Eerder deze week verschenen er in verschillende media berichten over het voorstel van PvdA-Kamerlid Pierre Heijnen om hacken voor een algemeen belang legaal te maken. Het plan heeft tot gevolg dat er een uitzondering zou moeten komen voor het misdrijf computervredebreuk. Ik vind het plan ondoordacht en het creëert rechtsonzekerheid voor de slachtoffers.

Oude discussie

De idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht en afgewezen. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21 551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

'Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de “hacker" een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.'

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijke effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn.

Hackers inhuren

De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen lekken in het systeem aan te tonen waarna de beveiliging kan worden verbeterd. Deze 'penetratietesten' zijn heel normaal en komen vaak voor. De resultaten van zo een test zijn niet openbaar om de kans te verkleinen dat ze door kwaadwillenden worden uitgebuit.

Bovendien heeft openbaarmaking wellicht reputatieschade tot gevolg terwijl dat niet altijd terecht zou zijn. Daarbij heeft de eigenaar bij penetratietesten zelf in de hand op welk moment de hackpogingen plaatsvinden en door wie deze worden uitgevoerd, zodat met de actie rekening kan worden gehouden en achteraf verantwoording kan worden afgelegd.

Geen enkel systeem is 100% veilig, maar als de verantwoordelijke aantoonbaar te weinig beveiligingsmaatregelen heeft genomen zou door de benadeelden of de staat eventueel zelfs een rechtszaak gestart kunnen worden. Zie ook deze blog van Corien Prins. Het is naar mijn mening niet wenselijk een vrijbrief te geven aan hackers systemen binnen te dringen.

Klokkenluiderstatus

Tegenover Webwereld geeft Heijnen aan dat er een klokkenluidersregeling moet komen voor hackers die te goeder trouw lekken willen aantonen. Mijn vraag daarop is wat de 'klokkenluiderstatus' nu precies inhoudt en hoe die van toepassing zou kunnen zijn op hackers. Normaal gesproken gaat het bij het aantonen van lekken in ICT-systemen om iemand die van buitenaf in een systeem probeert binnen te dringen.

Volgens de Van Dale is een klokkenluider echter iemand die op zijn werk misstanden in de openbaarheid brengt. Sowieso is het lastig de begrippen te definiëren. Wat is precies een 'hacker die te goeder trouw' handelt? Is een 'ICT-systeem' hetzelfde als het brede begrip 'geautomatiseerd werk' of gaat het hier alleen om 'vitale infrastructuur'?

Journalistieke exceptie

De journalistieke exceptie, waar de heer Heijnen wellicht meer op doelt, bestaat sowieso al. De exceptie wordt echter vaak verkeerd begrepen. Journalisten moeten zich net als iedere burger gewoon aan de wet houden. Indien er een overtreding of licht misdrijf wordt gepleegd die noodzakelijk was om een algemeen belang aan te tonen kan het zijn dat de rechter - na een afweging van de in het geding zijnde belangen - oordeelt dat een straf in dit geval niet op zijn plaats was.

Op grond het opportuniteitsbeginsel kan ook het Openbaar Ministerie ook beslissen dat in de omstandigheden van het geval strafrechtelijke vervolging niet op zijn plaats is, zoals laatst m.b.t. het aantonen van lekken in de OV-chipkaart bij onderzoeksjournalist Brenno de Winter is gebeurd.

Een hacker die in het kader van het algemeen belang een beveiligingslek op zijn blog openbaart (het begrip 'journalist' moet heel breed worden gezien) en zelf toegang heeft verschaft tot het geautomatiseerde werk is in principe gewoon strafbaar, maar zijn handelen kan eventueel gerechtvaardigd worden door het algemeen belang dat wordt aangetoond.

Als de hack zo ernstig is dat het OM tot vervolging overgaat moet een rechter na een afweging van belangen daar uiteindelijk over beslissen. De uitzondering van Heijnen zou die belangenafweging door de rechter in de toekomst achterwege moeten laten en dat is onwenselijk.

Jack de Vries mailhack

Een zaak die ik in mijn colleges vaak aanhaal is over de hack van de toenmalige staatssecretaris van Defensie Jack de Vries. In de Verenigde Staten werd bekend dat vicepresidentskandidaat Sarah Palin haar Blackberry zeer slecht beveiligde waardoor hackers zichzelf gemakkelijk toegang konden verschaffen tot haar berichten, waaronder ook zakelijke. In dat kader vond de Nieuwe Revu het nodig de privé e-mail van Jack de Vries te (laten) hacken. De hack vond plaats met een brute force aanval door ontzettend veel wachtwoorden achter elkaar uit te proberen in combinatie met de inlognaam van Jack de Vries.

In het vonnis wordt heel summier ingegaan op een belangrijk aspect, namelijk dat teneinde de aanval mogelijk te maken 14.000 mensen via Hyves via een besmette versie van het toenmalig populaire spelletje 'Mafia Wars' met malware werden besmet. Vervolgens werden die computers gebruikt om de hack te plegen. Daarnaast werd toegang verschaft tot de computer van Jack de Vries en wijzigingen op zijn computer aangebracht om zakelijke e-mails op te sporen. Ten slotte werden er een paar e-mails doorgestuurd naar de redactie van de Nieuw Revu.

Naast het feit dat het OM veel meer delicten ten laste had kunnen leggen, is het naar mijn mening duidelijk dat hier sprake is van een disproportionele en onnodige actie. De meeste accounts van de gemiddelde internetgebruiker kunnen op deze manier worden gehackt. Bovendien is mij het algemene belang dat werd uitgetoond onduidelijk gebleven. Moeten wij dat soort brutale praktijken nu uitdrukkelijk wettelijke bescherming geven? Zie ook dit bericht van Arnoud Engelfriet over de zaak.

Conclusie

De Jack de Vries-zaak maakt duidelijk waar het probleem ligt bij het plan van Kamerlid Heijnen. De economische of andersoortige schade door een hack kan veel groter zijn dat het publieke belang dat wordt gediend door de actie. We moeten niet aan het subjectieve oordeel van individuen laten afhangen welk belang daarbij prevaleert. De uitzondering is daarnaast in een wettelijke regeling lastig te definiëren en creëert rechtsonzekerheid voor de slachtoffers. Het heeft ten slotte ook andere nadelen die al in 1990 door de wetgever werden onderkent. De integriteit, vertrouwelijkheid en beschikbaarheid van geautomatiseerd werken worden op dit moment voldoende door wet beschermd. Het is naar mijn mening geen goed idee daar aan te tornen.

Jan-Jaap Oerlemans is promovendus bij de Universiteit Leiden en juridisch adviseur bij Fox-IT. Deze opinie verscheen eerder in licht gewijzigde vorm op zijn blog.