Maandag 2 december 2013

Hacken met goede intentie: strafbaar?

Inleiding

Op 15 februari 2013 werd oud-50Plus-fractievoorzitter Henk Krol veroordeeld voor het plegen van computervredebreuk, oftewel het hacken van een computer. ¹Rb. Oost-Brabant (zittingsplaats ’s-Hertogenbosch) 15 februari 2013, LJN BZ1157 Deze veroordeling is opmerkelijk, omdat Krol kennelijk met goede bedoelingen hackte. De term hacken, het door middel van technische trucs toegang verschaffen tot de computer van iemand anders, wekt veelal negatieve associaties op. ²http://ejure.nl/index.php/cybercrime/47-hacken2 Er bestaan echter ook hackers met goede intenties. ³http://webwereld.nl/beveiliging/79535-hackers-melden-tientallen-lekken-bij-rabobank De Leidraad Responsible Disclosure die de Minister van Justitie heeft doorgevoerd geeft enige houvast wanneer sprake is van ethisch hacken: hacken met een goede bedoeling. De vraag is of er een strafrechtelijk verschil bestaat tussen ethisch hacken en regulier hacken.

In de eerste plaats wordt het wettelijke kader van computervredebreuk, oftewel hacken, besproken. Daarna wordt er kort ingegaan op een praktijkvoorbeeld, namelijk de strafzaak tegen Henk Krol. Ten slotte komt de Leidraad aan de orde waarin de minister richtlijnen geeft voor de strafbaarstelling van ethisch hacken.

Computervredebreuk

In art. 138ab Sr wordt computervredebreuk strafbaar gesteld. Het gaat hierbij om het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.

Allereerst is het bestanddeel ‘opzet’ uit de delictsomschrijving van art. 138ab Sr relevant. Een vereiste voor strafbaarheid is dat het voor een persoon kenbaar moet zijn dat hij of zij zich op verboden terrein bevindt. De lichtste vorm van opzet, namelijk het voorwaardelijk opzet, is al voldoende om opzet vast te stellen. ⁴http://wetenschap.infonu.nl/recht-en-wet/49280-opzet-de-verschillende-vormen-in-het-strafrecht.html

Daarnaast moet het binnendringen wederrechtelijk zijn. Dat betekent dat de eigenaar/beheerder/rechtmatige gebruiker geen toestemming heeft gegeven voor het binnendringen in het geautomatiseerde werk. Dit kan bijvoorbeeld blijken uit de SSID (de netwerknaam) van een draadloos netwerk. Indien een netwerk ‘eigen netwerk’ of ‘verboden toegang’ heet, is het kenbaar voor iemand dat er geen vrije toegang tot het netwerk is.

De definitie van het derde begrip ‘‘geautomatiseerd werk’’ is vastgelegd in art. 80sexies Sr. Volgens de wetstekst gaat het dan om “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. Een PC is dus een geautomatiseerd werk, evenals een smartphone of zelfs een netwerk van computers. ⁵HR 22 februari 2011, LJN BN9287

Er zijn een vier manieren van binnendringen genoemd in art. 138ab Sr, maar die opsomming is niet uitputtend. De wetgever heeft opzettelijk geen limitatieve lijst gemaakt omdat niet goed te voorzien is hoe de techniek voortschrijdt. ⁶Kamerstukken II, 2012 – 2013, 26 643, nr. 264

Casus: Henk Krol

Een praktijkvoorbeeld van een hacker die het maatschappelijk belang in oog heeft gehad maar toch is veroordeeld, is Henk Krol. ⁷Rb. Oost-Brabant (zittingsplaats ’s-Hertogenbosch) 15 februari 2013, LJN BZ1157 Een partijlid van Krol had onbedoeld het zeer eenvoudige wachtwoord en de inlogcode van een zorgsysteem verkregen. Met deze informatie kon worden ingelogd op het zorgsysteem waarbij alle patiëntendossiers konden worden ingezien en aangepast. Krol heeft na het verkrijgen van deze informatie ingelogd op het systeem en enkele patiëntendossiers geprint en geanonimiseerd. Vervolgens heeft hij telefonisch gemeld bij het zorgcentrum dat er sprake was van een slechte beveiliging. Het zorgcentrum verwees naar het interne protocol dat inhield dat hij ‘een brief moest schrijven’. Krol besloot geen brief te schrijven maar een uitzending te maken over de slechte beveiliging van de dossiers. ⁸http://www.omroepbrabant.nl/?news/1729921143/Medische+gegevens+duizenden+Brabanders+op+ straat.aspx Hierop deed de zorginstelling aangifte van computervredebreuk.

Krol verdedigde zich met een beroep op art. 10 EVRM betreffende de vrijheid van meningsuiting en nieuwsgaring. Hij wees onder andere op het maatschappelijke belang waarin hij handelde. Tevergeefs, want hij werd door de Rechtbank Oost-Brabant veroordeeld tot een geldboete van € 750,00. Krol heeft de grenzen van de proportionaliteit (de verhouding tussen zijn acties en het resultaat), en subsidiariteit (de mogelijkheden tot lichtere alternatieven) overschreden. Het aantal patiëntendossiers dat geopend en geprint werden was volgens de Rechtbank disproportioneel, mede gelet op de aard van de gegevens. Ook had Krol vaker bij de zorginstelling moeten klagen voordat hij het lek publiekelijk maakte. ⁹Ibidem

Leidraad

Op 28 december 2012 heeft de Minister van Justitie de Leidraad naar de Tweede Kamer gestuurd. ¹⁰Kamerstukken II, 2012 – 2013, 26 643, nr. 264. In de bijlage (blg-201494) bij dit Kamerstuk is de Leidraad te vinden In dit document probeert de Minister van Justitie kaders te stellen voor het ‘‘op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden.’’ ¹¹Leidraad, p. 5 Dit heet ook wel responsible disclosure.

Volgens de Leidraad moet een organisatie beleid voor responsible disclosure vaststellen en dat publiekelijk kenbaar maken, bijvoorbeeld door het te plaatsen in een .pdf bestand op een website. ¹²Leidraad, p. 7 Een organisatie kan stellen geen juridische stappen te nemen indien een hacker conform het beleid een lek meldt. Dat zou de deur kunnen openen voor ethische hackers om lekken te melden. Verder kan er een beloningssysteem worden geïntroduceerd voor melders die zich aan de regels houden.

Toch zijn veel experts, hackers en de digitale media niet heel enthousiast over de Leidraad. ¹³http://www.webwereld.nl/nieuws/112928/leidraad-ethisch-hacken-is-niet-voor-de-hacker.html Zo is de Leidraad geen algemeen verbindend voorschrift, waardoor vervolging voor computervredebreuk in principe altijd mogelijk blijft. ¹⁴Leidraad, p. 3 en p. 6 De strafrechtelijke kaders zijn daardoor voor ethische hackers eigenlijk niet anders dan voor hackers met kwade intenties.

Volgens de Minister van Justitie zal het OM per geval kijken naar drie belangrijke criteria. Ten eerste moet het handelen van de hacker noodzakelijk zijn binnen een democratische samenleving. Daarnaast moet de actie proportioneel en subsidiair zijn.

Conclusie

Hacken is strafbaar gesteld in art. 138ab Sr. Naar de letter van de wet zou ook een ethische hacker strafbare handelingen verrichten wanneer diegene “opzettelijk en wederrechtelijk een geautomatiseerd werk binnendringt”. In dat opzicht is er geen strafrechtelijk juridisch verschil met een reguliere hacker.

Een ethisch hacker zoals Krol kan zich beroepen op art. 10 EVRM. De rechter moet in deze situatie toetsen of de hacker zich heeft gehouden aan de eisen van proportionaliteit en subsidiariteit. Henk Krol is bij het hacken volgens de rechtbank te ver gegaan. Hij heeft teveel documenten zonder toestemming opgevraagd en geprint en is te snel op de media afgestapt. Hij had langer en vaker bij de organisatie de melding duidelijk moeten maken. De conclusie is dat indien een ethische hacker een lek tegenkomt en zich aan bepaalde zorgvuldigheidsnormen houdt, de kans groot is dat hij zal worden vrijgesproken.

De Leidraad is vooral een eerste stap om ICT-systemen van organisaties veiliger te maken door adviezen en tips van hackers/melders aan te horen en te implementeren. Het risico van de Leidraad is dat strafvervolging voor hackers met een goede intentie mogelijk blijft. Het is niet ondenkbaar dat dit een nadelig effect heeft op de bereidwilligheid van het melden van lekken bij organisaties.

————–