Jurisprudentie
Cybercrime (college 3 en 4)
Hack GH Ziekenhuis (ECLI:NL:RBDHA:2014:15611) (computervredebreuk)
Celstraf voor hacken en kinderporno De rechtbank Den Haag veroordeelt een 28-jarige hacker voor
computervredebreuk en het bezitten van kinderporno. Hij krijgt daarvoor een celstraf van twaalf
maanden, waarvan acht maanden voorwaardelijk. Gedurende de proeftijd van drie jaar moet hij zich
verplicht laten behandelen. De man heeft zich schuldig gemaakt aan computervredebreuk. Hij is
zonder toestemming en met gebruikmaking van door hacken verkregen inloggegevens
binnengedrongen in een server van het Groene Hart Ziekenhuis in Gouda en van die server gegevens
over te nemen. De hacker heeft dit beveiligingslek gemeld bij een journalist die het nieuws naar
buiten bracht. Hoewel de rechtbank wil aannemen dat de hacker geen kwade bedoelingen heeft
gehad en een misstand aan de kaak heeft willen stellen namelijk een lek in de beveiliging heeft hij
door na de initiële hack meermalen in te loggen en te zoeken naar privacygevoelige gegevens van
derden strafrechtelijk laakbaar gehandeld. Kinderporno De rechtbank acht ook bewezen dat man van
het bezitten van kinderporno een gewoonte heeft gemaakt. Op de gegevensdrager van de man trof
de politie duizenden kinderpornografische afbeeldingen aan.
Studeersnel
Een 28-jarige hacker wordt ervan verdacht de server van een ziekenhuis te zijn binnengedrongen en
het in bezit hebben van kinderporno.
De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van
de rechthebbende strafbaar is, tenzij hogere belangen een dergelijke inbreuk rechtvaardigen. Bij de
beoordeling van de vraag of in een concreet geval sprake is van dergelijke hogere belangen zijn naar
het oordeel van de rechtbank drie factoren van belang. In de eerste plaats dienst te worden
beoordeeld of verdachte heeft gehandeld in het kader van een wezenlijk maatschappelijk belang.
Indien deze vraag bevestigend wordt beantwoord, dient de rechtbank te beoordelen of verdachte
met zijn handelen heeft voldaan aan de eisen van proportionaliteit en subsidiariteit.
Maatschappelijk belang Ja, beveiliging van vertrouwelijke, medische gegevens;
Subsidiariteit Ja, er was geen andere, minder vergaande manier om het
beveiligingsprobleem aan het licht te brengen;
Proportionaliteit Nee, de verdachte heeft het patiëntendossier van derden ingekeken
zonder dat hier enkele noodzaak voor was.
Verdachte is schuldig bevonden aan computervredebreuk.
Het is duidelijk dat de verdachte kinderporno grafisch materiaal in zijn bezit heeft. Echter is volgens
de rechtbank ook bewezen dat de verdachte hier een gewoonte van heeft gemaakt en op frequente
basis kinderporno heeft gedownload
Coinvault-zaak (ECLI:NL:RBROT:2018:6153) (ransomware)
JJOerlemans
Dit betreft de eerste veroordeling voor ransomware in Nederland.
Veroordeling
De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf
en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal
computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot
de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015
computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze
ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld.
Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens
1
, weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens
terug te krijgen.
De feiten
In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces,
maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben
verspreid. In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-
generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers
waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun
slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-
control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik
van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de
abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de
verdachten in een klein dorp nabij Amersfoort.
De tenlastelegging
De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt
het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is
ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk
veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale
gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben
gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van
computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)).
Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een
maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing
indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt
veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik
neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in
casu het geval was.
Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat
hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de
bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd
werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’
(zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de
gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het
systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam
volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van
oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip
geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.
Richtlijn Cybercrime strafvordering kan beter
De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing
merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing
van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had
inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat
zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-
malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het
delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder
andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere
woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het
slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige
kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige
kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via
onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers
na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten
2
Cybercrime (college 3 en 4)
Hack GH Ziekenhuis (ECLI:NL:RBDHA:2014:15611) (computervredebreuk)
Celstraf voor hacken en kinderporno De rechtbank Den Haag veroordeelt een 28-jarige hacker voor
computervredebreuk en het bezitten van kinderporno. Hij krijgt daarvoor een celstraf van twaalf
maanden, waarvan acht maanden voorwaardelijk. Gedurende de proeftijd van drie jaar moet hij zich
verplicht laten behandelen. De man heeft zich schuldig gemaakt aan computervredebreuk. Hij is
zonder toestemming en met gebruikmaking van door hacken verkregen inloggegevens
binnengedrongen in een server van het Groene Hart Ziekenhuis in Gouda en van die server gegevens
over te nemen. De hacker heeft dit beveiligingslek gemeld bij een journalist die het nieuws naar
buiten bracht. Hoewel de rechtbank wil aannemen dat de hacker geen kwade bedoelingen heeft
gehad en een misstand aan de kaak heeft willen stellen namelijk een lek in de beveiliging heeft hij
door na de initiële hack meermalen in te loggen en te zoeken naar privacygevoelige gegevens van
derden strafrechtelijk laakbaar gehandeld. Kinderporno De rechtbank acht ook bewezen dat man van
het bezitten van kinderporno een gewoonte heeft gemaakt. Op de gegevensdrager van de man trof
de politie duizenden kinderpornografische afbeeldingen aan.
Studeersnel
Een 28-jarige hacker wordt ervan verdacht de server van een ziekenhuis te zijn binnengedrongen en
het in bezit hebben van kinderporno.
De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van
de rechthebbende strafbaar is, tenzij hogere belangen een dergelijke inbreuk rechtvaardigen. Bij de
beoordeling van de vraag of in een concreet geval sprake is van dergelijke hogere belangen zijn naar
het oordeel van de rechtbank drie factoren van belang. In de eerste plaats dienst te worden
beoordeeld of verdachte heeft gehandeld in het kader van een wezenlijk maatschappelijk belang.
Indien deze vraag bevestigend wordt beantwoord, dient de rechtbank te beoordelen of verdachte
met zijn handelen heeft voldaan aan de eisen van proportionaliteit en subsidiariteit.
Maatschappelijk belang Ja, beveiliging van vertrouwelijke, medische gegevens;
Subsidiariteit Ja, er was geen andere, minder vergaande manier om het
beveiligingsprobleem aan het licht te brengen;
Proportionaliteit Nee, de verdachte heeft het patiëntendossier van derden ingekeken
zonder dat hier enkele noodzaak voor was.
Verdachte is schuldig bevonden aan computervredebreuk.
Het is duidelijk dat de verdachte kinderporno grafisch materiaal in zijn bezit heeft. Echter is volgens
de rechtbank ook bewezen dat de verdachte hier een gewoonte van heeft gemaakt en op frequente
basis kinderporno heeft gedownload
Coinvault-zaak (ECLI:NL:RBROT:2018:6153) (ransomware)
JJOerlemans
Dit betreft de eerste veroordeling voor ransomware in Nederland.
Veroordeling
De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf
en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal
computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot
de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015
computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze
ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld.
Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens
1
, weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens
terug te krijgen.
De feiten
In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces,
maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben
verspreid. In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-
generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers
waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun
slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-
control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik
van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de
abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de
verdachten in een klein dorp nabij Amersfoort.
De tenlastelegging
De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt
het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is
ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk
veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale
gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben
gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van
computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)).
Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een
maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing
indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt
veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik
neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in
casu het geval was.
Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat
hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de
bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd
werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’
(zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de
gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het
systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam
volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van
oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip
geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.
Richtlijn Cybercrime strafvordering kan beter
De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing
merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing
van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had
inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat
zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-
malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het
delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder
andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere
woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het
slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige
kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige
kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via
onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers
na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten
2
