Omgaan met boodschappers van slecht nieuws

(eerder verschenen op IT en Recht blog)

Onlangs liet parlementslid Pierre Heijnen zich ontvallen dat de tijd wellicht rijp is voor een vorm van klokkeluidersbescherming voor hackers die misstanden in informatiebeveiliging aan het licht brengen. Dat werd verwelkomd door een open brief vanuit die gemeenschap, maar ook met kritiek ontvangen door rechtswetenschappers (Oerlemans en praktijkadvocaten (SOLV). Daarbij slaagde men er niet in om een aantal voor de hand liggende drogredeneringen te vermijden. In dit blog wat nuance, zowel voor als tegen.

Als eerste valt een zekere angstreflex voor misbruik op. Terwijl de huidige situatie eveneens evident tot misbruik leidt, maar dan van misbruik van de wet computercriminaliteit tegen boodschappers van slecht nieuws. Zowel in binnen- als buitenland komt het (te vaak) voor dat exploitanten of uitgevers van slecht beveiligde systemen of software een strafvervolging initiëren om critici de mond te snoeren. Het recente voorbeeld in Nederland is uiteraard TransLink Systems (TLS) dat aangifte deed tegen Brenno de Winter. Minder bekend in Nederland is dat de het Duitse Magix een Zweedse hacker met strafvervolging bedreigde omdat deze een lek in de door Magix uitgegeven muzieksoftware wilde publiceren. Eveneens onbekend is de Duitse zaak van Thomas Roth die zelfs een huiszoeking te verduren kreeg omdat hij op het punt stond een kraakmethode voor een cryptografisch algoritme te publiceren.

Bron van dit ‘gemak’ om eigen incompetentie op beveiligingsvlak af te wentelen op boodschappers van het slechte nieuws is toch vooral het Cybercrimeverdrag. Dat heeft in Nederland er toe geleid dat zelfs het criterium van een doorbreken van een beveiliging is geschrapt uit ons wetboek van strafrecht. Het onbevoegd toegang hebben tot een geautomatiseerd werk is daarmee op zichzelf al een misdrijf geworden, ongeacht of er sprake is van wetenschap van dit gebrek aan bevoegdheid of dat er sprake is van een kwaad opzet of niet. En daarmee is de gevleugelde kreet ‘wat offline geldt moet ook online gelden’ een holle frase geworden. Immers, bij de huis- en erfvredebreuk, waar het delict computervredebreuk schijnbaar bij aan zou sluiten, is er nog sprake van een vereiste van een sommatie om zich uit de voeten te maken alvorens er sprake is van een strafbaar feit. Een dergelijk geobjectiveerd criterium ontbreekt bij de computervredebreuk, wat het tot een aantrekkelijke stok maakt om iedere hond die constateert dat men zijn beveiliging niet op orde heeft te slaan. En aan dit gemak mag, gezien het toenemend maatschappelijk belang bij informatiebeveiliging, best wat gedaan worden.

Wat critici van de gedachte van Heijne uit het oog lijken te verliezen is dat het strafvorderlijk optreden bij verdenkingen van computercriminaliteit een bepaald hoge impact kan hebben. Zeker in het geval van een journalist of een beveiligingsonderzoeker kan dit al snel resulteren in een situatie waarin er een de facto Berufsverbot voor de duur van het strafvorderlijk onderzoek wordt gegeven. Bij een vervolging wegens huisvredebreuk of zelfs diefstal zullen niet snel alle informatiedragers in een huishouden in het strafvorderlijk onderzoek betrokken worden. Een louter vertrouwen op het opportuniteitsbeginsel, ook al lijkt dit redelijk goed te functioneren, is niet voldoende. Hoewel het Openbaar Ministerie zichtbaar groeiende is in haar rol bij het bestrijden van computercriminaliteit is het risico van een disproportionele aanpak in de praktijk te groot gebleken. In de al veel aangehaalde zaak rond de e-mail van Jack de Vries had de telastelegging nog wel een paar onsjes meer gekund, men had immers computervirussen verspreid om een ‘botnet’ op te bouwen. In het geval TLS had het sepot in een veel eerder stadium plaats kunnen vinden, de door Brenno de Winter zelf gepubliceerde verslagen van zijn onderzoeksmethoden hadden het OM al van voldoende aanknopingspunten kunnen voorzien om een afweging te maken.

Waar met name Oerlemans aan voorbijgaat is dat invoering van een expliciete strafuitsluitingsgrond helemaal geen vrijbrief biedt, het is uiteindelijk aan de rechter om een beroep op een dergelijke strafuitsluitingsgrond te honoreren. Daarbij is een proportionaliteitstoets nog steeds heel wel denkbaar, en de strafrechtklassiekers van de Huizense veearts (HR 27-06-1932 NJ 1933, 60 en HR 20-02-1933, NJ 1933, 918) indachtig hebben we het in de kern over een concrete uitwerking van het ontbreken van de materiële wederrechtelijkheid. Hoe in een geval als dat van Nieuwe Revu een beroep op een (geconcretiseerde) materiële wederrechtelijkheid zou kunnen slagen is mij een raadsel.

Ook de door SOLV geuite vrees dat de door de rechtbank Utrecht veroordeelde vervalser van OV-chipkaarten niet vervolgd had kunnen worden lijkt mij onterecht. Om te beginnen was het inzetten van de wet computercriminaliteit in dit geval al het gebruik van een kanon om een mug te beschieten (zie ook IT 183) die voorbij ging aan de kern van het misdrijf: het vervalsen van waardekaarten (art. 232 Sr). Daarnaast is het heel wel mogelijk een aantal critieria te formuleren om een dergelijk beroep kans van slagen te geven. Men kan denken aan cumulatieve eisen als:

  • Dat de geconstateerde beveiligingsproblemen onder de aandacht van de betrokken systeemeigenaar zijn gebracht, of beoogde te brengen
  • De betrokken systeemeigenaar of –eigenaren een redelijke termijn is gegund om schadebeperkende maatregelen te treffen (responsible disclosure)
  • Men zich niet meer toegang heeft verschaft dan nodig was om het beveiligingsprobleem te constateren en te documenteren
  • Men zichzelf of anderen geen profijt heeft verschaft als gevolg van de wetenschap van het beveiligingsprobleem (anders dan bijvoorbeeld publiciteit).

En hoewel een dergelijke strafuitsluitingsgrond een stap in de goede richting zou zijn, zijn andere manieren om een dergelijke ‘klokkeluidersbescherming’ in te voeren denkbaar. Mijn voorkeur zou uitgaan naar een grondige herziening van het wetboek van strafrecht en de delictsomschrijving van de computervredebreuk meer in lijn te brengen met die van de huisvredebreuk. Een minder optimale weg is het door de Minister van Justitie uitvaardigen van richtlijnen voor het Openbaar Ministerie die hetzelfde zouden behelzen als de hierbovengenoemde criteria.

Oerlemans en SOLV vinden dat de afweging van algemeen belang tegenover het al dan niet ongeautoriseerd toegang hebben tot een computersysteem per definitie in handen van de rechter moet blijven. Voor mij is de gedachte dat degenen die de kwaliteit van de informatiebeveiliging in de praktijk beter blijken te kunnen beoordelen dan de systeemeigenaar daarbij ook enige ruimte krijgen om een meer ethische afweging temaken bepaald minder vreeswekkend dan de gedachte dat omwille van het rechtsmonopolie van de rechter beveiligingslekken vooral geconstateerd zullen worden door beveiligingsbedrijven en de echte kwaadwillenden. Waarbij ik de beveiligingsbedrijven zeker geen kwaad hart toedraag, het zijn er alleen zo weinig in verhouding tot de echte kwaadwillenden.

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.