Biedt art. 10 EVRM de ethisch hacker bescherming tegen ... · voor juridische stappen, om de...
61
Biedt art. 10 EVRM de ethisch hacker bescherming tegen onduidelijkheden en onvolkomenheden in de Leidraad Responsible Disclosure? Figuur 1: (c) Dreamstime Masterscriptie Open Universiteit Faculteit Cultuur- en Rechtswetenschappen
Transcript of Biedt art. 10 EVRM de ethisch hacker bescherming tegen ... · voor juridische stappen, om de...
Biedt art. 10 EVRM de ethisch hacker bescherming tegen onduidelijkheden
en onvolkomenheden in de Leidraad Responsible Disclosure?
Figuur 1: (c) Dreamstime
Masterscriptie Open Universiteit
Faculteit Cultuur- en Rechtswetenschappen
1
Inhoudsopgave
Inhoudsopgave .................................................................................................................. 1
1. Inleiding ......................................................................................................................... 3
1.1 Een nieuw bedrijf ................................................................................................... 3
1.2 Ethisch hackers...................................................................................................... 4
1.3 Opbouw ................................................................................................................. 7
2. Strafbaarstelling van computercriminaliteit ..................................................................... 8
2.1 Strafbaarstelling van computervredebreuk ............................................................. 8
2.1.1 Wet Computer Criminaliteit I .................................................................................. 9
2.1.2 Wet Computer Criminaliteit II ............................................................................... 10
2.1.3 Richtlijn 2013/40/EU ............................................................................................ 12
2.1.4 Wet Computer Criminaliteit III .............................................................................. 13
2.1.5 Wanneer is sprake van binnendringen? ............................................................... 13
2.2 Overige strafbaarstellingen .................................................................................. 15
2.2.1 Belemmeren van een geautomatiseerd werk ....................................................... 16
2.2.2 Aftappen of opnemen van gegevens .................................................................... 17
2.2.3 Het voorhanden hebben van technische hulpmiddelen ........................................ 18
3. Publicatie van gevonden kwetsbaarheden ................................................................... 20
3.1 Full disclosure ...................................................................................................... 20
3.2 Responsible disclosure ........................................................................................ 21
3.3 Bug bounty programma’s ..................................................................................... 22
3.4 Klokkenluidersregeling ......................................................................................... 22
4. Leidraad voor responsible disclosure ........................................................................... 25
4.1 Wat is de Leidraad Responsible Disclosure? ....................................................... 25
4.2 Vervolgingsbeleid van het Openbaar Ministerie ................................................... 26
4.3 Welke praktische bezwaren kleven er aan de Leidraad? ...................................... 29
4.4 Wet gegevensbescherming en meldplicht cybersecurity ...................................... 32
5. Rechtsbescherming voor ethisch hackers .................................................................... 33
5.1 Ontbreken van materiële wederrechtelijkheid ....................................................... 33
5.1.1 Wat houdt het ontbreken van materiële wederrechtelijkheid in? ........................... 33
5.1.2 Kan het verweer van het ontbreken van materiële wederrechtelijkheid een reële vorm van rechtsbescherming voor de ethisch hacker vormen? ........................................ 34
5.2 Rechtsbescherming van ethisch hackers onder art. 10 EVRM ............................. 35
5.2.1 Vrijheid van meningsuiting onder art. 10 EVRM ................................................... 35
5.2.2 Onder welke voorwaarden mag de overheid de vrijheid van meningsuiting beperken? ........................................................................................................................ 36
5.2.3 Mag een journalist dus de wet overtreden? .......................................................... 39
5.2.4 Is een ethisch hacker te vergelijken met een journalist? ....................................... 42
2
6. Toepassing van art. 10 EVRM in nationaal recht ......................................................... 44
6.1 Inleiding ............................................................................................................... 44
6.2 Proportionaliteit .................................................................................................... 44
6.3 Subsidiariteit ........................................................................................................ 46
7. Conclusies ................................................................................................................... 49
7.1 Leidraad Respsonsible Disclosure ....................................................................... 49
7.2 Klokkenluiders ..................................................................................................... 49
7.3 Ontbreken van materiële wederrechtelijkheid ....................................................... 50
7.4 Vrijheid van meningsuiting ................................................................................... 50
Literatuurlijst .................................................................................................................... 52
Jurisprudentie .................................................................................................................. 52
Kamerstukken .................................................................................................................. 54
Literatuur ......................................................................................................................... 55
Overige publicaties .......................................................................................................... 60
3
1. Inleiding
1.1 Een nieuw bedrijf
In 2000 besloot ik samen met een collega en vriend het veilige nest van een groot
organisatieadviesbureau te verlaten en mijn eigen IT-bedrijf te starten. Vanaf het begin stond
voorop dat we ook iets maatschappelijk relevants wilden bereiken met het bedrijf. We gaven
dit vorm door tijd te spenderen aan goede doelen. Het eerste goede doel dat rond de introductie
van de euro op ons pad kwam, was Coins for Care. Een inzamelingsactie van vreemde valuta
en ‘oud’ Nederlands geld. Op de website die wij ontwikkelden voor de stichting konden
bezoekers stemmen op het goede doel waar hun geld aan besteed moest worden. Aan de hand
van het aantal stemmen werd het ingezamelde (en ingewisselde) geld verdeeld over de goede
doelen. Op een gegeven moment werd de stichting benaderd door een student van de Radboud
Universiteit Nijmegen. Hij gaf aan dat hij de stemming kon manipuleren. Uiteraard vonden we
dat niet leuk om te horen, maar we wilden graag in contact komen met deze student, zodat we
de beveiliging van de website en het stemmechanisme zouden kunnen verbeteren. Vrij
plotseling werd de stichting Coins for Care uitgenodigd bij Tros Radar. Ook de betreffende
student was aanwezig. De vertegenwoordiger van de stichting legde uit dat we bezig waren met
het verbeteren van de beveiliging, maar tijdens de discussie liet de student echter,
onaangekondigd, live op tv zien hoe het hacken van het stemmechanisme in z’n werk ging.
Het was duidelijk dat we niet voldoende aandacht besteed hadden aan de beveiliging van de
website en het stemmechanisme. De informatie van de student van de RU was voor ons niet
alleen zinvol, maar ook een eyeopener. Vervelend was natuurlijk wel, dat de informatie over
het beveiligingslek gepubliceerd werd voordat wij in de gelegenheid waren het lek te herstellen.
Deze full disclosure van het beveiligingslek heeft de reputatie van Coins for Care geen goed
gedaan. Het had ook anders kunnen gaan. We hadden met de student afspraken kunnen maken
over wat wij zouden doen met het beveiligingslek en hoeveel tijd we hiervoor nodig zouden
hebben. Vervolgens hadden we kunnen bespreken of en hoe we een en ander zouden publiceren.
Met deze vorm van responsible disclosure is het mogelijk nog steeds de credits aan de
ontdekker van het beveiligingslek te geven, zonder dat de reputatie van Coins for Care
hieronder zou lijden.
4
Uiteindelijk heeft Coins for Care overigens 2,7 miljoen euro ingezameld. Dit bedrag is verdeeld
op basis van een peiling van het NIPO.1
1.2 Ethisch hackers
Goedwillende hackers zoals de student uit Nijmegen zijn van groot belang voor de veiligheid
van informatiesystemen. We worden steeds afhankelijker van internet en van systemen die
gekoppeld zijn aan internet. Daarnaast worden de informatiesystemen steeds complexer.
Burgers verwachten dat ‘alles’ via internet mogelijk is. Denk aan het bestellen van goederen
via een webshop, het online declareren van schade bij een verzekeraar en het online inzien van
je eigen patiëntendossier. Steeds meer bedrijven zijn voor hun voortbestaan afhankelijk van
ICT. Ook bedrijven in vitale sectoren binnen de maatschappij zijn van ICT afhankelijk. De
minister van Justitie noemt onder andere drinkwater, gas, elektriciteit, telecom, keren en
beheren van oppervlaktewater, transport en de mainports Schiphol en Rotterdam als vitale
sectoren.2
Het ICT-landschap is dermate complex, dat het voor bedrijven (inclusief de leveranciers van
ICT-componenten) nagenoeg onmogelijk is om alle mogelijke kwetsbaarheden in ICT te
vinden en te repareren. Criminele hackers maken steeds vaker gebruik van deze
kwetsbaarheden. De afgelopen jaren hebben criminele hackers onder andere de volgende
activiteiten uitgevoerd:3
- Organisatie gijzelen door het versleutelen van hun gegevens, zodat een organisatie de
gegevens niet meer kan gebruiken (ransomware). De criminelen beloven, na betaling van
losgeld, de gegevens weer vrij te geven.4
- Stelen van klantgegevens. Een bekend voorbeeld is Yahoo, waar in 2013 de gegevens van
1 miljard gebruikers gestolen werden en dit jaar wederom van 200 miljoen gebruikers.
- Vitale infrastructuur platleggen door het te bestoken met een excessieve hoeveelheid data
(DDoS aanvallen).5
1 “Opbrengst Coins for Care zo'n 2,7 miljoen euro”, nu.nl 30 mei 2002, https://www.nu.nl/economie/45736/opbrengst-coins-for-care-zon-27-miljoen-euro.html 2 Kamerstukken II 2012/13, 26 643, 286, p. 21. 3 Oriyano 2016, p. 4-7. 4 ‘Bedrijven wereldwijd getroffen door nieuwe ransomware-aanval’, nu.nl, 27 juni 2017, https://www.nu.nl/internet/4798515/bedrijven-wereldwijd-getroffen-nieuwe-ransomware-aanval.html. 5 ‘Opnieuw cyberaanval SNS Bank’, nu.nl, 18 april 2013, https://www.nu.nl/internet/3401443/opnieuw-cyberaanval-sns-bank.html.
5
Bedrijven proberen zich hiertegen te beschermen door zelf hackers in te huren, die vervolgens
de kwetsbaarheden in de ICT-infrastructuur moeten zien te vinden. Niet iedere organisatie
maakt hiervan gebruik en ook al maakt een organisatie gebruik van hackers, dan worden nog
steeds niet alle kwetsbaarheden gevonden. Denk maar aan de KPN hack uit 2012.6 Om deze
reden loven sommige bedrijven een beloning uit voor hackers die kwetsbaarheden in de
informatiesystemen van deze bedrijven vinden. Onder andere Facebook heeft een dergelijk bug
bounty programma.7
Ook burgers worden door dit soort criminele activiteiten getroffen, bijvoorbeeld doordat
gegevens van burgers in handen vallen van criminelen. Tjong Tjin Tai en Koops bepleiten dan
ook dat er een nadrukkelijkere verantwoordelijkheid moet komen voor bedrijven om hun
computersystemen, de computersystemen van hun klanten en uiteindelijk de gegevens van
burgers te beschermen.8
Een grote groep hackers vindt dat organisaties niet voldoende doen of ze willen uit ideële
overwegingen organisaties helpen bij het zoeken naar kwetsbaarheden. Deze hackers vinden
dat het hun maatschappelijke plicht is om te zorgen dat gegevens van burgers veilig zijn bij
organisaties en dat criminelen geen misbruik kunnen maken van vitale infrastructuur. Deze
groep hackers – ook wel ethisch hackers genoemd – gebruikt hacking technieken om
kwetsbaarheden te vinden. Vervolgens publiceren zij deze kwetsbaarheden, zodat ook andere
organisaties op de hoogte zijn van de gevonden kwetsbaarheden en ze deze eventueel in hun
eigen systemen kunnen verhelpen.
Het lijkt een zeer onverantwoorde houding van hackers om kwetsbaarheden openbaar te maken.
Dit heeft echter alles te maken met de visie van hackers op beveiliging, namelijk full disclosure.
De meeste hackers zijn ervan overtuigd dat echte digitale veiligheid pas ontstaat als alle
kwetsbaarheden van een informatiesysteem onmiddellijk openbaar gemaakt worden. Dit
dwingt namelijk de eigenaar van het informatiesysteem om direct maatregelen te nemen, aldus
de hackers.9 Daarnaast geven beveiligingsexperts iedere keer weer aan dat zogenaamde security
6 ‘Wachtwoorden KPN-klanten gepubliceerd’, nu.nl 10 februari 2012 en ’Hackers binnengedrongen bij energiebedrijven Europa en VS’, nu.nl 6 september 2017. 7 https://www.facebook.com/whitehat/. 8 Tjong Tjin Tai & Koops, NJB 2015. 9 Dasselaar 2008, p. 47-49.
6
by obscurity een vals gevoel van veiligheid geeft.10 Veel organisaties geloven hier echter niet
in en zijn huiverig om informatie over hun informatiesystemen prijs te geven. Zie hier een fors
verschil in inzicht dat zeker bijdraagt aan de spanning tussen ethisch hackers en de bij de
activiteiten van de hackers betrokken organisaties.
Formeel maken deze hackers zich hiermee schuldig aan strafbare feiten. Denk aan
computervredebreuk (art. 138ab Sr) of het wederrechtelijk kopiëren van gegevens (art. 139c
Sr). Toch hebben veel ethisch hackers hier geen problemen mee als in ieder geval aan een
tweetal voorwaarden is voldaan: 1. de hacker mag geen schade aanrichten en 2. de hacker dient
de eigenaar achteraf over de gevonden kwetsbaarheden in te lichten. Dat weinig hackers
hiermee problemen hebben, heeft deels te maken met het feit dat inbreken in computers nog
niet zo lang geleden in veel landen legaal was, met name bij gebrek aan goede wetgeving.13
Maar het heeft ook te maken met de ethiek van hackers, die het recht op vrije informatie hoog
in het vaandel hebben staan.14 De ethisch hackers kunnen een belangrijke rol vervullen voor
partijen die kwetsbare systemen bezitten. Maar bij diezelfde hackers bestaat angst, met name
voor juridische stappen, om de gevonden kwetsbaarheden rechtstreeks bij de betrokken
organisatie te melden.
De overheid ziet de spanning tussen het nut van ethisch hacken en de noodzakelijke
strafbaarstelling van hacken. Eind 2012 heeft de toenmalige minister van Veiligheid en Justitie
Ivo Opstelten in een brief aan de Tweede Kamer aangegeven dat de samenwerking van publieke
en private partijen met de ICT-security-community van het grootste belang is in het kader van
het gezamenlijke streven naar cyber security. In dezelfde brief kondigde de minister een
10 Paul 2014, p. 309 en Schneier 2015, Preface. 11 Leukfeldt & Stol 2012, p. 104-105. 12 Van ‘t Hof 2016, p. 7. 13 Dasselaar 2008, p. 13. 14 Leukfeldt & Stol 2012, p. 103.
Typologie van hackers Het zal duidelijk zijn dat er verschillende typen hackers zijn. Heel eenvoudig gezegd zijn er ‘goede‘ hackers die zich aan de wet houden. En er bestaan ‘slechte‘ hackers die, meestal uit geldelijke of activistische overwegingen, de wet overtreden. De ethisch hacker in deze scriptie is een hacker die weliswaar inbreekt op een computer of informatiesysteem, maar dat doet met de bedoeling om computers en informatiesystemen veiliger te maken. Leukfeldt & Stol (2012) beschrijven nog diverse andere typen hackers, zoals hacktivists, script kiddies, cyber punks en de meer traditionele indeling van hackers in white hat, grey hat en black hat hackers.11 De witte en zwarte hoeden verwijzen hierbij naar de kleuren van de hoeden van de good guys en de bad guys uit oude Westerns.12 Afbeelding 1: typologie van hackers
7
leidraad aan om te komen tot een praktijk van responsible disclosure.15 Deze Leidraad moet
enige rechtsbescherming bieden voor ethisch hackers, mits zij zich aan bepaalde regels houden.
Aan de Leidraad kleeft echter een aantal onduidelijkheden en onvolkomenheden. Mogelijk
biedt art. 10 EVRM (vrijheid van meningsuiting) nog aanvullende rechtsbescherming. De vraag
die in deze scriptie uiteindelijk beantwoord wordt, is:
“Biedt art. 10 EVRM de ethisch hacker bescherming tegen onduidelijkheden en
onvolkomenheden in de Leidraad Responsible Disclosure?”
1.3 Opbouw
Hoofdstuk 2 beschrijft de strafbaarheidstelling van een aantal vormen van computer-
criminaliteit en van hacking in het bijzonder. Voordat de mogelijk rechtsbescherming van
ethisch hackers aan bod komt, beschrijft hoofdstuk 3 eerst wat responsible disclosure precies
is en gaat hoofdstuk 4 in op de Leidraad Responsible Disclosure en de onduidelijkheden en
onvolkomenheden in de Leidraad. Hoofdstuk 5 gaat vervolgens in op mogelijke rechts-
bescherming voor ethisch hackers en beschrijft welke uitdagingen hiermee gemoeid zijn. In dit
hoofdstuk wordt ook onderzocht of de vrijheid van meningsuiting (art. 10 EVRM) een
oplossing biedt voor de onduidelijkheden en onvolkomenheden uit de Leidraad. Het onderzoek
naar de mogelijke rechtsbescherming is op basis van Nederlandse en Europese jurisprudentie,
aangevuld met literatuuronderzoek. Hoofdstuk 6 beschrijft de toepassing van art. 10 EVRM
binnen het nationale recht. Als laatste bevat hoofdstuk 7 de conclusies en aanvullende adviezen.
15 Kamerstukken II 2012/13, 26 643, 264.
8
2. Strafbaarstelling van computercriminaliteit
2.1 Strafbaarstelling van computervredebreuk
De eerste aanklachten wegens computercriminaliteit in Nederland stammen uit het begin van
de jaren negentig. Volgen Stol luidde de aanklacht “valsheid in geschrifte, vernieling en
oplichting.” De valsheid in geschrifte volgt, volgens de politie, uit het feit dat bestanden op de
computer gewijzigd zijn. De kwalificatie oplichting volgt uit het feit dat de hackers zich als
systeembeheerders hebben uitgegeven.16 Dit geeft goed aan dat het tijd was voor specifieke
wetgeving op het gebied van computercriminaliteit.
Deze specifieke wetgeving was al vanaf 1985 in de maak met het instellen van een commissie
door de toenmalige minister van Justitie Korthals Altes.17 Deze commissie Franken bracht in
1987 een rapport uit met de titel “Informatietechniek en strafrecht”. Een belangrijke aanleiding
voor het instellen van de commissie waren aanbevelingen van de O.E.S.O. uit 1985. Daarin
werd lidstaten in overweging gegeven om een aantal delicten rondom computercriminaliteit op
te nemen in het strafrecht.18
Franken noemt in zijn rapport de drie belangrijkste aspecten van informatiebeveiliging,
namelijk exclusiviteit, integriteit en beschikbaarheid. In het Engels: CIA oftewel
confidentiality, integrity en availability. Franken introduceert tevens het begrip
‘geautomatiseerd werk’. Hij beschrijft dit begrip als ‘een voortbrengsel van fysieke of
geestelijke arbeid dienende tot, en omvattende al hetgeen noodzakelijk is voor een goede
verwerking van opslag, verwerking of overdracht van gegevens’.19 Onder deze technologie-
neutrale omschrijving vallen computers, opslagmechanismen, maar tegenwoordig ook tablets
en smartphones. Uiteindelijk wordt in art. 80sexies Sr het begrip geautomatiseerd werk
omschreven als “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan,
te verwerken en over te dragen”.
Tot eind jaren tachtig, begin jaren negentig, deden slachtoffers van computercriminaliteit
eigenlijk nooit aangifte. Waarschijnlijk omdat men geen ‘vuile was’ buiten wilden hangen en
bang was voor reputatieschade. Franken ziet in dit gedrag een aantal risico’s. Het belangrijkste
16 Stol & Strikwerda 2017, p. 117 en Rodriques & Gonggrijp, NN 1992, p. 8. 17 Kamerstukken II, 1989/90, 21 551, 3, p. 26-27. 18 Kamerstukken II 1989/90, 21 551, 3, p. 1. 19 Rapport Commissie-Franken 1987, p. 21-23.
9
risico is een gebrek aan een normstellende en normbevestigende werking van strafdreiging en
bestraffing. Met als gevolg dat computercriminaliteit een grotere vlucht kan nemen.20
2.1.1 Wet Computer Criminaliteit I
Op basis van de uitkomsten uit het rapport van de commissie Franken is in 1993 de eerste Wet
Computer Criminaliteit ingevoerd.21 In het wetsvoorstel werd expliciet rekening gehouden met
de voortschrijdende techniek. Om deze reden is geprobeerd om te abstraheren van de
toenmalige stand van de techniek.22 Aangesloten wordt bij het begrip ‘geautomatiseerd werk’
uit het rapport van de Commissie Franken.
Sinds 1993 valt hacken onder het strafrecht. Voor die tijd was het niet strafbaar om in te breken
in een computer. Voor de strafbaarstelling van computervredebreuk is aansluiting gezocht bij
het begrip huisvredebreuk uit art. 138 Sr.23 Hiermee wordt computervredebreuk in boek 2, titel
V, misdrijven tegen de openbare orde, geplaatst.24 In een nieuw artikel 138a (oud) Sr wordt het
opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk strafbaar gesteld. In het
artikel is sprake van binnendringen op het moment dat een beveiliging wordt doorbroken of
omzeild. De reden hiervoor was dat aansluiting gezocht werd bij huisvredebreuk, waarbij in
beginsel geldt dat eenieder vrij is te gaan waar hij wil. Slechts na een weigering te voldoen aan
de vordering van de rechthebbende of wanneer wederrechtelijk is binnengedrongen, ontstaat er
strafbaarheid. Deze eisen zijn in de sfeer van de informatietechniek vertaald in de eis, dat een
beveiliging moet zijn doorbroken.25 In 2005 heeft het Hof verklaard dat als iemand op
reglementaire wijze verbinding maakt met het computersysteem van een bank, terwijl die
toegang niet is geweigerd, geen sprake is van binnendringen.26 Hetzelfde geldt voor de zaak in
2002 waarin een burger toegang wist te krijgen tot een computer van een ander, die hij ervan
verdacht kinderporno te bezitten. De persoon in kwestie had geen beveiliging doorbroken
waardoor geen sprake kon zijn van binnendringen.27 In het Toxbot-arrest over een zaak die nog
onder het oude artikel 138a Sr viel, bepaalde de Hoge Raad in 2012 dat onder het doorbreken
20 Rapport Commissie-Franken 1987, p. 28. 21 Wet van 23 december 1992 tot wijziging van het Wetboek van Strafrecht en van het Wetboek van Strafvordering in verband met de voortschrijdende toepassing van de informatietechniek, Stb. 1993, 33. 22 Kamerstukken II 1989/90, 21 551, 3, p. 4. 23 De Vey Mestdagh, Dijkstra & Huisjes 2008, p. 129-130. 24 Leukfeldt & Stol 2012, p. 68. 25 Kamerstukken II 1989/90, 21 551, 3, p. 15-16. 26 Hof Amsterdam 08 maart 2005, ECLI:NL:GHAMS:2005:AS9143. 27 Hof Den Haag 15 november 2002, ECLI:NL:GHSGR:2002:AF0684.
10
van enige beveiliging, zoals bedoeld in art. 138a lid 1 sub a (oud) Sr, mede dient te worden
verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg
die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is niet van belang of die
opening inherent is aan het systeem of is veroorzaakt door andere aanvallers.28 Als de indringer
dus binnendringt via een weg die door de aanwezige beveiliging niet of niet goed is afgesloten,
is toch sprake van het doorbreken van enige beveiliging.
Verder is hier van belang om te benoemen dat sprake moet zijn van opzettelijke
wederrechtelijkheid. Taalkundig houdt dit in dat de opzet gericht moet zijn op de
wederrechtelijkheid.29 Wederrechtelijkheid lijkt hier dus met name betrekking te hebben op het
binnentreden tegen de wil van de rechthebbende dat bovendien niet uit anderen hoofde
gerechtvaardigd is.30 Je zou dus kunnen verdedigen dat bij het binnendringen van een computer
om te laten zien dat er een ingang voor kwaadwillenden is, geen sprake is van
computervredebreuk.
2.1.2 Wet Computer Criminaliteit II
Al in 1999 werd het wetsvoorstel Computer Criminaliteit II ingediend31. Maar het heeft tot
2006 geduurd voordat het daadwerkelijk tot een wetsinvoering kwam. De belangrijkste reden
hiervoor was dat in 2001 het Europese Cybercrimeverdrag werd uitgevaardigd en de wetgever
elementen uit dit Cybercrimeverdrag in de nieuwe wet Computer Criminaliteit II wilde
opnemen.
Voor deze scriptie is met name art. 2 van het Cybercrimeverdrag relevant. Dit artikel stelt het
opzettelijk binnendringen van een (deel van een) computersysteem strafbaar als dit zonder
toestemming gebeurt. Aan de partijen die het verdrag ondertekenen wordt nog de keuze gelaten
of het doorbreken van een beveiliging onderdeel van het delict moet zijn. Nederland heeft dit
laatste niet gedaan en maakte in het nieuwe artikel 138ab Sr het opzettelijk en wederechtelijk
binnendringen strafbaar, ongeacht het feit of wel of niet een beveiliging is doorbroken. Dit is
een belangrijk verschil met de formulering uit de Wet Computer Criminaliteit I waar het
doorbreken van een beveiliging nog een noodzakelijke voorwaarde was voor strafbaarstelling.
28 HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, m.nt. N. Keijzer (Toxbot), r.o. 2.4. 29 Leukfeldt, Domenie & Stol 2010, p. 19. 30 De Hullu 2015, p. 194. 31 Kamerstukken II 1998/99, 26 671, 3.
11
Een ander belangrijk verschil tussen het huidige artikel 138ab en het oude artikel 138a Sr is de
wijziging van de zinsnede ‘opzettelijk wederrechtelijk’ in ‘opzettelijk en wederrechtelijk’. De
opzet moet nu gericht zijn op het binnendringen en het binnendringen moet wederrechtelijk
zijn.32
Op dit moment luidt art. 138ab als volgt:
Wanneer is nu sprake van binnendringen? Volgens art. 138ab Sr is in ieder geval sprake van
binnendringen indien de toegang tot het werk wordt verworven door het doorbreken van een
beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of
door het aannemen van een valse hoedanigheid. Onder omstandigheden is sprake van
binnendringen als gegevens uit een elektronisch uitwisselingssysteem gehaald worden, terwijl
de persoon geen behandelrelatie met de patiënt heeft en de patiënt bovendien geen expliciete
toestemming hiervoor heeft gegeven.33 De Hoge Raad heeft aangegeven dat ook het verspreiden
of (doen) installeren van een virus op een computer (en hiermee de computer met dit virus
infecteert) onder binnendringen valt.34 Hierop is nogal wat kritiek gekomen van Oerlemans en
Koops. De Hoge Raad redeneert dat als een virus een computer kan binnendringen de
verspreider van het virus zich dus impliciet schuldig maakt aan computervredebreuk.
Oerlemans en Koops bekritiseren dit gezichtspunt met de, mijns inziens terechte, redenatie dat
32 Kamerstukken II 1998/99, 26 671, 3, p. 44. 33 Kamerstukken II 2010/11, 27 529, 82, p. 12. 34 HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, m.nt. N. Keijzer (Toxbot).
1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft
computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft
computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van
verwerkingscapaciteit van een geautomatiseerd werk; b. b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang
verwerft tot het geautomatiseerd werk van een derde.
Afbeelding 2: art. 138ab Sr
12
het verspreiden van een virus een strafbaar feit op zichzelf is (art. 350a Sr). Dit artikel wordt in
feite overbodig als het verspreiden van een virus als computervredebreuk of als strafbare
voorbereidingshandeling voor computervredebreuk gezien wordt.35
Met betrekking tot lid 2 valt nog op te merken het ‘voor zichzelf of een ander overnemen,
aftappen of opnemen’ van data betrekking heeft op het plaatsen van deze gegevens op een eigen
opslagmedium zoals een harde schijf. Maar ook printen en overschrijven valt hieronder. Het
maakt daarbij niet uit om wat voor soort gegevens het gaat.36 We komen later nog tegen dat dit
implicaties heeft voor eventueel bewijs dat een ethisch hacker aan een organisatie wil
overhandigen.
2.1.3 Richtlijn 2013/40/EU
Europees gezien zijn er verschillen in de wetgeving en strafbaarstelling rondom
computervredebreuk. Zo moeten in Oostenrijk veiligheidsmaatregelen doorbroken zijn en moet
een ander benadeeld zijn, wil sprake zijn van strafbaar binnendringen in een computersysteem.
Naast het feit dat er Europees gezien verschillen zijn in strafbaarstelling, is er een wens tot
vereenvoudiging van de internationale politiesamenwerking. Gecombineerd met de
constatering dat de samenleving afhankelijker wordt van computersystemen is dit aanleiding
om in EU-verband te blijven werken aan verdergaande harmonisering van nationale
wetgeving.37 De laatste Europese richtlijn op het gebied van cybercrime is Richtlijn
2013/40/EU. Vermeldenswaardig in deze richtlijn is artikel 3.
35 Oerlemans & Koops, NJB 2011, p. 1-2. 36 Kamerstukken II 1998/99, 26 671, 3, p. 32-33. 37 Stol & Strikwerda 2017, p. 183.
§ 118a. Widerrechtlicher Zugriff auf ein Computersystem (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem überwindet, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Afbeelding 3: art. 118a lid 1 Strafgesetzbuch
13
Naast het feit dat ook in dit artikel sprake is van ‘het doorbreken van een beveiligingsmaat-
regel’, geeft het artikel ruimte om onbeduidende gevallen niet strafbaar te stellen. Volgens
overweging 12 uit de Richtlijn zouden ethische hacks hieronder kunnen vallen.
De wetgever in Nederland heeft deze uitzondering echter niet overgenomen. Wel heeft de
wetgever het strafmaximum in art. 138ab Sr naar aanleiding van de nieuwe Richtlijn (op grond
van art. 9 Richtlijn 2013/40/EU) verhoogd van één jaar naar twee jaar.38
2.1.4 Wet Computer Criminaliteit III
De nieuwe Wet Computer Criminaliteit III is op dit moment nog in behandeling. In de nieuwe
wet is voor ethisch hackers met name het nieuwe artikel 138c van belang. In dit artikel het
opzettelijk en wederrechtelijk overnemen van niet-openbare gegevens, die zijn opgeslagen door
middel van een geautomatiseerd werk, strafbaar gesteld.39
Hoewel de nieuwe Wet Computer Criminaliteit een aantal interessante nieuwe bepalingen
bevat, gaat dit onderzoek niet verder in op de nieuwe wet. Op het gebied van computer-
vredebreuk en andere artikelen die voor ethisch hacken interessant zijn, staan, los van het reeds
genoemde nieuwe artikel 138c Sr, in de nieuwe wetsvoorstellen verder weinig vernieuwingen.40
2.1.5 Wanneer is sprake van binnendringen?
Hacken is een uiterst complex materie. Ethisch hackers gebruiken veel technieken en
hulpmiddelen om kwetsbaarheden in computersystemen te vinden. Voor een hacker is het van
belang te weten tot hoever hij of zij wettelijk gezien mag gaan. Welke technieken mogen nog
38 Kamerstukken II 2014/15, 34 034, 2, p. 1. 39 Kamerstukken I 2016/17, 34 372, A, p. 2. 40 Kamerstukken I 2016/17, 34 372, A.
Artikel 3: Onrechtmatige toegang tot informatiesystemen De lidstaten treffen de nodige maatregelen om opzettelijke, onrechtmatige toegang tot een informatiesysteem of tot een deel daarvan, strafbaar te stellen wanneer het strafbaar feit is gepleegd door een beveiligings-maatregel te doorbreken, althans voor gevallen die niet onbeduidend zijn.
Afbeelding 4: artikel 3 Richtlijn 2013/40/EU
Overweging 12: het onderkennen en rapporteren van bedreigingen en risico’s die uitgaan van cyberaan-vallen en de kwetsbaarheid van informatiesystemen in dat verband, is een belangrijk element om cyber-aanvallen daadwerkelijk te voorkomen en te bestrijden en om de beveiliging van informatiesystemen te verbeteren. Door het rapporteren van beveiligingslacunes te stimuleren kan op dit gebied nog meer effect worden gesorteerd. De lidstaten moeten mogelijkheden trachten aan te reiken voor de wettige opsporing en rapportering van beveiligingslacunes.
Afbeelding 5: overweging 12 uit Richtlijn 2013/40/EU
14
wel en bij welke technieken pleegt de hacker een strafbaar feit? Dit onderzoek bespreekt zeker
niet alle technieken, maar noemt wel een aantal technieken waar de rechter zich over heeft
uitgesproken, of die dermate relevant zijn voor een hacker dat ze niet onvermeld mogen blijven.
Voor strafbaarstelling van computervredebreuk lijkt het in ieder geval niet van belang of de
indringer gegevens heeft ingezien of gegevens heeft meegenomen.41 Wel wordt dit feit op grond
van art. 138ab lid 2 Sr zwaarder gestraft dan als binnengedrongen is zonder dat gegevens
ingezien of meegenomen zijn. Waarbij het kopiëren van gegevens zelf bestraft kan worden op
grond van art. 139c Sr.
Wanneer is nu sprake van binnendringen? Een veel gebruikte techniek is SQL Injection
waarmee een hacker op een eenvoudige manier kan onderzoeken of een onderliggende database
op een website kwetsbaarheden bevat en dus gevoelig is voor hacken. Met dezelfde techniek
kan de hacker dan gegevens uit de database halen en gegevens in de database manipuleren.
Technieken zoals SQL-injectie worden door de rechter in ieder geval gezien als methode om in
een computer binnen te dringen en wel het binnendringen met behulp van valse signalen.42
In de voorbereidingsfase (ook wel enumeration genoemd) start een hacker vaak met het
uitvoeren van een port scan.43 Met deze techniek kan een hacker ontdekken of een server of
een werkstation poorten open heeft staan. Maar de hacker kan ook belangrijke informatie over
de infrastructuur achterhalen, zoals het merk, type en versienummer van de besturingssoftware.
Het is deels te vergelijken met een autodief die aan de portieren van geparkeerde auto’s voelt
of ze open zijn. En als dat het geval is, even kort naar binnen gluurt om te kijken of er iets te
halen is. De rechtbank Rotterdam bepaalde in 2014 dat het scannen van informatiesystemen om
kwetsbaarheden te onderkennen niet per se betekent dat het informatiesysteem is
binnengedrongen.44 Dit ondersteunt mijn mening dat het uitvoeren van een port scan nog niet
strafbaar is als computervredebreuk. Gezien de uitspraak van de rechter in Rotterdam is
41 Hof Den Haag 14 oktober 2013, ECLI:NL:GHDHA:2013:3871. 42 Hof Den Haag 03 februari 2012, ECLI:NL:GHSGR:2012:BV3397. 43 EC-Council 2017, P. 3. 44 Rb. Rotterdam 11 december 2014, ECLI:NL:RBROT:2014:10047.
SQL is een opdrachttaal voor databases. Met SQL-opdrachten kun je bijvoorbeeld gegevens uit een database ophalen, gegevens aanpassen of zelfs een hele database verwijderen. Bij SQL-injectie plaatst een hacker SQL-opdrachten in de adresbalk van de browser. Als een website niet goed beveiligd is tegen SQL-injectie en de SQL-opdrachten het juiste formaat hebben, kan de hacker onbevoegd opdrachten uitvoeren op de onderliggende database.
Afbeelding 6: definitie SQL-injectie
15
mogelijk wel sprake van een poging tot computervredebreuk. In het grenswisselkantoor-arrest
heeft de Hoge Raad een aantal voorwaarden genoemd waaraan voldaan moet zijn, wil sprake
zijn van een strafbare poging:45
1. Had de dader het voornemen om een misdrijf te plegen?
2. Heeft dit voornemen zich geopenbaard?
3. Is het openbaren van het voornemen geschied door een begin van uitvoering van het misdrijf
(uitvoeringshandeling of voorbereidingshandeling)?
4. Is de uitvoering alleen niet voltooid ten gevolge van omstandigheden van de wil van de
dader onafhankelijk (al dan niet vrijwillige terugtred)?
Het uitvoeren van een port scan kan gezien worden als het begin van de uitvoering van het
binnendringen in een geautomatiseerd werk aangezien diverse hackingmethoden het uitvoeren
van een port scan als eerste stap benoemen om informatie over potentiële ‘slachtoffers’ te
achterhalen46. Daarmee is het ook goed verdedigbaar dat het uitvoeren van een port scan door
een ethisch hacker te zien is als het voornemen om een geautomatiseerd werk binnen te dringen.
Samenvattend lijkt een port scan hiermee gezien te kunnen worden als een poging tot
computervredebreuk. Van echt indringen lijkt echter geen sprake.
Wat als iemand een informatiesysteem binnendringt, gebruikmakend van een wachtwoord van
een ander persoon? Of gebruikmakend van eigen inloggegevens terwijl bekend zou moeten zijn
dat je formeel gezien geen toegang (meer) hebt tot het betreffende informatiesysteem? Het Hof
bepaalde hierover dat ook in deze gevallen sprake is van computervredebreuk.47 De vraag is
hoe zich dat verhoudt tot het arrest in 2014 waarin hetzelfde Hof bepaalt dat geen sprake is van
computervredebreuk als een ex-vrouw zelf haar inloggegevens aan haar toenmalige man heeft
verstrekt.48
2.2 Overige strafbaarstellingen
Hoewel computervredebreuk voor ethisch hacken het meest relevante artikel is, is een aantal
verwante artikelen eveneens relevant.
45 HR 8 september 1987, ECLI:NL:HR:1987:AC0501, NJ 1988/612 (Grenswisselkantoor). 46 Oriyano 2016, p. 110 e.v. 47 Hof ’s-Hertogenbosch 22 november 2011, ECLI:NL:GHSHE:2011:BU5240, r.o. V.3. 48 Hof 's-Hertogenbosch 05 maart 2014, ECLI:NL:GHSHE:2014:636.
16
2.2.1 Belemmeren van een geautomatiseerd werk
Met het toenemen van het gebruik van e-mail in de jaren negentig, is ook het misbruik van e-
mail toegenomen. Met name spam, het ongevraagd toezenden van grote hoeveelheden e-mail,
leverde en levert veel hinder op voor bedrijven. Ruimer geformuleerd dan oorspronkelijk de
bedoeling was49, is het versturen van spam nu strafbaar gesteld onder art. Art. 138b lid 1 Sr. In
dit artikel is het opzettelijk en wederrechtelijk belemmeren van de toegang tot of het gebruik
van een geautomatiseerd werk door aan dit geautomatiseerd werk gegevens aan te bieden of toe
te zenden. Wel moet sprake zijn van daadwerkelijk belemmeren van de toegang tot of het
gebruik van het betreffende geautomatiseerd werk. Het moet bijvoorbeeld gaan om ernstige
vormen van het versturen van spam.50
Ook het uitvoeren van een distributed denial of service (DDoS) aanval, ook wel
verstikkingsaanval genoemd, valt onder art.138b Sr. Een DDoS-aanval wordt in de praktijk
meestal uitgevoerd vanuit een botnet. Dit is een aantal samenwerkende besmette computers die
centraal aangestuurd worden, met als doel een grote hoeveelheid data naar een specifieke
website te sturen. Het gevolg is vaak dat deze website de grote hoeveelheid data niet kan
verwerken en de betreffende website onbereikbaar wordt. Met zelfs een kans op onherstelbare
schade aan de website. Degene die zo’n botnet-aanval aanstuurt, kan als de dader van de DDoS-
aanval aangemerkt worden.51
Activiteiten van ethisch hackers, waarbij gegevens verstuurd worden die leiden tot
daadwerkelijk belemmeren van geautomatiseerde werken, zijn natuurlijk ook strafbaar. Zoals
al in paragraaf 2.1.5 beschreven, maken ethisch hackers vaak gebruik van een techniek die port
scanning heet. Hierbij worden gegevens verstuurd naar poorten op een geautomatiseerd werk,
waarna de ethisch hacker de response van het geautomatiseerd werk analyseert. Port scanning
is hinderlijk voor bedrijven, want het kan een inleiding zijn tot een daadwerkelijke cyberaanval.
Bedrijven nemen dan ook vaak (kostbare) maatregelen om port scanning te ontdekken. Hoewel
port scanning dus hinder oplevert voor het bedrijf, belemmert het niet de toegang tot een
geautomatiseerd werk en zou het hiermee niet strafbaar zijn op grond van art. 138b Sr.
49 Kamerstukken II 1998/99, 26 671, 3, p. 40. 50 Kamerstukken II 2004/05, 26 671, 10, p. 28. 51 Jacobs 2013, NJB 2013, p. 1.
17
2.2.2 Aftappen of opnemen van gegevens
Het opzettelijk en wederrechtelijk aftappen of opnemen van gegevens met een technisch
hulpmiddel is strafbaar op grond van art. 139c Sr. Onder aftappen wordt verstaan het omzetten
van gegevens in voor de mens directe vorm. Bijvoorbeeld door het maken van een kopie van
opgeslagen of langskomend dataverkeer.52
Art. 139c Sr is het centrale artikel in alle artikelen rondom afluisteren. Waar de artikelen 139a
Sr en art. 139b Sr betrekking hebben op het afluisteren van gesprekken, gaat dit artikel over het
aftappen (ook een vorm van afluisteren) van data die wordt verwerkt of wordt overgedragen
via een geautomatiseerd werk of via telecommunicatie. Bij hun werkzaamheden maken hackers
nogal eens gebruik van een zogenaamde sniffer, een apparaat of software waarmee data
onderschept wordt die via een (telecommunicatie) netwerk verstuurd wordt, of via een
keylogger: hardware of software om toetsaanslagen uit te lezen. Hiermee maken hackers zich
dus schuldig aan het wederrechtelijk aftappen van gegevens. Het artikel bevat enkele
uitzonderingen voor de strafbaarheid, zoals het feit dat het aftappen van gegevens via een radio-
ontvangapparaat niet strafbaar is. Behalve als een bijzondere inspanning gepleegd wordt om de
signalen binnen te halen. Als een hacker bijvoorbeeld specifieke apparatuur bouwt of koopt met
het doel radioverkeer af te luisteren, is dat dus wel strafbaar.53 Het gebruik van een keylogger
die het bluetooth netwerkverkeer afluistert, lijkt hiermee dus ook strafbaar. Maar ook de hacker
die slechts een SIM-kaart plaatst in een track&trace-systeem met het oogmerk signalen uit de
ether af te tappen.54 Ook het aftappen van gegevens van contactloos betalen valt onder dit
artikel.
Om de aanwezigheid van een kwetsbaarheid bij de betrokken organisatie te kunnen aantonen,
zal een ethisch hacker vaak bewijs willen vastleggen dat hij een kwetsbaarheid in een
computersysteem heeft gevonden. Als de hacker in kwestie hiervoor een kopie of een afdruk
maakt van gegevens die hij aantreft, maakt hij zich dus in principe schuldig aan het
wederrechtelijk aftappen van gegevens.
52 A. Engelfriet, ‘De Wet Computercriminaliteit: Aftappen van gegevens’, http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/aftappengegevens/. 53 HR 12 januari 1999, ECLI:NL:HR:1999:ZD1319, NJ 1999, 277, r.o. 8 en 3.12. 54 Rb. Noord-Nederland 18 april 2014, ECLI:NL:RBNNE:2014:2018.
18
Als laatste een recent en overduidelijk strafbaar voorbeeld betreft het plaatsen van gemanipu-
leerde e-dentifiers van ABN AMRO Bank in bankshops van ABN AMRO Bank. Het doel van
de criminelen was om gegevens van betaalpassen van klanten af te tappen. Hierbij werd
overigens voor meer dan 1 miljoen euro buitgemaakt.55
2.2.3 Het voorhanden hebben van technische hulpmiddelen
Ook voorbereidingshandelingen voor hacken zijn strafbaar gesteld en wel in art. 139d Sr, en
dan met name in lid 2. Dit artikel stelt het voorhanden hebben van een technisch hulpmiddel
strafbaar als dit hulpmiddel hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van
een misdrijf zoals genoemd in art. 138ab lid 1 Sr, 138b Sr of 139c Sr. En de bezitter het oogmerk
heeft een van de genoemde delicten te plegen met dit hulpmiddel. Het artikel komt voort uit
art. 6 van het Cybercrimeverdrag en heeft de bedoeling om cybercrime ‘bij de wortel aan te
pakken’ door het strafbaar tellen van het bezit van hulpmiddelen die een hacker kan gebruiken
bij het uitvoeren van strafbare handelingen.56 Veel hackers, en dus ook ethisch hackers, maken
gebruik van tools die specifiek ontworpen zijn om toegang te verkrijgen tot computersystemen.
Nog voordat de ethisch hacker zich daadwerkelijk schuldig heeft gemaakt aan
computervredebreuk, maakt hij zich dus al schuldig aan een strafbare voorbereiding. Waar de
het gebruik van de bluetooth keylogger uit paragraaf 2.2.2 strafbaar is op grond van art. 139c
Sr, is het bezit zelf ook al strafbaar op grond van art. 139d Sr. Mits de bezitter het oogmerk
heeft om met deze keylogger wederrechtelijk gegevens af te tappen.
Nederland had bij de ratificatie van het Cybercrimeverdrag een voorbehoud kunnen maken en
zich kunnen beperken tot een minimumimplementatie. Nederland heeft er echter voor gekozen
het art. 6 Cybercrimeverdrag integraal over te nemen. Dit leidt tot een zeer ruime strafbepaling
in art. 139d Sr.57 Een kernbegrip is dat een technisch hulpmiddel ‘hoofdzakelijk’ geschikt moet
zijn voor het uitvoeren van een strafbare handeling. De wetgever zegt hierover dat
‘hoofdzakelijk’ inhoudt dat legitiem gebruik mogelijk kan zijn, maar dat legitiem gebruik, naar
objectieve maatstaven, als ondergeschikt moet worden beschouwd.58 Aangezien veel tools die
door security experts gebruikt worden, ook door hackers gebruikt worden, lijkt dit artikel op
zichzelf minder relevant in de bestrijding van cybercrime. Met name in de gevallen dat
55 Hof Den Haag 16 januari 2018, ECLI:NL:GHDHA:2018:33. 56 Stol & Strikwerda 2017, p. 136. 57 Koops 2007, p. 44. 58 Kamerstukken II 2004/05, 26 671, 7, p. 36.
19
daadwerkelijke computervredebreuk niet bewezen kan worden, kan dit artikel mogelijk wel
uitkomst bieden.
Als laatste is het vermeldenswaardig dat de voorbereiding van gekwalificeerde
computervredebreuk (art. 139d lid 3 Sr) even zwaar gestraft wordt als de uitvoering van dit
misdrijf zelf (art. 138ab lid 3 Sr). Koops noemt dit discutabel aangezien art. 46 Sr in zijn
algemeenheid bepaalt dat de straf met de helft verminderd wordt als slechts sprake is van
voorbereiding.59
59 Koops 2007, p. 45.
20
3. Publicatie van gevonden kwetsbaarheden
Experts op het gebied van cybersecurity discussiëren regelmatig over de vraag of het beter is
om gevonden kwetsbaarheden te publiceren of dat het beter is deze onbesproken te laten en te
verbergen. Dit laatste is lang het beleid geweest van de ICT-industrie. Het idee achter dit
security by obscurity beleid was dat kwaadwillenden de kwetsbaarheden dan niet zouden
vinden. 60
3.1 Full disclosure
Het breed publiceren van gevonden kwetsbaarheden wordt full disclosure genoemd. Het
handboek voor IT-Ethiek definieert full disclosure als volgt: het proces van breed
communiceren over een kwetsbaarheid in een product of een informatiesysteem, met als doel
te zorgen dat potentiele slachtoffers net zoveel kennis hebben over de kwetsbaarheid als de
mogelijke aanvallers.61
Hackers hebben diverse redenen en motieven om voor full disclosure te kiezen:
1. Ter meerdere eer en glorie van de hacker zelf. Dit druist uiteraard tegen het ethische karakter
van het hacken in;
2. Door de kwetsbaarheid te publiceren, dwingt de hacker de organisatie om maatregelen te
nemen om de kwetsbaarheid op te lossen;
3. Door het publiceren van de kwetsbaarheid kunnen andere organisaties kennisnemen van de
kwetsbaarheid en vervolgens gepaste maatregelen nemen;
4. Soms bestaat angst bij de hacker om een gevonden kwetsbaarheid direct bij de organisatie
te melden.
Het risico van een volledige publicatie is dat ook kwaadwillende hackers informatie over de
gevonden kwetsbaarheid verkrijgen. De minister meent dan ook dat het veiligheidsrisico groter
wordt door het volledig bekend maken van gevonden kwetsbaarheden.62
Een bekend voorbeeld waarin een hacker zijn toevlucht zoekt tot een full disclosure is de hack
van de OV-chipkaart in 2008. Een aantal studenten aan de Radboud Universiteit ontdekken een
60 Maurushat 2013, p. 1-5 en Schneier 2015, Preface. 61 Northcutt 2004, p. 82. 62 Kamerstukken II 2012/13, 26 643, 264, bijlage ‘Brief Tweede Kamer: Kader voor Responsible Disclosure’, p. 1.
21
kwetsbaarheid in de chip (de Mifare van het bedrijf NXP), die gebruikt wordt op de ov-
chipkaart. Bij het eerste contact met het bedrijf dat de ov-chipkaart levert (Translink Systems)
is de reactie van het bedrijf dat er niets mis is met de kaart. Het bedrijf heeft geen interesse om
met de onderzoekers te praten. Uiteindelijk kiezen de onderzoekers op 14 januari 2008 voor
een eerste publicatie via het RTL-nieuws.63 Als blijkt dat de beveiligingsproblemen nog groter
zijn dan gedacht, lichten de onderzoekers de Rijksoverheid in.64 Als de onderzoekers het
resultaat willen publiceren op het European Symposium on research in Computer Security start
de maker van de Milfare-chip een kort geding tegen de onderzoekers om publicatie tegen te
houden. Uiteindelijk oordeelt de rechter dat de belangen van de NXP dermate groot zijn dat de
publicatie onrechtmatig is en een dringende maatschappelijke noodzaak opleveren om de
publicatie te verbieden. 65
Voorgenoemd voorbeeld illustreert de spanning tussen de wens van de hacker om
kwetsbaarheden publiekelijk kenbaar te maken en de wens van de organisatie om publicatie te
beperken of uit te stellen.
3.2 Responsible disclosure
Bij responsible disclosure vindt publicatie op een meer besloten manier plaats. Vaak licht de
hacker alleen de betreffende organisatie in. In overleg kunnen de melder en de betreffende
organisatie ook het Nationaal Cyber Security Centrum (NCSC) inlichten. Met name als de
kwetsbaarheid betrekking heeft op informatiesystemen bij de Rijksoverheid of bij vitale
sectoren.66
Bedrijven kunnen een beleid voor responsible disclosure op hun website publiceren. In dit
beleid beloven ze de melder van een kwetsbaarheid niet te zullen vervolgen als die zich aan een
aantal spelregels houdt.67 De meeste organisaties baseren hun responsible disclosure beleid op
de ‘Leidraad Responsible Disclosure’ waarover meer in het volgende hoofdstuk.
63 Van ’t Hof 2016, p. 14-20. 64 Kamerstukken II 2007/08, 31 200-VII, 74. 65 Rb. Arnhem 18 juli 2008, ECLI:NL:RBARN:2008:BD7578, r.o. 4.25. 66 Kamerstukken II 2012/13, 26 643, 264, p. 2. 67 Als voorbeeld het responsible disclosure beleid van ABN AMRO: https://www.abnamro.nl/nl/prive/abnamro/veilig-bankieren/responsible-disclosure.html
22
3.3 Bug bounty programma’s
Er zijn ook bedrijven die nog een stap verder gaan en een beloning uitloven voor ethisch hackers
die kwetsbaarheden opsporen en vervolgens aan het bedrijf voorleggen. Er zijn hackers die hier
goed aan verdienen. En er ontstaan organisaties die als intermediair werken tussen hackers en
organisaties. Eén van de bekendste bedrijven op het gebied van bemiddelen tussen hackers en
organisaties is HackerOne. De website van HackerOne heeft onder andere een pagina met een
overzicht van toegekende beloningen.68 De gemeente Apeldoorn was een van de eerste
overheidsorganen die een beloning geeft aan ethisch hackers.69 En ondertussen werken steeds
meer organisaties en overheidsorganen met een beloningssysteem.70
3.4 Klokkenluidersregeling
ICT-medewerkers van organisaties hebben vaak een goed zicht op de kwaliteit van de ICT-
systemen van de organisatie. Wat moet een ICT-medewerker doen als hij bij zijn superieuren
aangeeft dat er bepaalde kwetsbaarheden in de ICT-systemen zitten en hierdoor bijvoorbeeld
data van klanten niet goed beveiligd is? En hier vervolgens niets mee gedaan wordt? Ook hier
speelt dan de vraag of de medewerker mag overgaan tot full disclosure van de kwetsbaarheden.
In het algemeen zal de medewerker gehouden zijn tot geheimhouding. En hiermee ontstaat een
spanningsveld tussen deze geheimhoudingsplicht en de vrijheid van meningsuiting.71 Verhulp
geeft aan dat het openbaar maken van misstanden binnen een organisatie een groot
maatschappelijk belang betreft. En dat medewerkers zich in dat geval moeten kunnen beroepen
op de vrijheid van meningsuiting.72
In 1990 was de Hoge Raad nog niet zo ver. In het arrest Meijer/De Schelde hecht de Hoge Raad
zeer veel waarde aan de geheimhoudingsplicht die Meijer heeft ten aanzien van zijn werkgever.
Een afweging of het publiceren van informatie opweegt tegen het maatschappelijke belang
68 https://hackerone.com/hacktivity 69 http://www.binnenlandsbestuur.nl/digitaal/nieuws/apeldoorn-gaat-hackers-belonen.9483389.lynkx. 70 https://www.rijksoverheid.nl/onderwerpen/cybercrime/vraag-en-antwoord/responsible-disclosure. 71 Vankan 2015, p. 11. 72 Verhulp 1996, p. 78-79.
Gemeente Apeldoorn: “Wij kunnen u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning wisselen van een eenvoudig ‘dankjewel’ tot een bedrag van maximaal € 300. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.”
Afbeelding 7: Onderdeel uit het responsible disclosure beleid van de gemeente Apeldoorn
23
wordt door de Hoge Raad niet gemaakt.73 In 2012 oordeelt de Hoge Raad anders. De Hoge
Raad is dan van mening dat er uitzonderingen zijn op de plicht tot loyaliteit en discretie en
weegt de belangen van de onderneming af tegen het maatschappelijke belang, dat gediend is
met de publicatie door de werknemer. Hierbij is het wel van belang dat de werknemer geen
andere, voor de werkgever minder schadelijke, mogelijkheden heeft.74
Begin september 2011 wordt bekend dat er een grote hack is bij het bedrijf Diginotar. Dit bedrijf
geeft de certificaten uit voor overheidswebsites. Door de hack kan een bezoeker van een
overheidssite niet zeker meer weten of hij ook daadwerkelijk de juiste website bezoekt. Ook
het certificaat van DigiD is verstrekt door Diginotar, waardoor het gebruik van DigiD niet meer
veilig is. Het beveiligingsbedrijf Fox-IT ontdekt ook dat hackers certificaten hebben
aangemaakt voor Gmail in Iran. Hierdoor is het mogelijk om het e-mailverkeer van ongeveer
300.000 Iraanse e-mailgebruikers te onderscheppen en te lezen.75 Vanuit de
hackersgemeenschap wordt een brandbrief gestuurd naar een groot aantal journalisten en naar
de vaste Kamercommissie Binnenlandse Zaken.76 Naar aanleiding van de gebeurtenissen bij
Diginotar en de ontvangen brandbrief stelt de PVDA’er Pierre Heijnen voor een
klokkenluidersregeling voor hackers in het leven te roepen. Naar eigen zeggen heeft Heijnen
hiervoor een Kamermeerderheid van 120 zetels.77 Uiteindelijk haalt de motie voor een
klokkenluidersregeling voor ethisch hackers het toch niet.78
Werknemers die misstanden binnen de eigen organisatie willen melden, kunnen vallen onder
een klokkenluidersregeling. Meldingen over een (technische) kwetsbaarheid in de systemen
van de organisatie vallen hier echter vaak niet onder. Twee voorbeelden van modellen voor
klokkenluidersregelingen zijn het model van de Rijksoverheid en de verklaring van de Stichting
van de Arbeid. In deze beide modellen is geen bescherming van medewerkers voor responsible
disclosure meldingen opgenomen.79
73 HR 20 april 1990, ECLI:NL:PHR:1990:AD1092, NJ 1990, 702. 74 HR 26 oktober 2012, ECLI:NL:HR:2012:BW9244, TRA 2013, 7. 75 Van ’t Hof 2016, p. 42. 76 Van ’t Hof 2016, p. 42 en https://hackerspaces.nl/2011/09/brandbrief-van-nationale-hackergemeenschap-inzake-ict-beveiliging-overheid/#more-15 77 Van der Kolk, Volkskrant 19 september 2011, https://www.volkskrant.nl/media/-meerderheid-kamer-wil-bescherming-voor-hackers~a2916440/. 78 Handelingen II 2011/12, 26 643, 26, p. 12-26-121 tot en met 12-26-127. 79 CIO Platform Nederland 2016, p. 9.
24
Interne medewerkers hebben veel kennis hebben van de eigen informatiesystemen en ook van
eventuele kwetsbaarheden in deze systemen. Om de drempel voor het melden van deze
kwetsbaarheden zo laag mogelijk te maken, lijkt het zinvol om in de genoemde modellen voor
een klokkenluidersregeling een paragraaf op te nemen voor responsible disclosure van
kwetsbaarheden in informatiesystemen door de eigen medewerkers.
In een van de weinig zaken van het EHRM over klokkenluiders bepaalde het EHRM dat
openbaar maken van misstanden binnen de overheid gerechtvaardigd kan zijn en daarmee onder
bescherming van art. 10 EVRM kan vallen. Het maatschappelijk belang van het openbaar
maken moet dan wel evident zijn en een andere manier van aankaarten van de misstanden, zoals
melden bij een superieur, moet uit praktische overwegingen niet mogelijk zijn. En de
betreffende klokkenluider moet te goeder trouw zijn.80 Waarbij Vankan aanvult dat het
aanbeveling verdient om bij een externe melding door een klokkenluider niet direct naar de pers
te stappen, maar eerder te kiezen voor een minder bezwaarlijke weg. Een mogelijkheid is om
eerst een bevoegde instantie in te lichten.81
80 EHRM 12 februari 2008, 14277/04, r.o. 73-77 (Guja/Moldavië). 81 Vankan 2015, p. 48.
25
4. Leidraad voor responsible disclosure
4.1 Wat is de Leidraad Responsible Disclosure?
De minister is van mening dat samenwerking tussen private en publieke partijen enerzijds en
de ICT security community anderzijds van groot belang is in het gezamenlijke streven naar een
hoger niveau van cybersecurity.82 Hierbij vindt de minister het van groot belang dat ethisch
hackers op een verantwoorde wijze met de gevonden kwetsbaarheden omgaan. De minister
heeft in dit kader begin 2013 door het NCSC (Nationaal Cyber Security Centrum) een leidraad
laten opstellen die de hackers en de organisaties die met kwetsbaarheden te maken hebben, bij
elkaar moet brengen.83
Deze Leidraad voor Responsible Disclosure komt er kort gezegd op neer dat een organisatie
een responsible disclosure beleid kan opstellen en publiceren. Als een ethisch hacker zich houdt
aan dit beleid, belooft de organisatie geen juridische stappen tegen de hacker te ondernemen.
Het belangrijkste doel van de Leidraad is het bij elkaar brengen van hackers die een
kwetsbaarheid hebben gevonden en organisaties die eigenaar zijn van de informatiesystemen
waarin de kwetsbaarheid zich bevindt. Daarbij willen zowel de hacker als de organisatie de
kwetsbaarheid verhelpen.
Aan de hand van de Leidraad kan een organisatie een eigen beleid vormgeven inzake
responsible disclosure. Met dit beleid kan een organisatie bevorderen dat hackers
kwetsbaarheden op een verantwoorde wijze bij de organisatie zelf melden. De Leidraad noemt
het zelf ‘een van waarborgen voorziene handelswijze’.84
Het responsible disclosure beleid zoals het in de Leidraad beschreven is, bestaat uit een aantal
kernelementen. Allereerst moet de organisatie het betreffende beleid publiceren. Gebruikelijk
is om dit via de website van de organisatie te doen.85 Hierbij zorgt de organisatie voor een
laagdrempelige mogelijkheid voor ethisch hackers om, al dan niet anoniem, een melding te
82 Kamerstukken II 2012/13, 26 643, 264, p. 1. 83 Kamerstukken II 2012/13, 26 643, 264, bijlage ‘Brief Tweede Kamer: Kader voor Responsible Disclosure’. 84 NCSC 2013, p. 3. 85 Als voorbeeld het gepubliceerde beleid van KPN Internedservices: https://www.internedservices.nl/responsible-disclosure/
Volgens de Leidraad is responsible disclosure: ‘[H]et op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure.
Afbeelding 8: Definitie responsible disclosure volgens de Leidraad
26
doen van een gevonden kwetsbaarheid. Als tweede neemt de organisatie de melding in
ontvangst, zorgt ervoor dat de melding op de juiste plaats binnen de organisatie belandt en
stuurt de melder een bevestiging van de ontvangst van de melding. Vervolgens maakt de
organisatie afspraken met de melder over de, redelijke, termijn waarop de kwetsbaarheid wordt
opgelost en over de termijn van een eventuele bekendmaking. Als laatste onthoudt de
organisatie zich van juridische vervolgstappen als de ethisch hacker zich aan het responsible
disclosure beleid van de organisatie houdt. De organisatie kan ook nog een beloning aan de
ethisch hacker geven en/of de credits voor het vinden van de kwetsbaarheid geven (een bug
bounty).86
De melder moet zich dus aan een aantal richtlijnen houden. De belangrijkste twee richtlijnen,
of eigenlijk eisen, zijn:
- De melder informeert alleen de organisatie, doet dat zo snel mogelijk na ontdekking van
een kwetsbaarheid en informeert de organisatie op een vertrouwelijke wijze;
- De melder zal niet onevenredig handelen.
Het wel of niet onevenredig zijn van het handelen van de ethisch hacker wordt in de Leidraad
bepaald aan de hand van een aantal ‘verboden’ handelingen.87
Van groot belang is om op te merken dat het reponsible disclosure beleid een privaatrechtelijke
afspraak is tussen de melder en de organisatie. Het voldoen aan de eisen gesteld in het
repsonsible disclose beleid van een organisatie behoedt de melder wel voor privaatrechtelijke
aanspraken, maar belet het OM niet om alsnog strafrechtelijke te vervolgen.
4.2 Vervolgingsbeleid van het Openbaar Ministerie
In Nederland bepaalt de Officier van Justitie of vervolging haalbaar en opportuun is. Op grond
van art. 167 lid 2 Sv en art. 242 lid 2 Sv kan het OM afzien van vervolging op gronden van het
algemeen belang. Aan dit opportuniteitsbeginsel zitten wel grenzen. Zo dicteert het verbod op
willekeur dat het OM een beleid moet voeren voor vervolging.88 Doordat de
opportuniteitsafwegingen aan het OM zijn toevertrouwt, draagt de minister van Justitie
86 NCSC 2013, p. 7. 87 NCSC 2013, p. 8. 88 Corstens/Borgers 2014, p. 598.
27
politieke verantwoordelijkheid voor de beleidskeuzes van het OM.89 Dit verklaart mogelijk
waarom het OM haar vervolgingsbeleid rondom responsible disclosure heeft gebaseerd op de
door de minister gedicteerde Leidraad.
De Leidraad benoemt expliciet dat het conformeren aan een reponsible disclosure beleid
strafrechtelijke vervolging niet in de weg staat. Het OM bevestigt dit in een beleidsbrief uit
2013.90 Deze beleidsbrief is gebaseerd op de Leidraad en behandelt het opportuniteitsbeginsel
bij responsible disclosure. De beleidsbrief bepaalt onder andere dat bij een eventueel onderzoek
naar een ethische hack de strafbaarheid en aansluitende vervolging beoordeeld moeten worden
aan de hand van een vergelijkbaar toetsingskader als gebruikt wordt bij situaties waarin door
journalisten strafbare feiten worden gepleegd met het oog op nieuwsgaring. Concreet beschrijft
het OM dat eventuele strafbare feiten getoetst moeten worden op de volgende aspecten:
- Was het handelen van de verdachte noodzakelijk binnen een democratische samenleving
(zwaarwegend algemeen belang)? Het bijdragen aan de veiligheid van informatiesystemen
is in het algemeen aan te merken als een zwaarwegend belang.91
- Was het handelen van de ethisch hacker proportioneel? Stond het gekozen middel in
verhouding met het te bereiken doel?
- Was het handelen van de ethisch hacker subsidiair? Of had hij andere mogelijkheden om
hetzelfde doel te behalen?
Beargumenteert kan worden dat ethisch hackers het algemeen belang willen dienen. Zo heeft
de rechter in de zaak van het Groene Hart Ziekenhuis bepaald dat het aantonen van gebreken
in de beveiliging van vertrouwelijke, medische gegevens en persoonsgegevens een wezenlijk
maatschappelijk belang kan dienen.92 Dit is echter niet voldoende om vervolging door het OM
te voorkomen. Het OM neemt immers ook proportionaliteit en subsidiariteit van de handelingen
in ogenschouw.
Het OM houdt, bij de vraag of er sprake is van een strafbare gedraging, dus rekening met alle
bovenstaande aspecten. Dit houdt in dat, ook als de hacker en de organisatie overeenkomen dat
aan alle voorwaarden van het responsible disclosure beleid van de organisatie is voldaan en/of
89 Keulen & Knigge 2010, p. 168. 90 OM 2013. 91 Harms, NJLP 2017, p. 200. 92 Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611, r.o. 3.2.3. en 4.4.1.
28
als de ethisch hacker zich beroept op het feit dat hij een algemeen belang heeft gediend, het
OM alsnog strafrechtelijk kan vervolgen.
Het aanwezig zijn van een beleid voor responsible disclosure bij de betrokken organisatie is
voorwaardelijk voor het eventueel afzien van vervolging. In een beleidsbrief schrijft het OM
dat in het geval een organisatie geen beleid heeft voor responsible disclosure, er ook geen
sprake kan zijn van responsible disclosure.93 Eind 2014 gaf de toenmalige minister van Justitie
aan dat er tot dat moment in alle gevallen van ethisch hacken waar een responsible disclosure
beleid bij betrokken organisatie bestond, geen vervolging is ingesteld door het OM.94 Ook tot
op heden zijn geen gevallen bekend waarin het OM vervolging instelt, terwijl sprake is van een
responsible disclosure beleid bij de betrokken organisatie.
Nu zijn er zijn nog steeds veel bedrijven die geen responsible disclosure beleid hebben. Van
een generieke rechtsbescherming voor ethisch hackers in het kader van responsible disclosure
is daarmee dan ook geen sprake. Een ethisch hacker die een kwetsbaarheid vindt bij een
organisatie zonder responsible disclosure beleid, heeft een probleem. Dit nog los van het feit
dat er niet zoiets is als het responsible disclosure beleid. Maakt het nog uit wat een organisatie
in het beleid zet? Of is een kopje ‘responsible disclosure beleid’ voldoende? En wat als de titel
“Zwakke plek ontdekt? Meld het direct!” is?95
Zoals al eerder aangegeven is het opmerkelijk dat het OM eventuele strafrechtelijke vervolging
laat afhangen van de vraag of in privaatrechtelijke zin sprake is van een overeenkomst tussen
de ethisch hacker en de betrokken organisatie. Het zou beter geweest zijn om een
vervolgingsrichtlijn op te stellen, waarin de bevoegdheid tot vervolging bijvoorbeeld wordt
voorbehouden aan bepaalde gevallen van hacken.96
Bovenstaande is extra bevreemdend als je het beleid van de overheid ziet als een vorm van
positieve uitlokking, zoals Harms schrijft. Waarbij Harms onder positieve uitlokking verstaat
“het aanzetten tot gewenst gedrag dat formeel gezien strafbaar is”.97 De overheid voert zelf een
responsible disclosure beleid ten aanzien van haar eigen informatiesystemen. Daarnaast
93 OM 2013. 94 Kamerstukken II 2014/15, 26 643, 354, p. 16. 95 https://www.ohra.nl/klantenservice/veilig-online/responsible-disclosure.jsp 96 Timmerman, NJB 2013, p. 2. 97 Harms, NJLP 2017, p. 196.
29
publiceerde de overheid de Leidraad Responsible Disclosure en lijkt het OM terughoudend te
zijn met vervolging van ethisch hacken. De overheid geeft hiermee aan geen principieel
bezwaar te hebben tegen ethisch hacken.98 En het zelfs aan te moedigen, mits de ethisch hacker
zich niet buiten de grenzen van het responsible disclosure beleid begeeft.
4.3 Welke praktische bezwaren kleven er aan de Leidraad?
In de Leidraad staat dat de Leidraad een van waarborgen voorziene handelswijze is voor
onderzoekers, maar ook voor hackers. Hiermee lijkt de Leidraad een bepaalde mate van
rechtszekerheid te bieden aan ethisch hackers.
De wetgever kan niet precies voorzien welke concrete gevallen (bijvoorbeeld van hacken) zich
in de praktijk zullen voordoen. Daarnaast is de sociale werkelijkheid, en met name de snel
voortschrijdende technologie, aan veranderingen onderhevig. Om deze redenen ontkomt de
wetgever er niet aan om formele wetten, maar ook beleidsdocumenten zoals de Leidraad, in
algemene termen te formuleren.99 Ook in de Leidraad is dit op een aantal punten het geval.
Volgens Rozemond moeten de algemeen geformuleerde aanwijzingen in de rechtspraktijk
verder worden ontwikkeld aan de hand van specifieke gevallen uit de praktijk.100 Helaas is de
jurisprudentie rondom cybercrime en ethisch hacken nog erg summier. Voor een ethisch hacker
zijn bepaalde formuleringen in de Leidraad dan ook nog niet duidelijk genoeg.
Bij het bestuderen van de Leidraad vallen onder andere de onderstaande eisen op:
- De melder moet de melding zo snel mogelijk doen. Maar wat is zo snel als mogelijk? De
melder wil mogelijk eerst zekerheid of de organisatie wel of niet aangifte doet. Hier kan
enige tijd overheen gaan.
- Wat verstaat de Leidraad onder “een kwetsbaarheid niet verder uitnutten dan noodzakelijk
is om de kwetsbaarheid aan te tonen”? Om een melding te substantiëren, wil een ethisch
hacker natuurlijk wel iets van bewijs laten zien aan een organisatie. Soms volstaat een
schermafdruk, maar andere keren gaat het om een kwetsbaarheid die niet op deze manier is
aan te tonen. Dit zou in mijn ogen in de Leidraad genuanceerd moeten worden. Waarbij een
ethisch hacker uiteraard niet te ver mag gaan, zoals bij het Groene Hart Ziekenhuis wel
gebeurde. Hoewel het Groene Hart Ziekenhuis wel zijn waardering uitte dat een ethisch
98 Harms, NJLP 2017, p. 201-202. 99 Rozemond 2011, p. 7-8. 100 Rozemond 2011, p. 9.
30
hacker eerst contact opnam met het ziekenhuis om een gevonden kwetsbaarheid door te
geven, deed het ziekenhuis vervolgens wel aangifte toen bleek dat de hacker vertrouwelijke
patiëntendossiers downloadde. Ook de rechter gaf aan dat het kopiëren van vertrouwelijke
patiëntendossiers (veel) te ver gaat.101
Wat als de organisatie zich zelf niet aan haar eigen beleid voor responsible disclosure houdt?
Zo geeft KPN aan dat binnen twee dagen contact wordt opgenomen om “afspraken te maken
over een redelijke herstelperiode”.102 Wat kan de ethisch hacker doen op het moment dat KPN
besluit de gevonden kwetsbaarheid niet te herstellen? Of als de ethisch hacker van mening is
dat geen sprake is van een redelijke termijn?
Hier loopt de ethisch hacker tegen het probleem aan dat de wetgever een strafrechtelijk
probleem probeert op te lossen met een privaatrechtelijke oplossing. De ethisch hacker is
enerzijds afhankelijk van het aanwezig zijn van een responsible disclosure beleid bij de
betrokken organisatie. De vraag is hoe een ethisch hacker nakoming van het eigen beleid van
de betrokken organisatie kan afdwingen. Mogelijk kan de ethisch hacker nakoming vorderen
op grond van het leerstuk van wanprestatie.
In Nederland komen overeenkomsten vormvrij tot stand waarbij dus niet aan formele eisen
voldaan hoeft te zijn.103 Op grond van art. 6:217 lid 1 Bw komt vervolgens een overeenkomst
tot stand door een aanbod en de aanvaarding van dit aanbod. Op het moment dat een organisatie
een responsible disclosure beleid publiceert en ethisch hackers aanmoedigt om zich te melden,
is goed verdedigbaar dat sprake is van een aanbod. Met een aanvaarding door de ethisch hacker
op het moment dat hij zich bij de betreffende organisatie meldt met een gevonden
kwetsbaarheid. De inhoud van de overeenkomst wordt vervolgens ingevuld door het
gepubliceerde responsible disclosure beleid. Als de organisatie haar deel van de overeenkomst
– toerekenbaar – niet nakomt, is sprake van wanprestatie. De vraag is echter of dit kan leiden
tot een oplossing voor de ethisch hacker. De ethisch hacker kan mogelijk schadevergoeding
eisen, maar hier is het de ethisch hacker in zijn algemeenheid niet om te doen. De ethisch hacker
kan de overeenkomst ook ontbinden.104 Dan belandt de ethisch hacker echt in een juridisch
101 Rb. Den Haag 17december 2014, ECLI:NL:RBDHA:2014:15611 (Groene Hart Ziekenhuis). 102 https://www.kpn.com/algemeen/missie-en-privacy-statement/beveiligingskwetsbaarheid.htm 103 Rinkes e.a. 2009, p. 282. 104 Bakels 2011, P. 4
31
niemandsland. De organisatie heeft een beleid voor responsible disclosure, hetgeen een eis is
voor het OM om mogelijk van vervolging af te zien, maar de organisatie zelf houdt zich niet
aan haar eigen beleid. En de ethisch hacker wil mogelijk de kwetsbaarheid publiceren om
andere organisaties hiervoor te waarschuwen en mogelijk extra druk uit te oefenen op de
partijen die de kwetsbaarheid wel kunnen verhelpen. Naast enkele onduidelijkheden in de
Leidraad is deze verwevenheid van strafrecht en privaatrecht misschien wel het grootste
probleem dat aan de Leidraad kleeft.
Naast juridische bezwaren kleeft er ook een aantal technische, professionele bezwaren aan de
formuleringen in de Leidraad. Het voert te ver voor deze scriptie om ze allemaal te behandelen,
maar hieronder volgt een korte bloemlezing van deze bezwaren.
De ethisch hacker maakt geen gebruik van social engineering
Het overgrote deel van hacks wordt uitgevoerd met behulp van social engineering. De meest
bekende vorm hiervan is de zogenaamde phishing e-mail. De redenering van de wetgever om
dit uit te sluiten is dat algemeen bekend is dat mensen de zwakker schakel zijn in
informatiebeveiliging. Dit zou juist een reden kunnen zijn om social engineering niet
categorisch uit te sluiten.
De ethisch hacker mag geen backdoor plaatsen
Het feit dat het mogelijk is om een backdoor te plaatsen geeft de urgentie van de kwetsbaarheid
aan. Ook deze handelswijze zou wat mij betreft niet categorisch uitgesloten moeten worden.
Waarbij het natuurlijk evident is dat de ethisch hacker met het plaatsen van een backdoor geen
onverantwoorde risico’s mag nemen.
Niet herhaaldelijk toegang verkrijgen tot een computersysteem
Ethisch hackers zullen soms eerst een geslaagde hack willen reproduceren voordat ze overgaan
tot een melding aan de eigenaar van het computersysteem waar de kwetsbaarheid is
aangetroffen. Het kan voor het werk van de ethisch hacker dus noodzakelijk zijn om meerdere
malen toegang te verkrijgen tot het computersysteem.
Alle bovenstaande uitsluitingen komen voort uit een zorg dat de ethisch hacker niet zorgvuldig
genoeg werkt en schade veroorzaakt aan of in de computersystemen van de organisatie. Maar
vertrouwen is nu net de sleutel voor een samenwerking gebaseerd op repsonsible disclosure
32
beleid. Er moeten natuurlijk wel grenzen gesteld worden aan het handelen van de ethisch
hacker, maar als wij het werk van de ethisch hacker belangrijk vinden, moet een ethisch hacker
wel voldoende ruimte krijgen om zijn werk op professionele wijze uit te voeren.
4.4 Wet gegevensbescherming en meldplicht cybersecurity
Op grond van de Wet gegevensbescherming en meldplicht cybersecurity die per 1 januari 2018
is ingegaan, bestaat voor vitale aanbieders een meldplicht bij inbreuken op de veiligheid van
informatiesystemen en bij verlies van integriteit van informatiesystemen. Het gaat hier om een
nieuwe meldplicht die naast de al bestaande meldplicht voor datalekken bestaat.
Vitale aanbieders zijn drinkwaterbedrijven, landelijke en regionale netbeheerders, grote
Nederlandse financiële instellingen, grote aanbieders van telecommunicatiediensten,
aanbieders van internetknooppunten, Mainport Rotterdam, Mainport Schiphol en het Ministerie
van Infrastructuur en Waterstaat.105 Hoogstwaarschijnlijk wordt de lijst nog verder uitgebreid.
De meldplicht geldt met name als de beschikbaarheid of betrouwbaarheid van een product of
een dienst in belangrijke mate wordt onderbroken of kan worden onderbroken. Dus ook als het
risico bestaat dat de beschikbaarheid of de betrouwbaarheid van een product of dienst
onderbroken wordt.
Wat moet een ethisch hacker dan doen als hij een kwetsbaarheid ontdekt bij een vitale aanbieder
die geen responsible disclosure beleid heeft? Of dat wel heeft, maar er met de melder niet
uitkomt? Sommige ethisch hackers vinden dan ongetwijfeld dat ze op dat moment een (morele)
plicht hebben om andere organisaties te waarschuwen door de kwetsbaarheid alsnog bekend te
maken. Waarop de ethisch hacker vervolgens dus het risico loopt om strafrechtelijk vervolgd
te worden.
105 Besluit meldplicht cybersecurity van 4 december 2017, Stb. 2017, 476.
33
5. Rechtsbescherming voor ethisch hackers
Zoals eerder al aangegeven, dient het ethisch hacken een maatschappelijk belang en kan men
zelfs stellen dat organisaties blij moeten zijn met professionele ethisch hackers. Als dat zo is,
kan de vraag gesteld worden of ethisch hacken als zodanig wederrechtelijk is. En mogelijk kan
de ethisch hacker beschermd worden onder de vrijheid van meningsuiting, zoals beschreven in
artikel 10 EVRM. Deze beide vragen komen in dit hoofdstuk aan de orde.
5.1 Ontbreken van materiële wederrechtelijkheid
5.1.1 Wat houdt het ontbreken van materiële wederrechtelijkheid in?
In sommige gevallen worden handelingen, die strikt volgens de wet strafbaar zijn, toch als niet
strafbaar aangemerkt. Hiervoor zijn in de wet de zogenaamde wettelijke strafuitsluitings-
gronden opgenomen. In de loop van de tijd heeft zich, naast de wettelijke strafuitsluitings-
gronden nog een aantal buitenwettelijke strafuitsluitingsgronden ontwikkeld. Een van deze
buitenwettelijke strafuitsluitingsgronden is het ontbreken van materiële wederrechtelijkheid.
De kern hiervan is dat de wederrechtelijkheid van een in eerste instantie strafbare handeling
kan wegvallen als de verrichte handeling ten dienste staat van het algemeen belang.106
Het leerstuk van het ontbreken van materiële wederrechtelijkheid is gebaseerd op het Huizense
Veearts-arrest uit 1933. “Onjuist is de stelling, dat iemand, die een met straf bedreigde
handeling pleegt, in ieder geval strafbaar is, wanneer niet de wet zelf met zooveel woorden een
strafuitsluitingsgrond aanwijst. Immers het geval kan zich voordoen, dat de wederrechtelijkheid
in de delictsomschrijving zelve geen uitdrukking heeft gevonden en niettemin geen
veroordeling zal kunnen volgen op grond dat de onrechtmatigheid der gepleegde handeling in
het gegeven geval blijkt te ontbreken en derhalve dan het betrokken wetsartikel op de letterlijk
onder de delictsomschrijving vallende handeling niet van toepassing is.”107 Het arrest gaat over
een veearts, die op het vee een zekere behandeling toepast, waarbij de behandeling in het belang
van het vee is. De veearts maakt zich daarmee niet schuldig aan een strafbare gedraging.108
106 De Hullu 2015, p. 353-359. 107 HR 20 februari 1933, NJ 1933/918 (Huizense Veearts). 108 Enschedé & Bom 2013, p. 75-78.
34
5.1.2 Kan het verweer van het ontbreken van materiële wederrechtelijkheid een reële
vorm van rechtsbescherming voor de ethisch hacker vormen?
Ethisch hacken is niet gedefinieerd in het Wetboek van Strafrecht. En is er dus geen onderscheid
tussen hackers met goede en hackers met kwade bedoelingen. Bij ethisch hacken kan men
echter betogen dat wel sprake is van opzet, maar dat geen sprake is van wederrechtelijkheid
van de gedraging. In dit kader wijzen Falot en Schermer op het algemeen belang van ethisch
hacken dat een rechtvaardiging vormt voor computervredebreuk:
“In het geval van responsible disclosure kan deze rechtvaardiging worden gevonden in
het feit dat de ethisch hacker bij het plegen van computervredebreuk het oogmerk had
informatiesystemen veiliger te maken en daarmee handelde in zowel het belang van de
eigenaar van het informatiesysteem, als in een breder maatschappelijk belang.” 109
Een bekende zaak uit 2013 betreft Henk Krol die zich wederrechtelijk toegang verschafte tot
de computersystemen van een zorginstelling. Hij verdedigde zich (overigens tevergeefs) met
een beroep op art. 10 EVRM betreffende de vrijheid van meningsuiting en nieuwsgaring. Hij
wees onder andere op het maatschappelijke belang waarin hij handelde. Hoewel Krol
uiteindelijk veroordeeld werd, erkende de rechter dat computervredebreuk onder de juiste
omstandigheden niet per se wederrechtelijk hoeft te zijn.110 Ruim een jaar later spreekt de
rechter zich hier nogmaals over uit in zaak tegen de hacker van het Groene Hart Ziekenhuis.111
De rechter erkent dus dat toepassing van de rechtvaardigingsgrond mogelijk is, maar lijkt de
rechtvaardigingsgrond niet snel aan te nemen.112 De rechter stelt met name zware eisen aan
proportionaliteit en subsidiariteit:
“De enkele omstandigheid dat verdachte stelt een ‘ethisch hacker’ te zijn en ten behoeve
van de maatschappij te hebben gehandeld, is onvoldoende, alleen al omdat het handelen
van verdachte ook steeds moet worden getoetst aan de eisen van proportionaliteit en
subsidiariteit.” 113
109 Falot & Schermer, Computerrecht 2016, p. 95. 110 Rb. Oost-Brabant 15 februari 2013, ECLI:NL:RBOBR:2013:BZ1157. 111 Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611. 112 Falot & Schermer, Computerrecht 2016, p. 97. 113 Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611.
35
Het beroep op het ontbreken van materiële wederrechtelijkheid wordt als verweer regelmatig
gevoerd, maar door de rechter zelden gehonoreerd. De Hullu geeft dan ook aan dat de algemene
exceptie van het ontbreken van materiële wederrechtelijkheid geen grote rol van betekenis
speelt.114
Aanvullend is nog van belang om hierbij op te merken dat als sprake is van ontbreken van
materiële wederrechtelijkheid, deze rechtvaardiging pas gevonden wordt op het moment dat de
ethisch hacker de gevonden kwetsbaarheid publiceert en mogelijk onder een responsible
disclosure beleid valt. Daarvan is op het moment van het plegen van het strafbare feit zelf, de
computervredebreuk, nog geen sprake.
5.2 Rechtsbescherming van ethisch hackers onder art. 10 EVRM
Voorafgaande aan de bespreking van art. 10 EVRM en de mogelijke waarde voor de rechts-
bescherming van ethisch hackers is het goed om te realiseren dat uitspraken van het Europees
Hof voor de Rechten van de Mens (EHRM) op grond van art. 46 EVRM alleen bindend zijn
voor de partijen die bij het geschil zijn betrokken. Dit geldt echter niet voor de interpretaties
van begrippen uit het EVRM door het EHRM.115 Hierdoor is het alsnog mogelijk om aan de
hand van jurisprudentie van het EHRM algemene uitspraken te doen over de mogelijke
toepassing van art. 10 EVRM voor rechtsbescherming van ethisch hackers.
5.2.1 Vrijheid van meningsuiting onder art. 10 EVRM
De reikwijdte van de ‘vrijheid van meningsuiting en persvrijheid’ in art. 10 EVRM is ruimer
geformuleerd dan in art. 7 van onze grondwet. Een belangrijk verschil is dat ook het ontvangen
van informatie en het doorgeven van inlichtingen beschermd zijn onder art. 10 EVRM. Vooral
bijdragen aan politieke of maatschappelijke discussies vallen onder de reikwijdte van art. 10
EVRM.116 Waarbij het EHRM geen scherp onderscheid wil maken tussen politiek in enge zin
en andere discussies over zaken van maatschappelijk belang.117 Het EHRM vat dit met de
zinsnede ‘political speech or debate on questions of public interest’ samen.118
114 De Hullu 2015, p. 355. 115 Gerards 2011, p. 29. 116 Nieuwenhuis 2015, p. 309-310. 117 EHRM 25 juni 1992, 13778/88 r.o. 64 (Thorgeir Thorgeirson/IJsland). 118 EHRM 25 november 1999, 23118/93, r.o. 46 (Nilsen & Johnsen/Noorwegen).
36
Volgens het EHRM is het recht op vrije meningsuiting een van de pijlers van een democratische
samenleving: “Freedom of expression constitutes one of the essential foundations of such a
democratic society, one of the basic conditions for its progress and for the development of every
man”.119
De vrijheid van meningsuiting is niet alleen een individueel recht, maar heeft ook een
maatschappelijke betekenis in een democratische samenleving.120 Nieuwenhuis noemt een
aantal rechtvaardigingen voor de vrijheid van meningsuiting. De volgende twee
rechtvaardigingen zijn in het kader van rechtsbescherming van ethisch hackers met name van
belang:121
1. Waarheidsvinding en vooruitgang.
2. Maatschappelijke functie.
In het geval het OM overgaat tot vervolging kan de ethisch hacker zich dus mogelijk beroepen
op de vrijheid van meningsuiting uit art. 10 EVRM. De vraag wordt dan welk belang voorrang
heeft: de strafbaarstelling van bijvoorbeeld de computervredebreuk of het door art. 10 EVRM
beschermde maatschappelijke belang dat misstanden aan de kaak gesteld worden. De
strafrechtelijke sancties voor de hacker leveren namelijk mogelijk een beperking op van zijn
vrijheid van meningsuiting.122
Er is nog weinig tot geen Europese jurisprudentie specifiek op het gebied van ethisch hacken.
We kunnen echter, zoals ook het OM in haar beleidsbrief aangeeft, aansluiting zoeken bij de
rechtsbescherming die journalisten genieten.123 Een latere paragraaf beschrijft of en hoe ethisch
hackers in analogie met journalisten rechtsbescherming aan art. 10 EVRM kunnen ontlenen.
5.2.2 Onder welke voorwaarden mag de overheid de vrijheid van meningsuiting
beperken?
De vrijheid van meningsuiting is geen absoluut recht. Dit wordt duidelijk uit de algemene
beperkingsclausule van lid 2 van art. 10 EVRM. Deze clausule geeft een overheid echter geen
vrijbrief om de vrijheid van meningsuiting te beperken.
119 EHRM 7 december 1976, 5493/72 (Handyside/VK). 120 Frowein & Peukert 2009, p. 88. 121 Nieuwenhuis 2015, p. 26-33. 122 Van den Brink & Jurjens, NTM/NJCM 2015, p. 7-8. 123 OM 2013.
37
In het arrest Sunday Times gaf het EHRM aan dat de vrijheid van meningsuiting een zelfstandig
recht betreft van het publiek om informatie ongehinderd te ontvangen.124 Dat betekent dat de
Staat de ontvangst van informatie alleen mag hinderen wanneer is voldaan aan de eisen van het
tweede lid van artikel 10. Deze ontvangstvrijheid omvat mede het recht informatie te vergaren,
zij het dat dit recht niet verder gaat dan een vergaringsvrijheid van toegankelijke informatie.125
In Lingens wijst het EHRM op de mogelijkheid dat de pers als public watchdog optreedt en
daarmee op de maatschappelijke functie van de pers. En dat de vrijheid van meningsuiting een
van de essentiële grondslagen is van een democratische samenleving en een van de
noodzakelijke voorwaarden voor de vooruitgang van een democratische samenleving.126 In
1986 publiceert de krant The Observer in Engeland een verhaal van Peter Wright, een ex-spion
en oud-medewerker van MI 15. Het verhaal is gebaseerd op memoires van Peter Wright en
vertelt over de werkwijze van MI 15. Vervolgens start een strijd van de Engelse overheid tegen
publicatie van dit verhaal en publicatie van de memoires van Peter Wright. Uiteindelijk
belanden de partijen bij het EHRM. In dit Spycatcher-arrest bevestigt het EHRM de principes
uit het arrest Lingens en geeft aan dat de principes met name van belang zijn voor de
persvrijheid.127 Art. 10 EVRM is niet alleen van toepassing op informatie of ideeën die goed
ontvangen worden, maar ook op informatie die kan beledigen, choqueren of als verontrustend
ervaren wordt.128
Dat alles wil niet zeggen dat de overheid de vrijheid van meningsuiting niet mag beperken. Art.
10 lid 2 EVRM geeft regels voor de afweging of en wanneer beperking van de vrijheid van
meningsuiting is toegestaan. Een beperking op de vrijheid van meningsuiting is alleen
toegestaan als aan alle volgende voorwaarden is voldaan:
a. De beperking is bij wet voorzien. Dit betreft niet alleen de wet in formele zin. Ook lagere
wetgeving valt hieronder en zelfs ongeschreven recht kan hieronder vallen. Waarbij deze
beperking voor de burger accessible en foreseeable moet zijn.129 In het algemeen vormt deze
eis van legaliteit geen probleem bij een beperking door de overheid.130
124 EHRM 26 april 1979, 6538/74, NJ 1980, 146, r.o. 65 (Sunday Times/VK). 125 Asscher 2002, p. 113. 126 EHRM 8 juli 1986, 9815/82, NJ 1987, 901, r.o. 41 en 44 (Lingens/Oostenrijk). 127 EHRM 26 november 1991, 13585/88, NJ 1992, 457, r.o. 59 (Observer & Guardian/VK). 128 o.a. EHRM 8 juli 2008, 33629/06, r.o. 46 (Vajnai/Hongarije). 129 EHRM 26 april 1979, 6538/74, NJ 1980, 146, (Sunday Times /VK). 130 Nieuwenhuis & Hins 2011, p. 124.
38
b. De beperking dient ter bescherming van een van de in het tweede lid genoemde belangen,
waaronder de goede naam of rechten van anderen. In het algemeen is deze voorwaarde niet
het probleem dat voorgelegd wordt aan het EHRM. Het feit alleen dat een in art. 10 lid 2
EVRM genoemd belang beschermd wordt door de beperking van de overheid, betekent nog
niet dat de beperking ook gerechtvaardigd is.131
c. De beperking is noodzakelijk in een democratische samenleving.
De drie voorwaarden werken cumulatief. Dat betekent dat als de beperking of inbreuk niet bij
wet voorzien132 is, het EHRM niet meer toekomt aan het beantwoorden van de andere twee
vragen.
De laatste voorwaarde, dat de beperking noodzakelijk moet zijn in een democratische
samenleving, vormt vaak de kern van het vraagstuk of een beperking van de vrijheid van
meningsuiting gerechtvaardigd is. De voorwaarde van noodzakelijkheid wordt door het EHRM
geïnterpreteerd als dat er sprake moet zijn van een pressing social need, een dringende reden
van maatschappelijk belang.133 Waarbij de overheid een zekere mate van vrijheid (margin of
appreciation) heeft om te bepalen of sprake is van een pressing social need. Het is niet
voldoende dat de beperking ‘wenselijk’ of ‘aannemelijk’ is. Maar de beperking hoeft ook niet
‘onmisbaar’ te zijn. Er moeten relevante en voldoende redenen voor de beperking zijn.134
Verder moet de beperking proportioneel zijn ten opzichte van het te bereiken doel.135 En moet
de overheid zich baseren op een acceptabele beoordeling van de relevante feiten.136 Uiteindelijk
valt de beoordeling of de beperking proportioneel is onder de supervisie van het EHRM.137
Nieuwenhuis en Hins beschrijven drie aspecten van de bovengenoemde proportionaliteits-
toetsing:138
- De beperking moet geschikt zijn om het door de overheid gestelde doel te bereiken
(geschiktheid);
131 Janssens & Nieuwenhuis 2008, p. 19. 132 Nieuwenhuis & Hins 2011, p. 122. 133 EHRM 7 december 1976, 5493/72, r.o. 48 (Handyside/VK). 134 EHRM 21 maart 2000, 24773/94, r.o. 35 (Wabl/Oostenrijk). 135 Janssens & Nieuwenhuis 2008, p. 19. 136 EHRM 23 september 1998, 55/1997/839/1045, r.o. 51 (Lehideux en Isorni/Frankrijk) en EHRM 8 juli 2008, 33629/06, r.o. 45 (Vajnai/Hongarije). 137 EHRM 26 april 1979, 6538/74, NJ 1980, 146, r.o. 50 (Sunday Times/VK) en EHRM 26 november 1991, 13585/88, NJ 1992, 457, r.o. 59 (Observer & Guardian/VK). 138 Nieuwenhuis & Hins 2011, p. 131.
39
- Er mag geen minder verstrekkende maatregel zijn waarmee hetzelfde doel bereikt kan
worden (subsidiariteit);
- Het belang dat door de maatregel gediend wordt, moet opwegen tegen de beperking
(belangenafweging). In het algemeen is dit het aspect dat het EHRM met name onderzoekt.
De genoemde belangenafweging kan ook meerdere mensenrechten binnen het EVRM
betreffen. In 2005 boog het EHRM zich over de vraag of de vrijheid van meningsuiting van een
tweetal journalisten opwoog tegen het recht van twee verdachten om als onschuldig beschouwd
te worden tot het tegendeel bewezen is, en het recht van deze verdachten op een eerlijk proces.
Het feit dat het arrest met de kleinst mogelijk meerderheid werd uitgesproken, geeft aan dat
deze afweging niet altijd eenvoudig is.139
5.2.3 Mag een journalist dus de wet overtreden?
De voorgaande paragraaf doet vermoeden dat een journalist, in het kader van zijn professionele
werkzaamheden, alle vrijheid heeft om de wet te overtreden. Dat is zeker niet het geval. De
vraag is wel waar de grens van het toelaatbare ligt. Welke, door een journalist gepleegde,
strafbare feiten vallen onder de bescherming van art. 10 EVRM en welke strafbare feiten gaan
te ver? Scherpe criteria voor het maken van dit onderscheid ontbreken. Het EHRM geeft wel
een aantal uitersten aan. Zo valt een uiting van vergoelijking of ontkenning van de holocaust
niet onder de bescherming van art. 10 EVRM.140 Art. 17 EVRM betreft een verbod op misbruik
van recht en bepaalt dat men geen rechten aan het EVRM kan ontlenen als het doel is om
rechten of vrijheden aan een ander te ontnemen.141
In Fressoz & Roire overweegt het EHRM dat het publiceren van, illegaal verkregen,
inkomensgegevens van de hoogste baas van Peugeot gerechtvaardigd is in het kader van het
publieke debat. Het feit dat het in Frankrijk mogelijk is om op legale wijze inkomensgegevens
van een individu op te vragen, speelde hier zeker een rol.142 Ook het uitzenden van een illegaal
verkregen opname van een telefoongesprek was in de ogen van het EHRM gerechtvaardigd,
gezien het belang van een vrije pers. Het EHRM nam in de overweging mee dat het om politici
139 EHRM 24 november 2005, 53886/00, r.o. 68 (Tourancheau & July/Frankrijk). 140 EHRM 23 september 1998, 55/1997/839/1045, r.o. 47 (Lehideux en Isorni/Frankrijk). 141 EHRM 16 november 2004, 23131/03 (Norwood/VK) en EHRM 11 oktober 1979, 8348/78 & 8406/78, p. 196 (Glimmerveen en Hagenbeek/Nederland). 142 EHRM 21 januari 1999, 29183/95, r.o. 52-54 (Fressoz & Roire/Frankrijk).
40
ging en de journalisten te goeder trouw acteerden en dat hun doel was informatie openbaar te
maken waarvan ze meenden dat het publiek daar recht op had.143
Het EHRM heeft meerdere malen geoordeeld dat een journalist zijn bronnen niet hoeft te
openbaren en dat een verplichting van de overheid om dat wel te doen, is te beschouwen als
een ongerechtvaardigde inbreuk op de vrijheid van meningsuiting. Het EHRM vult dit aan met
de opmerking dat het wel of niet rechtmatige gedrag van een bron alleen nooit beslissend kan
zijn in de bepaling of een verbod op openbaring rechtmatig is.144
In 2010 neemt Justitie twee journalisten van de Telegraaf, Joost de Haas en Bart Mos, in
gijzeling, omdat ze vertrouwelijke informatie van de AIVD openbaar gemaakt hebben. De twee
journalisten weigeren enerzijds de naam van hun bron prijs te geven en anderzijds de originele
documenten te overhandigen. De Veiligheidsdienst wil de originele documenten onder andere
gebruiken om de bron van de journalisten te ontmaskeren. Ook in dit geval oordeelt het EHRM
dat het inzetten van dwang om de documenten van de journalisten te verkrijgen een
onrechtmatige inbreuk op de vrijheid van meningsuiting is.145 In Goodwin gaf het EHRM dit
ook al aan, waarbij het EHRM opmerkte dat “protection of journalistic sources is one of the
basic conditions for press freedom" and that "without such protection, sources may be deterred
from assisting the press in informing the public on matters of public interest”.146 Het EHRM
rekt de bescherming van bronnen zelfs zover op dat ook het weigeren een cd-rom te
overhandigen onder de rechtsbescherming van art. 10 EVRM valt. Zeker als er een
mogelijkheid is om de uiteindelijke bron via de cd-rom te achterhalen. De vraag of de gezochte
bron een rol speelt in een strafrechtelijk onderzoek vindt het EHRM hierbij niet cruciaal.147
Ook het doorzoeken van woningen en werkplekken van journalisten om een journalistieke bron
te achterhalen wordt door het EHRM niet geaccepteerd.148 Van belang in dit geval is dat de
journalisten zelf geen strafbare feiten hebben begaan.
143 EHRM 19 december 2006, 62202/00, r.o. 63 (Radio Twist/Slowakije). 144 o.a. EHRM 15 maart 2010, 821/03, r.o. 63-66 (Financial Times Ltd & others/VK) en EHRM 5 oktober 2017, 21272/12, r.o. 74 (Becker/Noorwegen). 145 EHRM 22 februari 2013, 39315/06, r.o. 127-129 (Telegraaf Media Nederland Landelijke Media B.V. & others/Nederland). 146 EHRM 27 maart 1996, 17488/90, r.o. 40-45 (Goodwin/VK). 147 EHRM 14 september 2010, 38224/03, r.o. 64-65 (Sanoma/Nederland). 148 EHRM 15 juli 2003, 33400/96, r.o. 94 (Ernst and Others v. Belgium).
41
Het verbieden van het publiceren van informatie die de nationale veiligheid in gevaar kan
brengen, kan een pressing social need zijn. Het EHRM verbindt hier wel de voorwaarde aan
dat het echt om gevoelige informatie gaat. Het feit dat informatie al 6 jaar oud is en het hoofd
van de Veiligheidsdienst aangeeft dat een aantal onderdelen niet langer als staatsgeheim zijn
aan te merken, maken dat het verbieden van publicatie van deze informatie niet noodzakelijk is
in een democratische samenleving. En als het grote publiek door de publicatie al bekend is met
deze gevoelige informatie, rechtvaardigt het feit dat het gevoelige informatie betreft, het
terugroepen van exemplaren van de publicatie ook niet meer.149 Het recht op vrije
meningsuiting geldt zelfs voor militairen. Maar het EHRM zag het overhandigen van
staatsgeheimen door een Russische militair aan Japanse journalisten als een omstandigheid
waar de overheid legitiem tegen mag optreden. Militairen zijn namelijk wel verplicht om
discreet om te gaan met informatie die zij uit hoofde van hun functie hebben.150
In Steel & Morris vs VK oordeelt het EHRM dat de vrijheid van meningsuiting ook voor de
pers niet onbegrensd is, met name in het kader van het respecteren van rechten van anderen en
de noodzaak om te voorkomen dat vertrouwelijke informatie openbaar gemaakt wordt.151 Dat
laat niet onverlet dat het de taak van de pers is om informatie te geven over alle zaken van
publiek belang, met inachtneming van bijbehorende plichten en verantwoordelijkheden. Het
EHRM noemt als extra voorwaarde dat een journalist te goeder trouw moet handelen bij het
aanbieden van accurate en betrouwbare informatie. Het handelen moet in overeenstemming zijn
met de journalistieke ethiek.152
In diverse uitspraken van het EHRM geeft het Hof dus aan dat de pers zich ook aan regels moet
houden en met name op het gebied van het voorkomen van publicatie van vertrouwelijke
informatie.153 Het onverantwoord publiceren van vertrouwelijke informatie over kwetsbaar-
heden in informatiesystemen zou door het EHRM zeer goed als grensoverschrijdend gezien
kunnen worden. Vrij recent heeft het EHRM geconcludeerd dat, ondanks het feit dat
journalisten een cruciale rol spelen in een democratische samenleving, ook journalisten zich
aan het nationale strafrecht moeten houden. In deze zaak kochten drie journalisten op illegale
wijze een vuurwapen. Met de bedoeling, na een reeks incidenten met vuurwapens, het publiek
149 EHRM 9 februari 1995, 16616/90, r.o. 41-45 (Vereniging Weekblad Bluf!/Nederland). 150 EHRM 22 oktober 2009, 69519/01, r.o. 66, 85- (Pasko/Rusland). 151 EHRM 15 februari 2005, 68416/01, r.o. 90 (Steel & Morris/VK). 152 EHRM 20 mei 1999, 21980/93, r.o. 59 (Bladet Tromsø & Stensaas/Noorwegen). 153 o.a. EHRM 21 januari 1999, 29183/95, NJ 1999, 713, r.o. 45 (Fressoz & Roire/Frankrijk).
42
te laten zien hoe eenvoudig iemand aan een vuurwapen kan komen. Het EHRM oordeelde dat
er andere middelen beschikbaar waren om dit aan te tonen en dat de journalistieke vrijheid niet
opwoog tegen deze illegale aankoop.154 Het EHRM lijkt hier met name het subsidiariteits-
beginsel zwaar meegewogen te hebben.
5.2.4 Is een ethisch hacker te vergelijken met een journalist?
Het feit dat de pers een publieke taak heeft, verbonden met een recht op informatie van het
publiek, maakt dat het EHRM de pers als public watchdog ziet en een maatschappelijke functie
aan de pers toekent. Dat betekent niet dat andere partijen en individuen geen rol als public
watchdog toekomen.155 In een arrest over een anti-McDonalds campagne overweegt het EHRM
dat het hoge niveau van bescherming vanuit art. 10 EVRM niet alleen voor journalisten geldt,
maar ook voor kleine en informele actiegroepen.
“The Court considers, however, that in a democratic society even small and informal
campaign groups, such as London Greenpeace, must be able to carry on their activities
effectively and that there exists a strong public interest in enabling such groups and
individuals outside the mainstream to contribute to the public debate by disseminating
information and ideas on matters of general public interest such as health and the
environment.”156
De persvrijheid is van groot belang voor een democratische samenleving en voor vooruitgang
van de democratie. Verdedigbaar is om hetzelfde te zeggen van een ethisch hacker. Zeker
gezien de geruchten van de laatste jaren over mogelijke inmenging van buitenlandse staten in
binnenlandse politiek. Het verschaffen van informatie over kwetsbaarheden in informatie-
systemen kan men goed onder ‘andere zaken van algemeen belang’157 scharen.
Nationaal gezien biedt de Aanwijzing toepassing dwangmiddelen tegen journalisten houvast
bij het bepalen of een ethisch hacker vergelijkbaar is met een journalist: “Een journalist in de
zin van deze aanwijzing is de natuurlijke- of rechtspersoon die zich beroepsmatig bezighoudt
met het verzamelen en vervolgens verspreiden van informatie via de media”. Ook professionele
154 EHRM 10 mei 2016, 33628/15, r.o. 53, 56-57 (Diamant Salihu and others/Zweden). 155 Nieuwenhuis 2015, p. 307-308. 156 EHRM 15 februari 2005, 68416/01, r.o. 89 (Steel & Morris/VK). 157 EHRM 23 mei 1991, 11662/85, NJ 1992, 456, r.o. 58 (Oberschlick I/Oostenrijk).
43
bloggers kunnen hieronder vallen.158 De grote vraag is of ethisch hackers die regelmatig
publiceren over cybersecurity en over kwetsbaarheden in informatiesystemen dus ook als
journalisten gezien kunnen worden. Het zou zinvol zijn als de overheid zich hierover zou
uitlaten. Gecombineerd met de zinsnede “in het recht op vrijheid van meningsuiting is tevens
het recht op vrije nieuwsgaring besloten”159 geeft dit mogelijk duidelijkheid aan ethisch
hackers.
Gezien het bovenstaande is het zeer wel denkbaar dat disclosure van door een ethisch hacker
gevonden kwetsbaarheid in een informatiesysteem onder de bescherming van art. 10 EVRM
valt. Mits de ethisch hacker dezelfde ethische normen hanteert als een journalist. Daarnaast
kunnen inherente beperkingen gerelateerd worden aan de ‘plichten en verantwoordelijkheden’
die in de eerste zin van art. 10 lid 2 genoemd worden.160 Om welke plichten en verantwoor-
delijkheden het dan gaat, kan mogelijk ingevuld worden met de Leidraad Responsible
Disclosure. De onduidelijkheden in de Leidraad, zoals beschreven in hoofdstuk 4 moeten dan
wel geadresseerd worden.
Het legaliteitsbeginsel met betrekking tot mogelijke beperkingen van de vrijheid van
meningsuiting door de overheid is nog een punt van aandacht. Art. 10 EVRM benoemt immers
dat de beperking bij wet voorzien moet zijn. In diverse uitspraken vertaalt het EHRM dat naar
de vereisten van kenbaarheid en voorzienbaarheid (accessible and foreseeable). Zo vindt het
EHRM gedrag contra bonos mores, gedrag dat eerder verkeerd dan goed is in de ogen van de
meerderheid van hedendaagse burgers, een te vaag begrip om foreseeable te zijn.161 Burgers
moeten kunnen inschatten welke beperkingen aan hun grondrechten worden gesteld.162 Nu is
aan de ene kant helder dat art. 138a Sr hacken strafbaar stelt, aan de andere kant geven de
Leidraad en de beleidsbrief van het OM aan dat in bepaalde omstandigheden de
wederrechtelijkheid kan ontbreken. Het feit dat het OM het ontbreken van wederrechtelijkheid
koppelt aan het aanwezig zijn van een responsible disclosure beleid bij de betrokken
organisatie, maakt het voor individuele burgers, de ethisch hackers, lastig in te schatten in
hoeverre zij onder de bescherming van art. 10 EVRM vallen.
158 OM 2012, p. 2. 159 OM 2012, p. 1. 160 Nieuwenhuis 2015, p. 314. 161 EHRM 25 november 1999, 25594/94, r.o. 31, 38-41 (Hashman & Harrup/VK). 162 Gerards 2011, p. 120.
44
6. Toepassing van art. 10 EVRM in nationaal recht
6.1 Inleiding
Journalisten worden in de Nederlandse wetgeving al deels beschermd in het kader van de
vrijheid van meningsuiting. Zo bepaalt art. 137e Sr dat het uiten van beledigende teksten niet
strafbaar is als het ten behoeve van zakelijke berichtgeving gebeurt. Janssen en Nieuwenhuis
geven aan dat de rechter het uitgangspunt van het EHRM heeft overgenomen dat de pers een
belangrijke functie vervult en beperkingen aan de pers niet te snel opgelegd mogen worden.163
In dat kader heeft het OM een eigen beleid voor vervolging en hiermee beperking van de
vrijheid van meningsuiting. Dit beleid is vastgelegd in de ‘Aanwijzing toepassing
dwangmiddelen bij journalisten’. De aanwijzing geeft als algemene lijn voor vervolging van
een journalist onder andere de afweging tussen enerzijds het gepleegde delict en anderzijds de
mogelijke maatschappelijke relevantie van het aangesneden onderwerp. De Aanwijzing
refereert hierbij aan de rechtszaken rondom journalist Alberto Stegeman in 2010-2012.164 Deze
rechtszaken tonen ook gelijk aan dat deze afweging niet eenvoudig is. De rechter kijkt in deze
zaak met name naar de proportionaliteit en subsidiariteit van het gepleegde delict.
Ook in de nog summiere jurisprudentie rondom ethisch hacken in Nederland, concentreert de
rechter zich met name op de vraag of de activiteiten van de ethisch hacker proportioneel zijn
gezien het maatschappelijk belang dat gediend is met het vinden van kwetsbaarheden. En op de
vraag of de ethisch hacker andere, minder vergaande, mogelijkheden had om de
kwetsbaarheden aan te tonen. Wat concreet als proportioneel en als subsidiair gezien moet
worden, wordt in principe aan de nationale rechter gelaten, mits de grenzen van de margin of
appreciation niet overschreden worden.165
6.2 Proportionaliteit
Naast het feit dat de rechter toetst of een ethisch hacker inderdaad een maatschappelijk belang
dient, moet er ook een redelijke verhouding zijn tussen het maatschappelijk belang dat de
ethisch hacker meent te dienen en de het recht dat hij hiermee aantast. Hiertussen moet een
zogenaamde fair balance bestaan.166 En de activiteiten van de ethisch hacker moeten ook
163 Janssens & Nieuwenhuis 2008, p. 390. 164 OM 2012, p. 5. 165 Vlemminx 2013, p. 129. 166 Gerards 2011, p. 140.
45
geschikt zijn om het maatschappelijk belang te dienen.167 Kort gezegd: een ethisch hacker mag
niet verder gaan dan nodig is om de kwetsbaarheid aan te tonen.
Bij het hacken van de privémailbox van de toenmalige staatssecretaris Jack de Vries in opdracht
van de Nieuwe Revue, toetst de rechter expliciet op dit beginsel van proportionaliteit. De
rechtbank vindt de vraag of de privémailboxen van bewindslieden voldoende beveiligd zijn
tegen inbraken van buitenaf, op zichzelf een zaak die het algemeen belang raakt. Mede gezien
het feit dat het vaker voorkomt dat zakelijk emailverkeer ook naar de privémailbox gestuurd
wordt. Het doorsturen van e-mails vanaf de computer waar de hacker zich wederrechtelijk
bevindt, vindt de rechter echter niet proportioneel. Na het slagen van de hackpoging was het
journalistieke (en hiermee het maatschappelijke) doel immers bereikt. Ook het kennisnemen
van de inhoud van e-mails gaat te ver en kan wat de rechter betreft niet door de beugel.168
In een arrest van het Hof uit 2005 komen veel zaken rondom de vrijheid van meningsuiting bij
elkaar. Het betreft een ondernemer die publiceert over de mogelijkheid om misbruik te maken
van het incassosysteem van de Nederlandse banken. In zijn boek beschrijft hij hoe iemand
gelden kan incasseren zonder dat de betreffende persoon of bedrijf een incassomachtiging heeft
ingevuld. En zonder dat er een factuur bestaat waarop de betaling gebaseerd is. Om zijn
bewerkingen te bewijzen, verstuurt de verdachte diverse incasso-opdrachten zonder dat sprake
is van een incassomachtiging. In totaal verstuurt de verdachte 93 incasso-opdrachten voor een
bedrag van ruim 700.000 euro. De geïncasseerde bedragen belanden op de bankrekening van
de vennootschap van de verdachte. Hoewel de bedragen uiteindelijk weer teruggeboekt worden
door de bank, neemt de verdacht zelf geen actie om de bedragen terug te storten. Wat volgt, is
een veroordeling wegens valsheid in geschrifte. De overwegingen van het Hof zijn van groot
belang voor ethisch hackers:
- Het Hof wil wel aannemen dat het leveren van bewijslast als overtuigende ondersteuning
van zijn stelling noodzakelijk was. Vervolgens merkt het Hof de strafvervolging van de
verdachte aan als een inbreuk op het recht op vrijheid van meningsuiting.
- Het Hof oordeelt dat de uitoefening van de vrijheid van meningsuiting plichten en
verantwoordelijkheden met zich meebrengt en daarmee onderworpen kan worden aan
beperkingen op grond van lid 2 van art. 10 EVRM.
167 Nieuwenhuis & Hins 2011, p. 130. 168 Rb. Den Haag 23 november 2009, ECLI:NL:RBSGR:2009:BK4065.
46
- Het Hof neemt in ogenschouw dat de verdachte meerdere incasso-opdrachten voor
substantiële bedragen heeft verstuurd ten laste van (rechts)personen die niet betrokken
waren bij de discussie. En dat verdachte de terugboeking van de onterecht geïncasseerde
bedragen niet zelf geïnstigeerd heeft.169 Hiermee gaat de verdachte verder dan noodzakelijk
is om het probleem aan de kaak te stellen en is deze handelswijze niet proportioneel gezien
het maatschappelijk belang dat ermee gemoeid is.
De Hoge Raad bevestigt een jaar later het oordeel van het Hof.170
Bij de hack van het Groene Hart Ziekenhuis in 2012 oordeelt de rechter dat elke inbreuk op een
geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is, tenzij hogere
belangen een dergelijk inbreuk rechtvaardigen.171 De rechter doelt hier ongetwijfeld op het
maatschappelijke belang van de vrijheid van meningsuiting. In het vonnis van de rechtbank
oordeelt de rechter dat hacken op zichzelf een belangrijke bijdrage aan de beveiliging van
vertrouwelijke gegevens in de gezondheidszorg en de maatschappelijke discussie daarover, kan
opleveren.172 Het plaatsen van een bestand, dat zelfs als malware aangemerkt kan worden, vindt
de rechter nog proportioneel. Het meerdere malen zonder toestemming aanloggen en
downloaden van bestanden terwijl de verdachte al voldoende informatie had verzameld, ziet de
rechter echter wel als het overschrijden van de grenzen van proportionaliteit.
Uit bovenstaande rechtspraak wordt duidelijk dat de nationale rechter het plegen van
computervredebreuk onder voorwaarden onder de bescherming van art. 10 EVRM vindt vallen.
Maar dat strikte voorwaarden worden gesteld aan de proportionaliteit van de verrichtte
handelingen.
6.3 Subsidiariteit
De ethisch hacker mag dus niet te ver gaan in zijn poging kwetsbaarheden in
informatiesystemen te vinden. Maar de rechter toetst ook aan het subsidiariteitsprincipe. Als
een ethisch hacker zijn doel kan bereiken door middelen aan te wenden of activiteiten uit te
voeren die minder ingrijpend zijn, dan moet hij zich hiervan bedienen. Waarbij het voor de
rechter vaak moeilijk is om te bepalen of eventuele alternatieven net zo effectief en bruikbaar
169 Hof Amsterdam 08 maart 2005, ECLI:NL:GHAMS:2005:AS9143. 170 HR 5 december 2006, ECLI:NL:HR:2006:AY8343, NJ 2006, 05. 171 Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611, r.o. 4.4.1. 172 Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611, r.o. 4.4.1.
47
zijn.173 De rechter zal in ieder geval toetsen of er in de betreffende situatie andere wegen
openstonden dan het gepleegde strafbare feit.174
In 2010 bewees de journalist Alberto Stegeman dat de beveiliging op Schiphol niet in orde was.
Samen met een collega vervalste de journalist een beveiligingspas van een KLM-medewerker.
Het doel was te bewijzen dat er een veiligheidsrisico was door de slechte veiligheidssituatie.
Zo konden de journalisten bijvoorbeeld op het terrein komen waar het regeringstoestel stond.
De rechtbank oordeelde dat in dit geval het belang van de samenleving bij strafbaarstelling en
veroordeling zwaarder dient te wegen dan het recht op vrijheid van meningsuiting van de
verdachte. De rechter vond met name het feit dat het voor het op een goede wijze kunnen
functioneren van de samenleving van groot belang is dat men kan afgaan op de juistheid van
documenten, alsmede dat de eigendomsrechten van anderen in de samenleving worden
gerespecteerd. De rechter is van oordeel dat de verdachte minder vergaande middelen had
kunnen aanwenden.175 In hoger beroep oordeelt het Hof dat de verdachte een voldoende
zorgvuldige afweging heeft gemaakt tussen het maatschappelijke belang van het zichtbaar
maken van de slechte beveiligingssituatie op Schiphol en de begane strafbare feiten. En dat,
hoewel het Hof punten van kritiek heeft ten aanzien van de zorgvuldigheid waarmee het
onderzoek is uitgevoerd, de verdachte hiermee binnen grenzen van proportionaliteit en
subsidiariteit is gebleven.176 In cassatie vernietigt de Hoge Raad het arrest van het Hof. De
Hoge raad tilt met name zwaar aan het feit dat het Hof niet heeft onderzocht of de verdachte
daadwerkelijk geen andere weg openstond om, zonder het strafbare feit te begaan, de door hem
beoogde openbaarmaking voor te bereiden. Hiermee geeft de Hoge Raad aan zeer zwaar te
tillen aan de eis van subsidiariteit.177 Na terugverwijzen naar het Hof wordt de verdachte tot
een voorwaardelijke boete veroordeeld.178 Hiermee wordt ook duidelijk dat de toetsing op
subsidiariteit niet eenvoudig is.
Ook in de al eerder aangehaalde zaak tegen Henk Krol was sprake van handelen dat niet
subsidiair was. De rechtbank achtte het inloggen op de website en het raadplegen van enkele
(vertrouwelijke) dossiers niet wederrechtelijk. Het feit dat Krol naar de media is gestapt met
173 Gerards 2011, p. 153. 174 De Hullu 2015, p. 355. 175 Rb. Haarlem 29 april 2010, ECLI:NL:RBHAA:BM3074, r.o. 6. 176 Hof Amsterdam 28 april 2011, ECLI:NL:GHAMS:2011:BQ2983. 177 HR 26 maart 2013, ECLI:NL:HR:2013:BY3752, m.nt. E.J. Dommering, r.o. 4.6 en 4.7. 178 Hof Den Haag 4 maart 2014, ECLI:NL:GHDHA:2014:620.
48
deze gegevens was echter niet noodzakelijk en voldeed hiermee niet aan het vereiste van
subsidiariteit.179
179 Rb. Oost-Brabant, 15 februari 2013, ECLI:NL:RBOBR:2013:BZ1157.
49
7. Conclusies
7.1 Leidraad Respsonsible Disclosure
In onze huidige maatschappij zijn we steeds meer afhankelijk van complexe technologie. De
maatschappij kan de hulp van goedwillende cybersecurity-experts dan ook goed gebruiken om
informatiesystemen te testen op kwetsbaarheden. Ook de overheid lijkt het wenselijk te vinden
dat ethisch hackers een bijdrage leveren aan de digitale veiligheid in en van ons land. Maar dit
moet wel op een verantwoorde wijze gebeuren. Hiertoe heeft de overheid de Leidraad
Responsible Disclosure ontwikkeld. De Leidraad geeft enig houvast aan de ethisch hacker over
wat wel en wat niet veroorloofd is, maar biedt de ethisch hacker uiteindelijk geen zekerheid.
Zo wordt het wel of niet vervolgen van een ethisch hacker door het OM onder andere
afhankelijk gemaakt van het aanwezig zijn van een (responsible disclosure) overeenkomst van
de ethisch hacker met de betrokken organisatie. Hiermee hangt eventuele strafrechtelijke
vervolging door het OM af van een privaatrechtelijke overeenkomst tussen de ethisch hacker
en de betrokken organisatie. Mede gezien het feit dat het OM zich het recht voorbehoudt om te
allen tijde alsnog tot vervolging over te gaan, maakt dat de Leidraad in mijn ogen onvoldoende
is om als juridisch kader te dienen voor eventuele rechtsbescherming van ethisch hackers.
In ieder geval zou het wel of niet aanwezig zijn van een responsible disclosure beleid geen rol
moeten spelen in het vervolgingsbeleid van het OM. En zouden ethisch hackers zich op de
Leidraad moeten kunnen beroepen waarbij het OM alle gevallen van ethisch hacken op dezelfde
wijze behandelt.
7.2 Klokkenluiders
Interne ICT-medewerkers hebben veel kennis over de eigen informatiesystemen en ook over
de kwetsbaarheden in deze informatiesystemen. Deze werknemers kunnen niet altijd bij hun
superieuren terecht en hun zorgen over kwetsbaarheden in de informatiesystemen worden niet
altijd serieus genoeg genomen. Deze werknemers zouden mijns inziens beter beschermd
moeten worden onder een klokkenluidersregeling. Er circuleert een aantal modellen voor
klokkenluidersregelingen zoals het model van de Rijksoverheid en het model van de Stichting
van de Arbeid. Ik adviseer om in deze genoemde modellen een paragraaf op te nemen, die
specifieke gericht is op responsible disclosure van kwetsbaarheden in informatiesystemen door
de eigen medewerkers.
50
7.3 Ontbreken van materiële wederrechtelijkheid
In eerste instantie lijkt het leerstuk van het ontbreken van materiële wederrechtelijkheid
relevant te zijn voor de rechtsbescherming van de ethisch hacker. Uit jurisprudentie blijkt echter
dat het vanuit een theoretisch standpunt weliswaar toepasselijk kan zijn, maar dat de rechter
deze rechtvaardigingsgrond niet snel aanneemt.
7.4 Vrijheid van meningsuiting
Het is van belang om te realiseren dat rechtsbescherming voor een ethisch hacker op grond van
art. 10 EVRM pas opportuun is op het moment dat de ethisch hacker hierover publiceert. Dat
betekent dat een ethisch hacker, anders dan een journalist, geen rechtsbescherming geniet op
het moment dat hij met zijn onderzoek bezig is. Een journalist is immers herkenbaar door het
feit dat hij is aangesloten bij een nieuwsmedium of is ingeschreven als journalist. Ethisch
hackers opereren meer in de schaduw en zijn als zodanig niet (altijd) te herkennen.
Een zinvolle aanvulling op de Leidraad kan zijn om een register in het leven te roepen waarin
ethisch hackers zich kunnen inschrijven. Het wordt dan voor het EHRM, maar ook voor de
nationale rechter, eenvoudiger om een ethisch hacker als zodanig te identificeren. Daarvoor is
natuurlijk vertrouwen nodig. Mijn advies is dan ook om voor ethisch hackers die bij het register
zijn ingeschreven een aanvullende vervolgingsrichtlijn op te stellen, vergelijkbaar met de
‘Aanwijzing toepassing dwangmiddelen tegen journalisten’.
De jurisprudentie van het EHRM richt zich met name op journalisten en de rol van de vrije
pers, waarbij het EHRM het publiceren van misstanden in zijn algemeenheid ziet als
noodzakelijk in een democratische samenleving. Het publiceren van bevindingen over
gevonden kwetsbaarheden door een ethisch hacker kan ook gezien worden als een bijdrage aan
het maatschappelijk debat en dient in ieder geval het algemeen belang. Om deze reden kan in
analogie gesteld worden dat ethisch hackers ook beschermd worden op grond van de vrijheid
van meningsuiting. Met als bijkomend voordeel dat de bescherming onder art. 10 EVRM
onafhankelijk is van het aanwezig en gepubliceerd zijn van een responsible disclosure beleid
bij de betrokken organisatie.
Het EHRM vindt het belangrijk te benadrukken dat een journalist, en in analogie dus ook een
ethisch hacker, ook plichten heeft. In principe moet een journalist zich aan de wet houden. In
51
uitzonderlijke situaties, als het algemeen belang dit eist, kan hiervan worden afgeweken. In dat
geval moeten de mogelijk strafbare handelingen wel proportioneel en subsidiair zijn. Dit geldt
dan dus ook voor ethisch hackers. De ethisch hacker mag niet verder gaan dan nodig is om een
kwetsbaarheid aan te tonen. En de ethisch hacker moet geen alternatieve, niet strafbare,
methode tot zijn beschikking hebben om een kwetsbaarheid te kunnen vinden.
Samenvattend is de conclusie dat ethisch hackers beschermd kunnen worden vanuit art. 10
EVRM en beter nog dan op grond van de Leidraad en het vervolgingsbeleid van het OM. De
belangrijkste beperkingen voor de rechtsbescherming op grond van art. 10 EVRM liggen op
het gebied van proportionaliteit en subsidiariteit. Door het ontbreken van jurisprudentie is het
echter lastig om aan te geven waar de grenzen voor de ethisch hacker liggen. Dit wordt in de
toekomst ongetwijfeld beter en tot die tijd blijft er nog onduidelijkheid bestaan voor de ethisch
hacker over zijn rechtspositie.
Tot op heden is geen jurisprudentie van het EHRM bekend die specifiek over ethisch hacken
gaat. In de nationale rechtspraak waar ethisch hacken aan de orde is, wordt de rechtspraak van
het EHRM rondom de vrijheid van meningsuiting echter wel gevolgd. En zonder dat het EHRM
zich over concrete gevallen van ethisch hacken heeft uitgesproken, lijkt de ethisch hacker in
het nationale recht, onder strikte voorwaarden van proportionaliteit en subsidiariteit, beschermd
te worden door de vrijheid van meningsuiting.
52
Literatuurlijst
Jurisprudentie
EHRM 7 december 1976, 5493/72 (Handyside/VK).
EHRM 26 april 1979, 6538/74, NJ 1980, 146 (Sunday Times/VK).
EHRM 11 oktober 1979, 8348/78 & 8406/78 (Glimmerveen en Hagenbeek/Nederland).
EHRM 8 juli 1986, 9815/82, NJ 1987, 901 (Lingens/Oostenrijk).
EHRM 23 mei 1991, 11662/85, NJ 1992, 456 (Oberschlick I/Oostenrijk).
EHRM 26 november 1991, 13585/88, NJ 1992, 457 (Observer & Guardian/VK).
EHRM 25 juni 1992, 13778/88 (Thorgeir Thorgeirson/IJsland).
EHRM 9 februari 1995, 16616/90 (Vereniging Weekblad Bluf!/Nederland).
EHRM 27 maart 1996, 17488/90 (Goodwin/VK).
EHRM 23 september 1998, 55/1997/839/1045 (Lehideux en Isorni/Frankrijk).
EHRM 21 januari 1999, 29183/95, NJ 1999, 713 (Fressoz & Roire/Frankrijk).
EHRM 20 mei 1999, 21980/93 (Bladet Tromsø & Stensaas/Noorwegen).
EHRM 8 juli 1999, 23168/94 (Karatas/Turkije).
EHRM 25 november 1999, 23118/93 (Nilsen & Johnsen/Noorwegen).
EHRM 25 november 1999, 25594/94 (Hashman & Harrup/VK).
EHRM 21 maart 2000, 24773/94 (Wabl/Oostenrijk).
EHRM 15 juli 2003, 33400/96, r.o. 94 (Ernst and Others v. Belgium).
EHRM 16 november 2004, 23131/03 (Norwood/VK).
EHRM 15 februari 2005, 68416/01 (Steel & Morris/VK).
EHRM 24 november 2005, 53886/00 (Tourancheau & July/Frankrijk).
EHRM 19 december 2006, 62202/00 (Radio Twist/Slowakije).
EHRM 12 februari 2008, 14277/04 (Guja/Moldavië).
EHRM 8 juli 2008, 33629/06 (Vajnai/Hongarije).
EHRM 22 oktober 2009, 69519/01 (Pasko/Rusland).
EHRM 15 maart 2010, 821/03 (Financial Times Ltd & others/VK).
EHRM 14 september 2010, 38224/03 (Sanoma/Nederland).
EHRM 22 februari 2013, 39315/06 (Telegraaf Media Nederland Landelijke Media B.V. &
others/Nederland).
EHRM 10 mei 2016, 33628/15 (Diamant Salihu and others/Zweden).
53
EHRM 5 oktober 2017, 21272/12 (Becker/Noorwegen).
HR 20 februari 1933, NJ 1933, 918 (Veearts).
HR 8 september 1987, ECLI:NL:HR:1987:AC0501, NJ 1988, 612 (Grenswisselkantoor).
HR 20 april 1990, ECLI:NL:PHR:1990:AD1092, NJ 1990, 702.
HR 12 januari 1999, ECLI:NL:HR:1999:ZD1319, NJ 1999, 277.
HR 2 september 2005, ECLI:NL:HR:2005:AS6926.
HR 5 december 2006, ECLI:NL:HR:2006:AY8343, NJ 2006, 665.
HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, m.nt. N. Keijzer (Toxbot).
HR 26 oktober 2012, ECLI:NL:HR:2012:BW9244, TRA 2013, 7.
HR 26 maart 2013, ECLI:NL:HR:2013:BY3752, m.nt. E.J. Dommering.
Hof Den Haag 15 november 2002, ECLI:NL:GHSGR:2002:AF0684.
Hof Amsterdam 08 maart 2005, ECLI:NL:GHAMS:2005:AS9143.
Hof Amsterdam 21 januari 2009, ECLI:NL:GHAMS:2009:BH0496, NJ 2009, 191, m.nt. Y.
Buruma.
Hof Amsterdam 28 april 2011, ECLI:NL:GHAMS:2011:BQ2983.
Hof ’s-Hertogenbosch 22 november 2011, ECLI:NL:GHSHE:2011:BU5240.
Hof Den Haag 03 februari 2012, ECLI:NL:GHSGR:2012:BV3397.
HR 26 maart 2013, ECLI:NL:HR:2013:BY3752, m.nt. E.J. Dommering.
Hof Den Haag 14 oktober 2013, ECLI:NL:GHDHA:2013:3871.
Hof Den Haag 4 maart 2014, ECLI:NL:GHDHA:2014:620.
Hof 's-Hertogenbosch 05 maart 2014, ECLI:NL:GHSHE:2014:636.
Hof Den Haag 16 januari 2018, ECLI:NL:GHDHA:2018:33.
Rb. Arnhem 18 juli 2008, ECLI:NL:RBARN:2008:BD7578.
Rb. Den Haag 23 november 2009, ECLI:NL:RBSGR:2009:BK4065.
Rb. Haarlem 29 april 2010, ECLI:NL:RBHAA:BM3074.
Rb. Haarlem 14 april 2011, ECLI:NL:RBHAA:2011:BQ3674.
Rb. Oost-Brabant 15 februari 2013, ECLI:NL:RBOBR:2013:BZ1157.
Rb. Noord-Nederland 18 april 2014, ECLI:NL:RBNNE:2014:2018.
Rb. Rotterdam 11 december 2014, ECLI:NL:RBROT:2014:10047.
Rb. Den Haag 17 december 2014, ECLI:NL:RBDHA:2014:15611.
Rb. Den Haag 13 mei 2015, ECLI:NL:RBDHA:2015:5525.
54
Kamerstukken
Kamerstukken I, 2016/17, 34 372, A.
Kamerstukken II 1989/90, 21 551, 3.
Kamerstukken II 1998/99, 26 671, 3.
Kamerstukken II 2004/05, 26 671, 7.
Kamerstukken II 2004/05, 26 671, 10.
Kamerstukken II 2007/08, 31 200-VII, 74.
Kamerstukken II 2010/11, 27 529, 82.
Handelingen II 2011/12, 26 643, 26.
Kamerstukken II 2012/13, 26 643, 264.
Kamerstukken II 2012/13, 26 643, 264, bijlage ‘Brief Tweede Kamer: Kader voor Responsible
Disclosure’.
Kamerstukken II 2012/13, 26 643, 264, bijlage ‘Leidraad om te komen tot een praktijk van
Responsible Disclosure’.
Kamerstukken II 2012/13, 26 643, 286.
Kamerstukken II 2013/14, 26 643, 297.
Kamerstukken II 2014/15, 26 643, 354
Kamerstukken II 2014/15, 28 684, 446.
Kamerstukken II 2014/15, 34 034, 2.
Kamerstukken II 2015/16, 29 544, 702.
Overige wetgeving
Besluit meldplicht cybersecurity van 4 december 2017, Stb. 2017, 476.
55
Literatuur
Asscher 2002
L.F. Asscher, Communicatiegrondrechten: een onderzoek naar de constitutionele bescherming
van het recht op vrijheid van meningsuiting en het communicatiegeheim in de
informatiesamenleving, Amsterdam: Otto Cramwinckel 2002.
Bakels 2011
F.B. Bakels, Ontbinding van overeenkomsten, Deventer: Kluwer 2011.
Corstens/Borgers 2014
M.J. Borgers, Corstens. Het Nederlands strafprocesrecht, Deventer: Kluwer 2014.
Dasselaar 2008
A. Dasselaar, Handboek Digitale criminaliteit. Over daders, daden en opsporing, Culemborg:
Van Duuren Informatica 2008.
De Hullu 2015
J. de Hullu, Materieel strafrecht. Over algemene leerstukken van strafrechtelijke
aansprakelijkheid naar Nederlands recht, Deventer: Wolters Kluwer 2015.
De Vey Mestdagh, Dijkstra & Huisjes 2008
C.N.J. de Vey MestDagh, J.J. Dijkstra & S.C. Huisjes, ICT-recht voor de praktijk. Groningen:
Wolters Noordhof 2008.
EC-Council 2017
EC-Council, Computer Forensics: Investigating Network Intrusions and Cybercrime (CHFI),
Boston (USA): Cengage Learning 2017.
Enschedé & Blom 2013
T. Blom, Ch.J. Enschedé. Beginselen van strafrecht, Deventer: Kluwer 2013.
56
Falot & Schermer, Computerrecht 2016
N. Falot & B.W. Schermer, ‘De strafrechtelijke positie van de Nederlands ethisch hacker’,
Computerrecht 2016, afl. 45, p. 94-100.
Frowein & Peukert 2009
J.A. Frowein & W. Peukert, ‘Europaische Menschenrechtskonvention’, in: J.A. Frowein & W.
Peukert, EMRK-Kommentar, Kehl am Rhein (Duitsland): Engel 2009.
Gerards 2011
J. Gerards, EVRM - Algemene beginselen, Den Haag: SDU Uitgevers 2011.
Harms, NJLP 2017
Karel Harms, "Positieve uitlokking van ethisch hacken", Netherlands Journal of Legal
Philosophy, 2, (2017):196-207.
Jacobs 2013, NJB 2013
B. Jacobs, ‘De DDoS Paradox’, NJB 2013, afl. 1968.
Janssens & Nieuwenhuis 2008
A.L.J. Janssens & A.J. Nieuwenhuis, Studiepockets strafrecht 36 – Uitingsdelicten, Deventer:
Kluwer 2008.
Keulen & Knigge 2010
B.F. Keulen & G. Knigge, Strafprocesrecht., Deventer: Kluwer 2010.
Koops 2007
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007.
Leukfeldt, Domenie & Stol 2010
E.R. Leukfeldt, M.M.L. Domenie, W.Ph. Stol, Verkenning cybercrime in Nederland 2009, Den
Haag: Boom Juridische Uitgevers 2010.
Leukfeldt & Stol 2012
E.R. Leukfeldt & W.Ph. Stol (red.), Cyber Safety: An Introduction, Den Haag: Eleven
International Publishing 2012.
57
Maurushat 2013
A. Maurushat, Disclosure of Security Vulnerabilities: Legal and Ethical Issues, New York
(USA): Springer 2013.
Nieuwenhuis 2015
A.J. Nieuwenhuis, Over de grens van de vrijheid van meningsuiting, Nijmegen: Ars Aequi Libri
2015.
Nieuwenhuis & Hins 2011
A.J. Nieuwenhuis & A.W. Hins, Hoofdstukken Grondrechten, Nijmegen: Ars Aequi Libri 2011.
Northcutt 2004
S. Northcutt, IT Ethics Handbook: Right and Wrong for IT Professionals, Rockland (USA):
Syngress 2004.
Oerlemans & Koops, NJB 2011
J. Oerlemans & B. Koops, ‘De Hoge raad bewijst een slechte dienst in high-tech-crimezaak
over botnets’, NJB 2011, afl. 914.
Oriyano 2016
S. Oriyano, Certified Ethical Hacker version 9 STUDY GUIDE, Indianapolis (USA): Sybex
2016
Paul 2014
M. Paul, Official (ISC)2 guide to the CSSLP CBK, Boca Raton (USA): Taylor & Francis Group
2014.
Rapport Commissie-Franken 1987
Rapport commissie Computercriminaliteit, Informatietechniek & Strafrecht, Den Haag:
Staatsuitgeverij, Ministerie van Justitie 1987.
Rinkes e.a. 2009
J.G.J Rinkes e.a., Van Apeldoorn's Inleiding tot de studie van het Nederlandse recht, Deventer:
Kluwer 2009.
58
Rozemond 2011
K. Rozemond, De methode van het materiele strafrecht, Nijmegen: Ars Aequi Libri 2011.
Rodriques & Gonggrijp, NN 1992
F. Rodriquez & R. Gonggrijp, ‘Ons Systeem Is perfect Veilig!”, NN 1992, 103,
http://www.ravagedigitaal.org/1992/103/Ons_systeem_is_103.htm.
Royer, Computerrecht 2016
S. Royer, ‘Openingsrede Antwerpse procureur-generaal over cybercriminaliteit’,
Computerrecht 2016, afl. 251.
Schneier 2015
B. Schneier, Applied Cryptography. Protocols, Algorithms and Source Code in C, Hoboken
(USA): John Wiley & Sons Inc 2015.
Stol & Strikwerda 2017
W. Stol & L. Strikwerda, Strafrechtspleging in een digitale samenleving, Den Haag: Boom
juridisch 2017.
Timmerman, NJB 2013
M. Timmerman, ‘Goedwillende hackers, responsible disclosure en strafrecht’, NJB 2013 afl.
387
Tjong Tjin Tai & Koops, NJB 2015
E. Tjong Tjin Tai & B. Koops, ‘Zorgplichten tegen cybercrime’, NJB 2015 afl. 742.
Van ’t Hof 2016
Chr. van ’t Hof, Helpende hackers. Verantwoorde onthullingen in het digitale polderlandschap,
Rotterdam: TekTok Uitgeverij 2016.
Van den Brink & Jurjens, NTM/NJCM 2015
J. van den Brink & E. Jurjens, ‘Bescherming van klokkenluiders onder artikel 10 EVRM’,
NTM/NJCM-bull. 2015 afl. 3.
59
Verhulp 1996
E. Verhulp, Vrijheid van meningsuiting van werknemers en ambtenaren, Den Haag: Sdu
Uitgevers 1996.
Vlemminx 2013
F.M.C. Vlemminx, Het moderne EVRM, Den Haag: Boom Juridische uitgevers 2013.
Vankan 2015
F.T.M. Vankan, Klokkenluiders. Deel 9 Thema’s Arbeid & recht, Zutphen: Uitgeverij Paris
2015.
60
Overige publicaties
CIO Platform Nederland 2016
CIO Platform Nederland, “Responsible Disclosure, implementatie handleiding”, februari 2016,
https://www.cio-platform.nl/nl/publicaties/publicaties
NCSC 2013
NCSC, Leidraad om te komen tot een praktijk van responsible disclosure, 3 januari 2013,
https://www.rijksoverheid.nl/documenten/richtlijnen/2013/01/03/leidraad-om-te-komen-tot-
een-praktijk-van-responsible-disclosure
NCTV 2017
Nationaal Coördinator Terrorismebestrijding en Veiligheid, Cybersecuritybeeld Nederland,
Juni 2017.
OM 2012
Openbaar Ministerie, ‘Aanwijzing toepassing dwangmiddelen tegen journalisten’, Stcrt. 2012,
3656.
OM 2013
Openbaar Ministerie, Responsible Disclosure (hoe te handelen bij ‘ethische’ hackers), 18 maart
2013,
https://www.om.nl/publish/pages/22742/03_18_13_beleidsbrief_college_responsible_disclos
ure.pdf
Raad van de Europese Unie 2015
Raad van de Europese Unie, Evaluatierapport van de zevende wederzijdse evaluatie "De
praktische uitvoering en toepassing van het Europese beleid inzake preventie en bestrijding
van cybercriminaliteit", 15 mei 2015.
Van der Kolk, Volkskrant 19 september 2011
Th. Van der Kolk, ‘Meerderheid Kamer wil bescherming voor hackers’, Volkskrant 19
september 2011, https://www.volkskrant.nl/media/-meerderheid-kamer-wil-bescherming-
voor-hackers~a2916440/.
