Cybercrime
Samenvatting KORT
Week 1
Literatuur
1. Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
2. Van den Hurk_Geautomatiseerde werken en gegevensdragers.pdf
Wetgeving
3. Wetboek van Strafrecht
4. Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken
(Cybercrime Verdrag, 2001) zie Canvas.
Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
Hoofdstuk 2, paragraaf 1 t/m 2.3
Koops en Oerlemans laten zien dat ICT het materiële strafrecht op twee manieren heeft veranderd: er
zijn nieuwe computerdelicten ontstaan, zoals computervredebreuk en malwaredelicten, én
traditionele delicten zoals oplichting, witwassen en afpersing worden steeds vaker via digitale
middelen gepleegd. Een belangrijk uitgangspunt van de wetgever is dat gegevens in beginsel niet
als ‘goed’ worden gezien en daarom niet rechtstreeks strafrechtelijk worden beschermd; strafbaar is
vooral de wijze waarop men gegevens verkrijgt of misbruikt, bijvoorbeeld door in te breken in een
computersysteem of communicatie af te luisteren. Tegelijk laat de recente wetgeving, vooral met art.
138c Sr, zien dat gegevens inmiddels toch méér zelfstandige strafrechtelijke bescherming krijgen.
Verder bespreekt de tekst de kernbegrippen ‘gegevens’ en ‘geautomatiseerd werk’. Gegevens zijn
volgens art. 80quinquies Sr alle voor overdracht, interpretatie of verwerking geschikte weergaven
van feiten, begrippen of instructies. Een geautomatiseerd werk is volgens art. 80sexies Sr elk
apparaat of samenhangend geheel van apparaten dat automatisch computergegevens verwerkt. Dat
begrip wordt ruim uitgelegd en omvat dus ook moderne apparaten zoals routers, smartphones en IoT-
apparaten. Ook georganiseerde cybercriminaliteit valt onder het gewone strafrecht, met name via art.
140 Sr over de criminele organisatie.
De tekst behandelt daarna vooral computervredebreuk (art. 138ab Sr). Daaronder valt het
opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan,
bijvoorbeeld door een beveiliging te doorbreken, een technische ingreep, een valse sleutel of een
valse hoedanigheid. De vroegere beveiligingseis is vervallen. Ook komen gekwalificeerde vormen aan
bod, zoals het overnemen van gegevens na binnendringen of het verder doordringen naar andere
systemen. Daarnaast bespreken de auteurs ethisch hacken: ook dat is in beginsel strafbaar, tenzij
toestemming bestaat of een zwaarwegend maatschappelijk belang het handelen rechtvaardigt. Tot slot
bespreken zij art. 138c Sr, dat het wederrechtelijk overnemen van niet-openbare gegevens strafbaar
stelt, ook zonder dat computervredebreuk bewezen kan worden. De auteurs zijn daar kritisch over,
omdat deze bepaling erg ruim is en daardoor ook alledaagse of minder ernstige situaties onder het
strafrecht kan brengen.
Belangrijkste artikelen: art. 23 Sr, 80quinquies Sr, 80sexies Sr, 138ab Sr, 138c Sr, 140 Sr, 272
Sr, 273 Sr, 311 Sr, 317 Sr, 321 Sr, 326 Sr.
Pagina 1 van 43
,Belangrijke rechtspraak/voorbeelden: router-arrest van de Hoge Raad (2013), poortscan-
uitspraak Rb. Rotterdam (2014), Toxbot-arrest, Henk Krol-zaak, Manon Thomas-zaak, en de zaak
rond Lizard Squad.
Van den Hurk_Geautomatiseerde werken en
gegevensdragers
Van den Hurk betoogt dat de strafrechtelijke begrippen ‘geautomatiseerd werk’ (art. 80sexies Sr) en
‘gegevensdrager’ door technologische ontwikkelingen, zoals cloudcomputing en online accounts,
steeds minder bruikbaar zijn. Oorspronkelijk beschermt het strafrecht bij computervredebreuk (art.
138ab Sr) vooral het fysieke apparaat (‘de huls’) en slechts indirect de daarop aanwezige gegevens.
In de praktijk kwalificeren rechters echter vaak accounts, websites en digitale systemen als
geautomatiseerd werk, terwijl deze juridisch geen fysieke objecten zijn.
Door de vervagende grens tussen apparaten en gegevens (bijv. smartphones en cloudopslag) en het
ontbreken van duidelijke informatie over achterliggende hardware, ontstaat een kloof tussen wet en
praktijk. Dit leidt tot onduidelijkheid, bijvoorbeeld bij ongeautoriseerde toegang tot systemen of
misbruik van inloggegevens.
De auteur concludeert dat het onderscheid tussen geautomatiseerd werk en gegevensdrager
kunstmatig en verouderd is. Hij pleit voor nieuwe, technologie-neutrale begrippen, zoals een
overkoepelend begrip voor digitale objecten en het gebruik van ‘digitale omgeving’ bij toegang tot
online systemen, zodat het strafrecht beter aansluit bij de huidige digitale realiteit.
Verdrag inzake de bestrijding van strafbare feiten
verbonden met elektronische netwerken zie Canvas
(Cybercrime Verdrag, 2001)
Verdrag inzake de bestrijding van cybercrime (Boedapest, 2001)
Kernidee van het verdrag
Het verdrag heeft één centrale doelstelling:
Internationale harmonisatie en samenwerking bij de bestrijding van cybercrime
Dit gebeurt via drie pijlers:
1. Strafbaarstelling (materieel strafrecht)
2. Opsporingsbevoegdheden (procesrecht)
3. Internationale samenwerking
Daarnaast wordt steeds een balans met mensenrechten benadrukt (privacy, vrijheid van
meningsuiting).
1. Begrippen (art. 1)
Belangrijk voor tentamens:
Computersysteem → elk apparaat dat automatisch data verwerkt
Computergegevens → alle digitale informatie (incl. software)
Serviceprovider → o.a. internetproviders
Verkeersgegevens → metadata (zoals IP, tijd, route)
Dit vormt de basis voor alle strafbaarstellingen.
2. Strafbaarstellingen (art. 2–10)
Het verdrag verplicht staten om bepaalde gedragingen strafbaar te stellen:
Pagina 2 van 43
,A. Tegen systemen en data (klassieke cybercrime)
Art. 2 → wederrechtelijke toegang (hacken)
Art. 3 → onderscheppen van data (bijv. sniffing)
Art. 4 → beschadigen/veranderen van data
Art. 5 → verstoren van systemen (bijv. DDoS)
Art. 6 → misbruik van tools (hacktools, wachtwoorden)
B. Computergerelateerde delicten
Art. 7 → digitale valsheid (bijv. manipuleren gegevens)
Art. 8 → fraude via computers (bijv. phishing)
C. Inhoudsdelicten
Art. 9 → kinderpornografie (zeer uitgebreid strafbaar gesteld)
D. Auteursrecht
Art. 10 → digitale inbreuk op auteursrechten (bijv. illegaal downloaden op commerciële schaal)
Aanvullend
Art. 11 → poging & medeplichtigheid
Art. 12 → aansprakelijkheid rechtspersonen
Art. 13 → sancties moeten effectief en afschrikwekkend zijn
3. Opsporingsbevoegdheden (art. 14–21)
Het verdrag verplicht staten om moderne digitale opsporingsmiddelen te hebben:
Belangrijkste bevoegdheden:
Art. 16–17 → spoedbewaring van data (data snel veiligstellen)
Art. 18 → vorderen van gegevens (bijv. bij providers)
Art. 19 → doorzoeken & in beslag nemen van data
Art. 20 → realtime verkeersgegevens verzamelen
Art. 21 → realtime inhoud aftappen (zwaardere maatregel)
Altijd onder voorwaarden:
proportionaliteit
rechterlijke controle
mensenrechten (art. 15)
4. Rechtsmacht (art. 22)
Staten moeten rechtsmacht hebben wanneer:
het feit op hun grondgebied plaatsvindt
of door hun onderdanen wordt gepleegd
Belangrijk bij grensoverschrijdende cybercrime.
5. Internationale samenwerking (kern van het verdrag!)
Algemene verplichting (art. 23)
Staten moeten zo veel mogelijk samenwerken
Uitlevering (art. 24)
Pagina 3 van 43
, Cybercrime moet uitleverbaar zijn
Ook zonder apart verdrag kan dit verdrag basis zijn
Rechtshulp (art. 25 e.v.)
Staten helpen elkaar bij bewijsvergaring
Ook snelle communicatie (bijv. e-mail) toegestaan
Specifiek belangrijk:
Art. 29–30 → snelle data preservation bij andere staten
Art. 31 → toegang tot buitenlandse data via rechtshulp
Art. 32 → directe toegang bij:
publieke data
toestemming van gebruiker
24/7 netwerk (art. 35)
Elk land heeft een altijd bereikbaar contactpunt
Cruciaal voor snelle internationale opsporing
6. Belangrijke waarborgen
Door het hele verdrag heen:
bescherming privacy
proportionaliteit
rechterlijke controle
mensenrechten (EVRM / IVBPR)
Kernsamenvatting
Het Budapestverdrag harmoniseert de strafbaarstelling van cybercrime en bevordert internationale
samenwerking.
Het verplicht staten om kernfeiten zoals hacken, fraude en kinderpornografie strafbaar te stellen (art.
2–10).
Het introduceert moderne opsporingsbevoegdheden voor digitale gegevens (art. 14–21).
Het regelt uitgebreide internationale samenwerking, inclusief rechtshulp en een 24/7 netwerk (art. 23
e.v.).
Het waarborgt tegelijkertijd mensenrechten zoals privacy en proportionaliteit.
Pagina 4 van 43
Samenvatting KORT
Week 1
Literatuur
1. Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
2. Van den Hurk_Geautomatiseerde werken en gegevensdragers.pdf
Wetgeving
3. Wetboek van Strafrecht
4. Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken
(Cybercrime Verdrag, 2001) zie Canvas.
Koops & Oerlemans_Strafrecht en ICT_pp. 15-40
Hoofdstuk 2, paragraaf 1 t/m 2.3
Koops en Oerlemans laten zien dat ICT het materiële strafrecht op twee manieren heeft veranderd: er
zijn nieuwe computerdelicten ontstaan, zoals computervredebreuk en malwaredelicten, én
traditionele delicten zoals oplichting, witwassen en afpersing worden steeds vaker via digitale
middelen gepleegd. Een belangrijk uitgangspunt van de wetgever is dat gegevens in beginsel niet
als ‘goed’ worden gezien en daarom niet rechtstreeks strafrechtelijk worden beschermd; strafbaar is
vooral de wijze waarop men gegevens verkrijgt of misbruikt, bijvoorbeeld door in te breken in een
computersysteem of communicatie af te luisteren. Tegelijk laat de recente wetgeving, vooral met art.
138c Sr, zien dat gegevens inmiddels toch méér zelfstandige strafrechtelijke bescherming krijgen.
Verder bespreekt de tekst de kernbegrippen ‘gegevens’ en ‘geautomatiseerd werk’. Gegevens zijn
volgens art. 80quinquies Sr alle voor overdracht, interpretatie of verwerking geschikte weergaven
van feiten, begrippen of instructies. Een geautomatiseerd werk is volgens art. 80sexies Sr elk
apparaat of samenhangend geheel van apparaten dat automatisch computergegevens verwerkt. Dat
begrip wordt ruim uitgelegd en omvat dus ook moderne apparaten zoals routers, smartphones en IoT-
apparaten. Ook georganiseerde cybercriminaliteit valt onder het gewone strafrecht, met name via art.
140 Sr over de criminele organisatie.
De tekst behandelt daarna vooral computervredebreuk (art. 138ab Sr). Daaronder valt het
opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan,
bijvoorbeeld door een beveiliging te doorbreken, een technische ingreep, een valse sleutel of een
valse hoedanigheid. De vroegere beveiligingseis is vervallen. Ook komen gekwalificeerde vormen aan
bod, zoals het overnemen van gegevens na binnendringen of het verder doordringen naar andere
systemen. Daarnaast bespreken de auteurs ethisch hacken: ook dat is in beginsel strafbaar, tenzij
toestemming bestaat of een zwaarwegend maatschappelijk belang het handelen rechtvaardigt. Tot slot
bespreken zij art. 138c Sr, dat het wederrechtelijk overnemen van niet-openbare gegevens strafbaar
stelt, ook zonder dat computervredebreuk bewezen kan worden. De auteurs zijn daar kritisch over,
omdat deze bepaling erg ruim is en daardoor ook alledaagse of minder ernstige situaties onder het
strafrecht kan brengen.
Belangrijkste artikelen: art. 23 Sr, 80quinquies Sr, 80sexies Sr, 138ab Sr, 138c Sr, 140 Sr, 272
Sr, 273 Sr, 311 Sr, 317 Sr, 321 Sr, 326 Sr.
Pagina 1 van 43
,Belangrijke rechtspraak/voorbeelden: router-arrest van de Hoge Raad (2013), poortscan-
uitspraak Rb. Rotterdam (2014), Toxbot-arrest, Henk Krol-zaak, Manon Thomas-zaak, en de zaak
rond Lizard Squad.
Van den Hurk_Geautomatiseerde werken en
gegevensdragers
Van den Hurk betoogt dat de strafrechtelijke begrippen ‘geautomatiseerd werk’ (art. 80sexies Sr) en
‘gegevensdrager’ door technologische ontwikkelingen, zoals cloudcomputing en online accounts,
steeds minder bruikbaar zijn. Oorspronkelijk beschermt het strafrecht bij computervredebreuk (art.
138ab Sr) vooral het fysieke apparaat (‘de huls’) en slechts indirect de daarop aanwezige gegevens.
In de praktijk kwalificeren rechters echter vaak accounts, websites en digitale systemen als
geautomatiseerd werk, terwijl deze juridisch geen fysieke objecten zijn.
Door de vervagende grens tussen apparaten en gegevens (bijv. smartphones en cloudopslag) en het
ontbreken van duidelijke informatie over achterliggende hardware, ontstaat een kloof tussen wet en
praktijk. Dit leidt tot onduidelijkheid, bijvoorbeeld bij ongeautoriseerde toegang tot systemen of
misbruik van inloggegevens.
De auteur concludeert dat het onderscheid tussen geautomatiseerd werk en gegevensdrager
kunstmatig en verouderd is. Hij pleit voor nieuwe, technologie-neutrale begrippen, zoals een
overkoepelend begrip voor digitale objecten en het gebruik van ‘digitale omgeving’ bij toegang tot
online systemen, zodat het strafrecht beter aansluit bij de huidige digitale realiteit.
Verdrag inzake de bestrijding van strafbare feiten
verbonden met elektronische netwerken zie Canvas
(Cybercrime Verdrag, 2001)
Verdrag inzake de bestrijding van cybercrime (Boedapest, 2001)
Kernidee van het verdrag
Het verdrag heeft één centrale doelstelling:
Internationale harmonisatie en samenwerking bij de bestrijding van cybercrime
Dit gebeurt via drie pijlers:
1. Strafbaarstelling (materieel strafrecht)
2. Opsporingsbevoegdheden (procesrecht)
3. Internationale samenwerking
Daarnaast wordt steeds een balans met mensenrechten benadrukt (privacy, vrijheid van
meningsuiting).
1. Begrippen (art. 1)
Belangrijk voor tentamens:
Computersysteem → elk apparaat dat automatisch data verwerkt
Computergegevens → alle digitale informatie (incl. software)
Serviceprovider → o.a. internetproviders
Verkeersgegevens → metadata (zoals IP, tijd, route)
Dit vormt de basis voor alle strafbaarstellingen.
2. Strafbaarstellingen (art. 2–10)
Het verdrag verplicht staten om bepaalde gedragingen strafbaar te stellen:
Pagina 2 van 43
,A. Tegen systemen en data (klassieke cybercrime)
Art. 2 → wederrechtelijke toegang (hacken)
Art. 3 → onderscheppen van data (bijv. sniffing)
Art. 4 → beschadigen/veranderen van data
Art. 5 → verstoren van systemen (bijv. DDoS)
Art. 6 → misbruik van tools (hacktools, wachtwoorden)
B. Computergerelateerde delicten
Art. 7 → digitale valsheid (bijv. manipuleren gegevens)
Art. 8 → fraude via computers (bijv. phishing)
C. Inhoudsdelicten
Art. 9 → kinderpornografie (zeer uitgebreid strafbaar gesteld)
D. Auteursrecht
Art. 10 → digitale inbreuk op auteursrechten (bijv. illegaal downloaden op commerciële schaal)
Aanvullend
Art. 11 → poging & medeplichtigheid
Art. 12 → aansprakelijkheid rechtspersonen
Art. 13 → sancties moeten effectief en afschrikwekkend zijn
3. Opsporingsbevoegdheden (art. 14–21)
Het verdrag verplicht staten om moderne digitale opsporingsmiddelen te hebben:
Belangrijkste bevoegdheden:
Art. 16–17 → spoedbewaring van data (data snel veiligstellen)
Art. 18 → vorderen van gegevens (bijv. bij providers)
Art. 19 → doorzoeken & in beslag nemen van data
Art. 20 → realtime verkeersgegevens verzamelen
Art. 21 → realtime inhoud aftappen (zwaardere maatregel)
Altijd onder voorwaarden:
proportionaliteit
rechterlijke controle
mensenrechten (art. 15)
4. Rechtsmacht (art. 22)
Staten moeten rechtsmacht hebben wanneer:
het feit op hun grondgebied plaatsvindt
of door hun onderdanen wordt gepleegd
Belangrijk bij grensoverschrijdende cybercrime.
5. Internationale samenwerking (kern van het verdrag!)
Algemene verplichting (art. 23)
Staten moeten zo veel mogelijk samenwerken
Uitlevering (art. 24)
Pagina 3 van 43
, Cybercrime moet uitleverbaar zijn
Ook zonder apart verdrag kan dit verdrag basis zijn
Rechtshulp (art. 25 e.v.)
Staten helpen elkaar bij bewijsvergaring
Ook snelle communicatie (bijv. e-mail) toegestaan
Specifiek belangrijk:
Art. 29–30 → snelle data preservation bij andere staten
Art. 31 → toegang tot buitenlandse data via rechtshulp
Art. 32 → directe toegang bij:
publieke data
toestemming van gebruiker
24/7 netwerk (art. 35)
Elk land heeft een altijd bereikbaar contactpunt
Cruciaal voor snelle internationale opsporing
6. Belangrijke waarborgen
Door het hele verdrag heen:
bescherming privacy
proportionaliteit
rechterlijke controle
mensenrechten (EVRM / IVBPR)
Kernsamenvatting
Het Budapestverdrag harmoniseert de strafbaarstelling van cybercrime en bevordert internationale
samenwerking.
Het verplicht staten om kernfeiten zoals hacken, fraude en kinderpornografie strafbaar te stellen (art.
2–10).
Het introduceert moderne opsporingsbevoegdheden voor digitale gegevens (art. 14–21).
Het regelt uitgebreide internationale samenwerking, inclusief rechtshulp en een 24/7 netwerk (art. 23
e.v.).
Het waarborgt tegelijkertijd mensenrechten zoals privacy en proportionaliteit.
Pagina 4 van 43
