Het Hof in Den Haag heeft een bijzonder opmerkelijke uitspraak gedaan in een strafzaak tegen een scholier. De jongen zou zich onder andere toegang hebben verschaft tot de beveiligde router van zijn buren en het Hof stond dan ook voor de vraag of dat strafbaar is in Nederland.
In het algemeen geldt dat een handeling pas strafbaar is als deze expliciet verboden is. Wat betreft hacken oftewel 'computervredebreuk' komt daarvoor artikel 138a van het wetboek van Strafrecht om de hoek kijken. Meer specifiek staat er een maximale gevangenisstraf van één jaar op het zonder toestemming binnendringen in een "geautomatiseerd werk of in een deel daarvan" (waarbij er strafverzwarende omstandigheden van toepassing kunnen zijn). Het Hof moest daarom de verdere vraag beantwoorden of een router ook gezien moet worden als een geautomiseerd werk.
Om deze vraag te beantwoorden is in de wetshistorie gedoken en wat blijkt? Volgens de kamerstukken gaat het alleen om een geautomatiseerd werk als deze bedoeld is voor de de cumulatieve functies opslag, verwerken én overdacht van gegevens. Aangezien een router normaliter alleen bedoeld is voor het overdragen van gegevens, gaat het volgens het Hof niet om een geautomatiseerd werk en is het inbreken daarin dan ook niet strafbaar.
Laat ik voorop stellen dat het wat mij betreft onwenselijk zou zijn als iedereen die wel eens inlogt op het niet beveiligde netwerk van zijn of haar buurman een strafbaar feit zou plegen waar een gevangenisstraf op staat. Aan de andere kant ging het hier om een beveiligd netwerk waarin binnen gedrongen zou zijn. Het feit dat het iedereen (strafrechtelijk) vrij zou staan om in het centrale punt van mijn netwerk (de router) binnen te dringen lijkt mij ook een onwenselijk resultaat.
Het Hof heeft in mijn ogen voor een te enge interpretatie van het begrip 'geautomatiseerd werk' gekozen, waarbij alleen de vraag is beantwoord of een router alle drie de genoemde functies vervult. Ten eerste valt er wat voor te zeggen dat een router wél zelfstandig opslaat (al is het maar in het RAM-geheugen), verwerkt (bijvoorbeeld filtering) en overdraagt (verkeer naar de juiste computers in het netwerk dirigeert). Ten tweede had het Hof er ook voor kunnen kiezen om op het netwerk-niveau te kijken naar het binnendringen, in plaats van alleen naar de functies van de router.
Wat betekent deze uitspraak nu? Je kunt voorlopig zonder strafrechtelijke zorgen ongevraagd gebruik maken van de internetverbinding van je buren, of ze hun netwerk nu hebben proberen te beveiligen of niet. Civielrechtelijk zou een gedupeerde wel kunnen proberen eventuele schade te verhalen, zoals ook al door Mathieu van Linde bij Webwereld werd uitgelegd, maar de bewijslast voor het bestaan van de schade en de hoogte ervan ligt dan bij de gedupeerde.
Het grootste probleem van de uitspraak lijkt me dat de strafverzwarende omstandigheden van artikel 138a óók verbonden zijn aan het begrip geautomatiseerd werk. Dat zou betekenen dat ik een man in the middle-aanval uit zou kunnen voeren vanaf jouw router en zo ongestraft al je netwerkverkeer af zou mogen tappen. Dát lijkt me toch niet helemaal de bedoeling van het Hof.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.