Column


IT-jurist Peter van Schelven over...

Heling van data wordt strafbaar

Al sinds 1 maart 1993, de datum waarop de eerste Wet Computercriminaliteit in ons land werd ingevoerd, is het hacken van computers strafbaar. De officiële term voor een dergelijk vergrijp is computervredebreuk. Nu - ruim 25 jaar later - wordt met de Wet Computercriminaliteit III een nieuw strafbaar feit aan de lijst van cyberdelicten toegevoegd: het helen van data. Deze nieuwe wet is onlangs in de Eerste Kamer aangenomen en zal naar verwachting een dezer maanden in werking treden.

Met de strafbaarstelling van het helen van data krijgt justitie een nieuw wapen in handen in de strijd tegen cybercrime. Weliswaar bevat het Wetboek van Strafrecht al sinds 1881 stokoude strafbepalingen omtrent heling, maar de wettelijke omschrijving van dat delict is beperkt tot het helen van stoffelijke objecten. Die bepalingen gaan dus niet over het helen van onstoffelijke dingen zoals digitale data en databestanden.
De oude strafwetgeving schoot door dit onderscheid flink tekort en met de nieuwe Wet Computercriminaliteit III wordt die lacune gedicht.

Voor velen is het wellicht minder begrijpelijk dat de strafrechtelijke normstelling zo’n lange tijd uit de pas liep met de ontwikkeling van cybercriminaliteit. De grootschalige en duistere handel in digitale databestanden is immers uitgegroeid tot een van de meest schadelijke vormen van internetcriminaliteit. De molens van ‘Den Haag’ draaien echter langzaam. De Nederlandse justitie klaagde al meer dan tien jaar over dit forse gat in de wet en zij heeft al met al dus lang op een wettelijke oplossing moeten wachten.

Dark web
Wat is heling van data precies volgens de nieuwe wet? Stel, ik hack een IT-systeem van een bank en daarmee vergaar ik ongeautoriseerd grote aantallen creditcardgegevens. Een dergelijk inbraak is als computervredebreuk strafbaar. Als ik de verkregen creditcardgegevens vervolgens ook nog verkoop aan een ander, zodat die andere partij deze gegevens bijvoorbeeld op het dark web aan het publiek kan aanbieden, dan maak ik mij als verkoper bovendien schuldig aan heling. Op die manier bega ik dus meerdere strafbare feiten.

Belangrijk is dat ook kopers en andere tussenhandelaren van data heling plegen. Van het helen van data is namelijk sprake bij het verkopen, kopen, afnemen of verhandelen van data van iemand anders als die data door een misdrijf zijn verkregen. Computervredebreuk is een voorbeeld van zo’n misdrijf. Maar ook als een werknemer zijn geheimhoudingsafspraak schendt door heimelijk vertrouwelijke bedrijfsdata aan zijn werkgever te ontfutselen teneinde die data aan een nieuwe werkgever te geven, is er sprake van heling. De nieuwe strafbepaling heeft dus een ruime strekking.

Niet-openbare gegevens
Een wezenlijke beperking in de nieuwe strafbepaling is dat deze niet op alle digitale data slaat, maar louter op ‘niet-openbare’ gegevens. Dat laatste is overigens een ruime term en omvat niet alleen creditcardgegevens, maar bijvoorbeeld ook een persoonlijke e-mailbox of wachtwoorden. Maar data die reeds openbaar zijn, vallen dus buiten de actieradius van de nieuwe wet en kunnen dus niet geheeld worden.

De nieuwe wet zegt ook dat iemand alleen strafbaar is als hij of zij weet dat de betrokken data uit misdrijf zijn verkregen of als hij of zij dat ‘redelijkerwijs had moeten vermoeden’. Dus: verstrek ik u morgen een groot bestand met bepaalde naw-gegevens tegen een normale koopprijs en u heeft op dat moment in de verste verte geen reden om aan te nemen dat ik dat bestand via een illegale hack heb verkregen, dan maakt u zich als koper uiteraard niet schuldig aan heling.

Verkoop ik u het omvangrijke databestand echter tegen een absurd lage prijs of koopt u creditcardgegevens of wachtwoorden, dan moet u op uw klompen aanvoelen dat dat niet pluis is. Dan is wel sprake van heling. Uiteraard kan over de vraag of u had moeten vermoeden of een deal niet in de haak is, in concrete gevallen nog wel een aardige discussie gevoerd worden. Uiteindelijk oordeelt de strafrechter daarover. Die vraag pakt – zo lijkt mij - veelal in het nadeel van een dader uit als hij zich voor de aanschaf van data willens en wetens op het dark web heeft begeven.

Illegale webshops
Soms is tamelijk eenvoudig vast te stellen of data uit misdrijf zijn verkregen. Op het dark web zijn talloze webshops actief die creditcardgegevens van bijvoorbeeld VISA en MasterCard, inclusief pincodes, of gegevens van PayPal-accounts te koop aanbieden. Deze webshops draaien er zelden omheen dat die data door middel van hacks zijn verkregen. De nieuwe wet geeft de Nederlandse justitie ruimere mogelijkheden om ook tegen dergelijke webshops strafrechtelijk op te treden, dus ook in die gevallen waarin zij de data niet zelf via hacking hebben vergaard.

De vele juridische complicaties die ontstaan bij de aanpak van grensoverschrijdende cybercrime laat ik hier overigens maar even buiten beschouwing. Dat is een apart stukje waard.

Stap vooruit?
De Wet Computercriminaliteit III is een stap voorwaarts om gore handelaren en tussenhandelaren in illegaal verkregen databestanden aan te pakken. Het is aan de Nederlandse justitie om na de inwerkingtreding van de nieuwe wet die nieuwe mogelijkheid op te pakken. We moeten kijken of dat de Nederlandse samenleving niet alleen op papier, maar ook in het echt meer bescherming gaat opleveren.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over