Professional Documents
Culture Documents
Arnoud Engelfriet
inhoud
Inhoud
1 Computervredebreuk......................................1
Binnendringen in computersystemen ...............................1
Beveiliging doorbreken.................................................2
Per ongeluk binnendringen............................................5
Poortscannen...............................................................7
Poortscannen als poging...............................................8
Andere vormen van uitproberen.....................................9
Verzwaarde vormen ...................................................10
Hulpmiddelen ............................................................12
Oogmerk van criminaliteit ...........................................14
Honeypots en uitlokken ...............................................15
Op eigen initiatief ......................................................16
Nederlands, zie
http://creativecommons.org/licenses/by-sa/2.5/nl/
3 Aftappen en kopiëren van data ....................37
Aftappen van datacommunicatie..................................37
Aftappen door de overheid .........................................39
iii
Vrije signalen uit de ether............................................41 Sancties bij overtreding ..............................................80
Inhoud
Diefstal van gegevens.................................................42 Cameratoezicht in de openbare ruimte .........................81
Digitaal briefgeheim...................................................44 Meeluisteren bij cameratoezicht...................................83
Toegang zonder te betalen..........................................45 Cameratoezicht in private ruimte .................................84
Films en muziek zonder te betalen................................46 Cameratoezicht op het werk........................................84
Software zonder te betalen .........................................47 Cameratoezicht bij de buren .......................................84
Kopiëren van betaalkaarten ........................................48
Opnemen van gesprekken ..........................................50 6 Ethisch verantwoord .....................................87
Hulpmiddelen voor aftappen en opnemen.....................51 Vrijheid van meningsuiting ..........................................87
Aan de kaak stellen van misstanden .............................89
4 Privacy en persoonsgegevens .......................53 Verder gaan dan nodig ..............................................90
Twee soorten privacy..................................................53 Publiceren van gelekte geheimen .................................91
Wet bescherming persoonsgegevens ............................54 Melden van beveiligingsfouten ....................................93
Toestemming voor verwerking......................................56 Responsible disclosure ................................................95
Cookies en toestemming .............................................57 Onderzoeken van software .........................................97
Grenzen aan toestemming ..........................................58 Opruimen van malware ..............................................99
Aanmelden van verwerking.........................................59 Denial of service-aanval als protest ............................101
Informeren, inzage en correctie ...................................61
Beveiliging van persoonsgegevens ...............................62 7 Forensisch onderzoek en rechtszaken .........103
Identiteitsfraude .........................................................64 Aangifte doen .........................................................103
Vorderen van persoonsgegevens..................................66 Verplicht opnemen ...................................................105
Vriendelijk verzoek.....................................................67 Aangifte niet verplicht...............................................106
Afgifte aan private partijen .........................................68 Schadevergoeding van de dader ...............................106
De Wet bewaarplicht..................................................69 Bewijsvoering bij de civiele rechter ............................108
Bewijsvoering bij de strafrechter ................................110
5 Monitoren en toezicht ...................................71 Verklaringen van deskundigen ...................................111
Monitoren van werknemers .........................................71 Forensisch bewijs .....................................................113
Legitiem doel .............................................................72 Vervalst bewijs.........................................................114
Protocol voor privégebruik ..........................................74 Illegaal verkregen bewijs ..........................................116
Monitoren van social media ........................................76 Toegang en wachtwoorden .......................................117
Beperkt monitoren ......................................................77 Zelf proberen te raden..............................................118
Blokkeren ..................................................................77 Digitaal rechercheur .................................................120
Geheimhouding voor systeembeheerder .......................79 Eigen verantwoordelijkheid .......................................121
Doorzoeken van de bedrijfspc .....................................79
iv v
Juridische woordenlijst ..................................123
Inhoud
Naslag wetsartikelen ....................................135
Computervredebreuk ................................................135
Virussen en andere overlast.......................................136
Aftappen of opnemen...............................................138
Overige ..................................................................140
Tabel van bevoegdheden ..........................................141
Bronvermelding .............................................143
vi
Voorwoord
Voorwoord
tercriminaliteit uit 1993, en een update in 2006 zijn er nu uitge-
breide strafbepalingen over inbreken in computers, gegevens-
diefstal, virussen en andere kwaadaardige software en het
uitvoeren van denial of service-aanvallen. Ook zijn er regels
over het afluisteren en aftappen van communicatie en het kraken
of hacken van beveiligde diensten zoals betaaltelevisie.
ix
1
In dit boek besteden we aparte aandacht aan ethisch hacken.
Het kraken van beveiligingen, inbreken in gebouwen of het
wegnemen van documenten is verboden, en daarbij maakt het
beroep dat je uitoefent niet uit. Maar onder uitzonderlijke om- Computervredebreuk
standigheden kan een hacker vrijuit gaan met een beroep op de
persvrijheid.
1-Computer-
vredebreuk
Arnoud, 1 november 2011
e bekendste vorm van computercriminaliteit is het binnen-
dringen in een computersysteem of netwerk. Dit heet com-
putervredebreuk (soms ook wel computerinbraak of
hacken) en is een misdrijf. In tegenstelling tot wat vaak gedacht
wordt, is het óók strafbaar om binnen te dringen in onbeveiligde
computers of netwerken. Pogingen tot inbreken (bijvoorbeeld
een poortscan) zijn al snel eveneens strafbaar, net als het bezit
van hulpmiddelen die bedoeld zijn om mee binnen te dringen.
Binnendringen in computersystemen
Binnendringen (‘inbreken’) in een computersysteem of netwerk kan op
vele manieren, en de wet geeft daar geen algemene definitie voor. Dat
kan ook niet, want er zijn altijd weer slimmeriken die dan een compu-
terinbraak gaan verzinnen die niet onder die definitie valt. Bij de behan-
deling in de Tweede Kamer van de Wet computercriminaliteit gaf de
minister aan dat dit van geval tot geval uit de rechtspraak zal moeten
blijken. Met zo’n open definitie die door de rechter kan worden ingevuld,
is de wet voorbereid op toekomstige ontwikkelingen.
Tot 2006 stond wél expliciet in de wet dat een beveiliging moest
worden doorbroken. Wie toen rondsnuffelde op een onbevei-
ligde computer, was niet strafbaar. Pas als je enige beveiliging
doorbrak, liep je tegen de wet aan. Door de wetswijziging van
2006 werd ook dat rondsnuffelen zonder wachtwoorden te
x 1
raden of iets te kraken strafbaar. Meer dan wéten dat je niet op • Een technische ingreep: onder meer het systeem zover krijgen
die plek hoort te zijn, is al genoeg onder de huidige wet. De eis dat het een instructie uitvoert waardoor de toegang wordt ver-
van een beveiliging doorbreken is geschrapt om de wet in lijn te leend tot bepaalde gegevens (het digitale equivalent van het
krijgen met het Europese Cybercrimeverdrag. kortsluiten van een elektronisch slot zodat de deur opengaat).
Een voorbeeld is een SQL-injectie, waarbij meer informatie uit
Voor het binnendringen in computersystemen wordt vaak de een database kan worden gehaald dan toegestaan.
term ‘hacken’ gebruikt. Dit is eigenlijk niet juist; een hacker is • Valse signalen of een valse sleutel: bijvoorbeeld een geraden
iemand die zeer goed en creatief met computers of andere ap- of afgekeken wachtwoord van een ander gebruiken, of je com-
1-Computer-
vredebreuk
paraten om kan gaan, en er meestal niet op uit is om schade aan puter andermans IP-adres laten aannemen (IP spoofing). Er
te richten. Toch worden activiteiten van hackers (in deze posi- zijn diverse veroordelingen geweest van mensen die ‘ge-
tieve betekenis van het woord) gezien als computervredebreuk leende’ wachtwoorden gebruikten, of wachtwoorden van hun
als ze – om welke reden dan ook – in andermans systemen bin- ex-werkgever die nog bleken te werken nadat ze een nieuwe
nendringen. Wanneer het inbreken met een nobel doel gebeurt, baan hadden.
wordt vaak gesproken van ‘ethisch hacken’ of ‘white hat’ hacken, • Het aannemen van een valse hoedanigheid: jezelf anders
waarover meer in hoofdstuk 6. In de pers (en ook in de recht- voordoen dan je bent, bijvoorbeeld door je computer de naam
spraak) worden de termen ‘hackers’ en ‘inbrekers’ als synoniem te geven van de printserver en zo toegang tot de map met
gebruikt. printjobs krijgen. IP spoofen kan dus ook onder dit kopje ge-
schaard worden. ‘Social engineering’ is ook op deze manier
Beveiliging doorbreken
De wet noemt vier handelingen die in ieder geval computervredebreuk
zijn. De definities zijn niet heel hard, en ze worden in de praktijk ook
niet altijd even consequent toegepast. Omdat uiteindelijk de wet een
open definitie hanteert, is het niet heel erg dat een bepaalde situatie af-
wijkt van deze vier handelingen. Ze zijn meer bedoeld ter illustratie van
het soort zaken dat typisch computervredebreuk is.
2 3
soms strafbaar: de helpdesk bellen, zeggen dat je de nieuwe Het aanleveren van valse gegevens is geen binnendringen. Dit
manager bent en vragen of men de beveiliging even uitzet bleek uit een rechtszaak over het aanleveren van valse auto-
omdat je nú heel belangrijk werk moet doen. matische incasso's bij de bank. Dit was geen binnendringen,
omdat de toegang tot het banksysteem op zichzelf geautoriseerd
Wie een van deze handelingen verricht, pleegt in ieder geval was. Via die toegang werd vervalste informatie aangeleverd. Er
computervredebreuk. Er kunnen echter ook andere vormen van was dus sprake van fraude, maar niet van binnendringen. Let
binnendringen zijn (of komen) die hier niet onder vallen. De rech- wel: als het gaat om gebruik van valse inloggegevens is het wel
ter zal dan moeten bepalen of dit een strafbare vorm van binnen- binnendringen.
1-Computer-
vredebreuk
dringen is. Zo kun je soms door een webadres (URL) handmatig
te veranderen, pagina’s te zien krijgen die eigenlijk nog niet pu-
bliek toegankelijk hadden moeten zijn. Het is niet duidelijk of dit Het overtreden van de gebruiksvoorwaarden van een site is ook
een strafbare vorm van binnendringen is. Hierover zullen nieuwe geen computervredebreuk. Dergelijke regels overtreden leidt wel
rechtszaken jurisprudentie moeten scheppen. tot contractbreuk, en de site-eigenaar mag je dan verwijderen of
je account blokkeren. Maar zolang je alleen de interfaces gebruikt
De beveiliging van je eigen computer kraken is natuurlijk niet die de site je ter beschikking stelt, kan er geen sprake zijn van
strafbaar. Maar bij andere apparaten kan dat zomaar wel het strafbaar handelen. Hetzelfde geldt voor software die draait met
geval zijn. De rechter vond eind 2010 het kraken en zelf opladen bepaalde restricties, zoals de controlesoftware die bij spellen moet
van OV-chipkaarten een vorm van computervredebreuk, omdat voorkomen dat mensen valsspelen of een illegale kopie gebrui-
daarmee werd binnengedrongen in de chip in de kaart. Omdat ken. Het uitschakelen van die software is geen computervrede-
volgens de algemene voorwaarden de kaart eigendom was en breuk, maar kan wel inbreuk op het auteursrecht opleveren.
bleef van Trans Link Systems, had de verdachte daarmee inge-
broken in “andermans computer”. Het herprogrammeren van
apparatuur in bruikleen (bijvoorbeeld het modem van je provi- Omdat er bij computervredebreuk geen eis geldt dat je actief iets
Per ongeluk binnendringen
der) zou hier dus ook onder kunnen vallen. moet kraken of uitschakelen, zou ook het per ongeluk binnen-
dringen in iemands computersysteem of netwerk een misdrijf
kunnen zijn. Een voorbeeld is het zonder toestemming gebruik-
De Hoge Raad oordeelde in februari 2011 overigens dat de mate maken van andermans onbeveiligde draadloze netwerk, wat
van beveiliging niet heel hoog hoeft te zijn. Meer dan “een ken- vaak automatisch gaat als het netwerk in de buurt is. De minister
bare drempel zodat onbevoegden zich niet simpelweg de toe- heeft bij invoering van de wetswijziging in 2006 bij het schrap-
gang kunnen verschaffen” is niet vereist. Een netwerk dat met pen van de beveiligingseis echter aangegeven dat het voor de
een standaardwachtwoord is beveiligd, mag niet worden bena- potentiële dader wel kenbaar moet zijn dat hij zich op verboden
derd door een derde. Maar wie een bepaalde map op zijn harde terrein gaat begeven. Dat hoeft dus niet per se een beveiliging
schijf deelt met iedereen via filesharing software, kan niet ach- te zijn, een voor mensen zichtbare mededeling “Verboden voor
teraf klagen dat mensen binnengedrongen zijn in die map. onbevoegden” kan al genoeg zijn.
4 5
de wettelijke definitie. De zaak is naar de Hoge Raad, maar het
zal nog wel even duren voor deze een definitieve uitspraak doet.
Een router die wél netwerkverkeer opslaat (voor meer dan een
paar seconden) zou wel onder de wettelijke definitie van “geau-
tomatiseerd werk” vallen.
Ook het opvragen van webpagina’s die nog niet voor het pu-
bliek bedoeld waren, kan strafbaar zijn volgens deze definitie.
1-Computer-
vredebreuk
Denk aan het raden of manipuleren van webadressen. Het op-
roepen van webadressen (URLs) die in een ‘robots.txt’ bestand
zijn geblokkeerd, valt hier echter waarschijnlijk niet onder. Dat
bestand is bedoeld voor zoekmachines (robots) en verbiedt dus
niet iedereen (maar alleen robots) deze adressen op te roepen.
6 7
Een poortscan wordt alleen gebruikt om te onderzoeken welke geen argwaan te wekken. Daarnaast biedt Nmap de mogelijk-
poorten er op een geautomatiseerd systeem aanwezig zijn. Er heid om ‘sneaky’ scans uit te voeren. Dit zijn scans die niet of
wordt geen enkele verdere actie op het systeem ondernomen. slecht opgemerkt kunnen worden door firewalls of Intrusion
Daarmee is er dus geen sprake van inbraak of binnendringen, Detection Systems (IDS’en). Ook kunnen andere technieken
net zo min als sprake is van inbraak wanneer je met een verre- worden gebruikt, zoals een vervalst (gespoofd) IP-adres, om
kijker constateert welke ramen open staan of hoe laat de achter- detectie te bemoeilijken. Het gebruik van een dergelijke scan
deur op slot wordt gedaan. zou bewijs kunnen zijn van de intentie om in te gaan breken.
Immers, uit nieuwsgierigheid gebruik je geen sneaky trucs.
1-Computer-
vredebreuk
Poortscannen als poging
die namen op de gekozen doelsite. Dit gaat wel een stapje verder
putervredebreuk). Essentieel is dat kan worden aangetoond dat de
zijn, maar je vraagt ook informatie op die wellicht nog niet open-
binnen te gaan dringen, of een ander strafbaar feit te plegen. Dit zal in
baar had moeten zijn. De rechter zou hier al snel kunnen aanne-
de praktijk echter bijzonder lastig te bewijzen zijn.
Een poging is namelijk niet strafbaar als de dader halverwege men dat je intentie was om die niet-publieke informatie op te
besluit er toch maar mee te stoppen. Dit heet ook wel “vrijwillige vragen, wat bewijs is van strafbaar binnendringen.
terugtred”. Iemand die na zijn poortscan tot inkeer komt, of die
puur uit nieuwsgierigheid een scan uitvoerde en nooit van plan Een andere vorm van uitproberen is het manipuleren van een
was daadwerkelijk in te breken, is dus niet strafbaar. En het zal webadres (URL) om te zien of deze werkende webpagina’s op-
zelden tot nooit mogelijk zijn om bewijs te vinden dat deze per- leveren, bijvoorbeeld door een identificatienummer van een pa-
soon wel degelijk van plan was de informatie uit de poortscan gina met één te verhogen of een dag/maand/jaartal in de URL
te gebruiken om ergens binnen te dringen. aan te passen om te zien wat er morgen gepubliceerd gaat wor-
den. Ook daarmee kun je toegang krijgen tot niet-publieke in-
Het al genoemde Nmap biedt de mogelijkheid om het tijdstip formatie. Dergelijk manipuleren kan dus een poging tot com-
van uitvoering van poortscans in te stellen, bijvoorbeeld op putervredebreuk zijn.
een moment dat er weinig of geen systeembeheerders aanwe-
zig zijn of met voldoende tijd tussen de verschillende scans om
8 9
In een rechtszaak over manipulatie van een e-learningcursus
noemde de rechter het aanpassen van de URL (waarmee de cur-
sist een hoger cijfer kreeg) echter een “goedbedoelde en onschul-
dige actie”, omdat de cursist meteen na het aanpassen de
dienstverlener had geïnformeerd over de fout. Er was in juridi-
sche termen geen opzet (bedoeling) op het wederrechtelijk bin-
nendringen.
1-Computer-
vredebreuk
In de context van draadloze netwerken is ‘wardriving’ een be-
kend verschijnsel. Hierbij gaat iemand met een laptop en an-
tenne op zoek naar draadloze netwerken. Hij kan vervolgens
proberen zich daarop aan te melden en de internetverbinding te
gebruiken, maar ook volstaan met in een (vaak openbare) data-
base registreren waar dit netwerk zich bevindt en hoe het heet.
Anderen kunnen er dan gebruik van maken – voor goede of
voor kwade doelen. Zolang er geen toegang tot computers op
het netwerk zelf wordt gezocht, is dit legaal.
De meest voorkomende strafverzwarende handeling is na het bin-
Google kwam met haar Streetview-auto’s in juridische proble- nendringen gegevens kopiëren. Dergelijk handelen wordt wel ‘ge-
men toen bleek dat zij niet alleen foto’s nam op straat maar ook gevensdiefstal’ genoemd, maar juridisch is dat eigenlijk onjuist.
gegevens over draadloze netwerken vastlegde. Deze gegevens Gegevens in een computerbestand kunnen niet worden wegge-
omvatten niet alleen de naam van netwerken maar ook frag- nomen, en zonder wegnemen kan er geen sprake van diefstal zijn.
menten van datacommunicatie op die netwerken, met soms zelfs Wel kan dit strafbaar zijn als aftappen of afluisteren (zie hoofdstuk
wachtwoorden of creditcardgegevens. Dat is een vorm van bin- 3). Een inbraak in de computersystemen van gamesbedrijf Activi-
nendringen in een computersysteem. sion, waarbij conceptversies van games werden gekopieerd, le-
verde de dader zes maanden voorwaardelijke gevangenisstraf en
een werkstraf van 240 uur op. Naast kopiëren is ook het vernielen
Verzwaarde vormen of manipuleren van gegevens strafverzwarend.
citeit’ van de computer. Het inzetten van een systeem met een
mumstraf die de rechter op kan leggen wordt dan verhoogd van één
10 11
verspreiding aan te bieden (bijvoorbeeld films of warez, illegaal als hulpmiddelen, als ze zo aangeprezen worden of specifieke
gekopieerde software) valt hier ook onder. Daarnaast is zulk functionaliteit hebben (zoals het herkennen van creditcardnum-
aanbieden een schending van het auteursrecht, wat formeel ook mers) die eigenlijk alleen nuttig is voor criminele handelingen.
een misdrijf is – al wordt in de praktijk zelden tot nooit strafver-
volging ingezet tegen auteursrechtschenders. Software om beveiligingen te testen kan voor legitieme maar
ook voor criminele doelen worden gebruikt. De wet stelt derge-
Een andere vorm van verzwaarde computervredebreuk is het lijke hulpmiddelen dan ook strafbaar als ze “hoofdzakelijk ge-
gebruik als ‘springplank’ naar andere systemen. Denk bijvoor- schikt gemaakt of ontworpen zijn tot het plegen” van compu-
1-Computer-
vredebreuk
beeld aan het kraken van de firewall die een intranet afschermt tervredebreuk. Een algemeen hulpmiddel zoals netcat, ssh of
van het publieke internet. Hiermee heeft de inbreker makkelijk een tekstverwerker zou je kunnen gebruiken bij het inbraak,
toegang tot de computers in dat intranet. Die andere computers maar daar zijn deze middelen niet speciaal voor gemaakt. Deze
herkennen de gekraakte computer namelijk als “een van hen”. hulpmiddelen zijn dus niet strafbaar. Een softwaretool die wacht-
Ook kan een gekraakte computer voorzien zijn van logincodes woorden probeert te raden, is ook niet verboden: een systeem-
of wachtwoorden (credentials) waarmee automatisch op een beheerder kan deze gebruiken om de wachtwoorden van eigen
ander systeem kan worden ingelogd. Denk aan een FTP-pro- gebruikers te testen, en dat is een legitiem doel. Een Trojaans
gramma dat voorgeprogrammeerd is om op de webserver in te paard (zie hoofdstuk 2) dat geprogrammeerd is om een rootkit
loggen, of een VPN-programma dat na het opstarten de compu- te installeren, valt wel onder dit wetsartikel, want dergelijke
ter automatisch aanmeldt bij het bedrijfsnetwerk. software heeft hoofdzakelijk maar één doel en dat is de controle
over andermans computer overnemen.
Hulpmiddelen
Dergelijke hulpmiddelen hoeven niet per se uit software te be- del, is dergelijke software legaal. Het moge duidelijk zijn dat dit
staan. Ook hardware kan een hulpmiddel voor computervrede- een groot grijs gebied is, waar gemakkelijk misbruik van kan
breuk zijn. Er bestaan apparaatjes die tussen toetsenbord en worden gemaakt. Het toevoegen van “Deze software mag alleen
computer kunnen worden aangebracht en alle ingedrukte toetsen voor legale doeleinden worden gebruikt!” is in ieder geval niet
registreren. Dergelijke hardwarematige keyloggers zijn te zien genoeg.
12 13
Op sommige sites worden exploits verhandeld. Op zich maakt
De wet stelt hulpmiddelen pas strafbaar als ze ter beschikking het voor de wet niet uit of je je laat betalen voor het delen van
Oogmerk van criminaliteit
worden gesteld of voorhanden zijn met het oogmerk dat daar- informatie. Maar als iemand geld vraagt voor exploits of infor-
mee computervredebreuk wordt gepleegd. Een onderzoeker die matie over onbekende (“zero-day”) lekken, kan daaruit vaak
informatie of software (exploits) deelt met collega’s, heeft niet wel een crimineel oogmerk worden afgeleid. Immers, als je geld
het oogmerk dat daarmee ingebroken wordt. Hij valt dan buiten wil verdienen met lekken of cracks dan doe je dat meestal door
het wettelijk verbod. Publicatie van een exploit voor het alge- die aan criminelen te verkopen. Natuurlijk zullen er ook mensen
mene publiek kán strafbaar zijn afhankelijk van hoe veel detail zijn die legitiem handelen in cracks maar die hebben dan in
1-Computer-
vredebreuk
de publicatie kent en hoe deze opgezet is. Een direct bruikbare ieder geval de schijn flink tegen.
exploit die de doelsite direct platlegt, met als toelichting “haha
wat een sukkels”, zou waarschijnlijk wel strafbaar zijn. Een we-
tenschappelijke publicatie met alleen een theoretische analyse Hetzelfde geldt voor het verkrijgen, verkopen, verspreiden of
die niet direct bruikbaar is voor criminele activiteiten is niet voorhanden hebben van andermans wachtwoorden, toegangs-
strafbaar. Maar let wel: ook instructies en stappenplannen in ge- codes en dergelijke. Ook dit is strafbaar, mits het gebeurt met
woon Nederlands, zonder computercode erbij, kunnen volgens het oogmerk dat iemand daarmee computervredebreuk gaat ple-
de Hoge Raad onder het verbod vallen. gen. De systeembeheerder die een kopie van alle wachtwoorden
van gebruikers in de kluis bewaart, omdat mensen die steeds
kwijtraken, pleegt dus geen misdrijf.
zwak beveiligd systeem dat opgezet wordt met als doel compu-
tercriminelen, virussen, Trojans en dergelijke te kunnen detecte-
ren. De zwakke beveiliging zorgt ervoor dat de honeypot een
aantrekkelijk doel wordt, en doordat het systeem is voorzien van
uitgebreide logging en dergelijke, zijn IP-adressen, hacktechnie-
ken en misschien wel meer van de aanvallers te achterhalen. De
exploitatie van een honeypot zorgt er dus voor dat mensen daar
computervredebreuk, vernieling van gegevens en andere mis-
drijven kunnen plegen.
14 15
geweld van een klasgenoot om in de supermarkt iets te stelen, uitlokken te spreken. Had een agent de dief aangesproken en ge-
valt onder uitlokking. Je honkbalknuppel uitlenen aan een buur- zegd “kijk, op die hoek staat een rode fiets zonder slot, die kun
man die grote ruzie heeft met zijn ex kan ook al snel als uitlok- je zo meenemen”, dan zou wel sprake van uitlokking zijn ge-
king of poging daartoe worden gezien. Wel zal het Openbaar weest. Ook allerlei andere lokmiddelen (van lokvuilniszakken
Ministerie (OM) moeten aantonen dat je die knuppel gaf met de tot lokhoeren, lokvrachtwagens, lokoma’s, lokhomo’s en ga zo
bedoeling dat de buurman daarmee de ex zou mishandelen of maar door) zijn met deze redenering legaal. Het maakt daarbij
diens huis ging vernielen. niet uit of een particulier of de politie het lokmiddel inzet.
1-Computer-
dat ze niet al zelf van plan waren. Wel is het af te raden om de
vredebreuk
Een belangrijk aspect bij uitlokking is dat de uitlokker degene is van wie
zijn. Dan kan een verweer van uitlokking namelijk best wel eens
huis van zijn ex kort en klein te slaan, dan lok je dat feit niet uit door
effect hebben: “Ik was alleen wat aan het lezen en toen haalde
hem je honkbalknuppel te lenen. De vraag is dan waar de grens ligt.
In 2008 oordeelde de Hoge Raad dat het toegestaan is om een hij me over om het eens te proberen bij die site”. Ook kan een
lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De honeypot na gehackt te zijn, worden ingezet als springplank
lokfiets stond niet op slot, maar dat was onvoldoende om van voor aanvallen bij derden. Deze kunnen de schade verhalen op
de eigenaar van de honeypot. Zorg er dus voor dat een dergelijk
systeem niet met de buitenwereld kan communiceren.
16 17
Virussen en andere hinder
2
M
andere hinder
2-Virussen en
alware (‘kwaadaardige software’) is software met als doel
schade of overlast aan te richten bij degenen die de soft-
ware installeren. Bekende voorbeelden zijn virussen, wor-
men, Trojaanse paarden, rootkits en spyware. Het verspreiden
van malware is naast computervredebreuk de meest voorko-
mende vorm van cybercrime.
Virussen en wormen
Virussen en wormen zijn de populairste soorten malware. Ze versprei-
den zich allebei door gebruik te maken van kwetsbaarheden in soft-
ware. Beiden kunnen forse schade aanrichten aan besmette systemen
of netwerken.
18 19
smartphone) alleen maar aan staat. Zowel virus als worm zijn vermenigvuldigen in een geautomatiseerd werk’. Op deze bijzin
meestal geprogrammeerd om een bepaalde actie uit te voeren, was veel kritiek, aangezien de meeste virussen en wormen geen
zoals het installeren van een achterdeur (zie onder) op geïn- schade aanrichten door het enkele zichzelf verspreiden. De
fecteerde systemen zodat die door de verspreider kunnen schade komt later, bijvoorbeeld in de vorm van een gewiste
worden overgenomen. Een worm richt vaak vooral schade aan harde schijf. Overigens was deze bijzin geen belemmering om
door zichzelf te verspreiden, bijvoorbeeld door overlast op het de verspreider van het Kournikova-virus te veroordelen, hoewel
netwerk, terwijl een virus pas schade aanricht na verspreiding. dat virus door de verspreiding zelf geen materiële schade aanrichtte.
De schade trad pas op bij het opruimen van het virus. De rechter
De meeste wormen verspreiden zich als ‘drive-by download’: vond dat ook deze schade het gevolg was van het verspreiden.
een populaire website wordt gehackt en voorzien van kwaad- De (Nederlandse) maker kreeg een werkstraf van 150 uur.
andere hinder
2-Virussen en
aardige software, die argeloze bezoekers dan (vaak volautoma-
tisch) downloaden zonder het door te hebben. Wormen ver-
spreiden zich ook wel door volautomatisch een mail te genereren
Trojaanse paarden
met een kopie van zichzelf als bijlage middels het mailpro-
Een Trojaans paard (‘Trojan horse’) is een programma dat zich voordoet
bekend persoon. Hij zal dan snel geneigd zijn de bijlage te ope-
verstuurt naar een server, is een voorbeeld van een Trojaans paard.
20 21
Een ander voorbeeld is een programma dat wordt geadverteerd dat de gebruiker het chatprogramma MSN opstartte, werd au-
als een toolbar voor Internet Explorer, maar tevens (op de ach- tomatisch aan al zijn contactpersonen in de contactenlijst de-
tergrond) een stuk software installeert waarmee de computer op zelfde link toegestuurd. De rechtbank bevestigde de boete in
afstand te besturen is. Ook populair zijn de apps voor mobiele hoger beroep, hoewel het boetebedrag gematigd werd naar
telefoons of tablets die zich presenteren als leuk spelletje of wid- 14.000 euro.
get maar stiekem een heel ander doel hebben.
Trojaans paard-software richt geen directe schade aan in de sys-
In tegenstelling tot virussen en wormen verspreiden Trojaanse temen waarop deze is geïnstalleerd, en valt dus niet onder de
paarden zichzelf niet. Deze software wordt door partijen geïn- wettelijke definitie van virussen. Deze software richt meestal
stalleerd die niet doorhebben dat de software niet legitiem is. De hooguit indirect schade aan, bijvoorbeeld door andere software
andere hinder
2-Virussen en
verspreiding van zulke software lastig juridisch aan te pakken. te installeren of door privégegevens te lekken. Zou de software
Er wordt niets gekraakt of via een achterdeur binnengeloodst. een achterdeur installeren, bijvoorbeeld om de computer te ge-
De gebruiker is misleid over wat de software doet, maar dat is bruiken voor een botnet, dan zou deze kunnen worden gezien
in principe geen strafbare zaak. De koper kan als het gaat om be- als een hulpmiddel voor computervredebreuk.
taalde software hooguit zijn geld terugeisen omdat sprake is van
dwaling bij de aankoop.
22 23
Vanwege het ‘willoos’ heten de computers soms ook wel zom-
bies. Botnets worden veel gebruikt om reclamemails (spam) te
versturen of om denial-of-service aanvallen uit te voeren. Bot-
nets worden zelfs verhuurd door criminelen, zo blijkt uit onder-
zoek. Voor zo’n 50 euro mag men een dag lang tienduizenden
computers inzetten naar eigen wens, met een professioneel con-
trolepaneel om ze aan te sturen.
andere hinder
2-Virussen en
kan bijvoorbeeld een speciaal wachtwoord inbouwen in zijn
software waarmee hij altijd in kan loggen of de beveiliging kan
omzeilen. Ook dergelijke achterdeuren zijn strafbaar als hulp-
middel voor computervredebreuk. Zo had een ICT-medewerker
een achterdeur in een webapplicatie ingebouwd, waarmee hij
op afstand willekeurige records uit de klantendatabase kon wis-
automatisch op ‘Yes’ in een dialoogvenster klikken, waardoor sen. De rechter kwalificeerde de webapplicatie als een hulpmid-
ze gemakkelijk kunnen worden verleid tot het installeren van del om binnen te dringen in de webserver en veroordeelde hem
een dergelijk pakket. voor computervredebreuk, met als verzwarende omstandigheid
(zie hoofdstuk 1) het vernielen van gegevens.
Via de achterdeur kan de computer op afstand worden bestuurd.
Een veel gebruikte toepassing hiervan is het versturen van spam,
ongevraagde bulkreclame. Ook kan hiermee bijvoorbeeld een
denial of service-aanval worden uitgevoerd. Als de aanvaller dit
Rootkits
luisteren.
kit kan ook een achterdeur verborgen houden, waarmee een inbreker
gemakkelijk de computer op afstand kan besturen.
Een verzameling computers die voorzien is van dergelijke ach- Vaak worden rootkits als onderdeel van andere malware
terdeuren wordt ook wel een botnet genoemd, omdat ze in geïnstalleerd. Zo kan een Trojaans paard of een worm bijvoor-
wezen als een netwerk van willoze robots als één geheel ingezet beeld een rootkit met zich meedragen en deze bij het slachtoffer
kan worden door de beheerder van de software (de ‘botherder’). installeren. Ze kunnen dan zelfs geprogrammeerd zijn om het
24 25
verwijderen van die malware te detecteren en ongedaan te het programma gratis gebruiken. Vaak wordt informatie over de
maken. Ook zijn er rootkits bekend die de ‘concurrentie’ gebruiker opgestuurd naar een server, zodat de reclame aan de
verwijderen. gebruiker kan worden aangepast of de adverteerder gedetail-
leerde informatie kan krijgen over de effectiviteit van de
Een berucht voorbeeld is de ‘Sony rootkit’ die werd geïnstalleerd advertenties.
als bepaalde CD's met muziek van Sony Music op de PC werden
afgespeeld. Het verwijderen bleek bijzonder moeilijk en leidde Niet elk programma dat gegevens doorstuurt, is spyware. Veel
tot schade en niet meer opstartende computers. Toen dit werd software biedt de mogelijkheid tot registratie. Als dat expliciet ge-
ontdekt, leidde dit tot grote verontwaardiging en zelfs tot diverse vraagd wordt, en de gebruiker kan weigeren, dan is geen sprake
rechtszaken. Sony heeft de meeste zaken geschikt, en er is geen van spyware. Ook als bij installatie wordt toegelicht wat men gaat
andere hinder
2-Virussen en
veroordeling van het bedrijf uitgesproken. Wel werd Sony in de doen en de gebruiker expliciet akkoord geeft, is de software geen
VS tot een terughaalactie gedwongen in diverse staten. spyware te noemen. Zou de software zelfstandig de naam en het
e-mail adres van de gebruiker opsturen zonder dit te melden, dan
voldoet de software wel aan de definitie van spyware.
Doordat rootkits vaak zeer moeilijk te verwijderen zijn, kunnen
de hoge kosten van het opruimen worden gezien als schade. Het
is echter onduidelijk of het daarmee voldoet aan de eis van ‘pro- Het stiekem doorgeven van privé-gegevens is geen schade in de
gramma’s die bestemd zijn om schade aan te richten in een ge- zin van het strafrecht. Spyware valt daarom niet direct onder
automatiseerd werk’. Immers, het programma richt geen schade vernielen van gegevens. Of het bij iemand installeren van spy-
aan, het verwijderen doet dat. Als het slachtoffer de verspreider ware te zien is als computervredebreuk (vanwege het ‘opzettelijk
kan traceren én zijn schade kan hardmaken, dan kan hij wel een en wederrechtelijk binnendringen in een computer’) is op dit
schadeclaim indienen op grond van onrechtmatige daad. moment een open vraag. Wel is bij spyware sprake van schen-
ding van de Wet bescherming persoonsgegevens (zie hoofdstuk
4) omdat geen toestemming wordt gevraagd voor het verzame-
len en versturen van de gegevens. Telecomtoezichthouder OPTA
Spyware
26 27
Het verspreiden of gebruiken van zulke software is strafbaar als ziekenhuis heeft sindsdien 35 miljoen kaarten ontvangen, terwijl
een vorm van afpersing: bedreiging dat gegevens die door mid- Shergold al lang hersteld is. En nog steeds ontvangt men tien-
del van een geautomatiseerd werk zijn opgeslagen, onbruikbaar tallen kaarten per maand.
of ontoegankelijk zullen worden gemaakt of zullen worden ge-
wist. Als de ransomware daadwerkelijk het dreigement uitvoert, Een bedrijf dat valselijk meldt dat een computer besmet is met
is sprake van ‘vernielen of ontoegankelijk maken van gegevens’ een virus of andere malware, en vervolgens aanbiedt dit tegen
en dat is op zichzelf een strafbaar feit (zie het tussenkopje ‘Ver- een vergoeding te verwijderen, pleegt een vorm van fraude.
nielen van gegevens’). Dergelijke onjuiste mededelingen vallen onder de Wet op de
oneerlijke handelspraktijken, en overtreding daarvan is al snel
een strafbaar feit.
andere hinder
2-Virussen en
Hoaxes en nepvirussen
Naast echte virussen, wormen en andere kwaadaardige software doen
ook berichten over malware regelmatig de ronde. Meestal zijn zulke be-
richten nep: ze waarschuwen voor virussen die niet bestaan of die on- Vernielen van gegevens
waarschijnlijke dingen zouden kunnen doen (zoals op afstand gegevens Het opzettelijk vernielen, beschadigen of onbruikbaar maken van een
wissen). Een destructief voorbeeld van zo’n nepbericht is een mail waarin computer- of communicatiesysteem of het vernielen van opgeslagen
de ontvanger wordt uitgelegd dat er een geavanceerd virus in omloop gegevens is ook strafbaar. Hieronder valt niet alleen fysiek vernielen
is, dat zich nestelt als een DLL in de \Windows\System32 map op zijn (bijvoorbeeld uit het raam gooien) daarvan. Ook strafbaar is het
computer. Als de ontvanger geschrokken dit bestand verwijdert, werkt
zijn computer niet meer omdat de genoemde DLL in feite een essentieel
onderdeel van Windows is.
28 29
Net als bij hulpmiddelen voor computervredebreuk is voor deze
strafbaarstelling gekozen zodat men altijd iets in reserve heeft
veroorzaken van een storing waardoor de werking van de computer (of
mocht het bewijs van de vernieling zelf niet rond te krijgen zijn.
het netwerk) wordt gehinderd. Zo plaatste een medewerker van de Uni-
zijn. Een algemene tool die ook ingezet kan worden voor dit
op die schijf ontoegankelijk werden. Hij kreeg drie jaar cel (en TBS,
andere hinder
2-Virussen en
fische foto aan toevoegen. Of aan het toevoegen van nep-
is een strafverzwarende omstandigheid bij het vernielen of onbruikbaar
goed werkt.
software in een ziekenhuis of het herprogrammeren van de navigatie-
software van de brandweer zodat ze niet op tijd bij een brandend huis
Het ‘defacen’ van een site is een vorm van vandalisme die grof-
aankomen. Een denial of service-aanval die naast de website van het
of vervangen, meestal met beledigende of expliciete tekst en In een zaak uit februari 2011 oordeelde de Hoge Raad dat er
foto’s. Dit is natuurlijk ook een vorm van onbruikbaar maken of ook sprake is van ‘verstoring’ als niet de servers maar juist de
vernielen van gegevens en dus strafbaar. Soms wordt een website clients aangevallen worden. Het gaat erom of van de opzettelijk
gedefacet vanuit politieke of ideologische motieven (‘hackti- veroorzaakte storing gevaar te duchten was voor een onge-
visme’). Zie over de strafbaarheid in dat geval hoofdstuk 6. stoorde dienstverlening. In die zaak werd het Toxbot-virus in-
gezet om eBay- en Paypal-accounts te kapen. Daarmee was aan
het strafwetartikel voldaan. Immers, de dienst wordt op die ma-
Net als bij computervredebreuk wordt ook het vernielen, nier onbetrouwbaar omdat mensen hun vertrouwen erin verlie-
beschadigen of onbruikbaar maken van systemen vaak met zen – en dat is eigenlijk erger dan dat de servers er om de ha-
hulpmiddelen gepleegd. Dit kan hardware of software zijn, maar verklap uitliggen.
ook een toegangscode of wachtwoord. Denk bijvoorbeeld aan
het sturen van een code waardoor het systeem automatisch
uitschakelt. Het bezit, verhandelen of verspreiden van hulp-
Denial of service-aanvallen
30 31
Zo vond de rechtbank dat een DoS-aanval tegen de sites van
overheid.nl en geenstijl.nl onder bemoeilijken van een openbare
iemands mailbox volstoppen met tienduizenden e-mailberichten (of juist
Een denial of service- of DoS-aanval kan worden gepleegd vanaf werd onder dat artikel strafbaar geacht. Die aanvallen waren zo
één enkele computer, maar dat is niet zo effectief omdat de zwaar dat ook andere klanten van de hostingproviders daar
meeste computers slechts een beperkte hoeveelheid gegevens last van ondervonden. Hierdoor kon de rechter een zwaarder
kunnen versturen. Bovendien is dan de aanvaller natuurlijk snel artikel uit de kast halen: het veroorzaken van ‘gemeen gevaar
te traceren of te blokkeren. Vandaar dat de zogeheten distributed voor goederen of voor de verlening van diensten’, waar tot zes
denial of service (DDoS) aanval de laatste jaren steeds populair- jaar cel op staat. De verdachte kreeg vijftien maanden cel,
andere hinder
2-Virussen en
der is geworden. Hierbij worden honderden of duizenden com- waarvan vijf voorwaardelijk.
puters (samengevoegd tot een botnet) tegelijk ingezet om
gegevens te versturen naar het slachtoffer. Ook dit is strafbaar, Het versturen van ongewenste e-mail (spam) is weliswaar ver-
maar bijzonder lastig op te sporen. boden, maar geen computercriminaliteit. Veel mails versturen is
nog niet hetzelfde als een DoS-aanval. Daarvan kan pas sprake
Een denial of service-aanval hoeft niet per se te bestaan uit een zijn als de ontvangende mailserver het niet meer aankan. Een
grote hoeveelheid informatie. Soms kan een systeem op afstand extreem voorbeeld is een e-mailactie uit 2002 waarbij binnen een
gecrasht worden door het versturen van een slim gekozen net-
werkbericht. Eén van de eerste aanvallen in deze categorie was
het programma ‘winnuke’, waarmee elke Windows 95-PC ge-
crasht kon worden door een fout in de netwerksoftware, die
zich verslikte in een pakketje dat net niet voldeed aan de TCP/IP-
specificaties. Dit programma werd oorspronkelijk uitgebracht
om te laten zien dat het besturingssysteem niet veilig was, maar
al snel was het wijdverspreid in gebruik om IRC-oorlogen uit te
vechten.
32 33
paar maanden meer dan 600 miljoen(!) e-mails worden ver- firewall op de pc moet hebben, kan het grof nalatig worden om
stuurd naar één mailserver, namelijk die van de Tweede Kamer. dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun
Dit komt neer op meer dan 30 per seconde. Omdat dit onder de software niet bijwerken door de updates van Microsoft, Apache
oude Wet computercriminaliteit gebeurde, was het niet strafbaar, en andere bedrijven niet te installeren.
maar onder de huidige wet zou dit zonder meer strafbaar zijn
geweest. Onderzoek naar malware
Het uitvoeren van een (D)DoS-aanval wordt soms ook wel uit-
Het ontwikkelen en verspreiden van virussen en andere malware is een
andere hinder
2-Virussen en
Iemand die een nieuw virus aantreft op zijn pc mag dus een
kopie van het virus naar experts opsturen zodat deze dit kunnen
Geen opzet, wel schuld
Het per ongeluk (laten) verspreiden van virussen of het bescha- verspreidt het virus zichzelf en verwijdert het zich van deze ‘her-
digen van systemen of informatie is in principe niet strafbaar. Er stelde’ computer. Zo’n anti-virus zou volgens de wet niet straf-
is echter een ondergrens: als systemen door grove nalatigheid be- baar zijn omdat het geen schade aanricht. Maar als het onjuiste
schadigd of onbruikbaar worden gemaakt, dan is de persoon in updates installeert of de verkeerde zaken blokkeert, ontstaat wel
kwestie wel degelijk strafbaar. Wel worden de maximumstraffen schade.
dan verlaagd. Er is nog nooit iemand aangeklaagd met als be-
schuldiging grof nalatig te hebben gehandeld bij het verspreiden
van virussen of het laten aanrichten van schade.
34 35
Aftappen en kopiëren van data
3
G
egevens kun je niet stelen, maar je kunt ze wel kopiëren of
aftappen zonder dat de verzender en ontvanger dat goed
vinden. Omdat hiermee de privacy van personen of de vei-
3-Aftappen en ko-
piëren van data
ligheid van netwerken in het geding komt, is dit strafbaar ge-
steld. Er zijn speciale regelingen over het afluisteren en opnemen
van datacommunicatie of gesprekken tussen mensen. Natuurlijk
is er ook een briefgeheim, maar dat geldt niet voor e-mail. En
voor de belangen van de muziek-, film- en softwareindustrie zijn
er ook wetsbepalingen tegen het kopiëren of kraken van bevei-
ligde content.
36 37
dat netwerk aftappen. Het moet wel met een technisch hulp-
middel gebeuren: in een internetcafé over de schouder van de
buurman meelezen met diens e-mail is niet strafbaar (maar wel
onbeleefd). Een programma installeren dat stiekem diens e-mail
naar een andere PC kopieert is natuurlijk weer wel strafbaar.
Uiteraard is hier een grijs gebied: is een verrekijker een ‘technisch
hulpmiddel’?
3-Aftappen en ko-
piëren van data
bij de wederpartij.
De rel die vervolgens ontstond, leidde onder meer tot een wets-
voorstel voor ‘netneutraliteit’ dat dit soort constructies expliciet
Aftappen door de overheid
routeringsinformatie om de pakketjes zo sneller te kunnen Instanties als politie en justitie hebben de bevoegdheid om dit te
doorsturen. Dergelijk inspecteren van netwerkverkeer is geen vragen zodra er een vermoeden is van een ernstig misdrijf, zoals
DPI maar hooguit 'shallow' packet inspection. georganiseerde misdaad, ontvoeringen of terrorisme. Als het
38 39
netwerkverkeer versleuteld is, kan het bedrijf tot medewerking
worden verplicht om de gegevens te ontsleutelen, voor zover dat
binnen haar macht ligt. Een lijst van bevoegdheden en de bijbe-
horende randvoorwaarden staat in de bijlage achterin dit boek.
3-Aftappen en ko-
piëren van data
grond. Wanneer een dergelijk bevel wordt gegeven, moet het be-
drijf dit natuurlijk geheimhouden voor de getapte persoon.
drijfsnetwerk valt daar echter niet onder, omdat dit slechts voor
een ‘bijzondere inspanning’ moet leveren om de signalen te kunnen in-
men daarop terug: het zou alleen gaan om enkele grote hotelke-
dwongen bij de verhuurder of eigenaar van de flat. De Hoge Raad oor-
tens die meer deden dan “een WiFi-verbinding op een terras voor
deelde in 2008 echter dat het gebruik van een snelheidsradardetector
Sinds enkele jaren moeten providers proactief gegevens bewaren Wanneer men dus datacommunicatie aftapt of opneemt via een
die nuttig kunnen zijn voor de opsporing van zware misdrijven. radio-ontvanger is er geen sprake van een strafbaar feit. Wordt
Op deze ‘bewaarplicht’ is veel kritiek, waarover meer in hoofd- echter een bijzondere inspanning geleverd, of een niet toegestane
stuk 4. ontvanginrichting gebruikt, dan is er toch sprake van strafbaar
40 41
afluisteren. Een bijzondere inspanning kan bijvoorbeeld zijn
het kraken van de WPA-encryptiesleutel bij 802.11-communicatie
die kunnen worden weggenomen. Zonder wegnemen kan er geen
3-Aftappen en ko-
piëren van data
In de context van virtuele werelden werd het stelen van objecten
Google kwam een jaar terug onder vuur vanwege de auto’s die uit Runescape of uit Habbo Hotel strafbaar geacht als diefstal.
foto’s maakten voor haar dienst Street View. Deze bleken ook Een virtueel zwaard of meubelstuk kan immers worden wegge-
volautomatisch van alle beschikbare draadloze netwerken in- nomen, want zodra de ene speler het heeft, heeft per definitie de
formatie te registreren, en daarbij werd ook communicatie op- andere het niet meer.
genomen die over die netwerken plaatsvond. Zo werden frag-
menten van e-mailberichten, wachtwoorden en dergelijke
vastgelegd. Diverse privacytoezichthouders in Europa hebben
onderzoeken gestart, en de Nederlandse privacytoezichthouder
legde Google een last onder dwangsom op om dit registreren te
staken. Dit werd later omgezet in een verplichting om alleen
netwerken te negeren waar ‘No Map’ deel is van de netwerk-
naam (SSID). Er werd echter geen strafvervolging tegen Google
gestart op grond van overtreding van het artikel over aftappen.
42 43
Een juridisch ongeregeld punt is het ‘helen’ van gegevens. Met netwerksites. Zij mogen e-mail of privéberichten van gebruikers
enige regelmaat duiken illegaal verkregen (‘gestolen’) foto’s of dus niet zomaar lezen. Uitzondering is als dit noodzakelijk is
videobeelden van bekende personen op. In Nederland is pre- voor de dienst, maar dan hebben ze geheimhoudingsplicht op
sentatrice Manon Thomas het bekendste voorbeeld. Haar buur- de inhoud.
man wist naaktfoto’s te kopiëren vanaf haar thuisnetwerk, en
deze doken al snel op velerlei plaatsen op internet op. De buur- De ontvanger van een e-mail heeft met dit alles niets te maken.
man kreeg 180 uur werkstraf voor deze computervredebreuk, De mail zit in zijn mailbox, hij is niet gebonden aan een
maar de sites die de foto’s overnamen, waren niet strafbaar. Mi- geheimhoudingsplicht en het briefgeheim bestaat niet voor e-
nister Hirsch Ballin kondigde in 2009 aan om ‘heling van infor- mail. Toch mag hij niet zomaar doen met die mail wat hij wil.
matie’ strafbaar te maken, maar het wetsvoorstel laat op zich Hij mag de inhoud delen met anderen – maar dat moet hij dan
wachten. De maker van de foto’s kan wel op grond van zijn au- wel in zijn eigen woorden doen. Want op de tekst van de e-mail
teursrecht een civiele rechtszaak starten tegen iedereen die de zelf rust normaliter auteursrecht. De ontvanger van een e-mail
foto’s publiceert. heeft slechts een beperkt gebruiksrecht: hij mag de e-mail
3-Aftappen en ko-
piëren van data
bewaren en printen, maar niet veel meer dan dat. Hij mag het
niet publiceren, ook niet in de vorm van een citaat. Alleen in zeer
uitzonderlijke gevallen, wanneer publicatie essentieel is om een
nieuwsfeit te brengen, is het toegestaan privémail te publiceren.
Digitaal briefgeheim
wel vereist.
legraafberichten” geheim zijn. Dit briefgeheim geldt echter niet voor
elektronische communicatie. Een voorgestelde grondwetswijziging eind
jaren negentig om dit te veranderen sneuvelde, onder meer vanwege
het argument dat dan het aftappen door de politie van elektronische Toegang zonder te betalen
communicatie moeilijker zou worden(!). Veel telecommunicatiediensten worden tegen betaling aangeboden.
staat, wil echter niet zeggen dat e-mail nu vogelvrij is. Wanneer
gang tot internet. Het is soms mogelijk om met een speciaal kastje of
computervredebreuk (zie hoofdstuk 1). Opsporing van dit misdrijf is lastig, omdat het immers heel
moeilijk is na te gaan wie de dienst ontvangt en of zijn aanslui-
Medewerkers van bedrijven die een telecommunicatiedienst ting terecht is. Vandaar dat de bestrijding van dit misdrijf
aanbieden, zijn strafbaar als ze kennisnemen van de inhoud meestal gebeurt door verspreiders van hulpmiddelen aan te pak-
van overgebrachte privécommunicatie. Dit geldt bijvoorbeeld ken. Die zijn namelijk ook verboden. Zulke hulpmiddelen zijn
voor mensen die bij een internetprovider werken, maar ook meestal softwaretoepassingen, maar ook speciaal ontworpen ap-
voor beheerders van webmaildiensten of discussieforums en paraten worden wel gebruikt.
44 45
Het oudste voorbeeld van zo’n apparaat is waarschijnlijk het Hetzelfde geldt voor het verkopen van software of apparaten om
fluitje dat in 1971 als cadeautje in de Cap’n Crunch cornflakes het verwijderen of omzeilen van beveiligingsmechanismen te
zat. Het bleek dat met het geluid van dit fluitje gratis gebeld kon vergemakkelijken, of het beroepsmatig verwijderen van zulke
worden in de hele VS. In Nederland is een oud voorbeeld het beveiligingen. De rechthebbende kan alleen in een civiele proce-
kopen van credits via andermans telefoonverbinding bij een dure een schadevergoeding eisen, of afgifte en vernietiging van
duur 0909-nummer. Ook een apparaat waarmee verbruikte te- deze hulpmiddelen. De beveiliging moet overigens wel ‘effectief’
lefoonkaarten konden worden opgewaardeerd was een dergelijk zijn. In de enige zaak tot nu toe over wat dat betekent, oordeelde
hulpmiddel, zo vond de Hoge Raad in 2003. een Finse rechter dat de CSS-beveiliging van dvd’s niet ‘effectief’
was: deze was zo eenvoudig te kraken dat je overal op internet
Films en muziek zonder te betalen gebruiksvriendelijke tools kon vinden daarvoor.
3-Aftappen en ko-
zoals elektronische boeken, muziek en films voorzien van beveiligingen
software), en deze regeling vermeldt niet dat men dit uit legale
kan wel in een civiele rechtszaak schadevergoeding eisen.
46 47
Een simlock doorbreken is dan weer niet strafbaar, omdat de een skimapparaat installeren neerkomt op een ‘poging’ tot het
simlock geen auteursrechtelijk beschermde werken of software namaken van de pinpas. Juridisch gezien is sprake van een po-
beveiligt. Maar de OV-chipkaart kraken werd eind 2010 wel ging wanneer iemand een stap tot het plegen van het misdrijf
strafbaar verklaard als vorm van computervredebreuk, omdat neemt, en het registreren van gegevens van een originele kaart
daarmee werd binnengedrongen in de chip in de kaart (die vol- is de eerste stap tot het namaken daarvan.
gens de gebruiksvoorwaarden eigendom van Trans Link Sys-
tems bleef). Journalist Brenno de Winter, die de onveiligheid van Het afkijken of met een slim verhaal aftroggelen van iemands
de chipkaart aan de kaak stelde en daarbij gebruikmaakte van wachtwoord of pincode is niet strafbaar. Het wordt pas strafbaar
gekraakte kaarten, werd echter niet vervolgd. Zijn onderzoek als die gegevens worden gebruikt, bijvoorbeeld door in te log-
was een schoolvoorbeeld van zuiver journalistiek handelen en gen, geld op te nemen of iets te kopen met die gegevens. Dat is
daarmee niet strafbaar. dan oplichting, computervredebreuk of mogelijk een ander mis-
drijf. Wellicht kan net als bij skimmen worden betoogd dat dit
aftroggelen een poging tot oplichting of poging tot computer-
3-Aftappen en ko-
piëren van data
vredebreuk is, maar dat is nog nooit bij de rechter getest. Iemand
Kopiëren van betaalkaarten
48 49
Deelnemers aan een gesprek mogen wel zelf hun gesprekken op-
nemen, ook wanneer ze dat niet met de andere partij besproken
Opnemen van gesprekken
hebben. Ze mogen het gesprek ook door een ander laten opne-
Naast algemene regels over het aftappen van datacommunicatie kent
Iemand die geen deelnemer is aan een gesprek in een woning, gesprek opgenomen werd. Er moet een goede reden zijn om
besloten lokaal of erf (zoals een hotelkamer of parkeergarage), diens privacybelang opzij te zetten. Dat kan bijvoorbeeld een
3-Aftappen en ko-
piëren van data
mag dit niet opnemen. Een gesprek in zo’n besloten omgeving nieuwsbelang zijn, de reden waarom veel consumentenpro-
heeft immers vrijwel altijd een privé-karakter. Gesprekken die gramma’s op televisie gesprekken met (vermeend) malafide on-
buiten een woning worden gevoerd, mogen ook niet worden op- dernemers mogen uitzenden. Ook een goede reden is de rechter
genomen door een derde, als die dat heimelijk doet. Wie bijvoor- het bewijs te kunnen laten horen zodat vaststaat dat iemand een
beeld stiekem in de bus een gesprek tussen twee andere bedreiging uitte of een toezegging deed is dan weer wel legaal.
passagiers opneemt, pleegt dus een strafbaar feit. Maar als het Dat mag altijd, ook als de wederpartij niet geïnformeerd is over
in alle openbaarheid gebeurt, is opnemen van gesprekken geen het opnemen.
probleem. Een bedrijf mag dus gesprekken tussen klanten en
medewerkers opnemen, wanneer dit bij het begin van het ge- Een gesprek kan ook worden opgenomen met een videocamera,
sprek wordt vermeld. zodat naast geluid ook beelden worden vastgelegd. Wordt echter
gefilmd zonder geluid op te nemen, dan gelden andere regels.
Met een ‘gesprek’ bedoelt de wet expliciet niet datacommunica- Meer over de grenzen aan cameratoezicht in hoofdstuk 5.
tie. Een gesprek dat wordt afgetapt of afgeluisterd door het com-
municatiekanaal te tappen, valt daarmee niet onder 'afluisteren
van een gesprek'. Wie een MSN-chat stiekem logt, luistert dus
geen gesprek af maar een datacommunicatie. Wie een microfoon Naast het afluisteren of aftappen van gegevens en gesprekken
Hulpmiddelen voor aftappen en opnemen
installeert om met een Skype-conversatie mee te luisteren, luistert zelf stelt de wet ook het plaatsen en aanbieden van afluisterap-
wél een gesprek af. De microfoon vangt dan immers het geluid paratuur strafbaar. Hieronder vallen ook computerprogramma's
van het gesprek op en niet de data die de Skype-software ver- waarmee kan worden afgeluisterd, afgetapt of opgenomen. Dat
zendt of ontvangt. wil niet zeggen dat elk programma waarmee netwerkverkeer
kan worden opgenomen nu verboden is. Het apparaat of de
50 51
4
software moet hoofdzakelijk geschikt of ontworpen zijn om hei-
melijk op te nemen. Een Trojaans paard dat op de achtergrond
draait en alle communicatie stiekem naar een server stuurt, is
dus verboden. Een programma dat alleen het langskomend net-
werkverkeer laat zien (zoals tcpdump en wireshark) maar niet
speciaal geschikt of bedoeld is voor het heimelijk afluisteren
van netwerkverkeer, is niet verboden. Privacy en persoonsgegevens
Het zonder toestemming van een communicatie- of gespreks-
P
partij plaatsen van afluister-, aftap- of opnameapparatuur met
het doel om gesprekken, telecommunicatie, gegevensoverdracht
of gegevensverwerking af te luisteren of op te nemen is een mis-
drijf. Ook wanneer er nog niets afgeluisterd of getapt is. En wie
een afluisterapparaat maakt, voorhanden heeft, verkoopt of rivacy houdt niet op bij de voordeur. Ook in het openbare
weggeeft, loopt eveneens het risico op een celstraf of boete. Het leven, en dus ook bij wat iemand doet op internet, bestaat een
4-Privacy en per-
maakt daarbij niet uit of het apparaat geadverteerd wordt als recht op bescherming van de privacy, in juridische taal de
soonsgegevens
zijnde ‘alleen voor legaal opnemen’. Het gaat erom of het appa- ‘persoonlijke levenssfeer. Deze persoonlijke levenssfeer is heel
raat concreet bekeken vooral bestemd is voor illegaal opnemen breed, en kan op allerlei manieren worden ingeperkt. Er bestaat
(denk aan een microfoontje ingebouwd in een schilderij of dan ook niet één ‘wet op de privacy’. Er zijn diverse wetten die
kunstwerk). elk een bepaald aspect van de privacy in Nederland regelen. De
belangrijkste en bekendste wet is de Wet bescherming persoons-
gegevens (Wbp). Deze regelt hoe persoonlijke gegevens mogen
Naar analogie van heling, het doorgeven of doorverkopen van worden opgeslagen en verwerkt.
gestolen goederen, is ook het doorgeven of verkopen van illegaal
afgeluisterde gegevens strafbaar gesteld. Het hebben van een
voorwerp waarop wederrechtelijk verkregen gegevens zijn op-
Twee soorten privacy
voorwerp (of alleen de gegevens zelf) staat deze straf. Gek ge-
en ‘het recht op zelfontplooiing’, maar ze komen op ongeveer hetzelfde
noeg geldt dit artikel dan weer niet voor gegevens die zijn ver-
neer: je hebt als mens het recht om je leven op je eigen manier te leiden
52 53
Met de komst van internet en grootschalig ICT-gebruik ontstond
er nog een ander soort privacy: de informationele privacy. Dank-
zij ICT is het mogelijk allerlei informatie over mensen te verza-
melen en die op allerlei manieren te analyseren, zonder dat de
betrokken persoon dat door heeft. Op internet worden bijvoor-
beeld van iedere internetter honderden profielen bijgehouden
door websites en adverteerders, die precies vastleggen welke in-
teresses zij hebben. Bovendien is elke internetprovider verplicht
een jaar lang alle IP-adressen en e-mailverkeersgegevens van
zijn klanten te bewaren ten behoeve van terrorismebestrijding.
4-Privacy en per-
zijn alleen papieren communicaties beschermd. De regels tegen
soonsgegevens
aftappen en afluisteren (zie hoofdstuk 3) beschermen indirect Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid
toch het communicatiegeheim. voor de Wbp genoeg. Natuurlijk zijn er ook IP-adressen die niet
aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van
een thuisnetwerk, bedrijfsproxy of webserver), maar als vuist-
regel is het aan te bevelen alle IP-adressen te behandelen alsof
het persoonsgegevens zijn. Weblog GeenCommentaar werd eind
Wet bescherming persoonsgegevens
deze personen kon weren van je eigen site. Het verzamelen was
een bepaald individu. Het bekendste voorbeeld is iemands naam of
Wbp.
net zo goed een persoonsgegeven. En het houdt niet op bij zulke feitelijke
gegevens: gegevens die een waardering over een bepaalde persoon in-
Een IP-adres wordt over het algemeen als persoonsgegeven ge- omvat zo ongeveer alles dat iemand zou kunnen doen met per-
zien, omdat het meestal in gebruik is bij één persoon (op een ge- soonsgegevens. En dat is ook de bedoeling. De Wbp moet na-
geven tijdstip). Deze is te identificeren via zijn internetprovider. melijk als brede wet in zo ongeveer elke situatie toepasselijk zijn.
54 55
De Wbp geeft daarmee de burger veel rechten tegenover partijen recht om persoonsgegevens op te eisen (zie de sectie Vorderen
die zijn persoonsgegevens verwerken. Er zijn echter maar weinig van persoonsgegevens verderop in dit hoofdstuk), en een bedrijf
mogelijkheden om die rechten te halen. Je kunt eigenlijk alleen moet daaraan meewerken. Ook als de betrokken persoon geen
naar de rechter als je concreet schade hebt geleden, en die is zeer toestemming geeft.
lastig te bewijzen bij privacyschendingen. Emotionele schade
wordt niet erkend bij dit soort zaken, en concrete financiële Als meest algemene uitzondering geldt dat men persoonsgege-
schade lijd je niet door een privacyschending. vens mag gebruiken als er een aantoonbare, zwaarwegende
noodzaak is om dat te doen én die noodzaak na een belangenaf-
De wet kan ook voor buitenlandse bedrijven gelden. Wanneer weging belangrijker blijkt dan de privacy van de betrokken per-
een Amerikaans bedrijf op een Nederlandse computer een cookie soon. Een voorbeeld is een nieuwsuitzending waarin de naam
plaatst, is daarmee de Wbp van toepassing. Dat Amerikaans be- van een persoon wordt genoemd. Als het nieuwsbelang van die
drijf gebruikt dan een Nederlands systeem voor privacygevoe- naam groter is dan het privacybelang van die persoon, dan is
lige handelingen. Natuurlijk is het wel lastig om een Amerikaans dit legaal ook al geeft deze persoon geen toestemming voor de
bedrijf daadwerkelijk te dwingen deze wet na te leven, maar als uitzending.
zo’n bedrijf een vestiging in Europa heeft dan wordt dat een
4-Privacy en per-
stuk eenvoudiger. Google is bijvoorbeeld al diverse malen in
soonsgegevens
Europa veroordeeld door privacytoezichthouders wegens schen-
Cookies en toestemming
56 57
gebruikte het BSN omdat het “controleren van ambtenaren op
basis van hun BSN nodig is voor beveiliging”, aldus de minister.
praktijk gaat werken, is helaas nog steeds niet duidelijk. Er geldt
verkregen, moet de betreffende persoon worden geïnformeerd Als de verwerking ingrijpend is of bijzonder gevoelige persoons-
wanneer dat mogelijk is. gegevens betreft, kan het Cbp een voorafgaand onderzoek in-
stellen. Dit gebeurt onder meer als een bedrijf meldt verborgen
4-Privacy en per-
camera’s in te zetten voor stelselmatige observatie of wanneer
soonsgegevens
Persoonsgegevens mogen alleen worden verwerkt in overeen- een recherchebureau onderzoek wil doen naar de achtergrond
Grenzen aan toestemming
stemming met de legitieme doeleinden waarvoor ze zijn verkre- van een persoon.
gen. Oftewel, als toestemming is verkregen voor bepaald doel,
mogen de gegevens niet ook voor andere doelen worden ge- Op het eerste gezicht zou deze aanmeldplicht tot een enorme
bruikt, tenzij die andere doelen daarmee in een direct verband stortvloed aan meldingen moeten leiden, want elk Outlook-
staan. Zo mogen foto’s gemaakt voor de toegangspas niet zon- adresboek is formeel gezien een 'verwerking'. Voor eenvoudige
der nadere toestemming in het smoelenboek worden gezet. Wel verwerkingen zijn er echter vrijstellingen, totaal zo’n 30 stuks
mogen ze worden opgeslagen in de computer van de beveili- voor allerlei categorieën. Wie zich houdt aan de restricties daar-
gingsafdeling, omdat deze de foto’s op de pas moet kunnen ver- uit, hoeft zijn verwerking niet aan te melden. Het voert te ver ze
gelijken met de originele foto. hier allemaal te bespreken, maar er zijn onder meer vrijstellingen
voor klantenadministraties, netwerkbeheer en toegangscontrole.
Ook mag er niet meer worden verzameld dan noodzakelijk voor
de afgesproken doelen. Voor toegang tot een kantoor is het
prima om de identiteit van bezoekers te controleren middels hun Vereist bij een vrijstelling is dat men zich aan de gegeven restric-
identiteitskaart of paspoort, maar daarbij hóeft hun burger- ties houdt. Zo vermeldt de vrijstelling voor netwerksystemen
servicenummer (BSN) of pasfoto niet te worden gekopieerd en dat het bijhouden van logs en dergelijke in het kader van beheer,
vastgelegd. Deze gegevens mógen dan dus ook niet worden controle en beveiliging van een bedrijfsnetwerk niet hoeft te
vastgelegd. De Rijkspas, de toegangspas voor de overheid, worden aangemeld. Maar dan mogen alleen de volgende
58 59
persoonsgegevens mogen worden verwerkt:
• gegevens nodig voor identificatie van de gebruikers binnen
Informeren, inzage en correctie
het netwerk;
Alle organisaties die persoonsgegevens verzamelen of gebruiken, hebben
gebruikers en de netwerkbeheerder; Daarnaast hebben personen die in een bestand zijn opgenomen
• gegevens die betrekking hebben op elektronische berichten het recht om hun geregistreerde gegevens in te zien, en om te
afkomstig van of bestemd voor de gebruikers. vragen hoe en waarvoor deze worden gebruikt. Dit geldt niet al-
leen voor tekstuele data, maar ook voor bijvoorbeeld audio-op-
Deze persoonsgegevens mogen alleen worden verstrekt aan de names en videobeelden. Ook kunnen zij eisen dat hun gegevens
netwerkbeheerders en alleen worden gebruikt voor het doel van verbeterd, aangevuld, verwijderd of afgeschermd worden wan-
4-Privacy en per-
beheer, controle en beveiliging. Ook moeten de logbestanden (in- neer deze gegevens feitelijk onjuist, onvolledig of niet ter zake
soonsgegevens
clusief back-ups) na zes maanden worden gewist. Als een bedrijf doend zijn voor het doel of de doeleinden van de verwerking.
meer wil doen (zie hoofdstuk 5), dan moet de verwerking wor-
den aangemeld bij het Cbp.
60 61
Een wanbetaler kan bijvoorbeeld geen verwijdering van zijn per- algemeen aanvaard en in veel gevallen dankzij andere wet- en
soonsgegevens eisen bij de debiteurenadministratie van een bedrijf. regelgeving zelfs als verplicht. Het keurmerk Thuiswinkel.org
Een bezoeker van een open dag op school kan wel eisen dat zijn eist dat bij haar aangesloten webwinkels alle bestellingen over
postadres uit de verzendlijst van de schoolfolder wordt gehaald. beveiligde SSL-verbindingen laten lopen. En in de informatie-
beveiliging kunnen normen als ISO/IEC 27002 een standaard
De beheerder van het bestand mag een verzoek alleen weigeren bieden voor wat ‘adequate’ beveiliging zou moeten zijn.
als het disproportioneel grote lasten op zou leveren. Hij mag
bovendien geen hoge administratiekosten rekenen – de wet Regelmatig blijken bedrijven hun databanken met persoonsge-
noemt expliciet een bedrag van 5 euro als maximumvergoeding gevens niet afdoende te beveiligen, waarna ineens klant- of ge-
voor het afhandelen van een dergelijk verzoek. Dat er mogelijk bruikersgegevens op straat liggen. Omdat zulke gegevens
een hoop moet worden gekopieerd of uitgetypt, maakt het verv- misbruikt kunnen worden voor bijvoorbeeld identiteitsfraude,
zoek nog niet meteen disproportioneel, zo besliste de Hoge Raad zou zo’n getroffen bedrijf de betrokkenen moeten waarschuwen.
in de Dexia-zaak. Dexia werd verplicht alle opgenomen tele- Veel bedrijven doen dit niet uit angst voor reputatieschade of
foongesprekken uit te typen en aan haar klanten te verstrekken omdat ze denken dat er toch niets zal gebeuren.
– op haar eigen kosten.
4-Privacy en per-
Er is wetgeving in de maak om een meldplicht in te voeren bij
soonsgegevens
het lekken van persoonsgegevens, maar het afbakenen van de
grenzen en de handhaafbaarheid van zo’n wet blijkt erg lastig.
Zo is er de vraag of je iedere triviale kraak moet melden. Dat
Beveiliging van persoonsgegevens
hoeven melden.
afhankelijk is van de situatie: een lijst e-mailadressen voor een nieuws-
brief is onvergelijkbaar met een server met elektronische patiëntendos-
siers in een ziekenhuis. Het Cbp heeft een handreiking Achtergrond
Diverse branches hebben hun eigen normen ontwikkeld. Ook persoonsgegevens hanteren. Een bedrijf kan hier al tegenaan
deze normen zijn formeel niet bindend, maar wie algemeen aan- lopen als zij gegevens opslaat op een server in de Verenigde Sta-
vaarde normen negeert, heeft wel wat uit te leggen in het geval ten. Dit is alleen toegestaan als het Amerikaanse bedrijf een zo-
zijn database met gegevens gekraakt of misbruikt wordt. Zo gel- geheten Safe Harbor-overeenkomst heeft gesloten, waarin het
den in de zorg diverse NEN-normen (met name NEN 7510) als belooft de strenge Europese regels na te leven.
62 63
Volgens sommige juristen blijft dit een probleem, omdat de Een bericht onder andermans naam op een internetforum zetten
Amerikaanse antiterrorismewetgeving té brede bevoegdheden is niet strafbaar, omdat zo’n bericht niet als bewijs bedoeld is. Der-
geeft aan FBI en inlichtingendiensten om te grasduinen in gege- gelijk gebruik van iemands naam zou eventueel smaad of laster
vens van Amerikaanse bedrijven. Cloud computing heeft hier- kunnen opleveren, omdat dit een poging is de eer of goede naam
mee een groot probleem, aangezien dat vrijwel altijd wordt aan te tasten van die persoon. Smaad is niet alleen ‘hij is een dief’
verzorgd met inschakeling van Amerikaanse bedrijven zoals maar ook een vervalst bericht met daarin ‘hallo ik ben een dief’.
Amazon of Google. Maar ook iets simpels als Google Analytics Inloggen op andermans account is ook geen identiteitsdiefstal,
en Facebook’s Like-knopje lopen hier tegenaan. maar wél een vorm van computervredebreuk (zie hoofdstuk 1).
iets aan worden gedaan nadat die gevolgen zijn ingetreden. Dat
titeitsfraude, is een hot topic. Echter, ‘identiteitsdiefstal’ staat als zodanig
4-Privacy en per-
Pas als hij inlogt met je wachtwoord, of je BSN gebruikt om je
soonsgegevens
onder die aangenomen identiteit kunnen leiden tot strafbare feiten.
Gebruik van iemands identiteit om bijvoorbeeld spullen te belastingteruggaaf op zijn bankrekening te krijgen, is een straf-
kopen of bestellingen te doen is natuurlijk strafbaar: dat is op- baar feit gepleegd waarvan aangifte kan worden gedaan. Maar
lichting. Het wetsartikel over oplichting noemt expliciet ‘het aan- dan is de schade al opgetreden.
nemen van een valse naam’ als grond om van oplichting te
mogen spreken. Het opheffen van iemands account onder diens
naam is vernieling van gegevens. Het gebruiken van die naam
om het wachtwoord van zijn mailbox op te vragen is strafbaar
als computervredebreuk.
64 65
Wie wachtwoorden, pincodes en dergelijke voor betalingsdien- van gebruikers van communicatiediensten. De gedachte dat Jus-
sten lospeutert via bijvoorbeeld een nagemaakte bankwebsite titie altijd een ‘gerechtelijk bevel’ moet hebben, is dus een mis-
(‘phishing’), pleegt waarschijnlijk al wel een strafbaar feit: dit is verstand (dat komt uit Amerikaanse televisieseries). In de meer-
te zien als poging tot het namaken van de bankpas, of oplichting derheid van de vorderingen komt er geen rechter aan te pas.
van bank of andere instelling. Net zoals het ‘skimmen’ van een
betaalpas een poging tot namaken is (zie hoofdstuk 3, sectie Ko- Als aan de wettelijke eisen is voldaan, is het bedrijf verplicht
piëren van betaalkaarten). Het maakt daarbij niet uit of de kaart om mee te werken. Men mag niet zelf nog een eigen onderzoek
ook daadwerkelijk is gebruikt. doen of er bijvoorbeeld wel echt een misdrijf is gepleegd en of
de verdenking tegen de betreffende persoon wel terecht is. Een
bedrijf mag niet meer doen dan een formele check of het juiste
wetsartikel is gekozen en of alle genoemde informatie er is.
Vorderen van persoonsgegevens
Een bedrijf dat persoonsgegevens verwerkt, kan van een overheidsinstantie
zoals politie of Justitie een bevel (‘vordering’) krijgen om inzage te
geven in het bestand. Zo kan een internetprovider een vordering krijgen
om de naam, adres en woonplaats van een klant te geven die op een Vriendelijk verzoek
4-Privacy en per-
soonsgegevens
bepaald tijdstip een bepaald IP-adres gebruikt. Een bedrijf moet hieraan Het komt nogal eens voor dat een opsporingsambtenaar een verzoek
meewerken, mits de vordering op een wettelijke grondslag heeft. tot afgifte van gegevens indient zonder daarvoor een formele grond te
dat sprake moet zijn van een zwaar misdrijf of dat alleen een
is of hoe dringend de aanleiding klinkt. Als er écht haast is, is er altijd
vordering niet te worden nagekomen. In de bijlage achterin dit De achtergrond van deze strenge manier van werken is dat de wet-
boek staat een overzicht van bevoegdheden en vereisten uit de gever bij de diverse in de wet genoemde vorderingen heeft nage-
diverse wetsartikelen. dacht over de afweging tussen privacy en opsporing. Bij een vrij-
willig verzoek is die afweging er niet, zodat de burger niet weet of
De belangrijkste eis is dat de in het wetsartikel genoemde auto- het afgeven wel gepast is gezien de privacy van de betrokkene.
riteiten toestemming moeten hebben gegeven. Meestal is dat de
officier van justitie, maar soms de rechter-commissaris. Er zijn Begin 2011 werd de nieuwswebsite Crimesite.nl onder druk
ook enkele vorderingen die iedere bevoegde ambtenaar zelf mag gezet om IP-adressen af te geven van bezoekers die een reactie
indienen, zoals het opvragen van naam, adres en woonplaats hadden geplaatst onder een bepaald bericht over een misdrijf.
66 67
De politie wilde zo getuigen van dat misdrijf benaderen. Dit Er is dus géén gerechtelijk bevel nodig: de enige eis is een afwe-
leidde tot de nodige ophef, waar de minister uiteindelijk Kamer- ging of de afgifte terecht en gepast is. Hoe die afweging gemaakt
vragen over kreeg. Daarop antwoordde hij expliciet “Een ver- moet worden, is in het algemeen heel lastig te zeggen. Factoren
zoek tot vrijwillige verstrekking behoort niet tot de die meespelen, zijn of het gaat om een zakelijk of privéadres, of
mogelijkheden: opsporingsambtenaren moeten van de vorde- weghalen van de informatie het probleem al oplost en of de
ringsbevoegdheid gebruik maken”. Daarmee zou de kous af adresgegevens niet misbruikt zullen worden om bijvoorbeeld de
moeten zijn; helaas blijken in de praktijk sommige agenten toch klant lastig te vallen of te stalken. Als de provider de afweging
te menen dat zij wél ‘vriendelijke verzoeken’ mogen indienen. niet correct maakt en ze niet afgeeft, wordt hij (mede) aanspra-
kelijk voor de schade die zijn klant veroorzaakt. Maar geeft hij
ze ten onrechte af, dan kan zijn klant hem aansprakelijk stellen
voor diens schade als gevolg van deze privacyschending.
Afgifte aan private partijen
Naast deze plicht om aan overheidsinstanties gegevens af te geven, kan
het soms ook verplicht zijn om aan private partijen NAW-gegevens te
verschaffen. De Hoge Raad heeft in het Lycos/Pessers-arrest bepaald De Wet bewaarplicht
dat een partij die een voldoende zwaarwegend belang heeft bij die ge- Sinds enkele jaren geldt voor internetproviders in Europa de zogeheten
4-Privacy en per-
soonsgegevens
gevens, ze zonder meer mag opeisen van de partij die ze heeft, als het bewaarplicht (‘dataretentie’): zij moeten ‘verkeersgegevens’ van hun
voldoende aannemelijk is dat de betrokken partij inderdaad de aan te klanten een jaar lang bijhouden en op verzoek aan opsporingsdiensten
spreken partij is. Denk aan een website-eigenaar die een smadelijke beschikbaar stellen. De bewaarplicht is door de Europese wetgever in-
tekst online zet. De besmade persoon mag dan de NAW-gegevens van gevoerd om terrorisme en zware misdrijven te bestrijden. Het idee is dat
deze persoon opeisen bij de hostingprovider. men aan de hand van verkeersgegevens (wie communiceert met wie)
criminele en terroristische netwerken in kaart kan brengen en zo sneller
die netwerken kan oprollen.
68 69
5
Om inzage in al deze bewaarde gegevens voor de overheid te
vereenvoudigen is het Centraal Informatiepunt Onderzoek Te-
lecommunicatie (CIOT) ingesteld. Telecombedrijven zijn ver-
plicht om telefoonnummers, e-mailadressen en IP-adressen van Monitoren en toezicht
klanten elke 24 uur aan te leveren aan het CIOT, zodat de be-
voegde instanties daarin kunnen grasduinen als dat nodig lijkt
V
voor het onderzoek. Om een beeld te geven: deze instanties zijn
de regiopolities, units van de Nationale Recherche, de Rijksre-
cherche, de Koninklijke Marechaussee (KMAR), het Korps Lan-
delijke Politiediensten (KLPD), het Landelijk Parket-Openbaar
Ministerie, de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), rijwel iedere organisatie doet het, of overweegt het op zijn
de Algemene Inspectiedienst (AID), de Inlichtingen- en Opspo- minst: het monitoren van het gedrag van medewerkers, be-
ringsdienst (IOD), de Sociale Inlichtingen- en Opsporingsdienst zoekers of klanten. Netwerkverkeer is eenvoudig te loggen,
(SIOD), de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) e-mail kan worden gescand en bezoeken aan websites kunnen
en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). In worden geanalyseerd om niet-werkgerelateerde sites te kunnen
2010 werd het CIOT bijna 3 miljoen keer geraadpleegd. identificeren. Met cameratoezicht is ander gedrag na te gaan.
5-Monitoren en
De bewaarplicht wordt al sinds de invoering door vele rechts- saties mogen niet zomaar bijhouden wat medewerkers, bezoe-
toezicht
geleerden gehekeld, omdat het nut van dergelijke dataretentie kers of klanten doen, ook niet bij privégebruik van internet,
nooit goed is onderbouwd en bij lange na niet opweegt tegen de e-mail of telefoon. Dergelijk bijhouden valt namelijk ook onder
nadelen. Ook bij diverse rechtbanken in Europa blijkt de Wet be- de Wet bescherming persoonsgegevens (Wbp), die in het vorige
waarplicht het niet goed te doen. Het Duitse constitutioneel hof hoofdstuk is besproken.
(‘Bundesverfassungsgericht’) schorste in 2010 de Duitse Wet be-
waarplicht, omdat deze de privacy van de burger disproportio-
neel zou schenden. Eerder deed een lagere Roemeense rechter
Monitoren van werknemers
70 71
Vandaag de dag zijn de grenzen tussen privé en zakelijk sterk werkgever dus op kosten jagen. Een ander kostenaspect is
vervaagd. Werkgevers moeten accepteren dat werknemers pri- onderhoud: het gebruik van zelf geïnstalleerde software kan
vézaken regelen en hun persoonlijke netwerk onderhouden een bedrijfscomputer instabiel maken.
onder werktijd. Net zo goed als werknemers moeten accepteren • Beveiligingsrisico’s: een werknemer kan virussen of spyware
dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten downloaden, die gevoelige bedrijfsgegevens in gevaar kunnen
kantoor worden aangekeken op hun positie. Dit betekent dat een brengen. Via filesharing software kan hij per ongeluk een map
werkgever niet zomaar privégebruik van ICT-middelen volledig met bedrijfsgegevens delen met de hele wereld. En natuurlijk
kan verbieden. Werknemers mogen een ‘redelijk niveau’ van pri- kunnen bedrijfsgeheimen (al of niet met opzet) naar derden
vacy verwachten op de werkplek, zo blijkt uit de rechtspraak. worden gemaild of geüpload.
• Public relations: als een werknemer vanaf een bedrijfsnet-
Op scholen gelden vergelijkbare regels. Leerlingen hebben net werk of met een zakelijk e-mailadres met anderen
als werknemers recht op privacy, ook als ze de schoolcomputers communiceert, zouden anderen kunnen denken dat hij
of het schoolnetwerk gebruiken. De school mag regels stellen, namens het bedrijf spreekt. Zeker als hij bijvoorbeeld reageert
maar moet daarbij wel het privacybelang van de leerlingen in op een bericht over het bedrijf, of blogt over zijn werk. Maar
het oog houden. Hier is wel een moeilijker spanningsveld: leer- ook het op die manier publiceren van smadelijke of racistische
lingen zijn vaak minderjarig, en de school heeft dan een grotere teksten heeft consequenties voor het bedrijf. Het bedrijf mag
zorgplicht, zodat ze eerder gerechtigd kan zijn leerlingen in be- de werknemer daar dan op aanspreken.
scherming te nemen tegen ongewenste invloeden van buitenaf. • Juridische risico’s: een werknemer kan misdrijven plegen of
5-Monitoren en
mensen schade berokkenen vanaf het bedrijfsnetwerk. Denk
toezicht
aan het illegaal verspreiden van muziek of films, of door het
downloaden en installeren van software die niet bedrijfsmatig
gebruikt mag worden.
Legitiem doel
surfen en zijn werk niet doet, kan dat kwaad bloed zetten bij
lang gaat. De regel “Privé internetten is verboden” is daarmee niet legitiem,
collega’s.
en zo’n vérgaand verbod mag een werkgever dus niet instellen. Wel kan
hij misbruik van faciliteiten verbieden, of activiteiten die disproportioneel
Het spreekt vanzelf dat wanneer een bepaald doel wordt ge-
veel verkeer vergen of schade aan de bedrijfsvoering toebrengen.
Vaak voorkomende legitieme doelen zijn: noemd, de maatregelen ook werkelijk dat doel moeten dienen.
• Kosten: internetverkeer kost geld, en voor grote bedrijven Het lezen van e-mail is moeilijk te verenigen met het doel ‘kos-
bestaan vaak geen contracten die onbeperkt internetten voor ten’, want e-mails zijn zelden zó groot dat ze tot hoge kosten
een vast bedrag toestaan. Privégebruik van internet kan de leiden.
72 73
Ook moet de maatregel de minst schadelijke zijn om het doel te
halen. Alle mails lezen voor het geval er mogelijk iemand een
pornofoto rondstuurt, is niet de minst schadelijke. Beter zou zijn
om te wachten tot iemand komt klagen, om vervolgens de mail-
box van de dader te onderzoeken. (In het reglement moet dan
natuurlijk wél vastgelegd zijn dat de werkgever zichzelf dat
recht voorbehoudt.)
5-Monitoren en
Een protocol mag privégebruik van ICT-faciliteiten niet volledig die persoon daarop mag aanspreken. Een waarschuwing vooraf
toezicht
verbieden, maar mag er wel (redelijke) grenzen aan stellen. Vaak aan de hele afdeling dat er te veel gedownload is en dat men
wordt de formulering “mits dit niet storend is voor de dagelijkse vanaf de volgende werkdag persoonsgericht gaat monitoren is
werkzaamheden” gehanteerd. De situaties waarin de werkgever dan wel zo netjes.
gericht mag kijken of deze grenzen worden overschreden, moe-
ten expliciet worden genoemd. Zo kan meelezen van e-mail ge- Een bedrijf met meer dan 50 medewerkers is wettelijk verplicht
rechtvaardigd zijn als er klachten komen over beledigende mails een ondernemingsraad (OR) in te stellen. Eén van de taken van
of verzonden spam. Maar dit is niet de enige mogelijke formu- die OR is toezien op de privacy van medewerkers. Omdat een
lering. Men kan ook een aparte computer inrichten waarmee internet/e-mailprotocol over privacygevoelige zaken gaat, is in-
men het internet op kan en die niet op het interne netwerk aan- stemming van de OR verplicht bij het invoeren van zo’n protocol.
gesloten is, bijvoorbeeld. Los daarvan moet het protocol natuurlijk altijd aan alle mede-
werkers beschikbaar worden gesteld. Bij scholen vervult de me-
Persoonsgericht monitoren mag alleen bij concrete aanwijzingen dezeggenschapsraad (MR) een vergelijkbare rol; deze heeft dus
dat die persoon iets fout doet, en als het hoe en wat is gedocu- instemmingsrecht. Wanneer de regels uit het protocol ook over
menteerd in het IT-reglement. Zo kan bijvoorbeeld worden vast- leerlingen gaan, is instemming van specifiek de leerlingen uit
gelegd dat wanneer uit het maandelijks dataverkeer-rapport de MR vereist.
74 75
Werkgeversorganisatie VNO-NCW heeft een modelgedragscode
voor het gebruik van (mobiele) telefoon, internet, e-mail, en an-
Beperkt monitoren
zekere mate toegestaan is, mits dit niet storend is voor de dage-
dat monitoren en loggen van internet- of computergebruik zo veel mo-
5-Monitoren en
dat dit gebeurt.
voorbeeld een voorgenomen fusie op Facebook te melden, of arbeids-
toezicht
conflicten veroorzaken door te twitteren dat een collega onfris ruikt.
Zo mag een bedrijf van de privacywet elke mail van of naar een
Maar ook het vragen beantwoorden over producten of diensten kan het
sen. Bij dergelijk handelen krijgt immers geen mens zelf de mail
zegde schadevergoeding of vervangend product.
Dergelijke regels leveren een beperking van de vrije meningsui- te zien, en medewerkers kunnen zelf nagaan wat er gebeurt. De
ting van de werknemer op, maar dat is legaal. De werknemer privacy van de medewerkers blijft dan gewaarborgd. Zouden
kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar twijfelachtige mails worden doorgestuurd naar een manager voor
de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. handmatige controle, dan ontstaat wel een privacyschending.
Zo kan een werkgever een werknemer niet verbieden zijn me-
ning over zijn favoriete voetbalclub te uiten, behalve wellicht
wanneer hij bij een concurrerende club werkt. Een werknemer
bij een bank mag niet zomaar zeer negatieve artikelen over het
Blokkeren
bankwezen publiceren. Ook niet als hij dat doet ‘op persoonlijke
Een alternatief voor controleren is blokkeren. Zo kan het installeren van
76 77
Natuurlijk is zo’n blokkade te omzeilen. Door een proxy te ge-
bruiken, kunnen werknemers sites bezoeken ondanks het filter.
En door het administrator-wachtwoord te kraken, kan software
worden geïnstalleerd terwijl dat niet de bedoeling was. Derge-
lijke handelingen zullen in het bedrijfsreglement over internet-
gebruik meestal verboden zijn, en soms zelf strafbaar (zoals het
kraken van een wachtwoord). Wie een dergelijke regel over-
treedt, hoeft bij de rechter op weinig sympathie te rekenen.
5-Monitoren en
Berichten inzien mag alleen als dat strikt nodig is voor de goede
worden gezet zodat werknemers daar niet bij kunnen. Ook kan men het
toezicht
werking van het netwerk. Denk bijvoorbeeld aan een mailserver
installeren van ongewenste software bemoeilijken. Dat is in principe toe-
die niet goed functioneert vanwege een e-mail met een gigantische
gestaan, omdat dit de privacy van werknemers niet raakt. Het kan na-
wat er aan de hand is. Hij is dan wel tot geheimhouding verplicht
Gmail controleren of krabbelen dat het wat later wordt, en dat mag dan
over de inhoud. Ook bij zaken als een abnormaal hoog dataverkeer
niet. Uit onderzoek blijkt ook dat beperkt privégebruik van internet de
78 79
De werkgever dient zich in te spannen om niet nodeloos derge-
lijke gegevens te onderzoeken. Het is daarom een goed idee om
overtreding geen ontslag, laat staan op staande voet, tot gevolg moeten
laten stoppen, die dan ook het woord ‘privé’ in de naam moet
hij daarna verder met hetzelfde gedrag, dan behoort ontslag wél tot de
te vinden is. Voor mail kan ook een aparte map worden gehan- Toen internet nog een nieuw fenomeen was voor veel bedrijven,
teerd, of kan worden gekozen voor het woord ‘privé’ in de on- werd misbruik van de internetfaciliteiten streng bestraft. Enkel
derwerpregel. Ook dit helpt de werkgever onderscheid te het bezoeken van een privésite kon al reden zijn voor ontslag,
maken. soms zelfs op staande voet. Tegenwoordig is de rechter lang
niet meer zo makkelijk in het toekennen van een ontslag op der-
Een andere manier om de privacy van de werknemer te bescher- gelijke gronden.
men, is niet één persoon het doorzoeken uit te laten voeren, maar
twee. Dit zouden bijvoorbeeld de beoogde vervanger van de
werknemer en de privacy officer van het bedrijf kunnen zijn, of Uit de rechtspraak blijkt dat de rechter vooral kijkt naar de
de afdelingschef en een lid van de OR. Bij twee personen is de schade die de werknemer aanrichtte en in hoeverre het invloed
kans klein dat zij gaan snuffelen in evident niet relevante had op het werk. De hele dag gigabytes porno downloaden is
bestanden. duidelijk niet de bedoeling. Collega’s daarmee lastigvallen al he-
lemaal niet. Ontslag op staande voet daarvoor is een gepaste re-
5-Monitoren en
Ook kan een bedrijf de regel hebben dat de secretaresse of col- medie, zo vindt de arbeidsrechter. Maar op een rustig moment
toezicht
lega geautoriseerd moet zijn tot het lezen van mail en/of kalen- je privémail controleren of om half vijf op Buienradar kijken of
der. Dit is toegestaan, mits ook hier een manier wordt verzonnen je droog thuiskomt met de fiets doet niemand kwaad en kan en
om de privacy te waarborgen. Zo bieden de meeste gedeelde ka- mag dus geen probleem zijn.
lenders (zoals Exchange) de mogelijkheid om afspraken als privé
te markeren, waarna ze niet meer voor andere gebruikers van
de gedeelde agenda leesbaar zijn, maar de beschikbaarheid an
Cameratoezicht in de openbare ruimte
80 81
mag je wel filmen (of fotograferen) op de openbare weg, ook hei-
melijk. De aankondiging wordt meestal verricht door een bordje
bij de ingang op te hangen. Ook een mededeling op een uitno-
diging of ticket wordt wel gebruikt. De aankondiging hoeft ech-
ter niet per se schriftelijk te zijn. Sommige winkels hangen
bijvoorbeeld een monitor net na de ingang waarop te zien is wat
de beveiligingscamera’s filmen. Ook zo kun je mensen informe-
ren dat er camera’s hangen. En als de camera zelf duidelijk zicht-
baar is, dan is een apart bordje niet meer nodig (mits je de
camera maar kunt zien vóórdat je in beeld komt).
5-Monitoren en
mogen, is dan verder irrelevant.
toezicht
Meeluisteren bij cameratoezicht
Deze vorm van cameratoezicht mag alleen plaatsvinden op plaat- Expliciet uitgezonderd van dat verbod op afluisteren is opnemen
sen die voor een ieder toegankelijk zijn, zoals het stadscentrum van gesprekken dat gebeurt door de eigenaar van de woning of
of openbare parkeergelegenheden. Bovendien moet een ge- bedrijfsruimte, mits de microfoon daar niet verstopt is. Zolang
meente in haar Algemene Plaatselijke Verordening (APV) regelen de microfoon dus maar zichtbaar is, is er geen sprake meer van
wanneer en hoe cameratoezicht zal plaatsvinden. een strafbaar feit.
82 83
Daarbij gelden drie belangrijke beperkingen:
1. De werkgever mag alleen specifiek die werknemers filmen
Cameratoezicht in private ruimte
beeld gestolen uit het magazijn, dan mag hij een verborgen
gehouden wordt door de fotograaf of cameraman. Het in bezit hebben
Het verbod van filmen in privéruimtes is gebaseerd op het feit mensen heimelijk gefilmd worden.
dat onaangekondigd filmen een schending van de privacy van 2. De werkgever moet vooraf hebben gemeld dat er verborgen
de gefilmde personen is. Dat betekent dat wanneer er geen camera’s gebruikt kunnen worden (maar natuurlijk niet
sprake is van een privacyschending, het filmen toegestaan is. waar die staan). Het bedrijfsreglement is een prima plaats,
Dit is van belang bij inbrekers, dieven en andere personen die maar een duidelijk zichtbaar bord bij de personeelsingang is
zelf wederrechtelijk een locatie betreden. Dergelijke personen ook goed. De OR heeft wel instemmingsrecht over het ge-
kunnen geen aanspraak maken op eerbiediging van hun privacy, bruik van verborgen camera’s.
en kunnen dus geen bezwaar maken tegen cameratoezicht. Ook 3. Het middel moet proportioneel zijn. De werkgever moet
5-Monitoren en
niet als de camera er in strijd met de wet hangt. aantonen dat er geen andere oplossing was dan het gebruik
toezicht
van verborgen camera’s. Voor bijvoorbeeld het voorkomen
Het publiceren op internet van de beelden is een ander verhaal: van diefstal zou een detectiepoortje bij de personeelsuitgang
het aan de schandpaal nagelen van verdachten (of zelfs veroor- soms ook kunnen werken.
deelde criminelen) is eigenlijk altijd verboden. En de grens
tussen het opsporen van een verdachte en het aan de schandpaal
nagelen is erg dun.
Cameratoezicht bij de buren
Een camera van een private partij mag in beginsel alleen de eigen ruimte
filmen, dus wel de tuin en de carport maar niet de openbare weg. Enige
overlap zal onvermijdelijk zijn. Bij het filmen van een carport zal bij-
Cameratoezicht op het werk voorbeeld altijd wel iets van de stoep in beeld komen, maar dat maakt
Een bijzonder geval van cameratoezicht in besloten ruimtes is het ge- het cameratoezicht niet meteen strafbaar.
84 85
6
observeren van de auto overeen met hetgeen [de eiser] met het
blote oog zou waarnemen vanuit zijn raam indien hij overging
tot verwijdering van de daarvoor geplaatste bosschage.”
Ethisch verantwoord
Filmen van privéterrein van de buren is echter onrechtmatig
richting de buren. Bij cameratoezicht dient dit dan ook zo veel
D
mogelijk tegengegaan te worden. Moderne camerasurveillance-
systemen hebben hiervoor softwarematige oplossingen, waarbij
een specifiek stuk van het beeld uitgeblokt wordt tijdens het op-
nemen, zodat er in het geheel geen beelden van bijvoorbeeld de
achtertuin van de buren worden vastgelegd maar wél van de ge- e strafwet geldt voor iedereen. Het zonder toestemming kra-
meenschappelijke opgang tussen de tuinen. Daarmee is aan de ken van beveiligingen, inbreken in gebouwen of het weg-
wet voldaan. nemen van documenten is verboden, en daarbij maakt het
beroep dat je uitoefent niet uit. Maar onder uitzonderlijke om-
Een lastig punt is dat de buurman niet kan zien of dat uitblokken standigheden kan iemand vrijuit gaan met een beroep op de
ook werkelijk gebeurt. Zelfs als hij dit zelf mag controleren, kan persvrijheid.
de optie natuurlijk vijf minuten later worden uitgeschakeld. Een
praktisch advies is dan ook om een sticker of stuk plakband De persvrijheid geldt namelijk voor iedereen, en niet alleen voor
over de camera te plakken, of expliciet een plaatje op te hangen professionele journalisten. Wanneer een publicatie een maat-
zodat het fysiek onmogelijk is om de betreffende tuin in beeld schappelijk belang dient en niet verder gaat dan noodzakelijk
te krijgen. Dergelijke oplossingen kunnen grote burenruzies voor dat doel, kan het toegestaan zijn om in die publicatie bij-
6-Ethisch verant-
voorkomen. voorbeeld te onthullen dat een bepaald systeem onveilig of lek
woord
is. Ook zou je onder die omstandigheden geheime of ‘gestolen’
informatie kunnen publiceren. Maar of je met een beroep op de
persvrijheid een computersysteem mag platleggen, is een open
vraag.
86 87
De strafwet maakt geen onderscheid tussen journalisten en an-
dere burgers. Iedereen moet zich aan de wet houden. Pas in heel
bijzondere situaties kan een journalist zich beroepen op de vrije
meningsuiting en zo een strafrechtelijke veroordeling ontlopen.
Een camerawagen van de NOS mag bijvoorbeeld niet over de
vluchtstrook omdat de reporters anders te laat zouden komen
bij een nieuwsfeit. Ook de bezitter van een perskaart (eigenlijk
‘politieperskaart’) mag niet meer dan anderen. Het enige bijzon-
dere recht van een politieperskaart is dat de bezitter daarvan op
verzoek vaak toegang kan krijgen tot een plaats delict, als de po-
litie dat gepast acht. Dit omdat hun identiteit en het doel van
hun bezoek dan in voldoende mate vaststaat.
Wie bij een bedrijf werkt, komt soms misstanden tegen. Die pu-
bliekelijk aan de kaak stellen heet klokkenluiden. Ook dit valt of de publicatie een ‘publiek belang’ dient, oftewel een bijdrage
onder journalistiek of vrije meningsuiting, maar het leidt al heel aan het publieke debat levert over een ‘maatschappelijk rele-
snel tot juridische problemen. Het publiceren van bedrijfsgehei- vante kwestie’. Als de publicatie in dat kader past, zou deze in
men is immers strafbaar. Ook wordt dan vaak contractuele ge- principe niet tot een veroordeling mogen leiden. Wel moet de
heimhouding geschonden. Juridische stappen tegen klokken- journalist terughoudend zijn, en met name niet verder gaan dan
luiders komen dan ook regelmatig voor. Ook klokkenluiders noodzakelijk voor die kwestie. Wie bijvoorbeeld wil aantonen
kunnen zich echter op de persvrijheid beroepen. Wie in aanra- dat fietssloten eenvoudig te kraken zijn, kan dat laten zien met
6-Ethisch verant-
king komt met interne, vertrouwelijke informatie, waarvan de een zelf gekocht slot. Het is voor dit doel niet noodzakelijk om
woord
openbaarmaking een zwaarwegend publiek belang kan dienen, bij het station tientallen sloten te kraken van fietsen van wille-
mag dat doen als er geen effectieve interne wegen zijn om dit keurige derden. Gaat het om het slot van een fietsenstalling dan
op te lossen en deze werknemer (vrijwel) de enige is die iets kan de onveiligheid alleen worden aangetoond door specifiek
kan doen. Hij mag dan zelfs eventuele geheimhoudingsclausules dat slot te kraken.
in zijn contract negeren – mits het publiek belang daar zwaar-
wegend genoeg voor is. Aan de kaak stellen van misstanden
Een belangrijke taak van journalisten is het aan de kaak stellen van mis-
88 89
Publiceren over lekken of zwakheden in de beveiliging van com- Een voorbeeld van hoe het niet moet, is een journalist die wilde
puters of netwerken dient het algemeen belang, en is dus in prin- aantonen dat er een gat in het bancaire systeem van automatische
cipe toegestaan als daarbij geen details worden gegeven over incasso zat, waarmee kwaadwillenden zonder enige controle geld
hoe de fout kan worden misbruikt. De publicatie mag namelijk konden incasseren. Daarbij had hij maar liefst € 739.435,80 geïn-
niet neerkomen op een eenvoudig stappenplan of een handlei- casseerd van tientallen partijen. Dat ging de Hoge Raad te ver.
ding voor misbruik. Het tijdschrift Computer idee werd ooit ver- De journalist had met name ook met een kleiner bedrag kunnen
oordeeld omdat ze in detail uitlegden hoe gratis Canal+ werken om zijn punt te maken. Dat het hier ging om geld dat bij
betaaltelevisie kon worden gekeken zonder te betalen. Zo’n willekeurige mensen werd afgeboekt en niet bij kennissen die hij
handleiding bevat veel meer informatie dan nodig is voor het had kunnen vragen om medewerking, woog ook zwaar mee.
melden van een misstand en is om die reden strafbaar.
Nieuwe Revu zocht de grens op bij een onderzoek naar het kraken
In 2008 stonden onderzoekers van de Universiteit Nijmegen bij van de privémailbox van de staatssecretaris van Defensie. Daarbij
de rechter vanwege een publicatie over fundamentele zwakhe- werd een botnet van 14.000 computers ingezet om het wachtwoord
den in de OV-chipkaart. Hun publicatie werd niet verboden, on- te raden (‘brute forcen’). Dat mocht: het testen van dat wachtwoord
danks de schade die volgens chipfabrikant NXP dreigde als het was maatschappelijk relevant, omdat dit in een tijd gebeurde dat
publiek deze zwakheden te weten zou komen. Volgens de rechter diverse buitenlandse bewindspersonen in het nieuws waren geko-
bevatte het artikel “een in hoge mate theoretische beschrijving, men omdat ze zwakke wachtwoorden gebruikten. De Revu-jour-
maar ... in ieder geval zeker niet een praktische handleiding voor nalisten werden echter wél veroordeeld voor het snuffelen in de
het kraken en klonen van de chip.” Een beschrijving op hoog ni- mailbox nadat het wachtwoord was gekraakt. Immers, als je punt
veau is dus niet verboden. Maar hoe praktischer je de beschrij- is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is
ving maakt, hoe riskanter de publicatie wordt. het niet nodig om zijn mail te lezen - laat staan daaruit te citeren.
6-Ethisch verant-
woord
Wie dus mogelijk strafbare handelingen gaat verrichten in het kader
Verder gaan dan nodig
90 91
Het aan de kaak stellen van misstanden bij overheden kan een De website Flitsservice.nl mocht van de rechter foto’s van flit-
grond zijn om geheime documenten te lekken. Zo stond het Eu- sende agenten publiceren, maar moest hun gezichten onherken-
ropese Hof voor de Rechten van de Mens (EHRM) toe dat een baar maken en hun namen verwijderen. De foto’s droegen bij
krant interne stukken van het Moldavische Openbaar Ministerie aan het debat over of flitsen nu wel of niet zinvol is en hoe de
publiceerde om zo duidelijk te maken dat daar een corrupte politie dit werk uitvoerde, maar de identiteit van de betrokken
officier actief was. Dat is een zwaarwegend belang in een de- agenten is in dat debat natuurlijk irrelevant. Zou een publicatie
mocratie, dus daar mag men over schrijven. Een jaar later gaan over misdragingen door een specifieke agent, dan kán pu-
bepaalde het Gerechtshof Amsterdam dat het publiceren van blicatie van diens foto relevant zijn. Het moet dan wel een ernstige
staatsgeheime documenten niet per se strafbaar is als dit gebeurt misdraging zijn, en het moet vaststaan dat het deze agent was.
door personen die aan een maatschappelijk belangrijke zaak
werken (in dit geval ging het om gelekte staatsgeheimen). Het
Hof bepaalde: Melden van beveiligingsfouten
Veel softwareleveranciers hebben een erg slechte reputatie als het gaat
Aangezien een journalist, afhankelijk van de omstandigheden van het om het repareren van beveiligingsfouten. Om hen wat meer onder druk
geval, aanspraak kan maken op de in artikel 10, eerste lid, [van het Eu- te zetten, worden berichten over dergelijke fouten vaak voorzien van
ropees Verdrag voor de Rechten van de Mens] gewaarborgde vrijheid zogeheten ‘exploits’, programmaatjes die de fout exploiteren. Hiermee
van informatieverstrekking, ook indien hij weet, of redelijkerwijs moet
vermoeden, dat zijn publicatie gegevens bevat die onder een wettelijke
geheimhoudingsplicht vallen, kan uit diens publiceren van gegevens
die (in enige gradatie) als ‘staatsgeheim’ zijn bestempeld niet zonder
meer het ernstige vermoeden worden afgeleid dat hij een gevaar vormt
6-Ethisch verant-
voor het voortbestaan van de democratische rechtsorde, dan wel voor
woord
de veiligheid of voor andere gewichtige belangen van de staat.
92 93
Wie een fout ontdekt, en het betrokken bedrijf daarover inlicht,
wil nog wel eens een beloning krijgen. Sommige bedrijven (zoals
kan de gebruiker bijvoorbeeld systeembeheer-privileges krijgen, ander-
zeer dubieus: het kan worden gezien als chantage (“Ik heb een
moeten komen, omdat anders zijn klanten nadeel zullen ondervinden
Veel exploits worden echter niet alleen gebruikt om een onwil- ik”). Ook de handel in informatie over fouten bevindt zich in een
lige leverancier te overtuigen. Ze zijn ook een handig startpunt grijs gebied. Wie geld wil verdienen met het ontdekken van be-
voor vandalen die andere gebruikers lastig willen vallen. Er veiligingsfouten, kan beter bij een beveiligingsbedrijf werken dat
hoeft immers nauwelijks nog werk verricht te worden; ingehuurd wordt door bedrijven die zich zorgen maken over
download een exploit, kies het IP adres van je slachtoffer en je fouten in hun producten.
bent binnen. En als het niet werkt, download je gewoon de vol-
gende tot het wel werkt. Het publiceren van zulke exploits is dan
ook een riskante onderneming. Een ‘disclaimer’ waarin men
Responsible disclosure
6-Ethisch verant-
beveiliging niet op orde was. Het zal echter niet snel gebeuren
deze praktijk tegen te gaan, is op zeker moment het alternatief van ‘full
woord
dat iemand daadwerkelijk vervolgd wordt voor het ontdekken
disclosure’ in zwang geraakt. Daarbij worden de volledige details van
Zo had een cursist eens ontdekt dat het e-learning systeem dat Omdat sommige fouten grote impact kunnen hebben en niet
hij gebruikte een fout had. Hierover werd de leverancier zelfs alles meteen te repareren is, kan full disclosure leiden tot grote
zo kwaad dat hij een rechtszaak aanspande. Maar de rechter schade. Bij wijze van compromis is het concept van ‘responsible
wees de eis af: “Om te beginnen is voldoende aannemelijk dat disclosure’ ontstaan: de ontdekker meldt eerst het bedrijf waar
in dit geval sprake is van een goedbedoelde en onschuldige de fout zit en geeft ze een redelijke termijn om deze te herstellen.
actie, juist gericht op het behartigen van het belang van de eiser Pas na die termijn publiceert de ontdekker zijn bevindingen –
die dit zeer wel zó kon begrijpen en er zó ook profijt van had maar dat doet hij óók als het bedrijf niet heeft gereageerd of niet
kunnen hebben.” met een oplossing voor de fout kan of wil komen.
94 95
De grote vraag bij responsible disclosure is natuurlijk hoe lang zorgvuldig is: hoeveel moeite was het om de fabrikant te con-
je moet wachten. Dit zal sterk afhangen van de aard van de fout tacteren, was daar een snelle reactie van te verwachten en hoe
en de tijd die nodig is voor herstel. Securityonderzoeker Dan belangrijk was het om het publiek te informeren voordat de fout
Kaminsky ontdekte in februari 2008 een grote fout in het Domain was hersteld? Ook zal de mate van gepubliceerd detail meewe-
Naming System (DNS) die iedereen in staat zou stellen inter- gen. Publicatie van een theoretische analyse zonder concrete ex-
netverkeer om te leiden naar malafide sites. Hij stelde eerst in ploit is minder snel een probleem dan publicatie van alleen een
het geheim enkele betrokken partijen op de hoogte, zodat deze stuk software dat de fout misbruikt.
hun software konden aanpassen. Pas na enkele maanden publi-
ceerde hij op de Black Hat-conferentie zijn bevindingen. De Nij- Een praktische vuistregel is dat een publicatie van een exploit
meegse onderzoekers wachtten zelfs zes maanden met publice- enkele irrelevante technische details zou moeten weglaten of
ren van de door hen gevonden zwakheden in de Mifare classic veranderen, zodat deze niet direct bruikbaar is voor iedereen.
chip op de OV-chipkaart. Maar er zijn ook onderzoekers die al Ook zou een exploit eigenlijk alleen op relatief onschuldige wijze
na enkele weken hun bevindingen publiceren. moeten laten zien dat het lek bestaat. Een exploit die aantoont
dat willekeurige commando’s onder Windows kunnen worden
uitgevoerd, kan dat prima demonstreren door het Kladblok te
De wet schrijft geen procedure voor. Het is niet verplicht een fa- starten in plaats van de System32 directory te wissen. Deze
brikant of ontwikkelaar te informeren over een fout, en ook niet vuistregel werkt niet altijd, en slimme hackers kunnen de exploit
om te wachten tot deze meldt een oplossing voor de fout te heb- vast ombouwen tot iets schadelijkers, maar zo heb je in ieder
ben. De rechter zal alleen onderzoeken of de gevolgde procedure geval gedaan wat je kon om de schade te beperken.
6-Ethisch verant-
Onderzoeken van software
woord
Reverse engineeren is een algemene term voor het uit elkaar halen van
een product (of software) om te zien hoe dit opgebouwd is of hoe het com-
municeert met andere producten. Specifiek voor software worden ook wel
termen als disassembleren of decompileren gebruikt, maar uiteindelijk ko-
men ze op hetzelfde neer: de software wordt uit elkaar geplozen en ge-
analyseerd om te zien hoe deze werkt. Omdat hierbij een kopie van de
software wordt gemaakt, valt dit in principe onder het auteursrecht.
96 97
iets moeilijker: bij reverse engineeren moet je vaak de software (bijvoorbeeld een eigen afspeelsysteem aansluiten op het
uitvoeren (al dan niet in een debugger of andere speciale omge- beveiligde Blu-Ray disc systeem) of zelfs als de beveiliging ten
ving) om te kunnen zien wat deze doet. Deze handelingen vallen onrechte legale handelingen tegenhoudt. Het is nog onduidelijk
echter onder het auteursrecht, en mogen dus in principe alleen of dit wettelijk verbod houdbaar is, omdat het wel érg ver gaat,
als men de voorwaarden van de bijbehorende licentie naleeft. maar het reverse engineeren van dergelijke beveiligingen is
Die verbiedt meestal het onderzoeken of reverse engineeren van juridisch daarmee zeer riskant.
de software.
6-Ethisch verant-
ciële interface (‘application programming interface’ of API) om
woord
dit soort modules toe te kunnen voegen, dan hoef je niet meer
te reverse engineeren om die API te achterhalen en dan mag je
ook niet meer reverse engineeren. Ook mogen de gegevens niet
worden gebruikt om een kloon te maken van het origineel. Meer
over de juridische kant van software in ons boek Software: Des-
kundig en praktisch juridisch advies.
98 99
Deze actie was opmerkelijk, omdat het niet echt de bedoeling is
dat de politie zelf misdrijven pleegt. Tegelijkertijd is het wel net-
Denial of service-aanval als protest
in deze auto, doe dat nou niet”. Dergelijk handelen zou ook bij
met een dergelijke aanval: betaal of we gooien je site plat zodat je omzet
6-Ethisch verant-
We kennen in het recht de constructie van ‘zaakwaarneming‘. Je voor de deur van het hoofdkantoor onpraktisch is om te organi-
woord
mag andermans problemen gaan oplossen als daar een goede seren. Het middel van een DoS-aanval laat luid en duidelijk mer-
reden voor is en die persoon dat niet zelf kan doen. Als je buren ken dat een hoop mensen ontevreden zijn. Wel zal waarschijnlijk
op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je meespelen welke middelen deze mensen inzetten. Als een hoop
de deur forceren en het dier naar een dierenarts of asiel brengen. mensen vanaf zijn eigen computer een DoS-aanval uitvoert, is
Dat is dan geen inbraak maar een gerechtvaardigd binnentreden het signaal duidelijk: ze zijn allemaal boos en dat willen ze laten
op grond van zaakwaarneming. De buurman kan hier geen be- merken ook. Wanneer een paar mensen een botnet met honderd-
zwaar tegen maken. Sterker nog, hij moet de rekening van de duizenden computers inzetten, is dit standpunt veel moeilijker
slotenmaker betalen die je hielp binnen te komen. De constructie te verdedigen. Anders gezegd: als veel mensen gaan demonstre-
van zaakwaarneming kan in principe ook gelden bij ICT-zaken. ren en daarbij leuzen roepen, blijft dat binnen de grens van een
Er is alleen nog nooit een rechtszaak over geweest, zodat ondui- legitieme meningsuiting. Eén iemand die met een grote geluids-
delijk is waar de grenzen liggen. installatie even veel geluid produceert, kan gemakkelijk over
deze grens gaan.
100 101
7
Omdat het middel van een DoS-aanval erg nieuw is, is er nog
geen duidelijkheid of de rechter het beroep zal accepteren. Uit-
gesloten is het niet: als je bij een protest tegen regeringsbeleid de
A4 mag blokkeren met tractoren of bij een staking de ingang van Forensisch onderzoek en rechtszaken
het bedrijf mag barricaderen, waarom zou dan het blokkeren van
een webserver dan niet mogen?
I
n de vorige hoofdstukken zijn vele computermisdrijven en -over-
tredingen aan de orde gekomen. Hiertegen kan de politie in actie
komen. Dergelijke zaken zijn ook aan te pakken als onrechtma-
tige daad, waarbij het slachtoffer zelf bij de civiele rechter de
schade probeert te verhalen op de dader. Bij zowel strafzaken
als civiele procedures is wel bewijs nodig. Dit kan via forensisch
onderzoek worden verkregen, maar daar zitten de nodige haken
en ogen aan. En ook de procedure bij de rechter zelf is niet een-
voudig.
Aangifte doen
Computercriminaliteit is een misdrijf. De politie kan hier onderzoek naar
doen, en bij voldoende bewijs de zaak overdragen aan het OM dat dan
7-Onderzoek en
rechtszaken
de vermoedelijke dader kan vervolgen. Als de rechter overtuigd is van
diens schuld kan de dader bestraft worden met een werkstraf, een boete
of celstraf. Schuldigverklaring zonder straf kan ook, als de rechter vindt
dat de dader een rechtvaardigingsgrond had voor zijn daad.
102 103
oplichting. Een stapel aangiften of meldingen is nodig, omdat
die stapel het patroon bewijst waaruit blijkt dat de verdachte
geen legitieme bedoelingen had.
Verplicht opnemen
De politie is altijd verplicht een aangifte op te nemen. Men mag niet wei-
geren met bijvoorbeeld als motivatie dat er niet genoeg bewijs is. Maar
men is niet verplicht om tot opsporing over te gaan. De politie of het OM
kunnen besluiten de zaak te seponeren, zoals dat heet. Meestal gebeurt
dat omdat er te weinig aanwijzingen zijn die tot de dader kunnen leiden.
Bij ICT-zaken zijn vaak buitenlandse computers betrokken, wat interna-
tionale samenwerking vereist en dat is complex en tijdrovend.
7-Onderzoek en
derland actieve botnets, zoals het Bredolabs-botnet (zie hoofd- conflict is tussen twee burgers over bijvoorbeeld een contract of
rechtszaken
stuk 2) dat men wist te ontmantelen. Maar dit team is niet groot iets anders dat buiten het strafrecht ligt. Van een website die een
genoeg om alle cybercrime aan te pakken. account zomaar sluit, kan geen aangifte worden gedaan. Wie het
daarmee oneens is, moet zelf naar de rechter en toegang
terugeisen. Maar als iemand zich toegang verschaft tot an-
Naast aangifte kun je ook een melding doen van een misdrijf. dermans account zonder toestemming van de eigenaar, dan is
Een melding start geen strafrechtelijk onderzoek maar kan wel dat zonder meer strafbaar. De politie moet de aangifte opnemen
nuttig zijn voor de politie om een dossier op te bouwen. Bij (maar kan vijf minuten later besluiten de zaak toch te
zaken als internetoplichting is zo’n dossier belangrijk: één keer seponeren).
niets leveren is wanprestatie, honderd keer niets leveren is
104 105
Aangifte niet verplicht Dit is eenvoudiger dan een eigen rechtszaak starten. Wel moet de scha-
Een slachtoffer van computercriminaliteit is niet verplicht om aangifte te declaim dan eenvoudig te controleren zijn door de strafrechter, en de be-
doen. Afgezien van een paar heel specifieke gevallen (zoals wanneer je handeling van de claim mag de rechtszaak niet onredelijk lang vertragen.
Het is niet verboden om een inbreker zijn gang te laten gaan om criminaliteit. Belangrijk is wel dat de schade onderbouwd is, bij-
zo meer bewijs te verzamelen, maar dit heeft wel het risico dat voorbeeld met facturen van het beveiligingsbedrijf dat de
hij meer schade aanricht dan gewenst is. Een inbreker zijn gang rommel opgeruimd heeft of met een overzicht van de uren die
laten gaan is echter géén uitlokking (zie ook hoofdstuk 1). De in- het systeembeheer nodig had voor het herstellen van gegevens
breker is immers al binnen en hij wordt dus niet meer uitgeno- vanaf reservekopieën.
digd of overgehaald om binnen te dringen. Wie echter snel een
honeypot opzet of wat documentjes voor zijn neus neerzet met Ook bepaalde juridische kosten mogen worden gevorderd als
een aanlokkelijke titel, kan in deze situatie wellicht alsnog een schade, maar de rekening van de advocaat zal het bedrijf echter
poging tot uitlokking begaan. zelf moeten dragen. De kosten van zo'n advocaat zijn duur,
reken op enkele duizenden euro's minimaal. Ook speelt vaak
Het is toegestaan om bij een inbraakpoging de aanvaller uit het de mogelijke publiciteit en daaruit voortkomende reputatieschade
netwerk te verwijderen, de toegang snel dicht te timmeren en een rol: rechtszaken zijn in principe openbaar, dus iedereen kan
vervolgens het betrokken systeem meteen geheel opnieuw te in- dan lezen hoe slecht het bedrijf beveiligd was of wat voor
stalleren en alle gegevens vanaf reservekopieën te herstellen. Dat impact de aanval had. Vanwege deze factoren zien veel bedrijven
daarbij mogelijk bewijs wordt vernietigd is niet relevant. Een af van zo’n civiele rechtszaak.
private partij is niet verplicht om zulk bewijs te bewaren, tenzij
7-Onderzoek en
men een vordering van de politie heeft gehad om bepaalde data
rechtszaken
te verzamelen en/of te bewaren en aan hen te geven. Het is ech- Een schadevergoeding is beperkt tot de kosten voor het herstel-
ter wel verstandig eerst goed na te denken of het mogelijke be- len van het systeem in de oorspronkelijke toestand. Een bedrijf
wijsmateriaal later misschien nog nodig is in het geval er zou een inbraak kunnen aangrijpen om de beveiliging eens fors
aangifte gedaan gaat worden. te upgraden, maar de kosten van de nieuwe hardware en soft-
ware zijn géén schade. Gevolgschade, zoals gemiste omzet in de
tijd dat het systeem niet beschikbaar was, komt in principe in
aanmerking – maar bewijs maar eens dat je werkelijk die omzet
Schadevergoeding van de dader
misgelopen bent en dat dat écht alleen kwam omdat het systeem
Een bedrijf dat schade heeft geleden door computercriminaliteit, kan
106 107
In 2006 werden de plegers van een denial-of-service aanval tegen Wanneer de rechter niet goed kan inschatten wat een bewijsstuk
de overheid veroordeeld. De claim van overheidsautomatiseer- nu precies bewijst, of er gerede twijfel is over de echtheid, kan
der ICTU voor een schadevergoeding werd echter grotendeels een deskundige worden ingeschakeld die daar een verklaring
afgewezen. Men had naast de noodmaatregelen ook de kosten over afgeeft. De rechter kan ook kijken naar andere omstandig-
van netwerkupgrades om toekomstige aanvallen te voorkomen heden. Wie bijvoorbeeld stelt dat een mail over een lening ver-
doorberekend. De rechter oordeelde echter dat slechts de kosten valst is, maar wel vanaf zijn bankrekening geld heeft overge-
voor het oplossen van de crisis veroorzaakt door aanval zelf maakt onder vermelding van “aflossing lening”, staat niet sterk.
vergoed moesten worden. Het nemen van aanvullende structu-
rele beveiligingsmaatregelen was de eigen keuze van ICTU en Natuurlijk kunnen digitale documenten triviaal vervalst wor-
dus waren de kosten daarvan niet verhaalbaar. den. Maar zolang er geen reden is om te vermoeden dat in dit
specifieke geval de documenten zijn vervalst, is dat geen argu-
ment. Wel is en blijft het de vraag wat het bestand nu precies be-
wijst. Er moeten concrete aanwijzingen zijn waarom nu net in
deze zaak deze mail gemanipuleerd zou zijn. Je komt er dus niet
Bewijsvoering bij de civiele rechter
7-Onderzoek en
elke vorm worden geleverd, zolang de rechter maar overtuigd
rechtszaken
raakt dat het aangeleverde materiaal duidelijk onderbouwt wat
de partijen daarover zeggen. De enige uitzondering is de onderte-
kende akte: een stuk papier met handtekening, al of niet bij de no-
taris. Daarvan geldt in beginsel dat dit voor partijen bindend
bewijs is van wat er afgesproken is. De rechter zal dus nooit vooraf
gaan onderzoeken of de e-mail wel echt is, of mails afwijzen enkel
omdat het mails zijn. Hoofdregel is, zolang de partijen zelf niet
onderbouwd bezwaar maken, mag alles worden overlegd en kan
de rechter dat gewoon meenemen in de beoordeling van de zaak.
108 109
Mogelijk zijn er nog andere bronnen waar je uit kunt putten.
Heeft wellicht iemand anders een kopie ontvangen van het mail-
bericht? Wordt er verwezen naar gesprekken of documenten die
nog ergens voorhanden zijn? Kan met een agenda of bankaf-
schriften nog iets gereconstrueerd worden? Zit er in de over-
legde e-mailconversatie misschien een inconsistentie, waaruit
blijkt dat er gemanipuleerd is? Mensen die mails aanpassen ver-
geten nog wel eens om ook de kopieën die onderaan latere mails
bungelen aan te passen.
Bewijs is alleen te leveren met één of meer van de in de wet schaad is, en als dat niet zo is, dan gaat de zaak gewoon door.
genoemde ‘bewijsmiddelen’: Pas bij serieuze schendingen van het recht kan vrijspraak of een
• verklaringen van de verdachte, van getuigen of deskundigen, lagere straf volgen.
• schriftelijke stukken zoals een proces-verbaal of een rapport
van een deskundige, en
7-Onderzoek en
• wat de rechter zelf zoal is opgevallen tijdens het proces.
Verklaringen van deskundigen
rechtszaken
Bij ICT-zaken zal het bewijs vrijwel altijd neerkomen op verklaringen of
er is altijd aanvullend bewijs nodig. De rechter mag zelf afgaan op wat hij in de logbestanden en an-
dere bewijsstukken leest, maar logbestanden en andere ICT-aan-
Het is een fabeltje dat in strafzaken de verdachte meteen vrijuit wijzingen zijn op zichzelf meestal niet duidelijk genoeg om
kan bij de geringste taal- of spelfout door Justitie. Zogeheten meteen als bewijs te dienen. Als bijvoorbeeld een verdachte stelt
110 111
dat hij het niet heeft gedaan maar dat een derde zijn computer
heeft misbruikt, dan kan een getuige-deskundige worden opge-
Forensisch bewijs
De rechter hoeft dus niet zelf verstand van ICT te hebben. De Het NFI heeft ten behoeve van bewijslevering de zogeheten Fo-
rechter moet wel kunnen inschatten welke deskundige de meest rensisch-Technische normen (‘FT-normen’) opgesteld. Deze normen
logische verklaring aflegt, en bij tegenstrijdige verklaringen af- beschrijven eisen, voorwaarden en aanbevelingen met betrekking
wegen aan welke hij het meest geloof hecht. tot het opsporen en veiligstellen van sporen die zijn achtergebleven
na een misdrijf. De meeste FT-normen zijn juridisch niet bindend
Een cyberstalker werd veroordeeld ondanks zijn protest dat zijn (maar wel sterk aanbevolen). Enkele normen zijn direct afgeleid
computer gehackt zou zijn. De rechtbank had in hoger beroep van wetgeving en daarmee indirect wel bindend.
van twee deskundigen verklaringen gehoord. Een deskundige
had verklaard dat theoretisch gezien hacken nooit uit te sluiten Voor digitaal forensisch onderzoek zijn er nog geen FT-normen,
is. Maar, zo had een eerdere deskundige verklaard, daar waren hoewel er wel een conceptnorm is voor onderzoek aan mobiele
geen sporen voor te vinden. De wél aangetroffen sporen waren telefoons. Ook zijn er normen voor onderzoek aan gespreksop-
intern consistent en vertoonden geen aanwijzingen van mani- namen.
pulatie. Daarmee was het nauwelijks denkbaar dat er daadwer-
kelijk een hacker bezig was geweest. In de rechtspraak wordt niet heel hard gehamerd op de kwaliteit
van forensisch onderzoek. De resultaten zoals gepresenteerd
door NFI of recherchebureau worden meestal voor waar aange-
De theoretische mogelijkheid dat een ander actief was op ie- nomen, en tenzij de wederpartij daar eigen onderzoek tegenover
7-Onderzoek en
mands netwerk, is niet genoeg als het overige bewijs naar de ver- kan stellen, zal de rechter zelden vraagtekens zetten bij de kwa-
rechtszaken
dachte wijst. Hij zal met tegenbewijs moeten komen, zoals liteit van het bewijs.
sporen van een rootkit of remote desktop software waarmee die
ander vanaf zijn PC de handelingen had kunnen verrichten. De normen rond zekerstellen van originele informatiedragers
en het beheren van de ‘chain of custody’ (wie wanneer het bewijs
Zo vond de Hoge Raad het in 2007 hoogst onwaarschijnlijk dat in handen had en wat daarmee is gebeurd) zijn dus geen wette-
een derde de computer van een verdachte zou hebben gehackt lijke plichten. Dat wil niet zeggen dat ze waardeloos zijn: wie
en bedreigingen naar diens werkgever zou hebben gestuurd. op die manier werkt, hoeft niet bang te zijn voor bijdehante ad-
Waarom zou die dat willen doen? En hoe zou die hacker hebben vocaten die creatieve tegenscenario’s gaan verzinnen om het be-
moeten weten van de toch al onder druk staande arbeidsrelatie? wijs te ontkrachten.
112 113
• In een strafzaak werden op een PC versleutelde kinderpor-
nobestanden aangetroffen. Het leek de rechtbank duidelijk
dat hier geen derde bezig was geweest. Waarom zou die a)
kinderporno uploaden naar juist die PC, b) dat encrypten
met een wachtwoord dat bestond uit het favoriete sigaretten-
merk en het geboortejaar van de verdachte, en dan c) het
icoon van het encryptieprogramma op de desktop zetten
waar de verdachte het meteen zou zien? Dit alles nog los van
het feit dat geen sporen van computerinbraak waren aange-
troffen. Het verweer dat het dan misschien de dertienjarige
zoon(!) van de verdachte zou zijn geweest, werd eveneens
niet aanvaard.
• In 2011 werd een ICT-medewerker veroordeeld voor het aan-
brengen van een achterdeur in een webapplicatie. Hij had tij-
dens zijn dienstverband een routine ontwikkeld die
willekeurige records weggooide, en na zijn ontslag werden
die vanaf zijn IP-adres aangeroepen middels een speciaal ge-
construeerde URL (een normale URL met debug=1 erach-
Vervalst bewijs
nemen.
ters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er
vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar
7-Onderzoek en
Securitygoeroe Bruce Schneier houdt zijn draadloze netwerk zo
rechtszaken
iets bij te winnen en past het bij wat we nog meer van de verdachte
onbeveiligd mogelijk. Want wie zou hem nu geloven als hij zei
weten?
Een paar voorbeelden: dat zijn beveiliging gekraakt was en een derde misbruik had
• Iemand die terechtstond wegens oplichting stelde dat zijn gemaakt van zijn systemen? Maar zo zwart-wit is het dus niet
computer gehackt was en een ander vanaf daar de adverten- per se. Waarom zou Schneier ineens reclame voor Viagra gaan
ties had geplaatst. Dat verhaal werd niet geaccepteerd: het maken of kinderporno gaan versturen vanaf zijn eigen PC? Die
bankrekeningnummer in de advertentie was van hem, en hij vraag is uiteindelijk waar het om draait in het strafrecht. Het
had nooit de moeite genomen te onderzoeken waarom men- gaat er niet om of een computer het gedaan heeft, maar of de
sen hem toch zomaar geld overmaakten onder vermelding verdachte het gedaan heeft.
van “koop op marktplaats”.
114 115
gebonden dan gewone burgers. De gedachte hierachter is dat zij
stelselmatig onderzoek doen en daarmee aan dezelfde regels ge-
Illegaal verkregen bewijs
Zo mocht in een ontslagzaak wegens verduistering van geld uit de tralies te krijgen. De vraag is natuurlijk wel of de politie daar
de kassa een illegaal gemaakte cameraopname gewoon gebruikt prioriteit aan geeft. Maar wie als burgerwacht (‘vigilante’) zelf
worden. Weliswaar was de opname een inbreuk op de privacy actief gaat zoeken naar bewijs voor strafbare feiten neemt wel
van de verdachte, maar deze was gerechtvaardigd vanwege het degelijk een serieus risico veroordeeld te worden. Eigenrichting
vermoeden van diefstal. Bovendien vond de Hoge Raad dat wordt bij de Nederlandse rechter niet gewaardeerd.
“ook indien de werkgever aldus een inbreuk op het privéleven
van de medewerkster zou hebben gemaakt, dit nog niet betekent
dat dit bewijsmateriaal in een procedure als de onderhavige niet
mag worden gebruikt.”
Toegang en wachtwoorden
Als iemand verdacht wordt van een misdrijf, zoals het bezitten van kin-
illegale filmen. De politie – de overheid – heeft veel macht, en Laptops, externe harde schijven en andere opslagmedia worden
7-Onderzoek en
met regels als deze wordt de burger tegen misbruik van die eigenlijk vrijwel altijd meegenomen bij zo'n doorzoeking. Ook
rechtszaken
macht beschermd. de dvd-filmcollectie: er zijn genoeg slimmeriken die hun data-
dvd’s in een hoesje van Taxi 2 of Lethal Weapon 4 bewaren. Maar
Bij een strafzaak is het OM zelf wel gebonden aan bepaalde pro- de echt slimme criminelen vertrouwen niet op verstoppen alleen
cedurele regels. Als zij die schenden, kan dat leiden tot bewijs- en versleutelen hun belastende data met sterke encryptie, of zet-
uitsluiting of zelfs vrijspraak voor de verdachte. Zo mag het OM ten deze ergens ver weg in de cloud.
niet zomaar mensen aftappen; dit vereist toestemming van de
rechter-commissaris. Deze regels werken ook door naar private Als bij een doorzoeking beveiligde of versleutelde computers,
recherchebureaus: deze mogen ook niet langs illegale weg bewijs netwerken of bestanden worden aangetroffen, kan de politie
vergaren. Recherchebureaus zijn daarmee aan strengere regels het bevel geven om dit te ontsleutelen of toegang te geven tot
116 117
hetgeen achter de beveiliging zit. Dat geldt zowel voor fysieke
als voor softwarematige beveiligingen. Men kan dus eisen dat
een kluis wordt geopend en dat een versleuteld bestand wordt
ontsleuteld. Een systeembeheerder is dus verplicht bedrijfsgegevens
te ontsleutelen. Maar in de wet staat ook dat zo’n bevel niet mag
worden gegeven aan de verdachte. Dit omdat niemand kan
worden gedwongen mee te werken aan zijn eigen veroordeling.
Dit geldt dus ook voor een persoon die daarmee belastende in-
mag wel zelf proberen het wachtwoord te raden of op een andere ma-
7-Onderzoek en
formatie over zichzelf zou onthullen. Bij een AIVD-onderzoek
rechtszaken
nier om de beveiliging of versleuteling heen te komen. Menig persoon
hoeft namelijk geen sprake te zijn van een verdachte. Wel moet
heeft zijn wachtwoorden ergens genoteerd, of gebruikt wachtwoorden
toestemming voor het bevel zijn verleend door het hoofd van de
die eenvoudig te raden zijn. Dat is legaal, net als het bekijken van de
inlichtingendienst.
onversleutelde reservekopieën – want menig persoon versleutelt die niet
apart.
Het is ook mogelijk dat men in het kader van opsporing verbor- Onder dezelfde omstandigheden mag de AIVD overigens ook
gen camera’s of keyloggers installeert. Daarmee is de verdachte computervredebreuk plegen (zie hoofdstuk 1) en andere norma-
te observeren terwijl hij het wachtwoord intypt. Dit is wel een liter illegale handelingen plegen om informatie te verkrijgen. Be-
heel zwaar middel, omdat het stelselmatig filmen van iemand wijs dat de dienst op zo’n manier verzamelt, mag echter niet in
in zijn huis een grove inbreuk op de privacy is. Dit middel mag de rechtszaal gebruikt worden.
118 119
mogelijk dat de rechercheur wordt gearresteerd, bijvoorbeeld
omdat een systeembeheerder van een toeleverancier de inbraak
Digitaal rechercheur
De Wet particuliere beveiligingsorganisaties en recherchebu- van toepassing. Dit onderzoek moet dan worden aangemeld bij
reaus stelt namelijk stelt namelijk een vergunning verplicht voor het College bescherming persoonsgegevens. Ook moet de re-
wie zijn werk maakt van recherchewerkzaamheden op verzoek chercheur zelf toetsen of zijn onderzoek door de beugel kan. Ca-
van anderen. Die vergunning wordt niet zomaar gegeven: de re- meratoezicht bij de kassa’s bij een vermoeden van fraude kan
chercheur in spé moet in het bezit zijn van het diploma Particu- gerechtvaardigd zijn, maar camera’s in het toilet ophangen van-
lier onderzoeker van de SVPB en Stichting Ecabo. Ook wordt hij wege fraude is niet toegestaan. Ook niet als de opdrachtgever
eerst door de politie gescreend. En bij zijn werkzaamheden moet erop staat dat het gebeurt, en ook niet als deze meldt alle ver-
hij een wettelijk vastgestelde (privacy)gedragscode naleven. antwoordelijkheid op zich te nemen.
7-Onderzoek en
Als de klant expliciet zelf toestemming geeft voor deze hande- kundige ingehuurd, dus hij moet protesteren als de klant iets wil
rechtszaken
lingen in zijn eigen netwerk of computer, dan is er natuurlijk dat onverstandig of illegaal is. Sterker nog, hij heeft het recht de
geen sprake van strafbaar handelen. Denk aan onderzoeken van overeenkomst te ontbinden als de klant voet bij stuk blijft hou-
de veiligheid van een bedrijfsnetwerk of het analyseren van di- den. Neemt hij de klus toch aan, en leidt dat tot schade, dan kan
gitale bestanden om fraude op te sporen. Maar al snel komen de klant hem aansprakelijk stellen voor die schade. Ook als de
ook andere partijen hierbij in beeld: de gebruikers van dat be- rechercheur heeft gewaarschuwd voor de risico’s.
drijfsnetwerk of de personen genoemd in die bestanden. Deze
partijen kunnen claims indienen tegen de rechercheur. Een goed Deze zorgplicht geldt ook voor het werk van de rechercheur zelf.
rechercheur heeft in zijn inhuurcontract clausules opgenomen Hij mag bijvoorbeeld geen illegale manieren gebruiken om ge-
die hem daar zoveel mogelijk tegen indekken. Maar het blijft gevens te verzamelen. Als de klant hem zelf illegaal verkregen
120 121
Juridische woordenlijst
?
Aangifte: een melding bij de politie of andere overheidsinstantie
van een strafbaar feit, met het verzoek om tot vervolging daar-
van over te gaan. In principe kan iedereen aangifte doen die ken-
nis heeft van het feit, dus niet alleen het slachtoffer. Bij sommige
misdrijven (zoals smaad) kan alleen het slachtoffer aangifte
doen. Bij enkele zware misdrijven, met name wanneer levens-
gevaar dreigt, is iedereen verplicht aangifte te doen. De politie
moet een aangifte opnemen maar kan deze seponeren als er te
weinig aanknopingspunten zijn.
Arrest: een vonnis in hoger beroep of cassatie. Een arrest kan een
informatie aanlevert, bijvoorbeeld als startpunt voor het onder- vonnis bevestigen of vernietigen (ongeldig verklaren). Bij ver-
zoek, dan mag hij die echter wel gebruiken. Maar in zijn eigen nietiging kan de zaak worden terugverwezen naar de lagere
werk moet hij zich aan de wet houden. rechter, maar het hof dat het arrest wijst, kan ook zelf uitspraak
doen.
Veel dienstverleners hebben algemene voorwaarden waarin zij
elke aansprakelijkheid uitsluiten. Dat is lang niet altijd rechts- Bewijs: alles waarmee de rechter overtuigd kan worden van de
geldig. Naar consumenten toe is het eigenlijk maar zelden mo- juistheid van bepaalde beweringen. Bij civiele rechtszaken moet
gelijk om diensten tegen betaling te leveren zonder aansprakelijk de rechter door het bewijs een redelijke mate van zekerheid krij-
te zijn. Bij zakelijke klanten kan er meer, maar de ondergrens gen over wat er is gebeurd. Bij strafzaken moet de rechter over-
blijft toch de hierboven genoemde zorgplicht. En bij schade door tuigd zijn van de schuld van de verdachte. De term ‘bewijs’
woordenlijst
opzet of grove nalatigheid kan een dienstverlener nooit een be- betekent niet “volstrekt onmogelijk te weerleggen” zoals in de
Juridische
roep doen op zijn uitsluitingsclausule. exacte wetenschappen, maar “is overtuigend voor de rechter”.
Burgerlijk recht: het deel van het recht dat bepaalt welke rech-
ten en plichten burgers onderling hebben. (Onder burgers ver-
staat de wet ook bedrijven.) Heet ook wel civiel recht. Het
verschil met strafrecht is dat in het burgerlijk recht de burgers
122 123
zelf naar de rechter gaan (als ze dat willen) en bij het strafrecht dus niet worden gestolen. Wel is het apart strafbaar om infor-
het Openbaar Ministerie besluit te vervolgen. matie te kopiëren of te wissen. Identiteitsdiefstal is eveneens
geen diefstal: pas als men iets doet met andermans identiteit,
Cassatie: een hoger beroep ingesteld bij de Hoge Raad, de hoog- kan sprake zijn van een strafbaar feit (zoals oplichting).
ste rechtbank. De Hoge Raad kan in cassatie alleen onderzoeken
of het recht juist is toegepast, maar gaat er vanuit dat alle eerder Economisch delict: een overtreding of misdrijf dat de economie
vastgestelde feiten juist zijn. Tegen een uitspraak van de Hoge of het handelsverkeer aantast. Het misleidend aanprijzen van
Raad is geen hoger beroep mogelijk. Bij schending van grond- malware is een economisch delict.
rechten kan men soms wel naar het Europees Hof voor de Rech-
ten van de Mens stappen. Het Hof van Justitie van de Europese Gerechtshof: de rechtsprekende instantie die hoger beroepen
Unie is géén hoger-beroepsinstantie: een rechtbank mag deze aanhoort van de gewone rechtbank. Vonnissen van een gerechts-
vragen stellen over uitleg van Europees recht, maar een burger hof heten arresten.
kan niet zelf direct naar dit Hof.
Grondrecht: een recht waar iedere burger aanspraak op kan
Civiele rechtszaak: Een rechtszaak onder het burgerlijk recht, maken, zoals privacy of vrije meningsuiting. Grondrechten zijn
waarbij twee burgers tegenover elkaar staan. Zo’n rechtszaak niet onbegrensd. Zo ligt een grens voor de vrije meningsuiting
kan bijvoorbeeld contractbreuk of een onrechtmatige daad be- bij smaad en laster. Een grondrecht kán echter een argument zijn
treffen. In een civiele rechtszaak kan de eiser maatregelen eisen tegen een strafbaar feit. Zo zou een denial of service-aanval op
zoals een schadevergoeding, nakoming van een contract of rec- een bedrijf (normaal een misdrijf) onder uitzonderlijke omstan-
tificatie van een onjuiste publicatie. De gedaagde partij mag een digheden legaal kunnen zijn bij wijze van protest tegen dat be-
tegeneis instellen. drijf – een vorm van meningsuiting.
Civiel recht: zie burgerlijk recht. Grove schuld: wanneer iemand een feit veroorzaakt zonder het
echt te willen, maar hij zonder meer had moeten weten dat dit
Contractbreuk: het schenden van een contract of overeenkomst. had kunnen gebeuren, is sprake van grove schuld. Heet soms
Dit is onderdeel van het burgerlijk recht. Wie schade lijdt door ook wel grove nalatigheid. Of hiervan sprake is, is altijd voer
een contractbreuk, kan deze schade verhalen op de wederpartij. voor discussie: ben je grof nalatig als je geen virusscanner draait
woordenlijst
Ook kan hij eisen dat de wederpartij alsnog het contract nakomt. en beveiligingsupdates niet installeert, waardoor schade bij an-
Juridische
De rechter kan daar een dwangsom op zetten, waarbij de we- deren wordt veroorzaakt?
derpartij een geldbedrag moet betalen voor elke dag dat hij het
contract nog steeds niet nakomt. Heling: het verkopen of voor de verkoop in voorraad hebben
van goederen die door een misdrijf zijn verkregen. Informatie is
Diefstal: het wegnemen van goederen om die zelf te gebruiken geen ‘goed’ en kan dus niet geheeld worden.
of door te verkopen (heling). Informatie is geen ‘goed’ en kan
124 125
voor specifieke gevallen, bijvoorbeeld door te bepalen wanneer
iets opzettelijk is gedaan, of een bepaald apparaat een ‘com-
puter’ is of hoe een bepaalde eis uit de wet gelezen moet
worden. Vonnissen zijn niet automatisch jurisprudentie. Een
rechter mag eerdere vonnissen negeren als hij ze niet relevant
of onjuist vindt. Bij een arrest van de Hoge Raad is dat echter
zeer ongebruikelijk.
woordenlijst
mee zijn. Het hoger beroep tegen de uitspraak van een gerechts- allerlei opsporingsmiddelen (zoals aftappen of doorzoeken van
Juridische
hof gebeurt bij de Hoge Raad en heet cassatie. een computer) gebruikt mogen worden. Bijna alle vormen van
computercriminaliteit zijn misdrijven.
Jurisprudentie: vonnissen die bepalen hoe de wet moet worden
toegepast of uitgelegd. Jurisprudentie kan van grote invloed Officier van Justitie: een vertegenwoordiger van het Openbaar
zijn op toekomstige zaken, omdat de wet vaak heel algemeen Ministerie (OM). Hij geeft leiding aan de politie bij het onderzoek
is geformuleerd. Deze vonnissen geven dan duidelijke regels naar een strafbaar feit en treedt op als aanklager in een strafzaak.
126 127
Onrechtmatige daad: een schending van het burgerlijk recht het feit eigenlijk niet wilde plegen maar had moeten weten dat er
waardoor een andere burger schade lijdt. De veroorzaker van de een grote kans was dat dit kon gebeuren. Het “voor de grap” los-
schade moet deze vergoeden aan het slachtoffer. Het slachtoffer laten van een virus dat vervolgens grote schade aanricht, is dus
moet hiervoor zelf naar de (burgerlijke) rechter. Bij een onrecht- opzettelijk omdat de dader had moeten weten dat virussen ge-
matige daad die ook een strafbaar feit is, kan het slachtoffer zich makkelijk kunnen ontsnappen en dan zulke schade aanrichten.
voegen in de strafzaak. Een daad is onrechtmatig als deze in
strijd is met een wetsartikel (elk strafbaar feit is dus ook onrecht- Overtreding: een strafbaar feit dat als minder ernstig wordt ge-
matig) of als deze indruist tegen de “maatschappelijke zorgvul- zien dan een misdrijf. Vaak gaat het om feiten die alleen overlast
digheid”, oftewel niet expliciet verboden is maar zó onwenselijk of rommel veroorzaken. Wanneer personen of goederen in ge-
dat iedereen had moeten begrijpen dat deze niet acceptabel is. vaar komen, is meestal sprake van een misdrijf. Zo is het stiekem
filmen van personen in een privéomgeving een overtreding
Openbaar Ministerie (OM): de instantie die besluit personen bij maar het vernielen van computergegevens een misdrijf.
de strafrechter te vervolgen wegens strafbare feiten. Het OM kan
verdachten ook een schikking (transactie) aanbieden waarbij Poging: het beginnen met plegen van een misdrijf, zonder dit
deze niet vervolgd worden als hij een geldbedrag betaalt of een helemaal af te ronden. Het plegen van een poging is strafbaar
taakstraf uitvoert. Het OM is geen rechter en wordt gezien als zodra er een eerste stapje is gezet in de uitvoering, tenzij je vrij-
onderdeel van Justitie. willig stopt voordat het misdrijf geheel is gepleegd. Wie verkeer
van een draadloos netwerk opvangt om te zien of daar wacht-
Openbare Post- en Telecommunicatie Autoriteit (OPTA): de woorden in zitten, kan worden vervolgd voor een poging tot
toezichthouder op naleving van de Telecommunicatiewet. Tot computervredebreuk. Het opvangen van wachtwoorden is im-
haar taken behoren onder meer de uitgifte van telefoonnum- mers een eerste stap richting het daarmee inloggen. Stopt hij
mers, het regelen dat providers toegang krijgen tot elkaars net- meteen na dat opvangen en wist hij dan alle gegevens, dan is
werk en het opleggen van boetes aan verspreiders van spam of geen sprake (meer) van een poging. Een poging een overtreding
malware die via telecommunicatie wordt verspreidt. te plegen, is niet strafbaar.
Oplichting: het iemand aftroggelen van geld of goederen onder Rechtsregel: een regel uit de wet (of de jurisprudentie) die be-
valse voorwendselen, onder meer door wat de wet “listige kunst- paalt hoe bepaalde feiten gezien moeten worden binnen het
woordenlijst
grepen of een samenweefsel van verdichtsels” noemt. Ook het recht. Een rechtsregel kan bijvoorbeeld bepalen dat een afgeke-
Juridische
gebruik van een valse naam is een vorm van oplichting, zodat ken wachtwoord voldoet aan de term “valse sleutel” uit het
een aankoop met bijvoorbeeld een gestolen creditcard of gebruik- strafwetsartikel over computervredebreuk. Daarmee is het ge-
makend van een gekraakt Paypal-wachtwoord strafbaar is. bruik van zo’n wachtwoord dus strafbaar.
Opzet: het willens en wetens begaan van een (strafbaar) feit. Ook Rechter-commissaris: een rechter die toezicht houdt op straf-
een vorm van opzet is de “voorwaardelijke opzet”, waarbij men rechtelijke onderzoeken door het Openbaar Ministerie. Bepaalde
128 129
opsporingsmiddelen, zoals een telefoontap of doorzoeken van feiten boetes of gevangenisstraf kunnen worden opgelegd, zijn
een mailbox, mag het OM alleen toepassen met toestemming strafbare feiten in de wet zeer precies gedefinieerd zodat ieder-
(een machtiging) van de rechter-commissaris. een kan weten wanneer deze overtreden worden. Als aan die de-
finitie op welk punt dan ook niet voldaan is, moet de rechter
Seponeren: een beslissing van het Openbaar Ministerie om een overgaan tot vrijspraak. Zo wordt het inbreken in een router
strafbaar feit niet te vervolgen. Het Openbaar Ministerie kiest geen computervredebreuk geacht, omdat een router niet voldoet
zelf of zij iemand wil vervolgen of niet. Redenen om niet te ver- aan de definitie van ‘computer’ (geautomatiseerd werk).
volgen zijn dat men het feit niet serieus genoeg acht, dat er on-
voldoende bewijs is of simpelweg dat men het te druk heeft. Als Strafblad: een registratie van de strafbare feiten voor wie ie-
het slachtoffer het oneens is met de beslissing om te seponeren, mand is veroordeeld of als verdachte werd gezien. Deze term is
kan hij daarover klagen bij het gerechtshof. Die kan dan via een eigenlijk verouderd. Formeel spreekt men van een uittreksel uit
“artikel 12-procedure” het Openbaar Ministerie bevelen alsnog het Justitieel Documentatiesysteem (JDS). Naast veroordelingen
te vervolgen. staan ook feiten geregistreerd waarbij iemand een schikking
(transactie) met het Openbaar Ministerie is aangegaan, en zaken
Strafbaar feit: een feit (handeling) dat in de strafwet verboden die geseponeerd zijn. Het strafblad of uittreksel bepaalt in be-
is. Een strafbaar feit kan een overtreding of misdrijf zijn afhan- langrijke mate of iemand een Verklaring omtrent het Gedrag
kelijk van hoe erg de wetgever dit feit vindt. Omdat bij strafbare (VOG) krijgt.
Strafrecht: het deel van het recht dat bepaalt welke handelingen
overtredingen of misdrijven (samen: strafbare feiten) zijn. Dit
recht regelt dus hoe mensen zich in het algemeen in de maat-
schappij moeten gedragen.
woordenlijst
Juridische
Telecommunicatiewet: een wet die regels en plichten van aan-
bieders en gebruikers van telecommunicatienetwerken vastlegt.
Onder meer het verbod op versturen van reclamemails staat
hierin, maar ook regels over het mogen leggen van leidingen met
communicatiekabels in iemands tuin.
130 131
Uitlokking: het aanzetten van iemand om een strafbaar feit te ook een schadevergoeding voor het slachtoffer. Wanneer de
plegen dat hij niet zelf al van plan was. De uitlokker moet de schade niet eenvoudig vast te stellen is, is voegen niet mogelijk
pleger dus op dat idee hebben gebracht. Alleen maar een aan- en moet het slachtoffer zelf een civiele rechtszaak starten op
trekkelijke gelegenheid scheppen is nog geen uitlokking. Zo is grond van onrechtmatige daad.
het bij het station parkeren van een dure fiets zonder slot geen
uitlokking. Iemand wijzen op die fiets zou dat wel kunnen zijn, Vonnis: een uitspraak van een rechtbank. In hoger beroep of cas-
omdat daarmee die iemand op het idee zou kunnen komen deze satie heet een vonnis een ‘arrest’. Een vonnis noemt de feiten die
te stelen. de rechtbank heeft vastgesteld en de wetsartikelen die daarmee
zijn overtreden, plus de straf (of schadevergoeding) die daarop
Verdachte: een persoon tegen wie een “redelijk vermoeden van staat. De rechtbank kan daarbij een eigen rechtsregel formuleren
schuld” bestaat, maar die nog niet is veroordeeld. Bij een ver- die vastlegt hoe de feiten op de wetsartikelen van toepassing
dachte mag het Openbaar Ministerie meer middelen inzetten, zijn. Als die rechtsregel algemeen genoeg is, wordt het vonnis
zoals het doorzoeken of afluisteren van zijn datacommunicatie, als jurisprudentie gezien.
dan bij willekeurige burgers. De verdachte heeft echter ook weer
bepaalde rechten; zo heeft hij recht op een advocaat en mag hij Wederrechtelijk: een feit dat “zonder recht” gepleegd is, oftewel
zwijgen om zichzelf niet te beschuldigen. zonder toestemming of andere rechtvaardigingsgrond. Wie bij-
voorbeeld uit noodweer een ander een klap geeft, pleegt geen
Verklaring van goed gedrag: de gebruikelijke term voor de Ver- mishandeling omdat noodweer een rechtvaardigingsgrond is.
klaring omtrent het Gedrag (VOG). En wie met toestemming andermans wachtwoord gebruikt,
pleegt geen computervredebreuk.
Verklaring omtrent het Gedrag (VOG): een verklaring van de
Minister van Justitie dat voor een bepaald beroep geen feiten in Wetboek van Strafrecht: het belangrijkste deel (‘boek’) uit de
het strafblad bekend zijn die relevant zijn voor dat beroep. Een wet dat vastlegt welke zaken strafbare feiten zijn en welke straf
VOG wordt dus altijd afgegeven voor een bepaald beroep. Een de rechter daarbij maximaal mag opleggen. Ook andere wetten
veroordeelde computercrimineel zal dus probleemloos een VOG kunnen strafbare feiten vastleggen.
krijgen voor een baan als taxichauffeur, maar niet voor een baan
als digitaal rechercheur. Een strafblad wegens rijden onder in- Wetboek van Strafvordering: het deel uit de wet dat vastlegt hoe
woordenlijst
vloed is geen bezwaar voor een baan als securitymedewerker de politie en het Openbaar Ministerie strafbare feiten mag op-
Juridische
van een internetprovider, dus daarvoor zal de VOG gewoon sporen en vervolgen, en wat zij mag doen om deze feiten te voor-
worden afgegeven. komen. Zo staat in dit wetboek bijvoorbeeld wanneer de politie
een computer in beslag mag nemen of een mailbox mag inzien.
Voegen: het slachtoffer van een strafbaar feit kan zich melden
bij de Officier van Justitie wanneer tegen de verdachte een straf- Zaakwaarneming: het op redelijke grond behartigen van ander-
zaak wordt gevoerd. De Officier eist dan naast de gewone straf mans belang, zonder dat dit apart afgesproken is. Wie bij de
132 133
?
buren (die op vakantie zijn) een kapot raam ziet, mag dit laten
vervangen. De rekening is dan voor de buren. Wel moet hij alles
gedaan hebben om de buren te contacteren en de kosten te
beperken. Naslag wetsartikelen
putersysteem of netwerk
maximaal 1 jaar cel of geldboete van vierde categorie
(art. 138ab lid 1).
Bijlagen
(art. 139d lid 2).
134 135
Handel in wachtwoorden en andere valse sleutels Installeren van software zonder ondubbelzinnige toestemming
maximaal 1 jaar cel of geldboete van vierde categorie Boete van ten hoogste € 450 000 (art. 4.1 BUDE (Telecomwet)).
(art. 139d lid 2).
Belemmeren van de toegang tot of het gebruik van een sys-
teem door daaraan gegevens aan te bieden of toe te zenden
Het verspreiden of ter beschikking stellen van programma’s
Virussen en andere overlast
maximaal 1 jaar cel of geldboete van vierde categorie
die bestemd zijn om schade aan te richten in een geautomati- (art. 138b).
seerd werk
maximaal vier jaar cel of een boete van vijfde categorie Opzettelijk vernielen, beschadigen of onbruikbaar maken
(art. 350a lid 3). van een computer- of communicatiesysteem
• indien verhindering, bemoeilijking of storing een jaar/vijfde
Door nalatigheid een programma laten verspreiden dat be- categorie
stemd is om schade aan te richten in een geautomatiseerd werk • indien gevaar voor goederen of diensten: zes jaar/vijfde
een maand cel of geldboete van de tweede categorie categorie
(art. 350b lid 2). • indien levensgevaar: negen jaar/vijfde categorie
• indien daadwerkelijk tot overlijden leidt: vijftien jaar/vijfde
Vernielen van opgeslagen of verwerkte gegevens categorie (art. 161sexies lid 1).
twee jaar cel of geldboete van vierde categorie (art. 350a lid 1)
Hulpmiddel voor vernielen, beschadigen of onbruikbaar
Vernielen van opgeslagen of verwerkte gegevens na compu- maken van een computer- of communicatiesysteem
tervredebreuk en met ernstige schade tot gevolg een jaar cel of geldboete van de vijfde categorie
vier jaar cel of geldboete van vierde categorie (art. 161sexies lid 2).
(art. 350a lid 2).
Door nalatigheid systemen laten vernielen, beschadigen, on-
Door nalatigheid opgeslagen of verwerkte gegevens laten bruikbaar maken of storen
vernielen indien dat leidt tot ernstige schade • indien dienst gehinderd of bemoeilijkt: zes maanden of geld-
een maand cel of geldboete van de tweede categorie boete van de vierde categorie
(art. 350b lid 1). • indien gevaar voor goederen of diensten: zes maanden of
Bijlagen
geldboete van de vierde categorie
Dreigen met onbruikbaar, ontoegankelijk maken of wissen • indien levensgevaar: een jaar of geldboete van de vierde
van gegevens categorie
maximaal negen jaar cel of een boete van vijfde categorie • indien daadwerkelijk tot overlijden leidt: twee jaar of geld-
(art. 317 lid 2). boete van de vierde categorie (art. 161septies).
136 137
Doorgeven of verkopen van illegaal afgeluisterde gegevens
Opzettelijk en wederrechtelijk met een technisch hulpmid-
Aftappen of opnemen
zes maanden cel of een boete van vierde categorie (art. 139e).
del aftappen of opnemen van gegevens (geen gesprek) die
voor iemand anders bedoeld zijn Reclame maken of aanprijzen van afluister-, aftap- of opna-
1 jaar cel, vierde categorie (art. 139c lid 1). meapparatuur als zijnde geschikt voor heimelijk afluisteren,
aftappen of opnemen.
Indien gepleegd na computervredebreuk twee maanden of geldboete van de derde categorie (art. 441a).
maximaal vier jaar cel, of een boete van vierde categorie
(art. 139c lid 1). Opzettelijk en wederrechtelijk personen filmen op niet voor
publiek toegankelijke plaats
Opzettelijk en wederrechtelijk opnemen van een gesprek zes maanden of geldboete van de vierde categorie (art. 139f).
(geen datacommunicatie) in een woning, besloten lokaal of
erf door iemand die geen deelnemer is Bezitten van afbeelding (of film) verkregen via dergelijk filmen
zes maanden cel of een boete van vierde categorie zes maanden of geldboete van de vierde categorie (art. 139f).
(art. 139a lid 1).
Uitzondering: als op gezag van degene bij wie de woning, het Opzettelijk en wederrechtelijk personen filmen met aange-
lokaal of het erf in gebruik is, niet heimelijk aanwezig is. brachte camera op publiek toegankelijke plaats
twee maanden cel of geldboete van de derde categorie
Opzettelijk en wederrechtelijk opnemen van een gesprek (art. 441b).
(geen datacommunicatie) buiten een woning, indien dat hei-
melijk gebeurt door iemand die geen deelnemer is
drie maanden of geldboete van de derde categorie
(art. 139b lid 1).
Bijlagen
Vervaardigen, verkopen, verwerven, invoeren, verspreiden
of anderszins ter beschikking stellen of voorhanden hebben
van afluister-, aftap- of opnameapparatuur
celstraf van één jaar of een boete van vierde categorie
(art. 139d lid 2).
138 139
Gebruik maken van dienst die via telecommunicatie wordt
Overige Tabel van bevoegdheden
De nu volgende tabel, op pagina 142, noemt de belangrijkste be-
aangeboden zonder te betalen voegdheden waarmee Justitie diverse gegevens kan opvragen
vier jaar cel of geldboete van de vijfde categorie (art. 326c). bij partijen zoals providers of bedrijven wanneer sprake is van
een bepaald soort misdrijf. De wet kent een aantal waarborgen.
Aanbieden en verspreiden van hulpmiddelen of gegevens Zo moet vaak sprake zijn van een ‘zwaar’ misdrijf, dat wil zeg-
om gratis toegang te krijgen tot betaaldiensten is verboden gen een misdrijf met minstens vier jaar cel als maximumstraf.
twee jaar of geldboete van de vierde categorie Soms is zelfs vereist dat dit misdrijf ook een “ernstige inbreuk
(art. 326c lid 2). op de rechtsorde” oplevert.
Uit winstbejag maken van zulke hulpmiddelen of gegevens Niet iedere eis mag zomaar door elke opsporingsambtenaar
twee jaar of geldboete van de vierde categorie (zoals politieagent, belastinginspecteur of douanebeambte) wor-
(art. 326c lid 2). den ingesteld. Vaak moet de officier van justitie toestemming
geven. En soms moet die een machtiging vragen aan de (onaf-
Als beroep maken, aanbieden of verspreiden van zulke hankelijke) rechter-commissaris voordat hij toestemming mag
hulpmiddelen of gegevens geven.
vier jaar cel of geldboete van de vijfde categorie
(art. 326c lid 3). Als laatste geldt nog dat bevoegdheden als deze beperkt moeten
worden uitgelegd. Wanneer een wetsartikel bijvoorbeeld stelt
Maken, verspreiden of uit winstbejag bezitten van middelen dat men gegevens over communicatie mag vorderen, mag men
die uitsluitend bestemd zijn voor het omzeilen van de beveili-
ging van software (niet muziek, films, e-boeken en dergelijke)
zes maanden of geldboete van de vierde categorie.
(art. 32a Auteurswet).
Bijlagen
(art. 232 lid 1).
140 141
niet de locatie van een mobiele telefoon vorderen. Die locatie
zegt niets over de communicatie die men voert met deze telefoon.
Bronvermelding
Foto’s:
Alle foto’s zijn te vinden op: www.jolie.nl/ictrecht/Fotos-boek-security-DPJA/
Gemaakt door: Jolie van der Klis, CC-BY-SA-licentie zie:
creativecommons.org/licenses/by-sa/2.0/
Uitgezonderd: Afgesloten rijbanen op de Brücke der Solidarität, pag. 78, used with
exclusive permission from the photographer, © parcelpanic,
www.panoramio.com/photo/31852663
Bronvermelding
142 143