Cybercrime
Samenvatting
Week 1
Literatuur
1. Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
2. Van den Hurk_Geautomatiseerde werken en gegevensdragers.pdf
Wetgeving
3. Wetboek van Strafrecht
4. Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken
(Cybercrime Verdrag, 2001) zie Canvas.
Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
Hoofdstuk 2, paragraaf 1 t/m 2.3
KERN VAN HET HOOFDSTUK
De opkomst van ICT heeft het materiële strafrecht op twee manieren beïnvloed:
1. Nieuwe ICT-gerichte delicten zijn ontstaan, zoals:
computervredebreuk,
verspreiding van malware,
verstoring van gegevens of systemen.
Dit is computercriminaliteit in enge zin.
2. Traditionele delicten worden steeds vaker via digitale middelen gepleegd, zoals:
oplichting,
witwassen,
drugshandel,
verspreiding van kinderporno.
Dit is computercriminaliteit in brede zin.
De wetgever heeft het Wetboek van Strafrecht aangepast omdat gegevens niet als “enig goed”
worden gezien in strafrechtelijke zin. Daardoor vallen gegevens niet vanzelf onder klassieke
vermogensdelicten zoals diefstal. De wetgever heeft daarom aparte strafbaarstellingen ingevoerd voor
ongewenste gedragingen met gegevens.
Een belangrijk uitgangspunt daarbij was lange tijd dat gegevens als zodanig niet strafrechtelijk
worden beschermd tegen toegang of kennisneming. Strafbaar is vooral de manier waarop iemand
die gegevens verkrijgt, bijvoorbeeld door hacken of aftappen. Dus: niet de onstoffelijke gegevens
zelf staan centraal, maar het medium of systeem waarin of waarmee zij worden verwerkt. Dat sluit
aan bij het beginsel van de free flow of information: gegevens moeten in beginsel vrij kunnen
circuleren.
Tegelijk laat de wetgever dit uitgangspunt deels los, bijvoorbeeld met nieuwe strafbaarstellingen zoals
het wederrechtelijk overnemen van gegevens. Daarmee verschuift de bescherming toch meer
richting de gegevens zelf.
Pagina 1 van 183
,In de praktijk worden computerdelicten vaak gecombineerd met traditionele delicten. Bij banking
malware kan naast een computerdelict ook vervolgd worden voor:
diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr),
oplichting (art. 326 Sr).
Bij ransomware kan naast gegevensaantasting of computersabotage ook vervolgd worden voor:
afpersing (art. 317 lid 2 Sr),
omdat daarop soms een hogere straf staat.
BELANGRIJKE DEFINITIES
Gegevens
Volgens artikel 80quinquies Sr zijn gegevens:
iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor
overdracht, interpretatie of verwerking door personen of geautomatiseerde werken.
Hieronder valt ook programmatuur. Deze definitie is in de literatuur en praktijk in beginsel
onomstreden.
Geautomatiseerd werk
Sinds de Wet computercriminaliteit III definieert artikel 80sexies Sr een geautomatiseerd werk als:
een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of
meer op basis van een programma automatisch computergegevens verwerken.
Deze definitie is ruim en sluit aan bij het Cybercrimeverdrag. Daaronder vallen in elk geval:
computers,
servers,
modems,
routers,
smartphones,
tablets,
IoT-apparaten zoals slimme lampen, koelkasten, energiemeters en auto’s.
De oude definitie vereiste opslag, verwerking én overdracht van gegevens en leidde tot discussie over
apparaten zoals routers. De nieuwe definitie voorkomt dat probleem grotendeels.
Router-arrest
De Hoge Raad (2013) oordeelde dat een router moet worden gezien als onderdeel van een
geautomatiseerd werk. Daardoor kan ook het binnendringen in een router strafbaar zijn als
computervredebreuk. De Hoge Raad zei dus niet per se dat een router zelfstandig een
geautomatiseerd werk is, maar wel dat deze deel kan uitmaken van zo’n werk.
CRIMINELE ORGANISATIE IN CYBERCRIME
Cybercrime wordt vaak in georganiseerd verband gepleegd. Daarom is artikel 140 Sr van groot
belang.
Artikel 140 Sr
Lid 1: deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven is
strafbaar.
Pagina 2 van 183
, Lid 4: onder deelneming valt ook het verlenen van geldelijke of andere stoffelijke steun en het
werven van geld of personen.
Voor een criminele organisatie is vereist:
een duurzaam en gestructureerd samenwerkingsverband,
met als oogmerk het plegen van misdrijven.
De Hoge Raad benadrukt dat voor het bewijs van dat oogmerk betekenis kan toekomen aan:
eerder gepleegde misdrijven,
de duurzaamheid van de samenwerking,
taakverdeling,
onderlinge afstemming,
hiërarchie of gezamenlijke besluitvorming.
Niet vereist is:
dat de verdachte zelf een concreet misdrijf heeft gepleegd,
of dat hij met alle leden van de organisatie heeft samengewerkt.
Lizard Squad
De Rechtbank Den Haag (2018) veroordeelde een verdachte wegens deelname aan de criminele
organisatie Lizard Squad. Zijn bijdrage bestond uit het onderhouden van een server voor een website
waarmee DDoS-aanvallen werden uitgevoerd. Ook zo’n faciliterende rol kan dus voldoende zijn voor
deelneming aan een criminele organisatie.
COMPUTERVREDEBREUK (ARTIKEL 138AB SR)
Algemeen
Artikel 138ab Sr stelt computervredebreuk strafbaar: het opzettelijk en wederrechtelijk
binnendringen in een geautomatiseerd werk.
De bepaling is gemodelleerd naar huisvredebreuk. Van binnendringen is in elk geval sprake als
toegang wordt verkregen door:
het doorbreken van een beveiliging,
een technische ingreep,
valse signalen,
een valse sleutel,
een valse hoedanigheid.
De maximale straf is 2 jaar gevangenisstraf of een geldboete van de vierde categorie.
Wachtwoord als valse sleutel
De wetgever beschouwt een wachtwoord als een sleutel. In aansluiting op rechtspraak over fysieke
sleutels geldt dat ook een echte sleutel vals kan zijn als zij wordt gebruikt door iemand die daartoe
niet gerechtigd is. Toegepast op computers betekent dit dat iemand die zonder bevoegdheid een
wachtwoord gebruikt om binnen te komen, computervredebreuk kan plegen.
URL-manipulatie
Het Hof Den Haag heeft geoordeeld dat ook het manipuleren van URL’s computervredebreuk kan
opleveren, als men daardoor toegang krijgt tot delen van een website die niet toegankelijk bedoeld
zijn. Dat kan dus ook gelden bij relatief eenvoudige trucs, zoals het wijzigen van een jaartal in een
webadres.
Pagina 3 van 183
, Deel van een geautomatiseerd werk
Computervredebreuk ziet niet alleen op een heel systeem, maar ook op een deel van een
geautomatiseerd werk. Dat is belangrijk voor werknemers of anderen die wel enige toegang hebben,
maar niet bevoegd zijn om in beveiligde onderdelen van het systeem te komen.
Onrechtmatig aanwezig blijven
Nederland heeft niet expliciet strafbaar gesteld het onrechtmatig aanwezig blijven in een
computersysteem na aanvankelijk rechtmatige toegang. Een ruime interpretatie van “binnendringen”
zou dit misschien kunnen omvatten, maar daarvoor biedt de wetsgeschiedenis volgens de auteurs
weinig steun.
Poortscan en poging
Een poortscan is niet zonder meer computervredebreuk. De Rechtbank Rotterdam (2014)
oordeelde dat het enkel scannen van een website op kwetsbaarheden op zichzelf nog geen
binnendringen oplevert. In die zaak werd wel poging tot computervredebreuk bewezen geacht,
omdat het gedrag naar zijn uiterlijke verschijningsvorm gericht was op binnendringen. Met
toestemming van de rechthebbende, bijvoorbeeld bij een penetratietest, ontbreekt de
wederrechtelijkheid.
DE VROEGERE BEVEILIGINGSEIS
Bij de invoering van de oude hackbepaling (art. 138a oud Sr) gold nog als eis dat een beveiliging
moest worden doorbroken. Die eis is in 2006 vervallen.
Achtergrond
Vroeger werd onderscheid gemaakt tussen:
absolute beveiliging,
maximale beveiliging,
adequate beveiliging,
minimale beveiliging,
pro-formabeveiliging.
De wetgever vond dat niet méér nodig was dan een minimale, maar wel echte beveiliging. Een
louter symbolische maatregel, zoals “verboden toegang”, was onvoldoende.
Waarom vervallen?
De beveiligingseis is geschrapt vanwege internationale ontwikkelingen, vooral:
het Cybercrimeverdrag,
het EU-Kaderbesluit 2005/222/JBZ over aanvallen op informatiesystemen.
Sindsdien zijn het doorbreken van beveiliging en vergelijkbare handelingen voorbeelden van
binnendringen, maar geen constitutieve eis meer.
Kritiek van de auteurs
De auteurs zijn kritisch op het vervallen van de beveiligingseis. Volgens hen ging daarmee ook een
belangrijk normatief signaal verloren: gebruikers zouden gestimuleerd moeten worden om hun
systemen minimaal te beveiligen.
GEKWALIFICEERDE VORMEN VAN COMPUTERVREDEBREUK
Artikel 138ab lid 2 Sr
Pagina 4 van 183
Samenvatting
Week 1
Literatuur
1. Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
2. Van den Hurk_Geautomatiseerde werken en gegevensdragers.pdf
Wetgeving
3. Wetboek van Strafrecht
4. Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken
(Cybercrime Verdrag, 2001) zie Canvas.
Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
Hoofdstuk 2, paragraaf 1 t/m 2.3
KERN VAN HET HOOFDSTUK
De opkomst van ICT heeft het materiële strafrecht op twee manieren beïnvloed:
1. Nieuwe ICT-gerichte delicten zijn ontstaan, zoals:
computervredebreuk,
verspreiding van malware,
verstoring van gegevens of systemen.
Dit is computercriminaliteit in enge zin.
2. Traditionele delicten worden steeds vaker via digitale middelen gepleegd, zoals:
oplichting,
witwassen,
drugshandel,
verspreiding van kinderporno.
Dit is computercriminaliteit in brede zin.
De wetgever heeft het Wetboek van Strafrecht aangepast omdat gegevens niet als “enig goed”
worden gezien in strafrechtelijke zin. Daardoor vallen gegevens niet vanzelf onder klassieke
vermogensdelicten zoals diefstal. De wetgever heeft daarom aparte strafbaarstellingen ingevoerd voor
ongewenste gedragingen met gegevens.
Een belangrijk uitgangspunt daarbij was lange tijd dat gegevens als zodanig niet strafrechtelijk
worden beschermd tegen toegang of kennisneming. Strafbaar is vooral de manier waarop iemand
die gegevens verkrijgt, bijvoorbeeld door hacken of aftappen. Dus: niet de onstoffelijke gegevens
zelf staan centraal, maar het medium of systeem waarin of waarmee zij worden verwerkt. Dat sluit
aan bij het beginsel van de free flow of information: gegevens moeten in beginsel vrij kunnen
circuleren.
Tegelijk laat de wetgever dit uitgangspunt deels los, bijvoorbeeld met nieuwe strafbaarstellingen zoals
het wederrechtelijk overnemen van gegevens. Daarmee verschuift de bescherming toch meer
richting de gegevens zelf.
Pagina 1 van 183
,In de praktijk worden computerdelicten vaak gecombineerd met traditionele delicten. Bij banking
malware kan naast een computerdelict ook vervolgd worden voor:
diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr),
oplichting (art. 326 Sr).
Bij ransomware kan naast gegevensaantasting of computersabotage ook vervolgd worden voor:
afpersing (art. 317 lid 2 Sr),
omdat daarop soms een hogere straf staat.
BELANGRIJKE DEFINITIES
Gegevens
Volgens artikel 80quinquies Sr zijn gegevens:
iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor
overdracht, interpretatie of verwerking door personen of geautomatiseerde werken.
Hieronder valt ook programmatuur. Deze definitie is in de literatuur en praktijk in beginsel
onomstreden.
Geautomatiseerd werk
Sinds de Wet computercriminaliteit III definieert artikel 80sexies Sr een geautomatiseerd werk als:
een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of
meer op basis van een programma automatisch computergegevens verwerken.
Deze definitie is ruim en sluit aan bij het Cybercrimeverdrag. Daaronder vallen in elk geval:
computers,
servers,
modems,
routers,
smartphones,
tablets,
IoT-apparaten zoals slimme lampen, koelkasten, energiemeters en auto’s.
De oude definitie vereiste opslag, verwerking én overdracht van gegevens en leidde tot discussie over
apparaten zoals routers. De nieuwe definitie voorkomt dat probleem grotendeels.
Router-arrest
De Hoge Raad (2013) oordeelde dat een router moet worden gezien als onderdeel van een
geautomatiseerd werk. Daardoor kan ook het binnendringen in een router strafbaar zijn als
computervredebreuk. De Hoge Raad zei dus niet per se dat een router zelfstandig een
geautomatiseerd werk is, maar wel dat deze deel kan uitmaken van zo’n werk.
CRIMINELE ORGANISATIE IN CYBERCRIME
Cybercrime wordt vaak in georganiseerd verband gepleegd. Daarom is artikel 140 Sr van groot
belang.
Artikel 140 Sr
Lid 1: deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven is
strafbaar.
Pagina 2 van 183
, Lid 4: onder deelneming valt ook het verlenen van geldelijke of andere stoffelijke steun en het
werven van geld of personen.
Voor een criminele organisatie is vereist:
een duurzaam en gestructureerd samenwerkingsverband,
met als oogmerk het plegen van misdrijven.
De Hoge Raad benadrukt dat voor het bewijs van dat oogmerk betekenis kan toekomen aan:
eerder gepleegde misdrijven,
de duurzaamheid van de samenwerking,
taakverdeling,
onderlinge afstemming,
hiërarchie of gezamenlijke besluitvorming.
Niet vereist is:
dat de verdachte zelf een concreet misdrijf heeft gepleegd,
of dat hij met alle leden van de organisatie heeft samengewerkt.
Lizard Squad
De Rechtbank Den Haag (2018) veroordeelde een verdachte wegens deelname aan de criminele
organisatie Lizard Squad. Zijn bijdrage bestond uit het onderhouden van een server voor een website
waarmee DDoS-aanvallen werden uitgevoerd. Ook zo’n faciliterende rol kan dus voldoende zijn voor
deelneming aan een criminele organisatie.
COMPUTERVREDEBREUK (ARTIKEL 138AB SR)
Algemeen
Artikel 138ab Sr stelt computervredebreuk strafbaar: het opzettelijk en wederrechtelijk
binnendringen in een geautomatiseerd werk.
De bepaling is gemodelleerd naar huisvredebreuk. Van binnendringen is in elk geval sprake als
toegang wordt verkregen door:
het doorbreken van een beveiliging,
een technische ingreep,
valse signalen,
een valse sleutel,
een valse hoedanigheid.
De maximale straf is 2 jaar gevangenisstraf of een geldboete van de vierde categorie.
Wachtwoord als valse sleutel
De wetgever beschouwt een wachtwoord als een sleutel. In aansluiting op rechtspraak over fysieke
sleutels geldt dat ook een echte sleutel vals kan zijn als zij wordt gebruikt door iemand die daartoe
niet gerechtigd is. Toegepast op computers betekent dit dat iemand die zonder bevoegdheid een
wachtwoord gebruikt om binnen te komen, computervredebreuk kan plegen.
URL-manipulatie
Het Hof Den Haag heeft geoordeeld dat ook het manipuleren van URL’s computervredebreuk kan
opleveren, als men daardoor toegang krijgt tot delen van een website die niet toegankelijk bedoeld
zijn. Dat kan dus ook gelden bij relatief eenvoudige trucs, zoals het wijzigen van een jaartal in een
webadres.
Pagina 3 van 183
, Deel van een geautomatiseerd werk
Computervredebreuk ziet niet alleen op een heel systeem, maar ook op een deel van een
geautomatiseerd werk. Dat is belangrijk voor werknemers of anderen die wel enige toegang hebben,
maar niet bevoegd zijn om in beveiligde onderdelen van het systeem te komen.
Onrechtmatig aanwezig blijven
Nederland heeft niet expliciet strafbaar gesteld het onrechtmatig aanwezig blijven in een
computersysteem na aanvankelijk rechtmatige toegang. Een ruime interpretatie van “binnendringen”
zou dit misschien kunnen omvatten, maar daarvoor biedt de wetsgeschiedenis volgens de auteurs
weinig steun.
Poortscan en poging
Een poortscan is niet zonder meer computervredebreuk. De Rechtbank Rotterdam (2014)
oordeelde dat het enkel scannen van een website op kwetsbaarheden op zichzelf nog geen
binnendringen oplevert. In die zaak werd wel poging tot computervredebreuk bewezen geacht,
omdat het gedrag naar zijn uiterlijke verschijningsvorm gericht was op binnendringen. Met
toestemming van de rechthebbende, bijvoorbeeld bij een penetratietest, ontbreekt de
wederrechtelijkheid.
DE VROEGERE BEVEILIGINGSEIS
Bij de invoering van de oude hackbepaling (art. 138a oud Sr) gold nog als eis dat een beveiliging
moest worden doorbroken. Die eis is in 2006 vervallen.
Achtergrond
Vroeger werd onderscheid gemaakt tussen:
absolute beveiliging,
maximale beveiliging,
adequate beveiliging,
minimale beveiliging,
pro-formabeveiliging.
De wetgever vond dat niet méér nodig was dan een minimale, maar wel echte beveiliging. Een
louter symbolische maatregel, zoals “verboden toegang”, was onvoldoende.
Waarom vervallen?
De beveiligingseis is geschrapt vanwege internationale ontwikkelingen, vooral:
het Cybercrimeverdrag,
het EU-Kaderbesluit 2005/222/JBZ over aanvallen op informatiesystemen.
Sindsdien zijn het doorbreken van beveiliging en vergelijkbare handelingen voorbeelden van
binnendringen, maar geen constitutieve eis meer.
Kritiek van de auteurs
De auteurs zijn kritisch op het vervallen van de beveiligingseis. Volgens hen ging daarmee ook een
belangrijk normatief signaal verloren: gebruikers zouden gestimuleerd moeten worden om hun
systemen minimaal te beveiligen.
GEKWALIFICEERDE VORMEN VAN COMPUTERVREDEBREUK
Artikel 138ab lid 2 Sr
Pagina 4 van 183
