Ict-jurist Arnoud Engelfriet zet vraagtekens bij een uitspraak van het Haagse Hof. Een verdachte van computervredebreuk werd in hoger beroep vrijgesproken omdat een website geen apparaat is en dus niet als een ‘geautomatiseerd werk’ is aan te merken.
Engelfriet ziet niet in hoe het gerechtshof Den Haag tot deze conclusie kon komen, zo blijkt uit zijn blog. Volgens het Hof is een website louter een verzameling gegevens die via internet toegankelijk is. Van een ‘geautomatiseerd werk’ – zoals de wet dat bedoelt – waarbij fysieke apparatuur komt kijken, zou geen sprake zijn. Engelfriet vraagt zich af of de uitleg van het begrip ‘geautomatiseerd werk’ neerkomt op ‘een pietluttig zoeken naar spijkers op laag water’ of dat hier meer achter zit?
Uit de jurisprudentie die Engelfriet aanhaalt, blijkt dat rechters zich soms in rare bochten wringen. Zo werd in 2020 een verdachte van het hacken van een Facebook-account vrijgesproken omdat de webserver dan wel het netwerk of andere computers achter dit account niet toebehoorden aan het slachtoffer. Engelfriet snapt niet welk belang de rechter in die zaak probeerde te beschermen.
In 2021 interpreteerde de Hoge Raad het begrip ‘website’ weer anders. De onderliggende server-hardware en netwerk-infrastructuur horen er gewoon bij, vond de Hoge Raad waarna een veroordeling volgde.
Discussie
Met de uitspraak van het Haagse Hof is de discussie over de term website weer terug bij af. Zo’n site is geen geautomatiseerd werk in de zin van de wet maar ‘een inrichting bestemd om elektronisch gegevens op te slaan, te werken en over te dragen’, meende de rechter.
Wat was er gebeurd? Een man uit Tiel werd verdacht van het inbreken op een slecht beveiligde website van een Haagse huisartsenpost. De hacker bood aan het lek te dichten voor 16.500 tot 23.000 euro, waarop de artsen aangifte deden bij de politie. Voor de inbraak kreeg de man twee maanden gevangenisstraf waarvan een maand voorwaardelijk. In hoger beroep volgde evenwel vrijspraak. In de reactie staat centraal of het OM wel tot de juiste delictsomschrijving is gekomen. De gerechtelijke instantie legde de man het wederrechtelijk binnendringen van een website ten laste, hoewel het de vraag is of zij in deze kwestie niet beter had kunnen spreken van het ‘binnendringen van een webserver waarop een website draait’.
Overigens is onduidelijk of in deze zaak sprake is van afpersing. Het OM heeft dat aspect buiten de tenlastelegging gehouden, wellicht omdat dit lastig valt te bewijzen. Wel stipt het OM aan dat de man een ‘businessmodel’ had waarbij eerst een organisatie werd gehackt en vervolgens voor veel geld een oplossing werd aangeboden.
Engelfriet vraagt zich dingen af en ik ook want ‘inrichting bestemd om elektronisch gegevens op te slaan, te werken en over te dragen’ doet bij mij allereerst een vraag opkomen hoe het zit met zoiets als een verwerkingsovereenkomst. De aanval is niet altijd de beste verdediging als we kijken naar zoiets als een onafhankelijke toetsing, prijskaartje van €23.000 voor een goede pentest lijkt me een heel redelijk bedrag. Zeker als ik overweeg dat patiënten aanzienlijk meer kunnen claimen als ze tot de ontdekking komen dat hun gegevens niet goed beveiligd zijn.