Het Hof van Den Haag heeft onlangs geoordeeld dat het meeliften op een (on)beveiligd netwerk niet strafbaar is. Verdachte is een scholier die via het beveiligde netwerk van zijn buren een dreigende posting heeft geplaatst op een openbaar toegankelijke website, waarin hij een schietpartij op een bepaald College in Den Haag aankondigde.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Een burger uit de Verenigde Staten las dit bericht en heeft vervolgens de school ingelicht. Uit het door de politie bij de provider gevorderde IP-adres, kwam naar voren dat het IP-adres op naam stond van de buurvrouw van de scholier. Zij verklaarde dat zij gebruikmaakt van een beveiligde internetverbinding en haar beveiligingscode niet aan derden heeft verstrekt. Op de router van mevrouw is vervolgens een aantal MAC-adresssen aangetroffen. Een van de adressen was van de computer van de scholier. De scholier heeft bekend dat hij inderdaad via de internetverbinding van zijn buurvrouw het bericht op internet heeft geplaatst.
Uitspraak Het Hof
De scholier is vervolgens strafbare bedreiging en het opzettelijk en wederrechtelijk binnendringen in een of meer geautomatiseerde werken (oftewel computervredebreuk) ten laste gelegd. Voor de strafbare bedreiging is verdachte veroordeeld tot 120 uur werkstraf. Het Hof oordeelde echter dat van computervredebreuk gaan sprake is en sprak verdachte daarvan vrij.
Een uitspraak die tot reacties heeft geleid.
Het binnendringen in een geautomatiseerd werk is strafbaar gesteld in artikel 138a, lid 1 Sr:
1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
Een geautomatiseerd werk
Volgens artikel 80sexies Sr is een geautomatiseerd werk een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Dat de verdachte zich opzettelijk wederrechtelijk toegang heeft verschaft tot de beveiligde internetverbinding van een ander wordt niet betwist. Zo vindt ook het Hof.
Echter, op grond van de wet is slechts sprake van een geautomatiseerd werk wanneer de inrichting bestemd is om gegevens op te slaan, te verwerken en over te dragen. Wanneer niet aan deze cumulatieve functies wordt voldaan, is geen sprake van een geautomatiseerd werk. Volgens het Hof houdt een router enkel een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming. Van verwerken van gegevens is volgens het Hof geen sprake. Een router is volgens het Hof dan ook geen geautomatiseerd werk.
Ik vraag me af of dit juist is. Een router is een apparaat dat twee of meer verschillende computernetwerken aan elkaar verbindt en pakketten data volgens de snelste route van het ene naar het andere netwerk verzendt. Tevens bevatten veel routers een DHCP server. Deze server deelt IP-adressen uit aan het eigen netwerk zodat die niet met de hand ingesteld hoeven te worden. Daarnaast bevatten routers de link naar de DNS-server: de vertaling van internetdomeinnamen naar IP-adressen. Middels een router worden gegevens en signalen dus elektronisch verwerkt en overdragen. Dat een router ook gegevens opslaat komt letterlijk in de uitspraak van het Hof terug: het adres van de computer van de scholier is immers aangetroffen in de router. Er wordt dus wel degelijk voldaan aan de drie criteria: verwerken, overdragen en opslaan. Hiermee is naar mijn mening een router een geautomatiseerd werk.
Criterium “verwerken”
Het Hof lijkt het criterium “verwerken” echter beperkt uit te leggen. Nu de verdachte enkel gebruik heeft gemaakt van de internetverbinding van zijn buurvrouw en zich geen toegang heeft verschaft tot de beveiligde gegevens van haar computer (wel een geautomatiseerd werk), is volgens het Hof dan ook geen sprake van een gedraging in de zin van artikel 138a Sr.
Of het wenselijk is om het meeliften op een beveiligde internetverbinding onder het strafrecht te brengen of niet, laat ik hier buiten beschouwing. De weg naar de civiele rechter wordt door het Hof immers duidelijk opengelaten zoals blijkt uit de opmerking dat het meeliften op een door de rechtmatige gebruiker betaalde internetverbinding die daarmee aan bandbreedte verliest, maatschappelijk ongewenst is.
De vraag is of er in deze zaak sprake is van louter meeliften. De scholier heeft niet slechts wat gesurft op kosten van zijn buurvrouw, maar heeft opzettelijk gebruik gemaakt van haar beveiligde internetverbinding om zijn bedreigingen op internet te posten. Het Hof is wat mij betreft dan ook wat snel met het oordeel dat mevrouw door deze gedraging niet is geschaad. Mevrouw heeft wel degelijk last ondervonden. Het IP-adres stond op haar naam, de politie stond bij haar op de stoep en zij moest maar uitleggen dat ze nooit het password van haar verbinding aan anderen heeft verstrekt.
Er is overigens niet veel fantasie voor nodig om te bedenken welke andere strafbare uitingen via andermans beveiligde netwerk op het internet geplaatst kunnen worden en tot welke bewijsproblemen dit voor de rechtmatige gebruiker van de internetverbinding zou kunnen leiden.
Het OM heeft inmiddels cassatie ingesteld. Wordt vervolgd.
mr. Odette Bies, USG Juristen
