Gisteren blogde ik over journalistiek verantwoorde computercriminaliteit. Toevallig verscheen eerder deze week een voorstel over klokkenluidersbescherming voor whitehat hackers.
Jan-Jaap Oerlemans reageerde negatief: dit zou een vrijbrief voor hackers opleveren om lekker te gaan inbreken, en benadeelde partijen kunnen hun schade dan niet meer verhalen. Op zich een terecht bezwaar.
Hij citeert echter mijn opmerking van gisteren dat “Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan.” en reageert daarop dat een hacker net zo goed strafbaar is als hij journalistiek bezig is, tenzij in uitzonderlijke gevallen de nieuwswaarde prevaleert.
Even ter verduidelijking: ik zeg niet dat white-hat hacken per definitie een maatschappelijk belang dient.
Ik had het in de geciteerde passage over "publiceren" en niet over "ontdekken". Een publicatie over een bestaand gat is op zichzelf evident deel van de vrije meningsuiting. Zie bv. de Mifare-zaak van NXP tegen de Universiteit Nijmegen. Het achterhalen (vergaren) van de informatie ook, maar dat botst veel eerder met rechten van derden (art. 10 lid 2 EVRM). Dus ja, daar moet een andere afweging plaatsvinden.
Ik ben het met Jan-Jaap eens dat er geen wettelijke regel moet komen voor whitehats of voor klokkenluiders, omdat zo'n regel (net als een definitie van 'journalist') alleen maar tot nodeloze beperkingen van beschermde grondrechten leidt. Zolang de rechter kan toetsen aan het grondrecht vrije meningsuiting, kan hij in elk geval tot een billijke uitkomst komen. Als er een regel komt dat je bv. moet publiceren of dat de schade nihil moet zijn, dan creëer je alleen maar ruimte voor advocaten om te betogen dat hier niet aan voldaan is.
Er is een probleem in de praktijk: wie te goeder trouw een evidente fout meldt, kan een civiele claim of aangifte aan de broek krijgen. Dat is een kwalijke praktijk, en vanwege de hoge kosten om dat aan te vechten is het niet genoeg om te zeggen "de rechter zal je uiteindelijk vrijspreken".
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.