Hacken (of computervredebreuk) komt steeds vaker voor in Nederland. Computervredebreuk is strafbaar gesteld in art. 138ab Sr.
Wat is hacken?
Volgens de wet (artikel 138ab Sr) is hacken (computervredebreuk) het ‘opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk’.
Het is niet altijd duidelijk wanneer er wel of niet sprake is van ‘opzettelijk en wederrechtelijk binnendringen’. De wetgever heeft niet van tevoren alle mogelijke manieren van digitale inbraak willen opsommen. Of er sprake is van computervredebreuk verschilt dus per zaak. De wetgever heeft in art. 138ab vier manieren van inbraak opgesomd die in ieder geval als computervredebreuk worden aangemerkt:
1. Het doorbreken van een beveiliging (saboteren van beveiliging)
Met het doorbreken van een beveiliging wordt bedoeld dat het beveiligingssysteem van een computer of server wordt gesaboteerd. Dit gebeurt vaak door het beveiligingsprogramma buiten werking te stellen of te laten crashen.
2. Manipuleren van beveiliging door een technische ingreep
Met de technische ingreep wordt bedoeld dat het beveiligingsprogramma wordt gemanipuleerd. Het gaat dus niet om het buiten werking stellen van het programma, maar om het zodanig manipuleren van het beveiligingsprogramma dat er toegang wordt verkregen tot bepaalde gegevens.
3. Inbreken met behulp van valse signalen of een valse sleutel (valse credentials)
Hierbij gaat het -anders dan het doorbreken of manipuleren van beveiliging- om het gebruiken van een valse sleutel. Dit is niet de sleutel van een ander, maar een door de hacker gecreëerde valse sleutel. Als met deze valse sleutel toegang wordt verkregen tot een computersysteem of server, is er sprake van computervredebreuk.
4. Het aannemen van een valse hoedanigheid (misbruik maken van geldige credentials)
Hierbij kan men denken aan IP-spoofing of het veranderen van de computernaam in die van een printerserver, om daarmee de printopdrachten van een ander te onderscheppen. Ook het zonder toestemming gebruik maken van de inloggegevens van een ander valt hieronder. Hackers maken vaak inloggegevens buit door middel van phishing of social engineering.
Andere vormen van
computervredebreuk
De 4 bovengenoemde categorieën van computervredebreuk zijn in ieder geval strafbaar. Worden er andere technieken gebruikt, dan zal het in de jurisprudentie moeten worden uitgekristalliseerd of er sprake is van computervredebreuk. Enkele voorbeelden uit de praktijk:
Het verwijderen van een simlock. Een verdachte had zonder toestemming van de telecom-aanbieder een simlock van een telefoon verwijderd. De verdachte is vrijgesproken omdat de rechter oordeelde dat het verwijderen van de simlock een contractbreuk met de provider opleverde, en niet zozeer als computervredebreuk aangemerkt kon worden.
Het vals verkrijgen van toegang tot gegevens zonder gebruik te maken van inloggegevens. Een verdachte had valse automatische incasso’s naar een bank gestuurd. Ondanks dat met de valse incasso’s de server van de bank was binnengedrongen, was er nog geen sprake van computervredebreuk omdat er geen gebruik is gemaakt van valse inlogcredentials. De verdachte werd daarom vrijgesproken van computervredebreuk, maar werd wel veroordeeld voor fraude.
Het overschrijden van een bevoegdheid. Een verdachte had van een bedrijf toegang gekregen tot een deel van een server. Door een lek in de beveiliging kreeg de verdachte ook toegang tot andere delen van de server. Ondanks dat de verdachte hier gebruik van had gemaakt was er geen sprake van computervredebreuk. Dit was anders geweest indien hij het lek zelf had veroorzaakt.
Wanneer is hacken strafbaar?
Volgens de wet (artikel 138ab Sr) is hacken (computervredebreuk) het ‘opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk’.
Dit betekent dat het binnendringen van een geautomatiseerd werk op zichzelf strafbaar is. Er hoeft dus geen sprake te zijn van het stelen of vernietigen van gegevens.
Opzettelijk
Computervredebreuk (hacken) is alleen strafbaar als dit opzettelijk gebeurt. Dat betekent dat het ‘per ongeluk’ inbreken in een systeem niet strafbaar is. Let er wel op dat het ‘aanvaarden van het risico’ dat er wordt ingebroken ook als opzet aangemerkt kan worden.
Wederrechtelijk
Er is ook pas sprake van computervredebreuk indien het binnendringen wederrechtelijk gebeurt. Inbreken in een computer is eigenlijk per definitie wederrechtelijk. Echter kan het zijn dat bijvoorbeeld door toestemming van de eigenaar, de wederrechtelijkheid kan vervallen. Ook kan in sommige gevallen ethisch hacken ervoor zorgen dat er geen sprake is van wederrechtelijke computervredebreuk. Als de rechter niet kan bewijzen dat het binnendringen wederrechtelijk is gebeurd, dan wordt de verdachte vrijgesproken van computervredebreuk.
Binnendringen
Met het bestanddeel ‘binnendringen’ heeft de wetgever de handeling van het hacken strafbaar gesteld. Blijkens de rechtspraak is er al vrij snel sprake van het binnendringen in een systeem. Het inloggen bij een e-mail dienst, waarbij het wachtwoord door de webbrowser al was opgeslagen en ingevuld, kan al worden aangemerkt als ‘binnendringen’.
Geautomatiseerd werk
Volgens de wetgever kunnen alleen ‘geautomatiseerde werken’ worden gehackt. Het is dan de vraag wat er nu wel of niet onder zo’n de definitie van geautomatiseerd werk valt. De definitie heeft de wetgever vastgelegd in art. 80sexies van het wetboek van strafrecht. Sinds 1 januari 2019 is dit begrip aangepast en verruimd. De nu geldende definitie is:
“een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er een of meer op basis van een programma automatisch computergegevens verwerken.”
Met deze ruime definitie wilde de wetgever ervoor zorgen dat ook wearables, navigatiesystemen, smart-tv’s, fotocamera’s met wifi, pacemakers, etc. onder de definitie van ‘geautomatiseerd werk’ vallen.
Wordt u verdacht van computervredebreuk?
Schakel een deskundige advocaat in
Indien u verdacht wordt van computervredebreuk is het van groot belang om een deskundige advocaat in te schakelen. In een strafzaak over hacking is het namelijk van groot belang dat uw advocaat begrijpt wat er precies is gebeurd, en dat uw advocaat goed kan analyseren welk gedrag wel of niet strafbaar is. Justitie begint in de eerste fase van de strafprocedure al met het verzamelen van belastend bewijs tegen u. Een gespecialiseerde advocaat kan u al snel een inschatting geven over welk bewijs er kan worden verzameld en kan daarnaast controleren of justitie zich wel aan de regels houdt. Daarnaast is het van belang om zo snel mogelijk informatie te krijgen over wat u het beste kunt doen. Stilzitten is namelijk meestal niet de beste optie. Onze advocaten kunnen snel schakelen en helpen bij het verzamelen van ontlastend bewijs en het analyseren van digitale sporen.
Bedenk welk bewijs er tegen u kan worden verzameld
Anders dan vele mensen denken, kan justitie wel toegang krijgen tot uw telefoon en laptop (indien deze in beslag zijn genomen). Besef dus goed dat justitie (als ze een huiszoeking bij u hebben gedaan) waarschijnlijk veel informatie heeft. Bedenk welke zaken verdacht zouden kunnen zijn en wat uw verklaring hierover is. Daarbij is het voornamelijk van belang dat u kunt uitleggen waarom u bepaalde zaken hebt gedaan. Het bezoeken van bepaalde websites is bijvoorbeeld in principe al verdacht, maar er zijn tal van situaties waarbij er een goede reden is voor het bezoek van een bepaalde website. Het is van groot belang om dit zo snel mogelijk met een deskundige advocaat te bespreken.
Het strafrecht werkt niet zoals in films
In Nederland worden verdachten niet vrijgesproken vanwege een verkeerd gespelde naam. Als de politie een fout maakt in het onderzoek, wordt de officier van justitie niet meteen niet-ontvankelijk verklaard. Ook illegaal afgetapte telefoongesprekken belanden gewoon in het dossier.
De recherche weet over het algemeen goed waar ze mee bezig zijn
U kunt ervan uitgaan dat de recherche evenveel weet als u. Zeker bij de teams cybercrime is de recherche vaak goed opgeleid. Daarnaast is hun kennis niet alleen theoretisch. Ze zijn thuis in vele subculturen en jargon. Ze hebben vaak al gelijksoortige zaken behandeld. De recherche herkent een TAILS systeem direct. Ze prikken ook vrij eenvoudig door VPN- en VPS-systemen heen. De meeste telefoons worden binnen enkele dagen gebrute-forced.
Indien u bent aangehouden en wordt verhoord, heeft er vaak al tijdenlang onderzoek plaatsgevonden. U kunt daarom beter zwijgen dan een verklaring afleggen waarvan de recherche al weet dat het niet in lijn met de waarheid is.
Het eerste verhoor is vaak bepalend voor de gehele zaak. Ga daarom niet onvoorbereid het verhoor in. Het zonder kennis afleggen van een verklaring kan ervoor zorgen dat u schuldiger lijkt dan u bent.