Zoals in de nieuwsbrief van afgelopen weekend was vermeld, heeft dhr. Krol een boete gekregen van € 750,- voor hacken. Daarbij struikelen kennelijk nogal wat mensen over het feit dat de rechter de daad van het hacken kennelijk goedkeurde maar toch een boete oplegde. Het is daarom nuttig om eens naar het vonnis te kijken en te bezien of het oordeel van de rechter daadwerkelijk zo onbegrijpelijk is als tal van mensen het doen voorkomen.

De feiten:
Wellicht ten overvloede meldt ik dat ik hierbij uitga van de feiten zoals die uit het vonnis blijken en niet de feitenvoorstelling zoals door andere media wordt geschetst. De zaak tegen Krol draait om het inzien van dossiers van het Brabantse medisch laboratorium Diagnostiek voor U.

Tijdens een bezoek aan de psychiater heeft medeverdachte (de initiële “hacker”) onbedoeld een inlogcode en bijbehorend wachtwoord gehoord die toegang geven tot een systeem met patiëntgegevens. Vervolgens heeft medeverdachte op zijn eigen computer met succes ingelogd op het systeem. Daar heeft hij een aantal medische dossiers/gegevens bekeken. De inloggegevens bleken afkomstig te zijn van een psychiater die werkte bij Diagnostiek voor U. Die had geen toestemming gegeven voor het gebruik van zijn inloggegevens.

Medeverdachte heeft later Krol gebeld en verteld dat hij kon inloggen op de webserver. De volgende dag hebben zij tezamen ingelogd op het systeem. Daar hebben zij een aantal dossiers en medische gegevens bekeken. Krol heeft de medische gegevens van een aantal personen uitgeprint en geanonimiseerd. Hij heeft daarna contact gezocht met het laboratorium, de door hem geconstateerde situatie voorgelegd en gevraagd naar de leiding. De telefoniste heeft gevraagd het probleem schriftelijk te melden. Krol heeft vervolgens naar Omroep Brabant gebeld en daar zijn verhaal gedaan. Die stuurden een reporter waarna opnieuw opgeslagen medische gegevens/dossiers van een aantal patiënten bekeken in aanwezigheid de reporter(s). Krol wordt nu aangeklaagd voor computervredebreuk ex artikel 138ab lid 1 en lid 2 Sr.

Hacken in het strafrecht:
Krol wordt in deze zaak aangeklaagd voor hacken. De term hacken is in het Wetboek van Strafrecht(Sr.) nergens als zodanig terug te vinden. Het hacken van een systeem staat in het strafrecht bekend als computervredebreuk (naar analogie met huisvredebruik) en is strafbaar gesteld in art. 138ab Sr. Het is te vinden in boek twee titel V onder de categorie misdrijven tegen de openbare orde. De daadwerkelijke computervredebreuk is geregeld in art. 138ab lid 1.

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

  • door het doorbreken van een beveiliging
  • door een technische ingreep
  • met behulp van valse signalen of een valse sleutel, of
  • door het aannemen van een valse hoedanigheid.

Computervredebreuk wordt gezien als het binnendringen in een geautomatiseerd werk. Een geautomatiseerd werk klinkt als een wat gekunstelde term maar is bewust gekozen om veelomvattend te zijn. Onder een geautomatiseerd werk valt van alles variërend van een reguliere computer tot een server en zelfs een heel netwerk. De voorwaarden die in ieder geval binnendringen opleveren zijn alternatief. Gebruik van internet is daarbij niet vereist. Het is voldoende om fysiek achter het geautomatiseerde werk van iemand anders te gaan zitten en daar binnen te komen. Overigens kan het gebruik van internet of een ander telecommunicatienetwerk wel een verzwarende omstandigheid opleveren als wordt voldaan aan de eisen gesteld in het derde lid. Momenteel is dat niet aan de orde.

De strafverzwarende omstandigheid van het tweede lid behandelt de verwerking en/of het gebruik van gegevens die zijn verkregen met de computervredebreuk. In casu is ook dit lid van toepassing.

Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.

Standpunt OM:
Het recht op privacy van derden was in het geding waarbij het om zeer gevoelige informatie ging. De maatschappelijke relevantie is minder groot dan verdachte doet voorkomen omdat het probleem niet zozeer zit in de beveiliging van het systeem maar meer in de onzorgvuldige wijze waarmee de psychiater omging met zijn inloggegevens.

Krol had kunnen kiezen voor een minder ingrijpende methode om toch zijn doel te bereiken. Het enkele inloggen op het systeem had kunnen volstaan en voor zover dossiers bekeken werden hadden ze zich kunnen en moeten beperken tot het openen van het dossier van medeverdachte. Voor zover Krol van mening is dat hij heeft gehandeld als ethisch hacker, dan wel voor zover hij heeft gehandeld als journalist, heeft hij een zorgvuldige en noodzakelijke stap overgeslagen. Hij had het laboratorium op de hoogte moeten brengen. Het enkele telefoontje met de telefoniste was daarvoor niet voldoende.

Het recht op de bescherming van het systeem alsmede het recht op privacy van de betrokken derden dient
zwaarder te wegen dan het recht op de vrijheid van meningsuiting en nieuwsgaring van de verdachten. Artikel 10 van het EVRM staat een strafvervolging, noch een strafoplegging van verdachte in de weg.

Standpunt verdediging:
Het systeem had een zodanig laagdrempelig beveiligingssysteem dat medeverdachte met succes kon inloggen vanaf zijn eigen computer. Na het inloggen had hij toegang tot alle dossiers. Daar moest bewijs
van worden vastgelegd. Verdachte heeft ervoor gekozen een aantal gegevens uit te printen en deze prints te anonimiseren. De identificeerbare gegevens van een patiënt waren voor iedereen met de inloggegevens toegankelijk. Zelfs ook voor justitie zegt de aangever.

Medeverdachte is naar verdachte gegaan omdat hij dat de juiste persoon achtte. Krol was op dat moment lid van de schrijvende pers en Statenlid. Er is wel contact gezocht met het laboratorium maar daar werd hij genegeerd. Er was een absolute maatschappelijke noodzaak om deze misstand zeer snel aan de
kaak te stellen. De keuze om daarbij naar de pers te stappen was proportioneel. Vanaf het eerste moment is de nodige zorgvuldigheid in acht genomen door alle prints te anonimiseren. Wederrechtelijkheid van het handelen ontbreekt dan ook en dit dient te leiden tot vrijspraak dan wel ontslag van alle rechtsvervolging.

Overwegingen en oordeel van de rechter:
Verdachte stelt dat zijn enige doel de bescherming van de (gegevens van) patiënten was. Andere
onbevoegden zouden mogelijk ook de inloggegevens kunnen hebben. De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is, tenzij er onder zeer bijzondere omstandigheden hogere belangen zijn die een dergelijke inbreuk in volledig kunnen rechtvaardigen.

Voor de beantwoording van die vraag zijn naar het oordeel van de rechtbank, mede gelet op het
bepaalde in artikel 10 van het EVRM, drie factoren van belang.

  1. Er moet worden beoordeeld of verdachte heeft gehandeld in het kader van een wezenlijk
    maatschappelijk belang.
  2. Indien de eerste vraag bevestigend wordt beantwoord, moet worden bezien of het handelen van verdachte proportioneel was (ging verdachte niet verder dan noodzakelijk was om zijn doel te bereiken)
  3. en of er geen andere, minder vergaande methode was om het beoogde doel te kunnen bereiken (subsidiariteit).
Wezenlijk maatschappelijk belang

De rechtbank vindt dat het aantonen van gebreken bij de bescherming van vertrouwelijke, medische gegevens een wezenlijk maatschappelijk belang kan dienen. De rechtbank acht het gerechtvaardigd dat verdachte het bestaan van het lek zelf wilde controleren. Het inloggen en bekijken van enkele dossiers is dan ook niet wederrechtelijk. Het maken van prints om de omvang van het probleem aan te kunnen tonen is evenmin wederrechtelijk zeker nu daarbij zorgvuldig is gehandeld gegevens te anonimiseren. Daarmee is de eerste vraag beantwoord.

Proportionaliteit:

Verdachte heeft meerdere malen gegevens geraadpleegd en uitgeprint. Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten, had verdachte zich moeten beperken tot het hoogst noodzakelijke. In het licht van het doel (bevestiging van het verhaal van medeverdachte en vergaring van bewijs om later het probleem tegenover het laboratorium en eventuele anderen aan te kunnen tonen), bestond daartoe geen noodzaak. Verdachte heeft dus de grens van proportionaliteit overschreden. Daarmee is de tweede vraag beantwoord.

Subsidiariteit:

Verdachte heeft het lek bij het laboratorium gemeld. Hij kreeg daar een telefoniste aan de lijn en heeft gevraagd naar de leiding. De telefoniste heeft hem niet doorverbonden maar verzocht een en ander op schrift te stellen.

Verdachte voelde zich niet serieus genomen en heeft daarna vrijwel meteen contact gezocht met Omroep Brabant waarna wederom met behulp van medeverdachte enkele dossiers zijn bekeken. Naar het oordeel van de rechtbank was niet noodzakelijk om voor het oplossen van het probleem meteen naar de media te stappen. Het probleem was niet technisch van aard, maar dat één gebruiker was onzorgvuldig met zijn inloggegevens omgegaan. Er waren geen aanwijzingen dat anderen over deze inloggegevens beschikten.
Verdachte had onder deze omstandigheden de tijd moeten nemen om het laboratorium gericht te benaderen zo nodig met het melden van de eventuele vervolgstappen. Van verdachte mag verwacht worden dat, gezien zijn positie als Statenlid en als verslaggever, hij in staat is om zonder al teveel moeite de juiste persoon binnen de organisatie te contacteren.

Het probleem was niet zo acuut dat onmiddellijke inschakeling van de media noodzakelijk was. Dat toch doen voldoet niet aan het vereiste van subsidiariteit. Daarmee is de derde vraag beantwoord.

Het oordeel

Een en ander leidt er toe dat de rechtbank van oordeel is dat verdachte wederrechtelijk heeft gehandeld en zich meermalen schuldig heeft gemaakt aan computervredebreuk in vereniging gepleegd. Door onbevoegd in te loggen met andermans inloggegevens is sprake van de toegang verwerven met behulp van een valse sleutel en door middel van het aannemen van een valse hoedanigheid. Verdachte krijgt een geldboete van € 750,00 subsidiair 15 dagen hechtenis.

Conclusie:
De rechter keurt het “hacken” goed omdat er een wezenlijk maatschappelijk belang mee is gediend. Het gaat dan ook niet om het feit dat er een “hack”is geweest maar om hoeveel keer er toegang is geweest alsmede de hoeveelheid dossiers die zijn bekeken. Dat is de proportionaliteit.

Ook het direct naar de media stappen na enkel en alleen met een telefoniste te hebben gesproken is een probleem. Er had eerst nader contact gezocht moeten worden met het bedrijf. Zeker gezien de positie van Krol als Statenlid en journalist zou meer van mogen worden verwacht omdat het voor hem relatief bezien makkelijker is om de juiste persoon te spreken te krijgen.

Kortom, het doel was goed maar de methodiek niet. Overigens verwierp de rechter ook claims van Diagnostiek voor U om schadevergoeding en volgde de niet de redenering van de Officier van Justitie dat Krol een persoon is die zal recidiveren.

Het is overigens onbekend wat er met de psychiater gebeurd is die vrij lichtvaardig met zijn inloggegevens omgegaan. De mogelijkheid dat die een bezoekje moet brengen aan de tuchtrechter zit er wel in.

Ik ben bijzonder benieuwd of deze zaak nog een vervolg gaat krijgen in hoger beroep. Daarvoor zullen partijen nog voldoende argumenten moeten zien die tot een andere conclusie leiden. Zo valt er misschien nog wel wat af te dingen op de redenering dat het beveilingslek niet acuut genoeg is om direct naar de media te stappen. Een ander ingang is wellicht dat het recht op vrije meningsuiting en nieuwsgaring voorrang moet hebben nu de de privacy van derden niet zwaar geschaad is doordat hun gegevens zijn geanonimiseerd.

De proportionaliteit van het handelen is een lastiger probleem. Er is immers vaker toegang verschaft tot de gegevens dan strikt noodzakelijk om het bestaan van het probleem vast te stellen.

Bron:
RECHTBANK OOST-BRABANT. Parketnummer: 01/820892-12 15 februari 2013
750 euro boete voor 50Plusser Krol in hack-zaak via volkskrant.nl
‘Hackend’ Kamerlid Henk Krol krijgt geldboete via tweakers.net
Henk Krol krijgt boete voor hacken via nu.nl

Comments closed.