Geschreven in samenwerking met juridisch adviseur Ilse Boonstra
Het IT-rechtsgebied is en blijft volop in ontwikkeling. We zien veel nieuwe technologieën, innovatieve bedrijfsmodellen en daarop van toepassing zijnde (nieuwe) wet- en regelgeving voorbijkomen. Door jurisprudentie hierover leren we veel over hoe het IT-recht uiteindelijk wordt toegepast. In deze blog zetten we diverse uitspraken van de maand april op een rij.
Deze blog staat in het teken van cybercrime. Veel IT-recht is erop gericht het gebruik van (nieuwe) technologieën in goede banen te leiden. Maar wanneer mensen misbruik maken van technologie komt soms ook het strafrecht om de hoek kijken. Hoe dat er in de praktijk uit kan zien, lees je in de volgende drie uitspraken.
De verdachte in deze zaak is gedurende vijftien jaar werkzaam geweest als boekhouder voor een bedrijf. Hij wordt ervan verdacht dat hij de server van het bedrijf opzettelijk en wederrechtelijk is binnengedrongen door onbevoegd gebruik te maken van een inlogcode en een inlognaam tot die server. Dit wordt ook wel “computervredebreuk” genoemd. Verdachte zou deze gegevens hebben overgenomen door vertrouwelijke informatie van die server naar zichzelf te sturen. Deze vertrouwelijke gegevens zou hij vervolgens onterecht bekend hebben gemaakt in het kader van de ontslagprocedure van zijn collega.
Verdachte verklaarde dat hij een verstoorde relatie heeft met de eigenaar van het bedrijf waar hij heeft gewerkt, omdat hij tegen verdachte zou hebben gelogen in of omstreeks 2016. Verdachte liet eigenaar weten geen contact meer te willen met de eigenaar en niets meer voor hem te willen doen. Ondanks deze verstoorde verhouding, is de contractuele arbeidsrelatie nooit beëindigd. Daarnaast had verdachte nog steeds toegang tot de servers en de zakelijke bankrekeningen van het bedrijf.
Verdachte vermoedde dat de eigenaar van het bedrijf wilde knoeien met de financiële administratie. Dat zou hij niet alleen kunnen doen met toekomstige administratie, maar ook met de door verdachte verzorgde oudere administratie. Verdachte voelde de juridische en morele verantwoordelijkheid voor de juistheid van de administratie van het bedrijf, aangezien hij als boekhouder aansprakelijk gesteld zou kunnen worden indien de indruk zou worden gewekt dat hij tekort was geschoten in zijn werkzaamheden. Daarnaast stond zijn goede naam op het spel bij de Belastingdienst. Nadat verdachte een brief had ontvangen van het Bureau Financieel Toezicht met betrekking tot de naleving van de WWFT, besloot hij een melding te maken bij de FIOD. Verdachte vreesde dat de eigenaar van het bedrijf tijdens onderzoeken door de FIOD zou zeggen dat ze contact konden opnemen met verdachte, als boekhouder van het bedrijf.
Verdachte bevond zich daarom op dat moment tussen conflicterende belangen. Hij had het gevoel dat het zijn maatschappelijke plicht was om de waarheid in de ontslagprocedure van zijn collega aan het licht te brengen. Verdachte bevond zich op dat moment naar eigen zeggen in ‘gewetensnood’, omdat hij het gevoel had dat hij moest voorkomen dat serieuze misstanden zouden plaatsvinden. Op basis van deze argumenten betoogt zijn advocaat dat verdachte moet worden vrijgesproken, omdat sprake zou zijn van de strafuitsluitingsgrond overmacht-noodtoestand.
Het hof oordeelt dat het beroep op deze strafuitsluitingsgrond niet slaagt. Het bijstaan van een collega in een ontslagprocedure is volgens het hof geen zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Dat verdachte zich desalniettemin in een noodtoestand bevond, is volgens het hof niet voldoende duidelijk geworden. Dit oordeel wordt versterkt door uitlatingen van verdachte als: “voor mij geldt het motto: Het doel heiligt de middelen” en “eigen schuld dikke bult”.
De verdachte is het niet eens met het oordeel van het hof en gaat daarom in cassatie bij de Hoge Raad. De verdachte klaagt in cassatie onder meer over het feit dat het hof niet heeft beslist op het al dan niet bestaan van de strafuitsluitingsgrond ten aanzien van de bekendmaking van de vertrouwelijke bedrijfsgegevens. Voor dit strafbare feit bestaat een specifieke strafuitsluitingsgrond, die is opgenomen in de strafbaarstelling zelf. Deze houdt in dat de verdachte niet strafbaar is als hij te goeder trouw mocht aannemen dat de bekendmaking van de bedrijfsgegevens nodig was vanwege het algemene belang. De Hoge Raad overweegt dat er geen sprake was van een situatie waarin het algemeen belang de bekendmaking van de gegevens vereiste. Om die reden verwerpt de Hoge Raad het cassatieberoep ten aanzien van dit punt.
In deze uitspraak stond centraal of de verdachte persoonsgegevens van het slachtoffer had gebruikt met de bedoeling haar eigen identiteit te verhullen en de identiteit van het slachtoffer te misbruiken. De verdachte had namelijk op verschillende websites nepprofielen aangemaakt met de naam en foto van de verdachte. Met deze profielen wilde zij mensen waarschuwen voor het slachtoffer, met wie zij eerder een relatie had gehad. Op de profielen was te lezen dat het slachtoffer een religieuze perverseling was en werd verwezen naar een blog waarin de verdachte haar relatie met het slachtoffer beschreef. De reputatieschade voor het slachtoffer dat hieruit volgde, leidde onder meer tot zijn ontslag.
De rechters van het hof hadden geoordeeld dat de verdachte zich schuldig had gemaakt aan het gebruiken van persoonsgegevens van het slachtoffer om haar eigen identiteit te verhullen en die van het slachtoffer te misbruiken. De verdachte was het hier echter niet mee eens. Zij zou zich namelijk niet hebben willen voordoen als de verdachte, maar alleen mensen willen waarschuwen. Uit de profielomschrijving en het blog bleken volgens haar duidelijk dat mensen niet met het slachtoffer te maken hadden, maar met een persiflage.
De Hoge Raad is het met de beoordeling van het hof eens. Hiervoor werd niet alleen naar de wettekst gekeken, maar ook naar de geschiedenis van de wet. Stukken van de Eerste en Tweede Kamer gaven meer informatie over de achtergrond van het strafbare feit. Hieruit bleek duidelijk de bedoeling van de wetgever: het is ook strafbaar om een nepprofiel van een ander te maken en die in een kwaad daglicht te stellen op dit profiel waardoor die ander reputatieschade lijdt.
Hoewel strafrecht in deze zaak geen rol speelt, is deze wel het gevolg van cybercriminaliteit. In maart hebben cybercriminelen bij een aanval op softwareleverancier Nebu verschillende gegevens buitgemaakt. Dit had ook gevolgen voor bedrijven die software van Nebu gebruikten bij het doen van marktonderzoeken. Gegevens van personen die aan deze klantonderzoeken hadden deelgenomen konden namelijk zijn uitgelekt bij de cyberaanval. Een van de bedrijven die software van Nebu gebruikte, marktonderzoeksbureau Blauw, vond dat Nebu te weinig informatie verstrekte over de aanval. Om meer te weten te komen, bijvoorbeeld of er inderdaad gegevens van haar klanten waren ‘gestolen’, begon Blauw een spoedprocedure tegen Nebu. Hierin eiste Blauw ook dat Nebu een onafhankelijk forensisch onderzoeker in zou schakelen om onderzoek te doen naar de aanval.
De rechtbank wijst de vorderingen van Blauw grotendeels toe. Deze beslissing is gebaseerd op een artikel uit de verwerkersovereenkomst die Blauw en Nebu hebben gesloten. In dit artikel wordt gesproken van een instructierecht dat Blauw tegenover Nebu heeft om naar aanleiding van beveiligingsincidenten met persoonsgegevens adequaat te kunnen reageren. De rechtbank vindt dat dit instructierecht ruim moet worden uitgelegd. Dit recht moet Blauw namelijk in staat stellen behoorlijk onderzoek naar beveiligingsincidenten te kunnen doen.
De rechtbank beslist dat Nebu onder meer informatie moet verstrekken aan Blauw over de cyberaanval en de maatregelen die naar aanleiding van de aanval zijn genomen. Daarnaast moet Nebu een onafhankelijke forensisch onderzoeker opdracht geven de cyberaanval te onderzoeken en het onderzoeksrapport aan Nebu te verstrekken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.