkt dat er sprake was van een in-
dringer van buitenaf.
De rechter hoeft dus niet zelf verstand van ICT te hebben. De
rechter moet wel kunnen inschatten welke deskundige de meest
logische verklaring aflegt, en bij tegenstrijdige verklaringen af-
wegen aan welke hij het meest geloof hecht.
Een cyberstalker werd veroordeeld ondanks zijn protest dat zijn
computer gehackt zou zijn. De rechtbank had in hoger beroep
van twee deskundigen verklaringen gehoord. Een deskundige
had verklaard dat theoretisch gezien hacken nooit uit te sluiten
is. Maar, zo had een eerdere deskundige verklaard, daar waren
geen sporen voor te vinden. De wél aangetroffen sporen waren
intern consistent en vertoonden geen aanwijzingen van mani-
pulatie. Daarmee was het nauwelijks denkbaar dat er daadwer-
kelijk een hacker bezig was geweest.
De theoretische mogelijkheid dat een ander actief was op ie-
mands netwerk, is niet genoeg als het overige bewijs naar de ver-
dachte wijst. Hij zal met tegenbewijs moeten komen, zoals
sporen van een rootkit of remote desktop software waarmee die
ander vanaf zijn PC de handelingen had kunnen verrichten.
Zo vond de Hoge Raad het in 2007 hoogst onwaarschijnlijk dat
een derde de computer van een verdachte zou hebben gehackt
en bedreigingen naar diens werkgever zou hebben gestuurd.
Waarom zou die dat willen doen? En hoe zou die hacker hebben
moeten weten van de toch al onder druk staande arbeidsrelatie?
112
Forensisch bewijs
In de praktijk zal, zeker bij strafzaken, het bewijs worden veiliggesteld
en geanalyseerd door een forensisch deskundige. De bekendste partij
in Nederland op dit gebied is het Nederlands Forensisch Instituut (NFI),
dat diensten levert aan het OM en Justitie bij strafzaken. Ook diverse
private partijen kunnen voor dit doel worden ingeschakeld.
Het NFI heeft ten behoeve van bewijslevering de zogeheten Fo-
rensisch-Technische normen (‘FT-normen’) opgesteld. Deze normen
beschrijven eisen, voorwaarden en aanbevelingen met betrekking
tot het opsporen en veiligstellen van sporen die zijn achtergebleven
na een misdrijf. De meeste FT-normen zijn juridisch niet bindend
(maar wel sterk aanbevolen). Enkele normen zijn direct afgeleid
van wetgeving en daarmee indirect wel bindend.
Voor digitaal forensisch onderzoek zijn er nog geen FT-normen,
hoewel er wel een conceptnorm is voor onderzoek aan mobiele
telefoons. Ook zijn er normen voor onderzoek aan gespreksop-
namen.
In de rechtspraak wordt niet heel hard gehamerd op de kwaliteit
van forensisch onderzoek. De resultaten zoals gepresenteerd
door NFI of recherchebureau worden meestal voor waar aange-
nomen, en tenzij de wederpartij daar eigen onderzoek tegenover
7-Onderzoek en
kan stellen, zal de rechter zelden vraagtekens zetten bij de kwa-
rechtszaken
liteit van het bewijs.
De normen rond zekerstellen van originele informatiedragers
en het beheren van de ‘chain of custody’ (wie wanneer het bewijs
in handen had en wat daarmee is gebeurd) zijn dus geen wette-
lijke plichten. Dat wil niet zeggen dat ze waardeloos zijn: wie
op die manier werkt, hoeft niet bang te zijn voor bijdehante ad-
vocaten die creatieve tegenscenario’s gaan verzinnen om het be-
wijs te ontkrachten.
113

Vervalst bewijs
Natuurlijk kan deze aanpak ertoe leiden dat vervalst bewijs toch voor
echt wordt aangezien. Maar bewijs wordt niet in isolatie behandeld.
Mensen worden niet veroordeeld vanwege één logbestand of één e-mail.
Minstens zo belangrijk is de vraag wat deze in context betekenen. Rech-
ters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er
vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar
iets bij te winnen en past het bij wat we nog meer van de verdachte
weten?
Een paar voorbeelden:
• Iemand die terechtstond wegens oplichting stelde dat zijn
computer gehackt was en een ander vanaf daar de adverten-
ties had geplaatst. Dat verhaal werd niet geaccepteerd: het
bankrekeningnummer in de advertentie was van hem, en hij
had nooit de moeite genomen te onderzoeken waarom men-
sen hem toch zomaar geld overmaakten onder vermelding
van “koop op marktplaats”.
114
• In een strafzaak werden op een PC versleutelde kinderpor-
nobestanden aangetroffen. Het leek de rechtbank duidelijk
dat hier geen derde bezig was geweest. Waarom zou die a)
kinderporno uploaden naar juist die PC, b) dat encrypten
met een wachtwoord dat bestond uit het favoriete sigaretten-
merk en het geboortejaar van de verdachte, en dan c) het
icoon van het encryptieprogramma op de desktop zetten
waar de verdachte het meteen zou zien? Dit alles nog los van
het feit dat geen sporen van computerinbraak waren aange-
troffen. Het verweer dat het dan misschien de dertienjarige
zoon(!) van de verdachte zou zijn geweest, werd eveneens
niet aanvaard.
• In 2011 werd een ICT-medewerker veroordeeld voor het aan-
brengen van een achterdeur in een webapplicatie. Hij had tij-
dens zijn dienstverband een routine ontwikkeld die
willekeurige records weggooide, en na zijn ontslag werden
die vanaf zijn IP-adres aangeroepen middels een speciaal ge-
construeerde URL (een normale URL met debug=1 erach-
ter). De man zelf stelde dat de aanroepen door een derde
waren gedaan die zijn IP-adres had gespoofd, maar de rech-
ter hechtte daar geen geloof aan. Het leek te onwaarschijnlijk
dat iemand anders zo de ex-werknemer te grazen zou willen
nemen.
7-Onderzoek en
Securitygoeroe Bruce Schneier houdt zijn draadloze netwerk zo
rechtszaken
onbeveiligd mogelijk. Want wie zou hem nu geloven als hij zei
dat zijn beveiliging gekraakt was en een derde misbruik had
gemaakt van zijn systemen? Maar zo zwart-wit is het dus niet
per se. Waarom zou Schneier ineens reclame voor Viagra gaan
maken of kinderporno gaan versturen vanaf zijn eigen PC? Die
vraag is uiteindelijk waar het om draait in het strafrecht. Het
gaat er niet om of een computer het gedaan heeft, maar of de
verdachte het gedaan heeft.
115

Illegaal verkregen bewijs
In Nederland geldt in civiele rechtszaken dat illegaal verkregen bewijs
gewoon gebruikt mag worden. De rechter zoekt naar de waarheid. Din-
gen op voorhand uitsluiten past daar niet bij. Wel kan de rechter zulk
bewijs minder zwaar laten wegen, bijvoorbeeld omdat niet meer kan
worden uitgesloten dat het bewijs is gemanipuleerd.
Zo mocht in een ontslagzaak wegens verduistering van geld uit
de kassa een illegaal gemaakte cameraopname gewoon gebruikt
worden. Weliswaar was de opname een inbreuk op de privacy
van de verdachte, maar deze was gerechtvaardigd vanwege het
vermoeden van diefstal. Bovendien vond de Hoge Raad dat
“ook indien de werkgever aldus een inbreuk op het privéleven
van de medewerkster zou hebben gemaakt, dit nog niet betekent
dat dit bewijsmateriaal in een procedure als de onderhavige niet
mag worden gebruikt.”
Ook in strafzaken geldt dat illegaal door burgers aangedragen
bewijs gewoon gebruikt mag worden, zo heeft de Hoge Raad bij
herhaling uitgesproken. Bewijs wordt niet onbruikbaar voor het
OM enkel omdat een burger de wet schond bij het verzamelen.
Dit zou pas anders worden als politie of andere opsporingsamb-
tenaren betrokken waren bij of op de hoogte zouden zijn van het
illegale filmen. De politie – de overheid – heeft veel macht, en
met regels als deze wordt de burger tegen misbruik van die
macht beschermd.
Bij een strafzaak is het OM zelf wel gebonden aan bepaalde pro-
cedurele regels. Als zij die schenden, kan dat leiden tot bewijs-
uitsluiting of zelfs vrijspraak voor de verdachte. Zo mag het OM
niet zomaar mensen aftappen; dit vereist toestemming van de
rechter-commissaris. Deze regels werken ook door naar private
recherchebureaus: deze mogen ook niet langs illegale weg bewijs
vergaren. Recherchebureaus zijn daarmee aan strengere regels
116
gebonden dan gewone burgers. De gedachte hierachter is dat zij
stelselmatig onderzoek doen en daarmee aan dezelfde regels ge-
bonden horen te zijn als Justitie.
De persoon die illegale handelingen verricht om bewijs te ver-
zamelen, kan daarvoor natuurlijk wel zelf vervolgd worden.
Ook als het bewijs overtuigend genoeg was om de dader achter
de tralies te krijgen. De vraag is natuurlijk wel of de politie daar
prioriteit aan geeft. Maar wie als burgerwacht (‘vigilante’) zelf
actief gaat zoeken naar bewijs voor strafbare feiten neemt wel
degelijk een serieus risico veroordeeld te worden. Eigenrichting
wordt bij de Nederlandse rechter niet gewaardeerd.
Toegang en wachtwoorden
Als iemand verdacht wordt van een misdrijf, zoals het bezitten van kin-
derporno of het plegen van belastingfraude, dan heeft de politie de mo-
gelijkheid om diens woning te doorzoeken en alles mee te nemen dat
relevant kan zijn voor het onderzoek. Voor zo'n doorzoeking van een
woning is wel een machtiging van de rechter-commissaris vereist. Bij
kantoren en andere meer openbare plekken kan elke officier van justitie
besluiten dat hij een kijkje wil gaan nemen.
Laptops, externe harde schijven en andere opslagmedia worden
7-Onderzoek en
eigenlijk vrijwel altijd meegenomen bij zo'n doorzoeking. Ook
rechtszaken
de dvd-filmcollectie: er zijn genoeg slimmeriken die hun data-
dvd’s in een hoesje van Taxi 2 of Lethal Weapon 4 bewaren. Maar
de echt slimme criminelen vertrouwen niet op verstoppen alleen
en versleutelen hun belastende data met sterke encryptie, of zet-
ten deze ergens ver weg in de cloud.
Als bij een doorzoeking beveiligde of versleutelde computers,
netwerken of bestanden worden aangetroffen, kan de politie
het bevel geven om dit te ontsleutelen of toegang te geven tot
117
 hetgeen achter de beveiliging zit. Dat geldt zowel voor fysieke
als voor softwarematige beveiligingen. Men kan dus eisen dat
een kluis wordt geopend en dat een versleuteld bestand wordt
ontsleuteld. Een systeembeheerder is dus verplicht bedrijfsgegevens
te ontsleutelen. Maar in de wet staat ook dat zo’n bevel niet mag
worden gegeven aan de verdachte. Dit omdat niemand kan
worden gedwongen mee te werken aan zijn eigen veroordeling.

De politie mag proberen de verdachte over te halen, bijvoorbeeld

met het argument dat hij daarmee zijn goede wil toont en dat
de rechter dat mee zal laten wegen in de strafmaat. Het is niet
in het algemeen te zeggen of zulke argumenten opgaan. Mocht
je ooit in die situatie zitten, overleg dan altijd met je advocaat
voordat je ook maar enige verklaring aflegt. Wie als verdachte
bij de politie zit, wordt door hen als schuldig gezien, en verkla-
ringen worden aangegrepen om daarmee de schuld te bewijzen.
Het is dus ten zeerste af te raden om zonder overleg met een dan ook alleen worden ingezet bij ernstige misdrijven en vereist
advocaat verklaringen af te leggen. een bevel van de officier van justitie met machtiging van de rech-
ter-commissaris.

De AIVD en MIVD hebben ruimere bevoegdheden dan de poli-

tie. Zij mogen iedereen bevelen om versleutelde informatie te
Zelf proberen te raden

ontsleutelen, of om beveiligde informatie toegankelijk te maken.

De politie mag een verdachte niet om het wachtwoord vragen, maar

Dit geldt dus ook voor een persoon die daarmee belastende in-
mag wel zelf proberen het wachtwoord te raden of op een andere ma-

7-Onderzoek en
formatie over zichzelf zou onthullen. Bij een AIVD-onderzoek

rechtszaken
nier om de beveiliging of versleuteling heen te komen. Menig persoon

hoeft namelijk geen sprake te zijn van een verdachte. Wel moet
heeft zijn wachtwoorden ergens genoteerd, of gebruikt wachtwoorden

toestemming voor het bevel zijn verleend door het hoofd van de
die eenvoudig te raden zijn. Dat is legaal, net als het bekijken van de

inlichtingendienst.
onversleutelde reservekopieën – want menig persoon versleutelt die niet
apart.

Het is ook mogelijk dat men in het kader van opsporing verbor-
gen camera’s of keyloggers installeert. Daarmee is de verdachte
te observeren terwijl hij het wachtwoord intypt. Dit is wel een
heel zwaar middel, omdat het stelselmatig filmen van iemand
in zijn huis een grove inbreuk op de privacy is. Dit middel mag
Onder dezelfde omstandigheden mag de AIVD overigens ook
computervredebreuk plegen (zie hoofdstuk 1) en andere norma-
liter illegale handelingen plegen om informatie te verkrijgen. Be-
wijs dat de dienst op zo’n manier verzamelt, mag echter niet in
de rechtszaal gebruikt worden.

118 119

Digitaal rechercheur
Iedereen mag digitaal onderzoek doen en gegevens verzamelen om
deze te analyseren en daarover te rapporteren. Alleen, wie geld verdient
met ‘het vergaren en analyseren van gegevens’, oftewel recherchewerk-
zaamheden, loopt tegen de wet aan.
De Wet particuliere beveiligingsorganisaties en recherchebu-
reaus stelt namelijk stelt namelijk een vergunning verplicht voor
wie zijn werk maakt van recherchewerkzaamheden op verzoek
van anderen. Die vergunning wordt niet zomaar gegeven: de re-
chercheur in spé moet in het bezit zijn van het diploma Particu-
lier onderzoeker van de SVPB en Stichting Ecabo. Ook wordt hij
eerst door de politie gescreend. En bij zijn werkzaamheden moet
hij een wettelijk vastgestelde (privacy)gedragscode naleven.
Een vergunning hebben betekent overigens niet dat de recher-
cheur meer mag dan gewone burgers. Hij mag dus niet proberen
andermans computer te kraken, wachtwoorden te achterhalen,
mensen af te luisteren of proberen binnen te dringen in compu-
ters of netwerken. Dat is en blijft strafbaar, ook als het op verzoek
van de klant gebeurt. De vergunning is bedoeld als bewijs naar
derden dat de rechercheur zorgvuldig werkt.
Als de klant expliciet zelf toestemming geeft voor deze hande-
lingen in zijn eigen netwerk of computer, dan is er natuurlijk
geen sprake van strafbaar handelen. Denk aan onderzoeken van
de veiligheid van een bedrijfsnetwerk of het analyseren van di-
gitale bestanden om fraude op te sporen. Maar al snel komen
ook andere partijen hierbij in beeld: de gebruikers van dat be-
drijfsnetwerk of de personen genoemd in die bestanden. Deze
partijen kunnen claims indienen tegen de rechercheur. Een goed
rechercheur heeft in zijn inhuurcontract clausules opgenomen
die hem daar zoveel mogelijk tegen indekken. Maar het blijft
120
mogelijk dat de rechercheur wordt gearresteerd, bijvoorbeeld
omdat een systeembeheerder van een toeleverancier de inbraak
door de rechercheur toevallig opmerkt en aangifte doet.
Wanneer een rechercheur onderzoek doet naar een persoon, is
de Wet bescherming persoonsgegevens (zie hoofdstuk 4) daarop
van toepassing. Dit onderzoek moet dan worden aangemeld bij
het College bescherming persoonsgegevens. Ook moet de re-
chercheur zelf toetsen of zijn onderzoek door de beugel kan. Ca-
meratoezicht bij de kassa’s bij een vermoeden van fraude kan
gerechtvaardigd zijn, maar camera’s in het toilet ophangen van-
wege fraude is niet toegestaan. Ook niet als de opdrachtgever
erop staat dat het gebeurt, en ook niet als deze meldt alle ver-
antwoordelijkheid op zich te nemen.
Eigen verantwoordelijkheid
De rechercheur heeft een eigen verantwoordelijkheid: hij moet als een
“goed opdrachtnemer” zijn werk doen. Doet hij dat niet, dan kan de op-
drachtgever hem aansprakelijk stellen voor de schade die daaruit voort-
vloeit. Dit is niet via algemene voorwaarden of afspraken te weerleggen
of te blokkeren.
Onderdeel van de zorgplicht is dat de rechercheur moet nagaan
of een opdracht gerechtvaardigd is. Hij wordt immers als des-
7-Onderzoek en
kundige ingehuurd, dus hij moet protesteren als de klant iets wil
rechtszaken
dat onverstandig of illegaal is. Sterker nog, hij heeft het recht de
overeenkomst te ontbinden als de klant voet bij stuk blijft hou-
den. Neemt hij de klus toch aan, en leidt dat tot schade, dan kan
de klant hem aansprakelijk stellen voor die schade. Ook als de
rechercheur heeft gewaarschuwd voor de risico’s.
Deze zorgplicht geldt ook voor het werk van de rechercheur zelf.
Hij mag bijvoorbeeld geen illegale manieren gebruiken om ge-
gevens te verzamelen. Als de klant hem zelf illegaal verkregen
121
 Juridische woordenlijst
informatie aanlevert, bijvoorbeeld als startpunt voor het onder-
zoek, dan mag hij die echter wel gebruiken. Maar in zijn eigen
werk moet hij zich aan de wet houden.
Veel dienstverleners hebben algemene voorwaarden waarin zij
elke aansprakelijkheid uitsluiten. Dat is lang niet altijd rechts-
geldig. Naar consumenten toe is het eigenlijk maar zelden mo-
gelijk om diensten tegen betaling te leveren zonder aansprakelijk
te zijn. Bij zakelijke klanten kan er meer, maar de ondergrens
blijft toch de hierboven genoemde zorgplicht. En bij schade door
opzet of grove nalatigheid kan een dienstverlener nooit een be-
roep doen op zijn uitsluitingsclausule.
122
?
Aangifte: een melding bij de politie of andere overheidsinstantie
van een strafbaar feit, met het verzoek om tot vervolging daar-
van over te gaan. In principe kan iedereen aangifte doen die ken-
nis heeft van het feit, dus niet alleen het slachtoffer. Bij sommige
misdrijven (zoals smaad) kan alleen het slachtoffer aangifte
doen. Bij enkele zware misdrijven, met name wanneer levens-
gevaar dreigt, is iedereen verplicht aangifte te doen. De politie
moet een aangifte opnemen maar kan deze seponeren als er te
weinig aanknopingspunten zijn.
Arrest: een vonnis in hoger beroep of cassatie. Een arrest kan een
vonnis bevestigen of vernietigen (ongeldig verklaren). Bij ver-
nietiging kan de zaak worden terugverwezen naar de lagere
rechter, maar het hof dat het arrest wijst, kan ook zelf uitspraak
doen.
Bewijs: alles waarmee de rechter overtuigd kan worden van de
juistheid van bepaalde beweringen. Bij civiele rechtszaken moet
de rechter door het bewijs een redelijke mate van zekerheid krij-
gen over wat er is gebeurd. Bij strafzaken moet de rechter over-
tuigd zijn van de schuld van de verdachte. De term ‘bewijs’
woordenlijst
betekent niet “volstrekt onmogelijk te weerleggen” zoals in de
Juridische
exacte wetenschappen, maar “is overtuigend voor de rechter”.
Burgerlijk recht: het deel van het recht dat bepaalt welke rech-
ten en plichten burgers onderling hebben. (Onder burgers ver-
staat de wet ook bedrijven.) Heet ook wel civiel recht. Het
verschil met strafrecht is dat in het burgerlijk recht de burgers
123
 zelf naar de rechter gaan (als ze dat willen) en bij het strafrecht
het Openbaar Ministerie besluit te vervolgen.
Cassatie: een hoger beroep ingesteld bij de Hoge Raad, de hoog-
ste rechtbank. De Hoge Raad kan in cassatie alleen onderzoeken
of het recht juist is toegepast, maar gaat er vanuit dat alle eerder
vastgestelde feiten juist zijn. Tegen een uitspraak van de Hoge
Raad is geen hoger beroep mogelijk. Bij schending van grond-
rechten kan men soms wel naar het Europees Hof voor de Rech-
ten van de Mens stappen. Het Hof van Justitie van de Europese
Unie is géén hoger-beroepsinstantie: een rechtbank mag deze
vragen stellen over uitleg van Europees recht, maar een burger
kan niet zelf direct naar dit Hof.
Civiele rechtszaak: Een rechtszaak onder het burgerlijk recht,
waarbij twee burgers tegenover elkaar staan. Zo’n rechtszaak
kan bijvoorbeeld contractbreuk of een onrechtmatige daad be-
treffen. In een civiele rechtszaak kan de eiser maatregelen eisen
zoals een schadevergoeding, nakoming van een contract of rec-
tificatie van een onjuiste publicatie. De gedaagde partij mag een
tegeneis instellen.
Civiel recht: zie burgerlijk recht.
Contractbreuk: het schenden van een contract of overeenkomst.
Dit is onderdeel van het burgerlijk recht. Wie schade lijdt door
een contractbreuk, kan deze schade verhalen op de wederpartij.
Ook kan hij eisen dat de wederpartij alsnog het contract nakomt.
De rechter kan daar een dwangsom op zetten, waarbij de we-
derpartij een geldbedrag moet betalen voor elke dag dat hij het
contract nog steeds niet nakomt.
Diefstal: het wegnemen van goederen om die zelf te gebruiken
of door te verkopen (heling). Informatie is geen ‘goed’ en kan
124
dus niet worden gestolen. Wel is het apart strafbaar om infor-
matie te kopiëren of te wissen. Identiteitsdiefstal is eveneens
geen diefstal: pas als men iets doet met andermans identiteit,
kan sprake zijn van een strafbaar feit (zoals oplichting).
Economisch delict: een overtreding of misdrijf dat de economie
of het handelsverkeer aantast. Het misleidend aanprijzen van
malware is een economisch delict.
Gerechtshof: de rechtsprekende instantie die hoger beroepen
aanhoort van de gewone rechtbank. Vonnissen van een gerechts-
hof heten arresten.
Grondrecht: een recht waar iedere burger aanspraak op kan
maken, zoals privacy of vrije meningsuiting. Grondrechten zijn
niet onbegrensd. Zo ligt een grens voor de vrije meningsuiting
bij smaad en laster. Een grondrecht kán echter een argument zijn
tegen een strafbaar feit. Zo zou een denial of service-aanval op
een bedrijf (normaal een misdrijf) onder uitzonderlijke omstan-
digheden legaal kunnen zijn bij wijze van protest tegen dat be-
drijf – een vorm van meningsuiting.
Grove schuld: wanneer iemand een feit veroorzaakt zonder het
echt te willen, maar hij zonder meer had moeten weten dat dit
had kunnen gebeuren, is sprake van grove schuld. Heet soms
ook wel grove nalatigheid. Of hiervan sprake is, is altijd voer
voor discussie: ben je grof nalatig als je geen virusscanner draait
woordenlijst
en beveiligingsupdates niet installeert, waardoor schade bij an-
Juridische
deren wordt veroorzaakt?
Heling: het verkopen of voor de verkoop in voorraad hebben
van goederen die door een misdrijf zijn verkregen. Informatie is
geen ‘goed’ en kan dus niet geheeld worden.
125

Hoge Raad: de hoogste rechtsprekende instantie in Nederland.
De vergelijkbare instantie in andere landen wordt vaak Hoog-
gerechtshof (Supreme Court) genoemd. De Hoge Raad behan-
delt vooral zaken in cassatie om te zorgen dat het recht juist
wordt toegepast.
Hoger beroep: een rechtszaak bij een gerechtshof waarbij wordt
gecontroleerd of een vonnis van de gewone rechtbank wel juist
is. In de praktijk doet het gerechtshof dan de gehele rechtszaak
over, in ieder geval op de punten waar de partijen het oneens
mee zijn. Het hoger beroep tegen de uitspraak van een gerechts-
hof gebeurt bij de Hoge Raad en heet cassatie.
Jurisprudentie: vonnissen die bepalen hoe de wet moet worden
toegepast of uitgelegd. Jurisprudentie kan van grote invloed
zijn op toekomstige zaken, omdat de wet vaak heel algemeen
is geformuleerd. Deze vonnissen geven dan duidelijke regels
126
voor specifieke gevallen, bijvoorbeeld door te bepalen wanneer
iets opzettelijk is gedaan, of een bepaald apparaat een ‘com-
puter’ is of hoe een bepaalde eis uit de wet gelezen moet
worden. Vonnissen zijn niet automatisch jurisprudentie. Een
rechter mag eerdere vonnissen negeren als hij ze niet relevant
of onjuist vindt. Bij een arrest van de Hoge Raad is dat echter
zeer ongebruikelijk.
Klokkenluider: iemand die misstanden binnen zijn bedrijf of
organisatie naar buiten brengt, meestal omdat hij intern geen
gehoor vindt. Klokkenluiden kan legaal zijn als vrije menings-
uiting, wanneer de publicatie een zwaarwegend publiek belang
dient, er geen effectieve interne wegen zijn om de misstand op
te lossen of als de klokkenluider (vrijwel) de enige is die iets kán
doen. Een instantie kan (vermeende) klokkenluiders op allerlei
manieren aanpakken, omdat er al snel sprake is van strafbare
feiten, zoals diefstal van bedrijfsgeheimen of het binnendringen
in computersystemen en kopiëren van informatie (die de klok-
kenluider als bewijs wil gebruiken).
Medeplichtigheid: iemand die opzettelijk gelegenheid of mid-
delen aan de dader van een strafbaar feit geeft, is medeplichtig
aan dat feit. Zo kan het publiceren van wachtwoorden van mail-
boxen medeplichtigheid aan computervredebreuk opleveren.
Misdrijf: een strafbaar feit dat als zeer ernstig wordt gezien,
zodat er een zwaardere straf op staat dan bij een overtreding en
woordenlijst
allerlei opsporingsmiddelen (zoals aftappen of doorzoeken van
Juridische
een computer) gebruikt mogen worden. Bijna alle vormen van
computercriminaliteit zijn misdrijven.
Officier van Justitie: een vertegenwoordiger van het Openbaar
Ministerie (OM). Hij geeft leiding aan de politie bij het onderzoek
naar een strafbaar feit en treedt op als aanklager in een strafzaak.
127
 Onrechtmatige daad: een schending van het burgerlijk recht
waardoor een andere burger schade lijdt. De veroorzaker van de
schade moet deze vergoeden aan het slachtoffer. Het slachtoffer
moet hiervoor zelf naar de (burgerlijke) rechter. Bij een onrecht-
matige daad die ook een strafbaar feit is, kan het slachtoffer zich
voegen in de strafzaak. Een daad is onrechtmatig als deze in
strijd is met een wetsartikel (elk strafbaar feit is dus ook onrecht-
matig) of als deze indruist tegen de “maatschappelijke zorgvul-
digheid”, oftewel niet expliciet verboden is maar zó onwenselijk
dat iedereen had moeten begrijpen dat deze niet acceptabel is.
Openbaar Ministerie (OM): de instantie die besluit personen bij
de strafrechter te vervolgen wegens strafbare feiten. Het OM kan
verdachten ook een schikking (transactie) aanbieden waarbij
deze niet vervolgd worden als hij een geldbedrag betaalt of een
taakstraf uitvoert. Het OM is geen rechter en wordt gezien als
onderdeel van Justitie.
Openbare Post- en Telecommunicatie Autoriteit (OPTA): de
toezichthouder op naleving van de Telecommunicatiewet. Tot
haar taken behoren onder meer de uitgifte van telefoonnum-
mers, het regelen dat providers toegang krijgen tot elkaars net-
werk en het opleggen van boetes aan verspreiders van spam of
malware die via telecommunicatie wordt verspreidt.
Oplichting: het iemand aftroggelen van geld of goederen onder
valse voorwendselen, onder meer door wat de wet “listige kunst-
grepen of een samenweefsel van verdichtsels” noemt. Ook het
gebruik van een valse naam is een vorm van oplichting, zodat
een aankoop met bijvoorbeeld een gestolen creditcard of gebruik-
makend van een gekraakt Paypal-wachtwoord strafbaar is.
Opzet: het willens en wetens begaan van een (strafbaar) feit. Ook
een vorm van opzet is de “voorwaardelijke opzet”, waarbij men
128
het feit eigenlijk niet wilde plegen maar had moeten weten dat er
een grote kans was dat dit kon gebeuren. Het “voor de grap” los-
laten van een virus dat vervolgens grote schade aanricht, is dus
opzettelijk omdat de dader had moeten weten dat virussen ge-
makkelijk kunnen ontsnappen en dan zulke schade aanrichten.
Overtreding: een strafbaar feit dat als minder ernstig wordt ge-
zien dan een misdrijf. Vaak gaat het om feiten die alleen overlast
of rommel veroorzaken. Wanneer personen of goederen in ge-
vaar komen, is meestal sprake van een misdrijf. Zo is het stiekem
filmen van personen in een privéomgeving een overtreding
maar het vernielen van computergegevens een misdrijf.
Poging: het beginnen met plegen van een misdrijf, zonder dit
helemaal af te ronden. Het plegen van een poging is strafbaar
zodra er een eerste stapje is gezet in de uitvoering, tenzij je vrij-
willig stopt voordat het misdrijf geheel is gepleegd. Wie verkeer
van een draadloos netwerk opvangt om te zien of daar wacht-
woorden in zitten, kan worden vervolgd voor een poging tot
computervredebreuk. Het opvangen van wachtwoorden is im-
mers een eerste stap richting het daarmee inloggen. Stopt hij
meteen na dat opvangen en wist hij dan alle gegevens, dan is
geen sprake (meer) van een poging. Een poging een overtreding
te plegen, is niet strafbaar.
Rechtsregel: een regel uit de wet (of de jurisprudentie) die be-
paalt hoe bepaalde feiten gezien moeten worden binnen het
woordenlijst
recht. Een rechtsregel kan bijvoorbeeld bepalen dat een afgeke-
Juridische
ken wachtwoord voldoet aan de term “valse sleutel” uit het
strafwetsartikel over computervredebreuk. Daarmee is het ge-
bruik van zo’n wachtwoord dus strafbaar.
Rechter-commissaris: een rechter die toezicht houdt op straf-
rechtelijke onderzoeken door het Openbaar Ministerie. Bepaalde
129
 opsporingsmiddelen, zoals een telefoontap of doorzoeken van
een mailbox, mag het OM alleen toepassen met toestemming
(een machtiging) van de rechter-commissaris.
Seponeren: een beslissing van het Openbaar Ministerie om een
strafbaar feit niet te vervolgen. Het Openbaar Ministerie kiest
zelf of zij iemand wil vervolgen of niet. Redenen om niet te ver-
volgen zijn dat men het feit niet serieus genoeg acht, dat er on-
voldoende bewijs is of simpelweg dat men het te druk heeft. Als
het slachtoffer het oneens is met de beslissing om te seponeren,
kan hij daarover klagen bij het gerechtshof. Die kan dan via een
“artikel 12-procedure” het Openbaar Ministerie bevelen alsnog
te vervolgen.
Strafbaar feit: een feit (handeling) dat in de strafwet verboden
is. Een strafbaar feit kan een overtreding of misdrijf zijn afhan-
kelijk van hoe erg de wetgever dit feit vindt. Omdat bij strafbare
130
feiten boetes of gevangenisstraf kunnen worden opgelegd, zijn
strafbare feiten in de wet zeer precies gedefinieerd zodat ieder-
een kan weten wanneer deze overtreden worden. Als aan die de-
finitie op welk punt dan ook niet voldaan is, moet de rechter
overgaan tot vrijspraak. Zo wordt het inbreken in een router
geen computervredebreuk geacht, omdat een router niet voldoet
aan de definitie van ‘computer’ (geautomatiseerd werk).
Strafblad: een registratie van de strafbare feiten voor wie ie-
mand is veroordeeld of als verdachte werd gezien. Deze term is
eigenlijk verouderd. Formeel spreekt men van een uittreksel uit
het Justitieel Documentatiesysteem (JDS). Naast veroordelingen
staan ook feiten geregistreerd waarbij iemand een schikking
(transactie) met het Openbaar Ministerie is aangegaan, en zaken
die geseponeerd zijn. Het strafblad of uittreksel bepaalt in be-
langrijke mate of iemand een Verklaring omtrent het Gedrag
(VOG) krijgt.
Strafrecht: het deel van het recht dat bepaalt welke handelingen
overtredingen of misdrijven (samen: strafbare feiten) zijn. Dit
recht regelt dus hoe mensen zich in het algemeen in de maat-
schappij moeten gedragen.
Strafzaak: Een rechtszaak onder het strafrecht, waarbij een ver-
dachte door het Openbaar Ministerie wordt aangeklaagd. Ver-
gelijk de civiele of burgerlijke rechtszaak, waarbij twee burgers
tegenover elkaar staan.
woordenlijst
Juridische
Telecommunicatiewet: een wet die regels en plichten van aan-
bieders en gebruikers van telecommunicatienetwerken vastlegt.
Onder meer het verbod op versturen van reclamemails staat
hierin, maar ook regels over het mogen leggen van leidingen met
communicatiekabels in iemands tuin.
131
 Uitlokking: het aanzetten van iemand om een strafbaar feit te
plegen dat hij niet zelf al van plan was. De uitlokker moet de
pleger dus op dat idee hebben gebracht. Alleen maar een aan-
trekkelijke gelegenheid scheppen is nog geen uitlokking. Zo is
het bij het station parkeren van een dure fiets zonder slot geen
uitlokking. Iemand wijzen op die fiets zou dat wel kunnen zijn,
omdat daarmee die iemand op het idee zou kunnen komen deze
te stelen.
Verdachte: een persoon tegen wie een “redelijk vermoeden van
schuld” bestaat, maar die nog niet is veroordeeld. Bij een ver-
dachte mag het Openbaar Ministerie meer middelen inzetten,
zoals het doorzoeken of afluisteren van zijn datacommunicatie,
dan bij willekeurige burgers. De verdachte heeft echter ook weer
bepaalde rechten; zo heeft hij recht op een advocaat en mag hij
zwijgen om zichzelf niet te beschuldigen.
Verklaring van goed gedrag: de gebruikelijke term voor de Ver-
klaring omtrent het Gedrag (VOG).
Verklaring omtrent het Gedrag (VOG): een verklaring van de
Minister van Justitie dat voor een bepaald beroep geen feiten in
het strafblad bekend zijn die relevant zijn voor dat beroep. Een
VOG wordt dus altijd afgegeven voor een bepaald beroep. Een
veroordeelde computercrimineel zal dus probleemloos een VOG
krijgen voor een baan als taxichauffeur, maar niet voor een baan
als digitaal rechercheur. Een strafblad wegens rijden onder in-
vloed is geen bezwaar voor een baan als securitymedewerker
van een internetprovider, dus daarvoor zal de VOG gewoon
worden afgegeven.
Voegen: het slachtoffer van een strafbaar feit kan zich melden
bij de Officier van Justitie wanneer tegen de verdachte een straf-
zaak wordt gevoerd. De Officier eist dan naast de gewone straf
132
ook een schadevergoeding voor het slachtoffer. Wanneer de
schade niet eenvoudig vast te stellen is, is voegen niet mogelijk
en moet het slachtoffer zelf een civiele rechtszaak starten op
grond van onrechtmatige daad.
Vonnis: een uitspraak van een rechtbank. In hoger beroep of cas-
satie heet een vonnis een ‘arrest’. Een vonnis noemt de feiten die
de rechtbank heeft vastgesteld en de wetsartikelen die daarmee
zijn overtreden, plus de straf (of schadevergoeding) die daarop
staat. De rechtbank kan daarbij een eigen rechtsregel formuleren
die vastlegt hoe de feiten op de wetsartikelen van toepassing
zijn. Als die rechtsregel algemeen genoeg is, wordt het vonnis
als jurisprudentie gezien.
Wederrechtelijk: een feit dat “zonder recht” gepleegd is, oftewel
zonder toestemming of andere rechtvaardigingsgrond. Wie bij-
voorbeeld uit noodweer een ander een klap geeft, pleegt geen
mishandeling omdat noodweer een rechtvaardigingsgrond is.
En wie met toestemming andermans wachtwoord gebruikt,
pleegt geen computervredebreuk.
Wetboek van Strafrecht: het belangrijkste deel (‘boek’) uit de
wet dat vastlegt welke zaken strafbare feiten zijn en welke straf
de rechter daarbij maximaal mag opleggen. Ook andere wetten
kunnen strafbare feiten vastleggen.
Wetboek van Strafvordering: het deel uit de wet dat vastlegt hoe
woordenlijst
de politie en het Openbaar Ministerie strafbare feiten mag op-
Juridische
sporen en vervolgen, en wat zij mag doen om deze feiten te voor-
komen. Zo staat in dit wetboek bijvoorbeeld wanneer de politie
een computer in beslag mag nemen of een mailbox mag inzien.
Zaakwaarneming: het op redelijke grond behartigen van ander-
mans belang, zonder dat dit apart afgesproken is. Wie bij de
133
 ?
buren (die op vakantie zijn) een kapot raam ziet, mag dit laten
vervangen. De rekening is dan voor de buren. Wel moet hij alles
gedaan hebben om de buren te contacteren en de kosten te
beperken. Naslag wetsartikelen

Opzettelijk en wederrechtelijk binnendringen in een com-

Computervredebreuk

putersysteem of netwerk
maximaal 1 jaar cel of geldboete van vierde categorie
(art. 138ab lid 1).

Na computervredebreuk gegevens aftappen of opnemen

maximaal vier jaar cel (of boete van vierde categorie)
(art. 138ab lid 2).

Na computervredebreuk misbruik maken van verwerkings-

capaciteit
maximaal vier jaar cel of een boete van vierde categorie
(art. 138ab lid 3).

Na computervredebreuk het systeem gebruiken als "spring-

plank"
maximaal vier jaar cel of een boete van vierde categorie
(art. 138ab lid 3).

Hulpmiddelen voor computervredebreuk

maximaal 1 jaar cel of geldboete van vierde categorie

Bijlagen
(art. 139d lid 2).

Hulpmiddelen voor gegevens aftappen of opnemen na com-

putervredebreuk
maximaal vier jaar cel of een boete van vierde categorie
(art. 139d lid 3).

134 135
 Handel in wachtwoorden en andere valse sleutels
maximaal 1 jaar cel of geldboete van vierde categorie
(art. 139d lid 2).
Het verspreiden of ter beschikking stellen van programma’s
Virussen en andere overlast
die bestemd zijn om schade aan te richten in een geautomati-
seerd werk
maximaal vier jaar cel of een boete van vijfde categorie
(art. 350a lid 3).
Door nalatigheid een programma laten verspreiden dat be-
stemd is om schade aan te richten in een geautomatiseerd werk
een maand cel of geldboete van de tweede categorie
(art. 350b lid 2).
Vernielen van opgeslagen of verwerkte gegevens
twee jaar cel of geldboete van vierde categorie (art. 350a lid 1)
Vernielen van opgeslagen of verwerkte gegevens na compu-
tervredebreuk en met ernstige schade tot gevolg
vier jaar cel of geldboete van vierde categorie
(art. 350a lid 2).
Door nalatigheid opgeslagen of verwerkte gegevens laten
vernielen indien dat leidt tot ernstige schade
een maand cel of geldboete van de tweede categorie
(art. 350b lid 1).
Dreigen met onbruikbaar, ontoegankelijk maken of wissen
van gegevens
maximaal negen jaar cel of een boete van vijfde categorie
(art. 317 lid 2).
136
Installeren van software zonder ondubbelzinnige toestemming
Boete van ten hoogste € 450 000 (art. 4.1 BUDE (Telecomwet)).
Belemmeren van de toegang tot of het gebruik van een sys-
teem door daaraan gegevens aan te bieden of toe te zenden
maximaal 1 jaar cel of geldboete van vierde categorie
(art. 138b).
Opzettelijk vernielen, beschadigen of onbruikbaar maken
van een computer- of communicatiesysteem
• indien verhindering, bemoeilijking of storing een jaar/vijfde
categorie
• indien gevaar voor goederen of diensten: zes jaar/vijfde
categorie
• indien levensgevaar: negen jaar/vijfde categorie
• indien daadwerkelijk tot overlijden leidt: vijftien jaar/vijfde
categorie (art. 161sexies lid 1).
Hulpmiddel voor vernielen, beschadigen of onbruikbaar
maken van een computer- of communicatiesysteem
een jaar cel of geldboete van de vijfde categorie
(art. 161sexies lid 2).
Door nalatigheid systemen laten vernielen, beschadigen, on-
bruikbaar maken of storen
• indien dienst gehinderd of bemoeilijkt: zes maanden of geld-
boete van de vierde categorie
• indien gevaar voor goederen of diensten: zes maanden of
Bijlagen
geldboete van de vierde categorie
• indien levensgevaar: een jaar of geldboete van de vierde
categorie
• indien daadwerkelijk tot overlijden leidt: twee jaar of geld-
boete van de vierde categorie (art. 161septies).
137

Opzettelijk en wederrechtelijk met een technisch hulpmid-
Aftappen of opnemen
del aftappen of opnemen van gegevens (geen gesprek) die
voor iemand anders bedoeld zijn
1 jaar cel, vierde categorie (art. 139c lid 1).
Indien gepleegd na computervredebreuk
maximaal vier jaar cel, of een boete van vierde categorie
(art. 139c lid 1).
Opzettelijk en wederrechtelijk opnemen van een gesprek
(geen datacommunicatie) in een woning, besloten lokaal of
erf door iemand die geen deelnemer is
zes maanden cel of een boete van vierde categorie
(art. 139a lid 1).
Uitzondering: als op gezag van degene bij wie de woning, het
lokaal of het erf in gebruik is, niet heimelijk aanwezig is.
Opzettelijk en wederrechtelijk opnemen van een gesprek
(geen datacommunicatie) buiten een woning, indien dat hei-
melijk gebeurt door iemand die geen deelnemer is
drie maanden of geldboete van de derde categorie
(art. 139b lid 1).
Doorgeven of verkopen van illegaal afgeluisterde gegevens
zes maanden cel of een boete van vierde categorie (art. 139e).
Reclame maken of aanprijzen van afluister-, aftap- of opna-
meapparatuur als zijnde geschikt voor heimelijk afluisteren,
aftappen of opnemen.
twee maanden of geldboete van de derde categorie (art. 441a).
Opzettelijk en wederrechtelijk personen filmen op niet voor
publiek toegankelijke plaats
zes maanden of geldboete van de vierde categorie (art. 139f).
Bezitten van afbeelding (of film) verkregen via dergelijk filmen
zes maanden of geldboete van de vierde categorie (art. 139f).
Opzettelijk en wederrechtelijk personen filmen met aange-
brachte camera op publiek toegankelijke plaats
twee maanden cel of geldboete van de derde categorie
(art. 441b).

Plaatsen van afluister-, aftap- of opnameapparatuur met het

doel om gesprekken, telecommunicatie, gegevensoverdracht
of gegevensverwerking af te luisteren of op te nemen
een jaar cel of een boete van vierde categorie (art. 139d lid 1).

Bijlagen
Vervaardigen, verkopen, verwerven, invoeren, verspreiden
of anderszins ter beschikking stellen of voorhanden hebben
van afluister-, aftap- of opnameapparatuur
celstraf van één jaar of een boete van vierde categorie
(art. 139d lid 2).

138 139
 Gebruik maken van dienst die via telecommunicatie wordt
Overige
aangeboden zonder te betalen
vier jaar cel of geldboete van de vijfde categorie (art. 326c).
Aanbieden en verspreiden van hulpmiddelen of gegevens
om gratis toegang te krijgen tot betaaldiensten is verboden
twee jaar of geldboete van de vierde categorie
(art. 326c lid 2).
Tabel van bevoegdheden
De nu volgende tabel, op pagina 142, noemt de belangrijkste be-
voegdheden waarmee Justitie diverse gegevens kan opvragen
bij partijen zoals providers of bedrijven wanneer sprake is van
een bepaald soort misdrijf. De wet kent een aantal waarborgen.
Zo moet vaak sprake zijn van een ‘zwaar’ misdrijf, dat wil zeg-
gen een misdrijf met minstens vier jaar cel als maximumstraf.
Soms is zelfs vereist dat dit misdrijf ook een “ernstige inbreuk
op de rechtsorde” oplevert.

Uit winstbejag maken van zulke hulpmiddelen of gegevens
twee jaar of geldboete van de vierde categorie
(art. 326c lid 2).
Als beroep maken, aanbieden of verspreiden van zulke
hulpmiddelen of gegevens
vier jaar cel of geldboete van de vijfde categorie
(art. 326c lid 3).
Maken, verspreiden of uit winstbejag bezitten van middelen
die uitsluitend bestemd zijn voor het omzeilen van de beveili-
ging van software (niet muziek, films, e-boeken en dergelijke)
zes maanden of geldboete van de vierde categorie.
(art. 32a Auteurswet).
Niet iedere eis mag zomaar door elke opsporingsambtenaar
(zoals politieagent, belastinginspecteur of douanebeambte) wor-
den ingesteld. Vaak moet de officier van justitie toestemming
geven. En soms moet die een machtiging vragen aan de (onaf-
hankelijke) rechter-commissaris voordat hij toestemming mag
geven.
Als laatste geldt nog dat bevoegdheden als deze beperkt moeten
worden uitgelegd. Wanneer een wetsartikel bijvoorbeeld stelt
dat men gegevens over communicatie mag vorderen, mag men

Vervalsen van betaalpassen of waardekaarten (bijvoorbeeld

beltegoedkaarten)
zes jaar cel of een boete van de vijfde categorie

Bijlagen
(art. 232 lid 1).

Gebruiken, voorhanden hebben, weggeven of verkopen van

dergelijke kaarten als je weet dat ze vervalst zijn
zes jaar cel of een boete van de vijfde categorie
(art. 232 lid 2).

140 141
 niet de locatie van een mobiele telefoon vorderen. Die locatie
zegt niets over de communicatie die men voert met deze telefoon.

Bronvermelding

Foto’s:
Alle foto’s zijn te vinden op: www.jolie.nl/ictrecht/Fotos-boek-security-DPJA/
Gemaakt door: Jolie van der Klis, CC-BY-SA-licentie zie:
creativecommons.org/licenses/by-sa/2.0/
Uitgezonderd: Afgesloten rijbanen op de Brücke der Solidarität, pag. 78, used with
exclusive permission from the photographer, © parcelpanic,
www.panoramio.com/photo/31852663

Bronvermelding
142 143