De fractievoorzitter van de partij 50Plus zou hebben ingebroken in de website “Cyberlab” van het voormalige diagnostisch centrum Eindhoven. De 62-jarige fractievoorzitter zou daarbij inzage hebben verkregen in onderzoekdossiers van verslaafden aan drugs of alcohol. Hij zou het lek eerst bij het onderzoekscentrum en vervolgens via Omroep Branbant hebben gemeld. Het Openbaar Ministerie heeft nu besloten hem te vervolgen.
Zo blijkt uit berichten van Webwereld (1, 2). Het Kamerlid zelf schijnt zijn vervolging luchtig op te vatten. Is dat terecht?
Vrijheid van meningsuiting
Artikel 10 van het Europees Verdrag voor de Rechten van de Mens (EVRM) geeft een hoge mate van bescherming aan de mogelijkheid om misstanden publiekelijk aan de kaak te stellen. Het openbaar kunnen bespreken van misstanden is immers een kernvoorwaarde voor democratische zelfbeschikking. Als misstanden niet bespreekbaar zijn, kunnen we er met zijn allen ook niets aan doen.
Publieke misstand
Het zonder passende beveiligingsmaatregelen online plaatsen van zeer gevoelige medische gegevens is met recht als publieke misstand aan te merken. Zowel de verantwoordelijke voor de persoonsgegevens (in dit geval waarschijnlijk de arts), als de bewerker (hier vermoedelijk het diagnostisch centrum) maken door dat te doen namelijk nogal flagrante inbreuk op de verplichtingen uit de Wet bescherming persoonsgegevens. Het Kamerlid heeft dus schijnbaar geholpen een concreet geval aan het licht te brengen waarbij zeer gevoelige medische persoonsgegevens, die onder de Wbp ook nog eens als bijzondere persoonsgegevens zijn gekwalificeerd, volstrekt ontoereikend beveiligd waren.
Binnen de wet blijven
Er zijn verscheidene uitspraken van het Europees Hof voor de Rechten van de Mens (EHRM) en van de Nederlandse rechter, waaruit blijkt dat personen die misstanden openbaar ter discussie willen brengen, zich daarbij wel altijd aan de wet moeten blijven houden. Nou ja bijna altijd dan. Als er echt geen enkele andere manier is om het probleem aan te kaarten dan door een wet te overtreden en als het belang op naleving van die wet in het concrete geval echt lager ligt dan het belang van de misstand, kan de wetsovertredende klokkenluider vrijuit gaan. Zo zijn er in het verleden eens Franse journalisten bij het EHRM vrijuit gegaan nadat ze door de hoogste Franse rechter waren veroordeeld voor het helen van door een misdrijf verkregen gegevens.
Het hacken van de “Cyberlab” website vormt hoogstwaarschijnlijk een vorm van computervredebreuk, dat strafbaar is gesteld onder artikel 138ab van het Wetboek van strafrecht. Kort gezegd is strafbaar het binnendringen in systemen waarvan duidelijk was dat je er niet mocht zijn. Het Kamerlid is dus waarschijnlijk niet binnen de grenzen van de wet gebleven, omdat hij zal hebben geweten dat hij niet bij de persoonsgegevens in het Cyberlab had mogen komen.
De grenzen bij hacken
De Nederlandse jurisprudentie blijkt helaas niet overal consistent te zijn in de beantwoording van de vraag wanneer computervredebreuk wel en niet strafbaar is in verband met de vrijheid van meningsuiting zoals beschermd door artikel 10 EVRM. De vonnissen zijn ook niet altijd geweldig onderbouwd. In de zaak waarbij de Revu opdracht had gegeven tot het hacken van de inbox van toenmalig Staatssecretaris De Vries, heeft de politierechter bijvoorbeeld een vrij opmerkelijke uitspraak gedaan. De hoofdredacteur die opdracht had gegeven tot de hack, waarbij 14000 computers zijn misbruikt als onderdeel van een botnet om het wachtwoord van de staatssecretaris te kunnen raden, ging vrijuit voor feitelijk leidinggeven aan computervredebreuk en kreeg een boete van slechts 450 euro voor het (feitelijk leidinggeven aan) het opslaan van door de hack verkregen e-mails van de staatssecretaris. Dit terwijl in 1995 het oordeel nog luidde dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso. In 2010 werd iemand die door een hack zijn OV-chipkaart valselijk oplaadde veroordeeld voor o.a. computervredebreuk (destijds 138a Sr) terwijl dat artikel eigenlijk niet past. In 2008 oordeelde de voorzieningenrechter in Arnhem in een civiele zaak dat onderzoekers van de de Radboud Universiteit Nijmegen een artikel mochten publiceren waarin werd aangetoond dat een chip die veel werd gebruikt in transport- en beveiligingssystemen, lek was.
Parlementaire onschendbaarheid
Hoorde ik iemand roepen ‘en wat dan met de parlementaire onschendbaarheid van Kamerleden’? Nee? Mooi. Die onschendbaarheid betekent namelijk niet dat Kamerleden zomaar wetten mogen overtreden, maar alleen dat zij niet vervolgd kunnen worden voor wat zij in parlementaire vergaderingen zeggen. Of Kamerleden in een plenaire sessie van de Tweede Kamer vrijelijk en beschermd door onschendbaarheid kunnen hacken zou nog een interessante vraag kunnen zijn, maar die is op dit moment puur theoretisch omdat de hack van het Cyberlab niet in een parlementaire vergadering gebeurde.
Mag het?
De ‘mag het’ vraag blijkt in vergelijkbare zaken verschillend te zijn ingevuld. Dat biedt niet veel zekerheid voor de toekomst. Maar wat mij betreft is op grond van de huidige stand van het recht wel een goede verdediging voor het Kamerlid te vormen. Er lijkt sprake van een vrij ernstige misstand, die aan de kaak gesteld hoort te kunnen worden. Om te kunnen verifiëren dat de gegevens inderdaad slecht zijn beveiligd, zal het in de regel inderdaad vaak nodig zijn om binnen te dringen in plaatsen in het systeem waar je eigenlijk niet hoort te kunnen zijn. Je moet immers laten zien dat dat (te) gemakkelijk is. Ook zul je (ongeveer) moeten weten wat voor gegevens er worden verwerkt, omdat gevoeliger gegevens beter beveiligd moeten zijn.
Als je bent binnengedrongen, is in de regel ook sprake van computervredebreuk. Dat is wel een misdrijf en het belang op naleving van die rechtsnorm is in het algemeen groot. Computervredebreuk om een misstand aan te kaarten zal daarom wat mij betreft alleen te rechtvaardigen zijn als daarbij zo omzichtig mogelijk te werk is gegaan om te waarborgen dat niet meer schade wordt berokkend dan strikt noodzakelijk. De hacker zal de ‘buitgemaakte’ persoonsgegevens bijvoorbeeld niet aan derden mogen verstrekken en na het melden van de hack moeten vernietigen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.