LISA – Law & ICT Students’ Association|Bestuur@lisa-groningen.nl

Hacken met goede intentie: strafbaar?

Home » Nieuws » Hacken met goede intentie: strafbaar?

Hacken met goede intentie: strafbaar?

Inleiding

Op 15 februari 2013 werd oud-50Plus-fractievoorzitter Henk Krol veroordeeld voor het plegen van computervredebreuk, oftewel het hacken van een computer. Deze veroordeling is opmerkelijk, omdat Krol kennelijk met goede bedoelingen hackte. De term hacken, het door middel van technische trucs toegang verschaffen tot andermans computer, wekt veelal negatieve associaties op. Er bestaan echter ook hackers met goede intenties. De Leidraad Responsible Disclosure die de Minister van Justitie heeft doorgevoerd in 2012 geeft enige houvast wanneer sprake is van ethisch hacken: hacken met een goede bedoeling. De vraag is of er een strafrechtelijk verschil bestaat tussen ethisch hacken en regulier hacken.

Computervredebreuk

In art. 138ab Sr wordt computervredebreuk strafbaar gesteld. Het gaat hierbij om het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.

Allereerst is het bestanddeel ‘opzet’ uit art. 138ab Sr relevant. Een vereiste voor strafbaarheid is dat het kenbaar moet zijn dat de persoon in kwestie zich op verboden terrein bevindt. De lichtste vorm van opzet, namelijk het voorwaardelijk opzet, is voldoende om opzet vast te stellen.

Daarnaast moet het binnendringen wederrechtelijk zijn. Dat betekent dat de eigenaar/beheerder/rechtmatige gebruiker geen toestemming heeft gegeven voor het binnendringen in het geautomatiseerde werk.

De definitie van het derde begrip ‘‘geautomatiseerd werk’’ is vastgelegd in art. 80sexies Sr. Volgens de wetstekst gaat het dan om “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. Een PC is dus een geautomatiseerd werk, evenals een smartphone of een netwerk van computers.

Er zijn vier manieren van binnendringen genoemd in art. 138ab Sr, maar die opsomming is niet uitputtend. De wetgever heeft opzettelijk geen limitatieve lijst gemaakt omdat niet goed te voorzien is hoe de techniek voortschrijdt.

Leidraad

Met de Leidraad Responsible Disclosure probeert de Minister van Justitie kaders te stellen voor het “op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden.” Dit heet ook wel responsible disclosure.

Volgens de Leidraad moet een organisatie beleid voor responsible disclosure vaststellen en dat publiekelijk kenbaar maken, bijvoorbeeld door het plaatsen vaneen .pdf bestand op een website. Een organisatie kan stellen geen juridische stappen te nemen indien een hacker conform het beleid een lek meldt of een beloningssysteem kunnen introduceren voor melders die zich aan de regels houden. Dit zou de deur kunnen openen voor ethische hackers om lekken te melden..

Toch zijn veel experts, hackers en de digitale media niet heel enthousiast over de Leidraad. Zo is de Leidraad geen algemeen verbindend voorschrift, waardoor vervolging voor computervredebreuk in principe altijd mogelijk blijft. De strafrechtelijke kaders zijn daardoor voor ethische hackers eigenlijk niet anders dan voor hackers met kwade intenties.

Volgens de Minister van Justitie zal het OM per geval kijken naar drie belangrijke criteria zoals geformuleerd in art. 10 EVRM, de vrijheid van meningsuiting, zoals de rechtbank ook deed in de zaak van Henk Krol. Ten eerste moet het handelen van de hacker noodzakelijk zijn binnen een democratische samenleving. Daarnaast moet de actie proportioneel (de verhouding tussen de actie en het resultaat) en subsidiair (de mogelijkheid voor lichtere alternatieven) zijn. Zo moet worden bezien of er niet teveel documenten zonder toestemming opgevraagd en geprint zijn en of er melding van is gemaakt aan de organisatie in kwestie. Krol overschreed deze criteria en werd dus veroordeeld voor computervredebreuk.

Conclusie

Hacken is strafbaar gesteld in art. 138ab Sr. Naar de letter van de wet zou ook een ethische hacker strafbare handelingen verrichten wanneer diegene “opzettelijk en wederrechtelijk een geautomatiseerd werk binnendringt”. In dat opzicht is er geen strafrechtelijk juridisch verschil met een reguliere hacker.

Een ethisch hacker kan zich beroepen op art. 10 EVRM. De rechter moet in deze situatie toetsen of de hacker zich heeft gehouden aan de eisen van proportionaliteit en subsidiariteit. De conclusie is dat indien een ethische hacker een lek tegenkomt en zich aan bepaalde zorgvuldigheidsnormen houdt, de kans groot is dat hij zal worden vrijgesproken.

De Leidraad is vooral een eerste stap om ICT-systemen van organisaties veiliger te maken door adviezen en tips van hackers/melders in acht te nemen. Het risico van de Leidraad is dat strafvervolging voor hackers met een goede intentie mogelijk blijft.

Over de auteur

Dit artikel is geschreven door Suzanne Hartholt, lid van de redactiecommissie van LISA.

De oorspronkelijke versie van dit artikel is te vinden op www.ejure.nl, een informatieportal met actuele artikelen op het gebied van IT-recht. Deze website wordt geheel onderhouden door masterstudenten Recht & ICT. Volg ons ook op Facebook op Twitter!

2014-01-22T12:45:05+00:00januari 22nd, 2014|Nieuws|

Leave A Comment