Man veroordeeld voor hacken website Haagse huisartsenpost is vrijgesproken

Het gerechtshof in Den Haag heeft een 31-jarige man uit Tiel vrijgesproken. Hij was in 2020 veroordeeld tot twee maanden celstraf voor het hacken van de website van een Haagse huisartsenpost. De man ging in beroep tegen het vonnis en heeft gelijk gekregen.

De hack vond in augustus 2017 plaats. De Tielenaar had ingebroken op de website van de huisartsenpost via een beveiligingslek. De man belde met de directeur van de huisartsenpost en zei dat hij toegang had tot alle persoonlijke gegevens van de artsen. Het ging onder andere om bankrekeningnummers, wachtwoorden en gebruikersnamen.

Later ontving de directeur een offerte van de Tielenaar, die een bedrag tussen de 16.500 en 23.000 euro vroeg om het lek te verhelpen. Naast het bedrag stond er een opmerking op de offerte. Daarin schreef de verdachte dat de huisartsenpost waarschijnlijk beboet zou worden als het beveiligingslek openbaar zou worden gemaakt en veel reputatieschade ging lijden.

Hierop stapte de directeur naar de politie, die een onderzoek instelde. Deze leidde uiteindelijk naar de Tielenaar, die werd aangehouden voor "het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk". In juni 2020 werd hij door de rechter veroordeeld tot een celstraf van twee maanden, waarvan één voorwaardelijk, en kreeg een proeftijd van twee jaar.

Vervolgens ging de man in beroep tegen het vonnis. Het gerechtshof spreekt de man dinsdag vrij van "het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk". Een website is namelijk geen geautomatiseerd werk zoals beschreven staat in artikel 80sexies van het Wetboek van Strafrecht, zegt het gerechtshof. Onder een geautomatiseerd werk wordt een fysiek voorwerp verstaan en een website is dat niet. "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk."

Het vonnis van de rechter wordt vernietigd. Ook krijgt de Tielenaar zijn in beslag genomen apparatuur terug.

Door Loïs Franx

Redacteur

Feedback • 23-08-2022 20:04
213 • submitter: BytePhantomX

23-08-2022 • 20:04

213

Submitter: BytePhantomX

Lees meer

Hoge Raad spreekt man die huisartsenpost hackte opnieuw vrij
Hoge Raad spreekt man die huisartsenpost hackte opnieuw vrij Nieuws van 20 maart 2024
Politie San Francisco kan toegang krijgen tot private beveiligingscamera’s
Politie San Francisco kan toegang krijgen tot private beveiligingscamera’s Nieuws van 24 september 2022
Economie en maatschappij Cybercrime Hack Nederland Rechtszaak

Reacties (213)

-Moderatie-faq
213
180
79
5
0
69
Wijzig sortering
The Legend 23 augustus 2022 20:49
Ik ben geen strafrecht specialist, maar dit lijkt me toch wel een probleem. Voor zover ik weet is er namelijk geen andere bepaling dan artikel 138ab WvSr die computervredebreuk strafbaar stelt. Het gerechtshof zegt nu simpelweg dat inbreken op een website geen computervredebreuk is, omdat de wetgever kennelijk alleen bedoeld zou hebben om het inbreken op fysieke apparaten strafbaar te stellen, en een website is geen fysiek apparaat. Dat zou dus inderdaad maken dat websites hacken niet strafbaar is. Ik kan mij voorstellen dat het OM wel in cassatie gaat, want het is wel een wat merkwaardige uitleg van het hof. Zeker aangezien ze zelf verwijzen naar een arrest van de Hoge Raad over een DDoS aanval op een website, dat wel strafbaar was omdat het gericht was op de server (en dus een fysiek apparaat). Die website draait natuurlijk niet op elfenstof en wordt gehost op een server, ook een fysiek apparaat.

Het kan zijn dat het hof moeite had met de ten laste legging, en dat het OM daar haarfijn had moeten uitleggen dat ‘de inrichting’ in dit geval de server is waar de website op draait, en dat men het dan wel akkoord had bevonden..
Brainscrewer @The Legend23 augustus 2022 21:09
Nee, dat zie je verkeerd. Wat goed is om te weten is dat in de tenlastelegging stond dat de verdachte 'wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van (..), is binnengedrongen'.

De letter van de Wet stelt dat een geautomatiseerd werk, volgens Artikel 80sexies Wetboek van Strafrecht, wordt verstaan: 'Een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken'.

Het Hof stelt nu dat een website geen geautomatiseerd werk kán zijn, omdat een website geen apparaat is.

Had het OM in de tenlastelegging opgenomen dat de verdachte was binnengedrongen in een geautomatiseerd werk, te weten de webserver waarop de website van het slachtoffer werd gepresenteerd/gehost, dan had de aanklacht wel standgehouden.
The Legend @Brainscrewer23 augustus 2022 21:13
Het kan aan mij liggen, maar dat is toch precies wat ik zeg. De definitie van geautomatiseerd werk ten tijde van het vergrijp was overigens “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. Zoals ik dus zei: het kan zijn dat het hof moeite had met de ten laste legging, en dat het OM daar haarfijn had moeten uitleggen dat ‘de inrichting’ in dit geval de server is waar de website op draait, en dat men het dan wel akkoord had bevonden..

[Reactie gewijzigd door The Legend op 23 juli 2024 16:08]

Brainscrewer @The Legend23 augustus 2022 21:19
De definitie van geautomatiseerd werk is overigens “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.
Je gebruikt de oude definitie van het woord geautomatiseerd werk, de meest recente vind je op de website wetten.mijnoverheid.nl en niet op maxius.nl.

Dus nee, het hof had niet moeite met de tenlastelegging, deze klopte gewoon niet en derhalve is de verdachte vrijgesproken.
The Legend @Brainscrewer23 augustus 2022 21:23
Ten tijde van het vergrijp bestond de nieuwe definitie nog niet ;) Quote uit de uitspraak:
Onder ‘geautomatiseerd werk’ wordt blijkens art. 80sexies Sr – zoals geldend op de tenlastegelegde datum, te weten 25 augustus 2017 – verstaan ‘een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen’. Blijkens de wetsgeschiedenis heeft de wetgever in de begripsbepaling van ‘geautomatiseerd werk’ steeds het oog gehad op uitsluitend fysieke apparaten (vergelijk Kamerstukken II, 1991-1992, 21551, nr. 3, p. 5 en 6 en Kamerstukken II, 2018-2019, 34372, nr. 3, p. 85 e.v.).
Ik lees nu het arrest van de HR, en dan volg ik de conclusie van het hof helemaal niet meer. De bewezenverklaring in de zaak over de DDoS aanval luidde als volgt:
Overeenkomstig de tenlastelegging is ten laste van de verdachte bewezenverklaard dat:
“hij in de periode van 23 oktober 2017 tot en met 25 oktober 2017 in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens toe te zenden, immers heeft verdachte door middel van de site "[internetsite 1]" gegevens toegezonden naar de website "[internetsite 2]" waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd.”
Hier wordt toch ook ten laste gelegd dat door het toezenden van data naar een website waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd belemmerd. Hier wordt de website toch ook gelijkgesteld aan ‘geautomatiseerd werk’ :?

Hier nog de letterlijke ten laste legging in die zaak:
hij in de periode van 23 oktober 2017 tot en met 25 oktober 2017 in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens toe te zenden, immers heeft verdachte door middel van de site "[website 1]" gegevens toegezonden naar de website "[website 2]" waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd.
Het hof Amsterdam vindt een website dus wel een geautomatiseerd werk als je hem DDoS’t, en het hof Den Haag vindt een website geen geautomatiseerd werk als je hem hackt. 8)7

[Reactie gewijzigd door The Legend op 23 juli 2024 16:08]

Feni @The Legend23 augustus 2022 22:22
Maar ten tijde van de uitspraak wel..
The Legend @Feni23 augustus 2022 22:32
Artikel 1 WvSr: Geen feit is strafbaar dan uit kracht van een daaraan voorafgegane wettelijke strafbepaling. Van belang is dus de bepaling zoals die luidde ten tijde van het vergrijp en niet ten tijde van de uitspraak.
DrBreakalot @The Legend24 augustus 2022 00:51
Daar haal ik uit dat je niet bestraft kan worden op basis van een wet die op dat moment nog niet bestond, maar wel worden vrijgesproken. Dat lijkt hier te zijn gebeurd

[Reactie gewijzigd door DrBreakalot op 23 juli 2024 16:08]

The Legend @DrBreakalot24 augustus 2022 07:47
Dus als we vanaf morgen weer 130 mogen rijden op de snelweg, dan denk je dat alle daarvoor uitgeschreven boetes voor harder dan 100 rijden worden kwijtgescholden in hoger beroep? Ik moet je teleurstellen :p

[edit]

Zie hieronder, dit klopt dus niet.

[Reactie gewijzigd door The Legend op 23 juli 2024 16:08]

mjz2cool @DrBreakalot24 augustus 2022 08:45
Dat klopt toch ook? Wetgeving werkt niet met terugwerkende kracht.
The Legend @mjz2cool24 augustus 2022 10:56
Ja precies, als iets op 1 oktober strafbaar is en jij begaat op 1 oktober een overtreding dan ben je dus strafbaar. Als die gedraging op 10 oktober niet meer strafbaar is, maakt dat niet dat jij op 1 oktober óók ineens niet meer strafbaar was.

[edit]

Zie hieronder, dit klopt dus niet.

[Reactie gewijzigd door The Legend op 23 juli 2024 16:08]

Sangreall @The Legend24 augustus 2022 12:40
Lees eens even lid 2 van Art 1 Sr.
The Legend @Sangreall24 augustus 2022 12:54
Beetje doorlezen kan geen kwaad idd :+
Brainscrewer @The Legend23 augustus 2022 22:16
Ten tijde van het vergrijp bestond de nieuwe definitie nog niet ;) Quote uit de uitspraak:

[...]
Dit verandert toch niks aan de zaak? Feit blijft dat in de tenlastelegging een website is genoemd als geautomatiseerd werk, waar het Hof nu van zegt dat een website geen apparaat is en derhalve geen geautomatiseerd werk. Dat er oude uitspraken zijn waarin gezegd is dat een website het wel is doet er niet toe gezien de nieuwe jurisprudentie (o.a. van Hof DH),
Het hof Amsterdam vindt een website dus wel een geautomatiseerd werk als je hem DDoS’t, en het hof Den Haag vindt een website geen geautomatiseerd werk als je hem hackt. 8)7
Dat vind ik nog niet zo vreemd. De uitspraak van het Hof Amsterdam was in 2020. Latere jurisprudentie van het Hof van Den Haag (2022) komt dus met een aanvullende kijk op de zaak.
The Legend @Brainscrewer23 augustus 2022 22:28
Het vonnis van het hof Amsterdam is al in cassatie beoordeeld door de Hoge Raad, de hoogste rechter. Die volgde dus de lijn van het hof Amsterdam. Ik vind het wel merkwaardig dat het hof Den Haag daar dan toch anders over denkt.

[Reactie gewijzigd door The Legend op 23 juli 2024 16:08]

leftright @The Legend23 augustus 2022 23:25
Volgens mij hebben jullie beide een punt, maar is dit een goed voorbeeld van juridische haarkloverij. Zeker bij strafrecht is dat in de tenlastelegging wel een essentieel gegeven.
De verwarring kan komen door het terugverwijzen naar
dit geautomatiseerde werk werd(en) belemmerd
ook kan gaan over het eerder in de zin genoemde geautomatiseerde werk. Daarmee moet dat niet per se gaan over een website. Daarmee zou je kunnen redeneren dat de uitspraken van de 2 hoven niet incompatibel zijn omdat in beide wel het onderscheid tussen website en inrichting gemaakt is. Mogelijks dat het Hof in Den Haag in die richting geredeneerd heeft. Daaruit zou volgen dat de tenlastelegging anders moet worden geformuleerd, zoals The Legend aangeeft in zijn comment.
Brainscrewer @The Legend23 augustus 2022 23:11
De zaak in Cassatie ging echter over de oude definitie van een geautomatiseerd werk, dat artikel is dus inmiddels verouderd. De Raad stelt echter in die uitspraak ook dat wat hiervoor onder 2.7 is overwogen over een geautomatiseerd werk in de zin van artikel 80sexies (oud) Sr, in het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis ook van toepassing is op het huidige artikel 80sexies Sr, dat volgens de wetsgeschiedenis immers een verruiming vormt ten opzichte van artikel 80sexies (oud) Sr..

Het hof in DH heeft dus weinig te doen met de uitspraak in Cassatie, omdat er feitelijk een andere definitie van het begrip geautomatiseerd werk wordt gehanteerd.
The Legend @Brainscrewer24 augustus 2022 07:44
Heb je beide arresten wel gelezen? In zowel het arrest van het hof Den Haag als het arrest van het hof Amsterdam ging het in de ten laste legging om feiten gepleegd in 2017. De nieuwe definitie geldt sinds (ik meen) 1 januari 2019 en was voor beide zaken dus niet relevant.
djwice @The Legend24 augustus 2022 07:55
In de uitspraak https://uitspraken.rechts...d=ECLI:NL:GHDHA:2022:1551

kun je lezen dat de uitspraak van de Hoge Raad in Amsterdam meegenomen is in de overweging evenals ook latere uitspraken en dat er zelfs navraag is gedaan bij de Hoge Raad met betrekking tot dit onderwerp.

De rechter heeft zorgvuldig en goed geïnformeerd deze uitspraak gedaan én gevalideerd of de uitspraak wel of niet tegenstrijdig zou zijn met de uitspraak waar jij naar verwijst.

[Reactie gewijzigd door djwice op 23 juli 2024 16:08]

The Legend @djwice24 augustus 2022 08:10
Ja dat heb ik gelezen, maar de uitleg waarom het hof vindt dat dat arrest niet relevant is vind ik onbegrijpelijk. Overigens hebben ze het niet letterlijk nagevraagd. Met de zin “het hof heeft zich nochtans de vraag gesteld..” wordt bedoeld dat ze het arrest hebben gezien en zichzelf hebben afgevraagd, doet dat wat voor ons oordeel. En kennelijk dus niet. Ze verwijzen naar de volgende overweging van de HR:
“Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd.”
Deze zelfde redenering geldt toch ook voor de zaak waarin je een website hackt. Voor het instandhouden van een website is een geautomatiseerd werk nodig, en het hacken van een website impliceert dus ook het hacken van een geautomatiseerd werk.
djwice @The Legend24 augustus 2022 09:02
Je hoeft niet altijd een netwerk te hacken om toegang te krijgen tot gegevens.

Een simpel voorbeeld.
Stel je logt met gebruiker 'Kees' en je ziet in de URL https://superveiligesite.net/?user=Kees

En je maakt daar handmatig van:
https://superveiligesite.net/?user=Piet

Door een fout in de website zie jij nu de gegevens van Piet, je hebt hiervoor geen netwerk hoeven hacken, je gebruikt de normale functie van de systemen.

Toch zie je nu informatie die niet voor jou bedoeld is. Bovenstaand voorbeeld lijkt wellicht 'dat is te simpel, dat gebeurt nooit'. Helaas is het tegendeel waar. Zelfs dit simpele voorbeeld komt in de praktijk voor, ik hebt die bij een telefoonmaatschappij gehad - die loste het direct op en dankte uitvoerig. Ik hebt het bij een verzekeraar gehad, die deed er een paar maanden over, bij een hypotheek verstrekker, die wilde mij aanklagen maar zag snel in dat ik ze juist wilde helpen, en hebben dit snel opgelost, en een bank, die schermde zich achter audits en signs-offs en geloofde me niet met de feiten voor ogen, en letterlijk telefonisch het met ze doorlopen, dat lek heeft meer dan 4 jaar open gestaan.

Dus je hoeft niet altijd het geautomatiseerde netwerk aan te passen (hacken) of op een andere manier dan gebruikelijk te benaderen (spoofing op netwerk of infrastructuur laag) of te belasten (ddos) om toegang te krijgen tot gegevens.
Dit voorbeeld is een normaal http-verzoek dat gebruik maakt van het netwerk op de manier zoals deze bedoeld is om te gebruiken.

[Reactie gewijzigd door djwice op 23 juli 2024 16:08]

The Legend @djwice24 augustus 2022 10:42
Daar heb je gelijk in, maar volgens mij was dat hier de discussie niet. Hier ging het wel over het daadwerkelijk inbreken. Heel vaak op F5 drukken is in wezen hetzelfde als een DDoS, maar is ook niet strafbaar en een DDoS wel.
bwerg @djwice24 augustus 2022 11:25
Door een fout in de website zie jij nu de gegevens van Piet, je hebt hiervoor geen netwerk hoeven hacken, je gebruikt de normale functie van de systemen.
Elke hack is het gebruiken van de normale functie van de systemen. Als je een SQL-injectie doet doet elk component precies dat hoe het is ingericht, heel normaal. De database verwerkt de geinjecteerde SQL op de juiste manier en de template engine plakt de output op de normale manier in de HTML die de server op de normale manier teruggeeft aan de bezoeker.

Deze redenering is leuk voor een technicus maar juridisch heeft het geen enkele waarde, juridisch gaat het om menselijke handelingen, intenties en verwachtingen. En ja, dan is ook URL-hacking hacken. Het is puur een menselijke interpretatie dat bepaalde data niet voor een bezoeker bedoeld is, of het nou een SQL-injectie is of een URL-hack.

Hooguit wordt over strafbaarheid anders geoordeeld vanwege nalatigheid of vanwege de laagdrempeligheid.

[Reactie gewijzigd door bwerg op 23 juli 2024 16:08]

i-chat @Brainscrewer23 augustus 2022 21:46
Dat klopt

Wetten gelden nooooit met terugwerkende kracht

Dus als morgen ‘ik wordt’ strafbaar wordt gesteld dan wordt ik dus vrijgesproken omdat het vermeende vergrijp vandaag plaats vond

Niemand kan immers worden gestraft voor iets dat (nog) niet verboden is

Maar dat dan daargelaten het hof bezigt in mijn optiek een erg nauwe definitie als een verzameling software ‘te weten een zooi phpschripts en een klene lading sqlqueries oid’ niet als inrichting beschouwd

Dan krijg je het hele runscape arrest al over again

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Anoniem: 63072 @i-chat23 augustus 2022 22:17
Kijk uit met dat soort uitspraken.

Als morgen het bezit van 'ik wordt' (was dat een bewuste taalfout?) strafbaar wordt gestelt en jij hebt documenten met die tekst daarop in bezit dan ben je van de ene op de andere dag strafbaar.

Vergezocht? Zeker niet, zoiets is namelijk al eens gebeurd in Nederland!

In 2002 is de leeftijdsgrens voor het vervaardigen en het bezit van kinderporno in Nederland verhoogd van 16 naar 18 jaar. Degene die in 2001 of eerder porno met 16 en/of 17 jarigen vervaardigde maakte legale porno en geen kinderporno en is zoals jij stelt in 2002 nog steeds onschuldig, omdat de wet na de nu handeling is gewijzigd. Als hij het beeldmateriaal echter in zijn bezit hield was hij van de ene op de andere dag strafbaar aan het bezit van kinderporno, ongeacht of de vervaardiging legaal was.

Nu ben ik al wat ouder en weet ik dat er pre-2000, toen ik een hitsige tiener was, in de sigarenwinkels en tankstations voldoende 'literatuur' verkrijgbaar was met 16- en 17-jarigen. Het kan dus zomaar zijn dat er in dozen op zolders in Nederland nog verdwaalde exemplaren zijn. Nu dicht ik de Nederlandse rechters, in tegenstelling tot bijvoorbeeld de VS, wel dus danige realiteitszin toe dat in dit soort gevallen een uitspraak van 'schuldig, maar geen straf' uit zou komen, of zelfs het OM die in dergelijke gevallen besluit dat het niet echt nuttig is om hier openbare middelen aan te besteden. Maar volgens de letter van de wet ben je strafbaar!

Ik had mij dit nooit gerealiseerd totdat ik ergens rond 2005 een verstandelijk gehandicapte uit het huis voor begeleid wonen tegenover mijn huis onder het fietsviaduct aantrof met een hele doos met precies deze porno! Die was hij daar aan het 'lezen'. Hij was huis aan huis gegaan of men nog dingen had die hij met koninginnedag kon verkopen! Ik ben maar even bij de begeleiders langs gegaan.
i-chat @Anoniem: 6307224 augustus 2022 06:37
Je verdraait hier heel handig de realiteit en daar krijg je van de niet-juristen een mooie +2 voor maar die is wel onterecht

We hebben het in deze casus namelijk over een enkelvoudige daad
Hacken of in mijn voorbeeld het bezigen van een taalfout.

En enkelvoudige daad is alleen strafbaar als dat zoals @The Legend terecht citeert vooraf strafbaar is gesteld

Ik geef daar bewust credit omdat ik me bijna schaam dat ik die quote niet zelf heb toegevoegd want dat was precies waar ik de hele tijd aan refereerde

Anyway jij verdraait nu het verhaal door te komen met een verhaal over bezit.

Daarbij kun je dus nu veroordeeld worden omdat je bijvoorbeeld een boek of foto in bezit hebt dat ten tijde van de productie of aankoop wellicht gewoon legaal was. Dat zou inderdaad hebben kunnen op gaan voor teksten met de lelijke spelfout maar dan had je dat voorbeeld in een andere context moeten lezen
Bijvoorbeeld in de context van een discussie over bezitsverbod.

Er is trouwens nogal veel gezegd en geschreven over het ingaan van bezitsverboden. Immers: stel dat ik 10 jaar geleden een seksfilmpje maakte met mijn vriendinnetje en we waren beide 17 jaar oud. Inmiddels is de wet gewijzigd en is dergelijk materiaal strafbaar het zou te gemakkelijk zijn om rücksichtslos’ te zeggen dan had je dat filmpje maar moeten verwijderen. Anderzijds is het natuurlijk ook geen vrijbrief om dan nu nog een website op te zetten met dergelijk materiaal en een paywall.

Om die reden is context onnoemelijk belangrijk en is je voorbeeld zo slecht gekozen

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Anoniem: 63072 @i-chat24 augustus 2022 07:43
Je verdraait hier heel handig de realiteit en daar krijg je van de niet-juristen een mooie +2 voor maar die is wel onterecht

We hebben het in deze casus namelijk over een enkelvoudige daad
Hacken of in mijn voorbeeld het bezigen van een taalfout.

[...]
Om die reden is context onnoemelijk belangrijk en is je voorbeeld zo slecht gekozen
Mijn voorbeeld is juist om die reden heel bewust gekozen, om aan te tonen dat de context van belang is.

Zelfs bezit is niet met terugwerkende kracht strafbaar, als je de dag voor het ingang van het verbod je ontdoet van het bezit is er geen enkele discussie over schuld meer.

Ondertussen zie ik - niet alleen op tweakers - heel vaak een verwijzing naar artikel 1 direct citaat of geparafraseerd zonder enige opmerking over de context. De meeste bezoekers op deze sites zijn geen juristen, iets wat jij duidelijk weet gezien jouw openings paragraaf.

Overigens ben ik zelf geen jurist, maar heb ik voor mijn werk cursusen Bestuursrecht, Burgerlijkrecht (specifiek contractrecht) en Strafrecht moeten volgen. Ik stoor mij er juist aan dat juristen in publicaties de context, net als hier, niet benoemen en er maar vanuit gaan dat de lezer weet dat deze casus een specifieke context is en dat de opmerkingen niet zo algemeen gelezen kunnen worden..

Het is mijn standpunt dat, omdat het publiek geen juristen betreft, de context benoemd had moeten worden bij het citeren van artikel 1Sr.
kodak
@Brainscrewer23 augustus 2022 21:48
Hoe stelt de rechtelijke macht dan voor dat een website die online was werkt? Volgens hun logica dus zonder dat er een geautomatiseerd werk bij betrokken is?
Anoniem: 63072 @kodak23 augustus 2022 22:20
Zoals ik hem lees kan je volgens het hof wel een webserver binnendringen waarop die site gehost wordt, maar niet een website zelf. Ik vind dat zelf eigenlijk heel logisch en ook hoe ik het verwacht zou hebben.

Deze persoon komt dan ook niet vrij omdat hij niet gedaan heeft waar ze hem van beschuldigden, jij heeft het wel degelijk gedaan. Maar omdat ze hem van het verkeerde beschuldigd hebben en verzuimd hebben om hem voor het juiste feit te vervolgen.

En omdat hij niet dubbel vervolgd kan worden is daarmee, tenzij de hoge raad er anders over denkt, daarmee de kous voor hem af en heeft het OM weer iets geleerd (hoop je dan).
EfBe @Anoniem: 6307224 augustus 2022 09:04
Ik vind dat zelf eigenlijk heel logisch en ook hoe ik het verwacht zou hebben.
Maar wat is 'de webserver'? De fysieke computer? Wat als dit een VM is? Of wat als de site draait als losse site op een grotere server? Indien dat laatste, kan het in theorie zo zijn dat verdachte toegang heeft tot een site die ook op die server draait en dan de huisartsenpost site hackt. Dan is de verdachte niet de webserver binnengedrongen, want hij had al toegang (via zn eigen site).

De gerechtelijke macht is veelal digibeet, en hier wreekt zich dat. 'toegang verschaffen tot' is een rekbaar begrip als je bv zonder je feitelijk aan te melden bij een site S toch de data kunt inzien door commands te sturen. Verder: heb je je dan toegang verschaft tot de site (die wellicht statische pages heeft) of de code achter de site (1 of meerdere services) of de database(s) ?

Ik vrees dat er betere formuleringen moeten komen voor 'online software, content etc.' zodat data die daarachter beschikbaar is veilig is.

Los daarvan, de Tielenaar hier bediende zich m.i. van afperspraktijken en had daar ook voor veroordeeld mogen worden wat mij betreft
Anoniem: 63072 @EfBe24 augustus 2022 19:16
[...]
Los daarvan, de Tielenaar hier bediende zich m.i. van afperspraktijken en had daar ook voor veroordeeld mogen worden wat mij betreft
Mijn gevoel zegt dat je een virtual machine onder een apparaat moet scharen, het is in principe slechts een software matige afbakening van dat apparaat in in delen en heeft verder alle kenmerken van dat apparaat.

Ik verbaas mij er ook over dat men het op computervrede breuk gooit in plaats van afpersing, dat laatste is in mijn ogen in deze, gezien hij vziw geen schade op de systemen had aangericht, toch echt het ernstigere vergrijp.
kodak
@Anoniem: 6307223 augustus 2022 22:44
Alleen is een website niet zomaar slechts gegevens dat aan het www ontsloten is. Als de gegevens als archief bestond, of geheel statisch was, dan valt daar in mee te gaan. Maar daar blijkt niets van. Sterker, er blijkt eerder dat het hier niet slechts gegevens betreft die ontsloten zijn. Het is dus niet slechts een kwestie van verkeerd formuleren door het OM. Eerder dat de rechtelijke macht hier spontaan een eigen definitie is gaan hanteren, zonder blijk te geven waarom dat andere delen van de rechtelijke macht hier ook niet zomaar een veroordeling doen om uit te gaan van een geautomatiseerd werk. En die eigen definitie gebruikt men dan om hier er geen geautomatiseerd werk in te zien, en dus dat het op die manier niet strafbaar is.
Brainscrewer @kodak23 augustus 2022 22:22
De letter van de Wet hecht weinig waarde aan logica. Het gaat erom dat het goed staat in de tenlastelegging, wat hier dus niet het geval was.

De rechter zegt in deze uitspraak eigenlijk alleen maar 'een website is geen apparaat.' waardoor de verdachte niet meer voldoet aan de criteria die zijn gesteld om iemand schuldig te verklaren aan het plegen van computervredebreuk.

Volgende keer is het dus zaak voor het OM om te tenlastelegging goed op papier te zetten, daarmee voorkom je dit soort uitglijders.
kodak
@Brainscrewer23 augustus 2022 23:01
Er ligt juist grote waarde in logica bij het toepassen van de wet. De rechtelijke macht doet hier zelf namelijk ook aannames door een eigen definitie van een website te gaan hanteren. Terwijl het gevolg van die logica een groot verschil maakt. Het is dus geen kwestie van 'zegt alleen maar', het is eerder willekeurig toepassen van logica.
Brainscrewer @kodak23 augustus 2022 23:09
Nee, dat ben ik niet met je eens. De rechter zegt in deze zaak enkel dat een website geen apparaat is en dus geen geautomatiseerd werk kan zijn. Waar ik het Hof overigens prima in kan volgen.
kodak
@Brainscrewer23 augustus 2022 23:32
Hoe meen je dat de rechtelijke macht dat hier dan tot die conclussie kan komen. Want de enige redelijke wijze lijkt me door logica toe te passen. En volgens welke logica is een website dan slechts de omschrijving die de rechtelijke macht in dit geval kiest om toe te passen voor de conclussie?
Brainscrewer @kodak23 augustus 2022 23:39
Omdat de rechter kijkt naar de definitie van een geautomatiseerd werk. In artikel 80sexies staat letterlijk dat dit een apparaat is. Het Hof komt daardoor tot de conclusie dat een website niet een geautomatiseerd werk kan zijn maar de webserver waarop deze website wordt gehost wel. Want apparaat.
kodak
@Brainscrewer23 augustus 2022 23:58
Alleen sluit die definitie niet zomaar uit dat er geen apparaat betrokken is of uit kan sluiten. Het is geen omschrijving van hardware versus software, het is een omschrijving waar iets aan moet voldoen. En of dat voldoet hangt van de gehanteerde omschrijving af waarmee het vergelijkt. In dit geval een omschrijving die de rechtelijke macht zelf lijkt te hebben bedacht door op onduidelijke gronden de betrokkenheid van een apparaat maar uit te sluiten. Terwijl een website die online is niet zonder apparaat kan.
citegrene @Brainscrewer24 augustus 2022 02:12
In het verleden heb ik nog weleens een http / webserver geschreven. Kan je bij deze vertellen dat het geen apparaat is maar een stuk software, zoals alles bijna alles software is, ook je firmware.
Dus is alleen een bak water over je server heen gooien strafbaar?
i-chat @Brainscrewer24 augustus 2022 07:00
Een vps is ook geen hardware en toch draai ik er windows op dezelfde windows die ook op mn laptop draait.

Maar mijn laptop is een geautomatiseerd werk de vps niet

Maar goed de letter van de wet en de oude memorie van toelichting het het over in inrichting en een netwerk

Tussen php code en de database server bevindt zich ook een netwerk waarom anders moet je bij het installeren van wordpress een database host adres, tcp-port, naam, username en password invullen
Daar wordt binnen de software al een netwerk ingericht. Het geheel van applicaties is zeer zeker wél een inrichting maar dan moet je wel snappen hoe de wereld werkt.

Juridisch is er dan alleen de vraag of de memorie van toelichting ‘de bron voor deze uitleg’ limitatief (dus alleen aanvinken wat van toepassing is) Uitleggend (dit zijn enkele voorbeelden) bedoeld was. En de grote vraag in dat laatste geval is mag een leek het dan als zodanig begrijpen

Ik denk dat het hof hier gedwaald heeft maar ik heb niet alle relevante jurisprudentie voor handen
kodak
@vrow23 augustus 2022 22:15
Zonder gekheid, het is geheel onduidelijk waar de gerechtelijke macht nu de grens aan het trekken is. Het heeft zelfs de schijn van willekeur, door een definitie te gaan hanteren alsof een website in dit geval alleen een verzameling gegevens is die kennelijk spontaan ontsloten was aan het www. Nergens een woord welke logica er achter zit om een geautomatiseerd werk hierbij buiten beschouwing te laten.
vrow @kodak24 augustus 2022 08:40
Gelukkig had jij m’n grapje wel begrepen, er is iets serieus mis met alle min-mensen hier. Of ze hebben totaal geen gevoel voor humor of ze snappen grapjes echt niet als je er niet bij zet dat iets een grapje is…

Maar je hebt helemaal gelijk natuurlijk, vandaar ook mijn opmerking. Websites draaien natuurlijk wel degelijk op hardware… tja, tenzij het natuurlijk op een VPS gehost werd, want die draaien natuurlijk wél echt in de cloud….
michielRB @vrow24 augustus 2022 16:40
Zoiets?
https://i.redd.it/l4bu591x5syy.jpg
Kevinp @The Legend23 augustus 2022 22:28
Ik vind de veroordeling voor inbreken eigenlijk ook niet de juiste aanklacht.

Oke hij heeft ingebroken. Maar door aan de deur te voelen, en daarna een rondje gelopen, maar verder niks gedaan.

Waar het mij wringt is dat hij een hoog bedrag vroeg om het te verhelpen(dat mag nog) maar zeggen dat er reputatieschade is als het lek naar buiten komt is hetgeen ik chantage vind.

Waarbij het volgens mij ook nog zo is dat je een lek MOET melden (weet niet of dat toen ook al zo was).

Vrijspraak voor hacken vind ik prima, maar het stukje afpersen vind ik persoonlijk erger.
PhilipsFan @Kevinp23 augustus 2022 22:53
Er is toch geen sprake van afpersing. Hij heeft alleen feiten genoemd: je website bevat een lek en als dat bekend wordt gaat het je schade opleveren. Daarnaast heeft hij een offerte gedaan om het lek op te lossen. Dat is geen afpersing. De huisartsenpost had er prima voor kunnen kiezen om het lek door een ander bedrijf te laten dichten. In feite heeft hij vrij netjes gehandeld.

Het was afpersing geweest als er op de offerte iets stond van "als je niet ingaat op deze offerte dan jat ik via genoemd lek al je data en pleur het op internet".

Overigens vind ik dit soort 'hacks' wel een beetje twijfelachtig. Hoe is dit uitgevoerd? Willekeurige url's opgevraagd in de hoop dat je documenten vindt die geheim zijn? Dan hadden die documenten daar niet moeten staan. Of volgnummertjes in de url aanpassen, of guids uitproberen, in de hoop dat je onbeveiligde webpaginas vindt die met gegevens strooien zonder dat je bent ingelogd? Dat soort handelingen kunnen toch niet illegaal zijn? Zelfs een heleboel webpagina's achter elkaar opvragen via een script is niet illegaal, terwijl je dat aan de ontvangende kant prima kunt interpreteren als een dos-aanval...
bwerg @PhilipsFan24 augustus 2022 11:17
Er is toch geen sprake van afpersing. Hij heeft alleen feiten genoemd: je website bevat een lek en als dat bekend wordt gaat het je schade opleveren.
Net als de maffia-uitspraak "mooie winkel, het zou zonde zijn als 'ie af zou branden... Als je me 10k betaalt zal ik er voor zorgen dat dat niet gebeurt." Letterlijk genomen enkel puur feitelijke stellingen en een vrijblijvend aanbod.

De zin is mooi verpakt maar een op zich illegale hack plus een offerte waar de hacker zelf veel financiële baat bij heeft plus een opmerking op die offerte wat de gevolgen zijn als dit "openbaar gemaakt wordt" (hint hint, hoe zou dat toch kunnen gebeuren) is wel echt een gevalletje 1+1=2. Gelukkig mag een rechter door letterlijke verwoordingen heenprikken om intenties en interpretaties te toetsen.

[Reactie gewijzigd door bwerg op 23 juli 2024 16:08]

Luminair @PhilipsFan24 augustus 2022 01:28
guids uitproberen
Ik neem aan dat je hier iets van iteratieve IDs bedoelt, want GUID/UUIDs zijn per ontwerpt al vrijwel zeker niet te raden. Je kunt nog beter loterij tickets kopen dan dat wagen.
Frame164 @Kevinp23 augustus 2022 22:51
Dat is nog steeds inbreken. Tenzij jij het normaal vindt dat iemand aan jouw deurklink zit, constateert dat de deur niet op slot zit, naar binnen gaat en rustig de inhoud van jouw kasten gaat bekijken en vervolgens een offerte maakt om jouw slot te verbeteren.
Luminair @Frame16424 augustus 2022 01:24
Volgens mij wordt er wettelijk wel onderscheid gemaakt daarin. Inbreken is jezelf toegang verlenen met vernieling als middel. Zonder dat is het insluiping, wat echt een andere misdaad is.
i-chat @Luminair24 augustus 2022 07:12
Ja en insluipen of inbreken kan dus niet
Als je niet in een huis woont maar in een studentenhuis. Met meerdere bewoners
Dan is het ineens perfect legaal om andermans kamer binnen te sluipen of breken om daar vervolgens een briefje neer te leggen met ik ben in je kamer geweest en voor 500 euro leg ik uit hoe
Stel je eens voor dat er smachts iemand naast je bed staat

Nee nee omdat u geen eigen huis ehm computer had is dit toch net even anders Zoals iedereen in een studentenhuis snapt dat jou kamer die van jou is en zijn kamer niet
Zo snapt ook iedereen dat een website Meer is dan alleen een beetje data.

Of beter omdat je erin kunt inbreken moet het wel een inrichting zijn

In het bestuursrecht zijn ze daar slimmer in en zeggen ze als iets naar zijn aard en bedoelingen A is dan maakt het niet uit of het B is

porto cabin arrest


Maar ook in het runscape arest: ook als id het maar data en alleen een voorwerje in een game, het feit dat je moeite moet doen om het te verkrijgen maakt het iets in de wet dat je kunt stelen of kunt afdreigen

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

casd18 @i-chat24 augustus 2022 11:46
Corrigeer me vooral als ik het mis heb maar volgens mij is het vrijwel noodzakelijk om in een studentenhuis met meerdere bewoners sloten op alle aparte kamers te zetten i.v.m. je inboedelverzekering.

*edit: typo

[Reactie gewijzigd door casd18 op 23 juli 2024 16:08]

Xiz @Luminair24 augustus 2022 11:40
Correct, en een rechter toetst altijd intenties en wat er daadwerkelijk gedaan is. Het verschil is natuurlijk of je alleen aan een deur voelt of deze op slot zit en het daarbij laat, of dat je daadwerkelijk binnentreedt en even de koelkast leeg eet of de juwelen jat.

Zo werkt het bij computervredebreuk ook. Ondanks dat inbreken/hacken in basis verboden is (even afgezien van de eventuele gevolgen van de uitspraak in dit artikel) is er een verschil tussen alleen het ontdekken van een kwetsbaarheid en het ontdekken van de kwetsbaarheid + het downloaden van de hele database + afpersing.

Juridisch zal dit verhaal misschien wel kloppen, maar iedereen voelt op z'n klompen aan dat wat deze meneer gedaan heeft niet in de haak is. Ik weet niet precies welke juridische mogelijkheden er nog zijn, maar deze uitspraak blijft niet overeind lijkt me.
Tozz @Frame16424 augustus 2022 12:14
Zo abnormaal is dat niet. De Politie is daar niet vies van:

https://www.ad.nl/binnenl...ij-30-studenten~ae3a7867/
Anoniem: 420148 @Frame16424 augustus 2022 13:34
Die vergelijking gaat hier gewoon niet op. Computers zijn geen huizen.

Als je het dan toch zo nodig in huizentermen wil gooien voor een absolute nieuwkomer;

Hackerman loopt naar je voordeur, deze ziet er gammel uit en hij klopt aan. De deur zwaait open en in de gang staan op de muren de wachtwoorden, creditcardnummers, het adres van je rijke oma en PIN-codes van de bewoners geklad. Volslagen idioot dat je dit natuurlijk zo op de muur bij je voordeur zet (aka aan het internet hangt) maar de schade is gedaan. Hackerman laat de deur verder open staan en belt de bewoners op. Hij biedt vervolgens aan om de gammele deur te repareren met als kanttekening dat het schade zou opleveren als ze deze zo laten.

[Reactie gewijzigd door Anoniem: 420148 op 23 juli 2024 16:08]

TechSupreme @The Legend23 augustus 2022 22:08
Tegenwoordig draaien webservers eigenlijk alleen maar in een virtuele machine. Met dat in het achterhoofd kan ik de uitspraak eigenlijk wel begrijpen, het OM heeft nagelaten om de lastlegging correct te formuleren en de wetgever heeft nagelaten om de wetten exacter te definiëren. Is een kwestie van de bewoording van de wet aanpassen dus zo erg is het nou ook weer niet, maar tot die tijd is het binnendringen van een webserver niet strafbaar.
jeroen79 @TechSupreme24 augustus 2022 05:33
Maar is een virtuele machine dan wel een apparaat?
Of moet je dan toch bij de host zijn?
GoBieN-Be @The Legend23 augustus 2022 22:56
Misschien omdat er niet binnengebroken was op de server, maar gewoon een fout/lek in de website code toestond om in te loggen zonder de juiste user/password. Dan dring je eigenlijk niet binnen op de server.
Bulkzooi @The Legend24 augustus 2022 01:55
Ik ben geen strafrecht specialist, maar dit lijkt me toch wel een probleem. Voor zover ik weet is er namelijk geen andere bepaling dan artikel 138ab WvSr die computervredebreuk strafbaar stelt. Het gerechtshof zegt nu simpelweg dat inbreken op een website geen computervredebreuk is, omdat de wetgever kennelijk alleen bedoeld zou hebben om het inbreken op fysieke apparaten strafbaar te stellen, en een website is geen fysiek apparaat. Dat zou dus inderdaad maken dat websites hacken niet strafbaar is.
#ianal, maar wel hobby jurist met een blog.

Maar je kan geen website draaien of bezoeken zonder computer, dan wel webserver.
Ik kan mij voorstellen dat het OM wel in cassatie gaat, want het is wel een wat merkwaardige uitleg van het hof. Zeker aangezien ze zelf verwijzen naar een arrest van de Hoge Raad over een DDoS aanval op een website, dat wel strafbaar was omdat het gericht was op de server (en dus een fysiek apparaat).
Ja, ze snappen niet zo goed wat een gebruiker nou menselijk maakt, mn. M2M problemen. Maar die politici, juristen en activisten hebben mn. interpretatie problemen.
Die website draait natuurlijk niet op elfenstof en wordt gehost op een server, ook een fysiek apparaat.
Lulz, cryptosine.
Het kan zijn dat het hof moeite had met de ten laste legging, en dat het OM daar haarfijn had moeten uitleggen dat ‘de inrichting’ in dit geval de server is waar de website op draait, en dat men het dan wel akkoord had bevonden..
Een stelletje gelocaliseerde activisten zijn het.
Zoals ik hem lees kan je volgens het hof wel een webserver binnendringen waarop die site gehost wordt, maar niet een website zelf. Ik vind dat zelf eigenlijk heel logisch en ook hoe ik het verwacht zou hebben.
En wat verwacht je bij een webapp zonder GUI?
Deze persoon komt dan ook niet vrij omdat hij niet gedaan heeft waar ze hem van beschuldigden, hij heeft het wel degelijk gedaan.
Wat heeft hij gedaan dan?
Maar omdat ze hem van het verkeerde beschuldigd hebben én verzuimd hebben om hem voor het juiste feit te vervolgen.

Bovendien kan hij niet dubbel vervolgd worden is daarmee, tenzij de hoge raad er anders over denkt, is de kous voor hem af en heeft het OM weer iets geleerd (hoop je dan).
Op de dunne scheidslijn van geschiedschrijving en jurisprudentie

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

EfBe @Bulkzooi24 augustus 2022 09:07
Maar je kan geen website draaien of bezoeken zonder computer, dan wel webserver.
Een serie containers in een K8s cluster zal niet echt beantwoorden aan jouw definitie van webserver (wat dat dan al moge zijn), en welke computer(s) ze draaien is bv met AWS of Azure onduidelijk (en niet te achterhalen ook). Los daarvan, als jij een andere website hebt op diezelfde 'webserver' (in theorie) dan heb je toegang maar breek je toch in. Dus het gebruik van 'webserver' is niet de juiste keuze
utbone 23 augustus 2022 20:10
Kortom, vrij gesproken op vormfout.
i-chat @utbone23 augustus 2022 20:46
Kortom, vrij gesproken op vormfout.
een vormfout is echt iets heel anders. Denk dan aan
- niet volgen procedures
- onwettig verkregen bewijs dat niet kan worden hersteld

En dat soort zaken

Hier gaat het, om een, in mijn optiek nogal eigenaardige interpretatie van de wet (gerechtelijke dwaling) of een evident gebrek in de huidige wet (politieke dwaling)
Silent7 @i-chat23 augustus 2022 21:01
nou ja zo'n rekening offerte en verkapt dreigement turen is natuurlijk niet ethisch hacken, dus dan lijken de dden wel strafbaar, getuige ook de eerdere veroordeling, nu vrijspraak komt op mij ook over als een vormfout eigenlijk.

Edit, ja @GekkePrutser je hebt gelijk, aangepast :)

[Reactie gewijzigd door Silent7 op 23 juli 2024 16:08]

GekkePrutser @Silent723 augustus 2022 21:04
Het was geen rekening maar een offerte.

Ik vind vooral het verkapte dreigement op het randje voor een ethische hacker. Een offerte is niet meer dan een voorstel om het gevonden lek door hem te laten fixen. Dat komt ongetwijfeld vaker voor bij ethisch hacken. Maar de dreiging eromheen vind ik dan wel weer de situatie veranderen. Dat klinkt mij ook veel te dreigend in de oren. Ook lijkt het bedrag me veel te hoog voor een fix.

Overigens heeft het dreigement niet zo heel veel inhoud, want de huisartsenpost is immers verplicht om het datalek te melden en het niet melden brengt ze alleen maar meer moeilijkheden.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:08]

Silent7 @GekkePrutser23 augustus 2022 21:06
ja offerte met tekst die nét geen bedreiging is, allemaal heel erg op het randje.
GekkePrutser @Silent723 augustus 2022 21:07
Ja dat ben ik met je eens.

Maar het was geen 'rekening'. Daar reageerde ik met name op. Een rekening is iets voor een dienst die je al overeengekomen hebt. Waarbij niet betalen gevolgen heeft. Een offerte is slechts een voorstel tot het leveren van een dienst.

Maar inderdaad is de tekst erbij echt een verschil van dag en nacht. Het maakt het ook in mijn ogen van een onschuldig iets tot kwade opzet.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:08]

Silent7 @GekkePrutser23 augustus 2022 21:11
Aangepast je hebt gelijk.
i-chat @Silent724 augustus 2022 07:51
Dat hier gekozen is om te vervolgen l voor het makkelijker te bewijzen computervredebreuk in plaats van afdreiging (afpersing) is logisch omdat je voor afdreiging wel echt nodig hebt dat het de bedoeling was dat je zou betalen of anders. Hoewel iedereen het hierin wel zal lezen is bewijzen nog wel een stapje meer.

Dus voor het verkeerde aanklagen (of eigenlijk het verkeerde ten laste leggen) is hier ook geen sprake dit is gewoon het opportuniteitsbeginsel liever straf voor iets kleins dan vrijspraak voor iets groters. Daar is men door deze vreemde uitspraak behoorlijk in gestikt en ik kan me niet voorstellen dat men het hierbij laat

In kan me de grieven van dit cassatie verzoek wel bedenken.
Bulkzooi @i-chat24 augustus 2022 02:05
[...]
een vormfout is echt iets heel anders. Denk dan aan
- niet volgen procedures
- onwettig verkregen bewijs dat niet kan worden hersteld

En dat soort zaken

Hier gaat het, om een, in mijn optiek nogal eigenaardige interpretatie van de wet (gerechtelijke dwaling) of een evident gebrek in de huidige wet (politieke dwaling)
Idd, geen zuivere koffie. Activisme met een monetaire incentive?
i-chat @Bulkzooi24 augustus 2022 07:53
Whut?

Kun je dat even wat duidelijker uitleggen want ik snap oprecht niet waar je op doelt

Lees anders mijn overige reacties eens
geerttttt 23 augustus 2022 20:08
Huh, maar die website staat op een server ergens in een datacenter. Hij is toch in feite dan binnengedrongen op die server? Dus wel iets in fysieke vorm?
Lagonas @geerttttt23 augustus 2022 20:14
Klopt, maar volgens de rechter is de man niet fysiek in de server gaan zitten, dus simpelweg vrijgesproken vanwege een vormfout.
Mel33 @Lagonas23 augustus 2022 20:21
Om precies te zijn
“hij is vrijgesproken omdat het ten laste gelegde wetsartikel niet klopt bij zijn handeling en het gebeuren.”
Sissors @Mel3323 augustus 2022 20:22
Maar zijn er dan andere wetsartikelen die gebruikt hadden moeten worden? Of is de conclusie nu dat hacken legaal is?
Mel33 @Sissors23 augustus 2022 20:24
Hij had idd met een andere wets artikel moeten worden aangeklaagd.
pmeter @Mel3323 augustus 2022 20:46
Je kan niet tweemaal voor hetzelfde worden vervolgd. Maar als ze hem nu vervolgen voor datgene wat wel gebeurd is, is dat dan wat anders waardoor dat wel alsnog kan?
Mel33 @pmeter23 augustus 2022 20:53
Ne Bis in Idem (bet: niet 2 x voor hetzelfde)

Dit wordt lastiger wanneer iemand een delict pleegt dat juridisch als meerdere feiten kan worden gekwalificeerd.
RedPixel @pmeter23 augustus 2022 20:52
Nee, voor hetzelfde feit mag het OM je maar eenmaal aanklagen en dan moeten ze hun huiswerk netjes doen.
pmeter @RedPixel23 augustus 2022 20:56
Daar begint mijn vraag mee. Vervolgens vraag ik om verduidelijking hoe het werkt als je voor het verkeerde feit wordt vervolgd zoals in dit geval "het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk", wat hij volgens de rechter niet heeft gedaan omdat een website geen geautomatiseerd werk is. Kun je hem dan alsnog vervolgen voor het juiste feit "het hacken van een website"?
RedPixel @pmeter23 augustus 2022 21:05
Het verschil zit in het woordje feit. Een feit is niet een wet waar je voor wordt vervolgd. Een feit is iets wat je gedaan hebt: "Een rechtsfeit is het gedrag van een persoon of natuurhandeling die in een bepaald gebied rechtsgevolgen heeft.".

Het OM zegt dus: de verdachte heeft X gedaan (het feit), en dat mag niet volgens wet Y en wet Z. Geef straf.

Voor hetzelfde feit (X) mag je niet tweemaal worden vervolgd.
i-chat @pmeter24 augustus 2022 08:28
Daar begint mijn vraag mee. Vervolgens vraag ik om verduidelijking hoe het werkt als je voor het verkeerde feit wordt vervolgd zoals in dit geval "het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk", wat hij volgens de rechter niet heeft gedaan omdat een website geen geautomatiseerd werk is. Kun je hem dan alsnog vervolgen voor het juiste feit "het hacken van een website"?
je stelt 2x dezelfde vraag en hebt al antwoord gekregen namelijk nee want niet 2x voor hetzelfde delict

Daarom zijn de meeste tenlastelegging alsvolgt op gesteld

Jan heeft piet vermoord danwel dood geslagen, danwel was hij verantwoordelijk voor diens dood of heeft hi nagelaten diens dood te voorkomen.

Maar dan wel in één strafzaak en geen 10 losse anders kun je iemand eindeloos blijven lastigvallen

subsidiaire tenlastelegging heet dat

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Frame164 @Triblade_847223 augustus 2022 22:57
Als mensen eerder weg moeten na het maken van fouten dan zal de meerderheid van het Nederlandse personeel meerdere keren in de carrière worden ontslagen om die reden. Of mensen durven niets meer te doen en verzand alles in een grote bureaucratische bende. Voor ieder klusje krijg je dan civer your ass gedrag.
Triblade_8472 @Frame16424 augustus 2022 07:47
Maar als er leren vermogen is, waarom blijven diezelfde fouten dan voorkomen?

Mijn grootste probleem is niet eens zozeer de fouten of het ervan leren, maar dat er mensen vrijspraak door krijgen waar ze straf verdienen.
HakanX @Triblade_847223 augustus 2022 21:43
Een rechtszaak voeren is tijdrovend, langdurig en duur. Er zou teveel machtsmisbruik tussen overheid en burger komen te zitten als ze vaker voor hetzelfde kunnen aanklagen. Meeste burgers kunnen dat niet aan. OM had gewoon zijn huiswerk beter moeten doen, pech voor hun.

Mijn persoonlijke mening is dat de hacker met de rechtzaak alleen al genoeg is gestraft. Er is verder niks gebeurd, schrik zit er goed in, die doet dat geen tweede keer.
Triblade_8472 @HakanX24 augustus 2022 07:49
Wat jij vind is niet zo belangrijk in een rechtzaak. Wat de rechter vind wel.

Maar de rechter kan er nu niks van vinden omdat het OM fouten heeft gemaakt.

Ik ben van mening dat een verdachte niet straffeloos ergens onderuit mag komen door een foutje. Als het maar een klein foutje is en geen grote of opzet.
segil @Triblade_847223 augustus 2022 22:56
Nee, je hoort alleen maar de negatieve verhalen in de media over de rechtspraak. Plus dat mensen het vaak zelf verkeerd uitleggen en denken dat ze het beter weten dan de OM. Daarmee krijg jij dus het beeld dat het allemaal ellende is. Terwijl het over-over-overgrote deel gewoon wel goed gaat. Maar daar hoor je nooit over, want dat is niet nieuwswaardig.
geerttttt @Triblade_847224 augustus 2022 08:42
Het zou niet heel eerlijk zijn naar een verdachte toe dat je een hele rechtzaak met alles van dien gehad hebt, om daarna met de angst te leven dat ze het altijd 'nog een keer kunnen proberen' wanneer ze het onder een ander feit scharen. Daarom mag je maar 1 keer voor een feit veroordeeld worden.
Bulkzooi @Lagonas24 augustus 2022 02:03
Klopt, maar volgens de rechter is de man niet fysiek in de server gaan zitten, dus simpelweg vrijgesproken vanwege een vormfout.
kuddo's, het huisvredebreuk argument debunked.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

djwice @geerttttt23 augustus 2022 20:21
De man kreeg waarschijnlijk data toegezonden van de server toen hij er verzoeken om data naar toe stuurde.

Hij hoeft dus niet persé 'op' de server te komen of de server 'binnen te dringen'.

De Haagse Huisartsenpost heeft helaas nog steeds niet hun IT op orde. De link die ze in Google maps adverteren is onveilig: https://www.ssllabs.com/s...e?d=www.smashaaglanden.nl

En ook de nieuwe leverancier van hun IT-platform beschermd niet tegen hackers die scripts injecteren om gevoelige informatie buit te maken.
https://securityheaders.c...n&hide=on&q=www.hadoks.nl

Ook wordt https niet afgedwongen, wordt certificaat spoofing niet tegen gegaan en zijn er wat punten die informatie lekken over de inrichting van de applicatie infrastructuur.

Ze doen zo te zien wel hun best het goed te doen, duidelijk beter dan gemiddeld.

[Reactie gewijzigd door djwice op 23 juli 2024 16:08]

Keypunchie
@djwice23 augustus 2022 20:55
die link wordt alleen automatisch redirected naar een andere site (anders zou geen browser hem accepteren, met zo’n lang verlopen certificaat) dus dat SSL rapportje betekent niet zo veel.
djwice @Keypunchie23 augustus 2022 21:10
Mijn browser accepteerde hem niet, de link in Google Maps is http, niet https.
Bulkzooi @djwice24 augustus 2022 03:16
De man kreeg waarschijnlijk data toegezonden van de server toen hij er verzoeken om data naar toe stuurde.

Hij hoeft dus niet persé 'op' de server te komen of de server 'binnen te dringen'.

De Haagse Huisartsenpost heeft helaas nog steeds niet hun IT op orde. De link die ze in Google maps adverteren is onveilig: https://www.ssllabs.com/s...e?d=www.smashaaglanden.nl

En ook de nieuwe leverancier van hun IT-platform beschermd niet tegen hackers die scripts injecteren om gevoelige informatie buit te maken.
https://securityheaders.c...n&hide=on&q=www.hadoks.nl

Ook wordt https niet afgedwongen, wordt certificaat spoofing niet tegen gegaan en zijn er wat punten die informatie lekken over de inrichting van de applicatie infrastructuur.

Ze doen zo te zien wel hun best het goed te doen, duidelijk beter dan gemiddeld.
Lol, ja die doen hun best met uitbesteden.
Luchtbakker @geerttttt23 augustus 2022 20:11
Ik denk dat ze onderscheid maken tussen fysieke inbraak en digitale inbraak. Maar wazig vind ik de uitspraak wel.
i-chat @Luchtbakker23 augustus 2022 20:26
Ik zou heel graag de mening van @Arnoud Engelfriet hierover horen want dit lijkt me wel in zijn straatje passen** maar als ik: domme jurist die ik bendit arrest lees dan bekruipt mij het gevoel dat we straks wél mogen inbrken op websites en op viruele machines (vps hosted) maar niet op de webservers van hosting bedrijven of op dedicated machines

Dat lijkt mij een onmogelijk precedent?

Mag goed, ik zou heel graag duiding willen van mensen die wat meer ervaring hebben in deze tak van recht

** jammer dat die duiding niet door de redactie @LFranxWind is gevraagd
Immers kan het OM mog in cassatie bij de hoge raad, hoe groot is die kans en in hoeverre is dit nu echt een vrijbrief voor het hacken van websites.
Bovendien zou ik ook willen weten hoe het zit met andere misdrijven want ik lees hier ook wel poging tot chantage in cq afdwingen etc

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Brainscrewer @i-chat23 augustus 2022 21:07
Nee, dit schept geen precedent. Wat goed is om te weten is dat in de tenlastelegging stond dat de verdachte 'wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van (..), is binnengedrongen'.

De letter van de Wet stelt dat een geautomatiseerd werk, volgens Artikel 80sexies Wetboek van Strafrecht, wordt verstaan: 'Een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken'.

Het Hof stelt nu dat een website geen geautomatiseerd werk kán zijn, omdat een website geen apparaat is.

Had het OM in de tenlastelegging opgenomen dat de verdachte was binnengedrongen in een geautomatiseerd werk, te weten de webserver waarop de website van het slachtoffer werd gepresenteerd/gehost, dan had de aanklacht wel standgehouden.
Triblade_8472 @Brainscrewer23 augustus 2022 21:15
Ik vraag mij hierom dan ook af wat wél een apparaat is. Is dat de firmware? Een OS? Een chip? Fysiek het apparaat openen zonder toestemming?

Is een applicatie hacken, net als een website, dan ook geen geautomatiseerd werk? Of is er een verschil tussen statische HTML en dynamische zaken als PHP enz?

Mag je hiermee dus wel databases slopen door een destructieve query in te voeren?

Het is te triest voor woorden dat ze zulke oude termen gebruiken voor hedendaagse rechtzaken.
Minimaal het doel van de daad zou toch echt de boventoon moeten voeren, niet de techniek waarmee dit bereikt word.
Brainscrewer @Triblade_847223 augustus 2022 21:30
Het doel van de daad wordt toch ook primair in de tenlastelegging benoemd? Namelijk het wederrechtelijk binnendringen van een geautomatiseerd werd.

Ik zou zeggen dat firmware en een OS onderdeel kunnen zijn van een geautomatiseerd werk, en dat je door het hacken van een laptop of een telefoon dus een geautomatiseerd werk binnendringt. Het hacken van een applicatie, zijnde statisch of niet statisch maakt niet zoveel uit. Als er op het onderliggende geautomatiseerde werk (zijnde de server dus) wederrechtelijk wordt binnengedrongen is er dus sprake van computervredebreuk.

Je mag ook niet een database slopen, dat is een heel ander delict, namelijk het opzettelijk vernielen van gegevens wat strafbaar is gesteld onder artikel 350a en 350b Wetboek van Strafrecht.
i-chat @Brainscrewer23 augustus 2022 22:20
Maar het juridische punt is dan dat hij niet op die hardware is ingebroken omdat hij nooit in bijvoorbeeld pleks of cpanel is doorgedrongen zoals ik het lees gaat de definitie van de oude wet en ook de nieuwe wet (volgend in de standpunten van dit hof) alleen om bedrijfsnetwerken en gehele hosting inrichtingen.

Maar dan zouden dus alle: websites en de exploits in phpcode of sql injections of alle servers die op een vps draaien buiten de boot vallen evenals alles in bijvoorbeeld een aws.

Dat is wel een hele enge interpretatie van het woordje ‘inrichting’ en vraag die hier gsteld zal moeten worden voor zowel de oude als de nieuwe memories van toelichting of die uitleg limitatief is of indicatief.

edit:

'Een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken'.


is wel iets heel anders dan de definitie die het hof hanteert

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Bulkzooi @Brainscrewer24 augustus 2022 02:00
Nee, dit schept geen precedent. Wat goed is om te weten is dat in de tenlastelegging stond dat de verdachte 'wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van (..), is binnengedrongen'.

De letter van de Wet stelt dat een geautomatiseerd werk, volgens Artikel 80sexies Wetboek van Strafrecht, wordt verstaan: 'Een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken'.

Het Hof stelt nu dat een website geen geautomatiseerd werk kán zijn, omdat een website geen apparaat is.

Had het OM in de tenlastelegging opgenomen dat de verdachte was binnengedrongen in een geautomatiseerd werk, te weten de webserver waarop de website van het slachtoffer werd gepresenteerd/gehost, dan had de aanklacht wel standgehouden.
Ik ga mezelf niet quoten m.b.t. AI & social media maar clusters en rekenkernen zijn wel belangrijke termen. Alsmede streamen en in memory operation.

Netwerkvredebreuk is ook niet hetzelfde als iets met de data doen. Website, webserver, webapp, webframework... De overheid is de weg kwijt.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

i-chat @Bulkzooi24 augustus 2022 08:14
Maar de website is heen data

Misschien in statische vorm maar als dynamische webapplicatie is het gewoon programmatuur om data te verwerken op te slaan en beschikbaar te maken.

Zelfs als het OM dan een beetje gedwaald heeft toir te stellen dat een website (een deel van)** een geautomatiseerd werk zou zijn

Vind ik de uitleg geen hardware dus geen computervredebreuk een hele bijzondere conclusie

** = ik heb de tenlastelegging niet voor me dus weet niet of er haakjes om de woorden (een deel van) staan Maar zelfs al dat niet zo is vind ik dit arrest onnavolgbaar.
Groningerkoek @Luchtbakker23 augustus 2022 20:22
Nee dat onderscheid maken ze niet, het probleem is dat hem ten laste is gelegd dat hij een website is binnengedrongen en dan volgens het artikel dat het binnendringen van een geautomatiseerd systeem verbied wordt vervolgd. Geklungel van het OM dus, want al in de vorige eeuw was duidelijk dat dit wetsartikel niet voor websites was bedoelt.
gitaarwerk @Groningerkoek23 augustus 2022 21:06
ik vind het bezwaarlijker dat hij het gebruikt als afpers middel ipv melding en een fatsoenlijk bedrag vragen om het te verhelpen. Het vonnis weerleggen op deze manier is dan ook triest gezien de afpersing. Maar daar linkt niet over te worden gesproken.
djwice @gitaarwerk23 augustus 2022 21:21
Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden.
Is dit afpersing? Volgend het OM niet, anders had ze hem dat in 2019 wel ter laste gelegd.

Het kan wat anders geformuleerd, maar er wordt niet gedreigd met openbaar maken van het lek en ook niet gesuggereerd dat de directeur niet iemand anders mag of kan inhuren voor het dichten van het lek.
Bovendien kan de hacker zelf geen boetes opleggen.
En ik mis een 'als u mij niet .. ' 'dan ...' of 'want anders ..." constructie.

[Reactie gewijzigd door djwice op 23 juli 2024 16:08]

gitaarwerk @djwice23 augustus 2022 21:24
hmm; ik vind het er wel versacht veel van weghebben. Maar de tone of voice is zeker niet handig. In dat geval kan ik zelf ook nog wel wat boekjes open doen naar bedrijven met een factuur aanslingeren voor hun problemen,… maar ik ga mijn handen er niet aan branden. Ik meld alleen lekken of issues direct bij de instanties. De rest is aan hen.
djwice @gitaarwerk23 augustus 2022 21:31
Ja, doe ik ook inderdaad. En soms zijn ze dan vriendelijk en lossen het snel op, soms negeren ze het en soms wordt er iemand boos. In dat laatste geval weet je: nooit zaken doen met die partij, en goed opletten naar welke partij die man/vrouw/x gaat, want daar wordt het een rotzooi, dus ga er snel weg als je er klant bent :)

[Reactie gewijzigd door djwice op 23 juli 2024 16:08]

i-chat @gitaarwerk24 augustus 2022 08:20
Het probleem met afdreiging is dat je echt duidelijk moet hebben

Dat als jij niet doet wat ik wil dan doe ik wat jij niet wilt

Dat dreigement moet echt boven enige twijfel verheven zijn anders is straks ‘elke goed bedoelde waarschuwing ineens een poging tot afpersing
Arnoud Engelfriet
@Groningerkoek24 augustus 2022 11:05
Nou ja, "geklungel" is wel erg hard. In 2020 deed ditzelfde Hof ook zoiets, toen het ging om het hacken van een Facebook-account: “Een account op Facebook bestaat feitelijk slechts uit een samenstel van gegevens en heeft daarmee geen fysieke vorm. ” Het OM was daar destijds op voorbereid, door subsidiair “de server achter het account” op te nemen als voorwerp van hack, maar dat mocht dan ook weer niet:
Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Als het OM zegt "er is ingebroken op het account van Alice" en de reactie van het Hof is "je had moeten zeggen, op de serverhardware + software van Meta Inc en regelen dat Meta een slachtofferverklaring invult" dan is dat meer dan "geklungel" van het OM.

Een jaar later kwam de Hoge Raad met een arrest over ddos-aanvallen, die ook alleen op geautomatiseerde werken kunnen worden uitgevoerd. Daar was in de tenlastelegging alleen opgenomen dat “gegevens toegezonden naar de website “[internetsite 2]” waren, wat kennelijk genoeg was:
Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting.
Dit voelt voor mij logisch en prima passend binnen de wet. Ik zie de noodzaak van het Hof niet om zó precies te gaan zitten op de wetstekst. Welk redelijk belang wordt hier beschermd?
Groningerkoek @Arnoud Engelfriet24 augustus 2022 11:52
Bij die laatste is ook het voorgaande stukje zeer belangrijk.
"Dat zo’n apparaat, netwerk of deel daarvan slechts m.b.v. een of meer computerprogramma’s die functies van opslag, verwerking en overdracht van gegevens kan vervullen, brengt mee dat belemmering van werking van computerprogramma waarmee een of meer van die functies worden vervuld ook kan worden aangemerkt als belemmering van werking van dit geautomatiseerd werk."
Ik vind het prima dat men zo precies op de tekst zit, ook omdat de wetgevende macht zelf al jaren aangeeft dat de wet zo bedoelt is en zo uitgelegd dient te worden. Het probleem is hier dat de wetgevende macht niet met extra wetgeving komt of de oude wetgeving uitbreid.
Arnoud Engelfriet
@Groningerkoek24 augustus 2022 16:13
Dank je wel, +2 wat mij betreft. Dit onderstreept heel duidelijk dat "geautomatiseerd werk" impliceert website met hardware, dus als je website zegt dan bedoel je ook wat daaronder zit. Ik kan nog steeds met de beste wil van de wereld geen redelijk argument hiertegen bedenken.
Groningerkoek @Arnoud Engelfriet24 augustus 2022 16:22
Maar dan moet de eigenaar/beheerder van het geautomatiseerde systeem waar de website op draait zich wel bij de klager voegen. (Ik kan het fout hebben maar volgens mij is dit niet zelfstandig vervolgbaar)
veltnet @Bulkzooi24 augustus 2022 11:04
https://blog.iusmentis.co...n-spreekt-verdachte-vrij/
Bulkzooi @veltnet25 augustus 2022 02:07
https://blog.iusmentis.co...n-spreekt-verdachte-vrij/
Ow, wat erg! Verschrikkelijk!
een website is geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.

Een website is namelijk geen geautomatiseerd werk zoals in artikel 80sexies van het Wetboek van Strafrecht staat vermeld, zo oordeelt het hof, dat verklaart dat onder een geautomatiseerd werk een fysiek apparaat wordt verstaan.

"Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk", zo stelt het gerechtshof.
In 2013 hadden we nog een discussie over die term ‘inrichting’, dat mag best een samenstel van fysieke dingen zijn maar er moeten wel fysieke ding(en) gehackt zijn, uiteindelijk. (Ook de tegenwoordige definitie, die nog niet gold ten tijde van dit feit, vereist een of meer stukken hardware.)

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

Keypunchie
@Luchtbakker23 augustus 2022 20:51
Het onderscheid lijkt te gaan om server zelf vs. geserveerde data.

Heb je toegang tot de server zelf dan is dit artikel van toepassing.

Hoe dat zich vertaalt met een gevirtualiseerde server (danwel containers!) geen idee.
KWOAD @Keypunchie23 augustus 2022 22:20
Maar er is mogelijk geen toegang gekregen tot de server, anders dan een normale websitebezoeker ook heeft. Je hackt de website, niet de gehele server. Bij zowel bezoeken als hacken van de website bezoek je de server. Maar je komt niet op plekken op de server waar je geen toegang toe mag krijgen, je blijft immers binnen de webserver die als functie heeft data te ontsluiten via het internet. Dus wellicht kan hij ook niet veroordeeld worden voor het hacken van de server.
Keypunchie
@Bulkzooi24 augustus 2022 08:20
Geen idee wat je probeert te zeggen.

Mijn punt is, de rechter zegt: hack je de server zelf: artikel 80

Hack je ‘alleen maar’ de database: geen artikel 80
Keypunchie
@Bulkzooi24 augustus 2022 08:28
Gast, gaat het wel goed met je? Je bent helemaal los aan het gaan met hooguit zijdelings relevante reacties en hele verhalen die niet echt iets te maken hebben met de post waarop je reageert.

(Bovenstaande is je 30e reactie op dit artikel. Ik ben al te veel reageren naar mijn eigen zin en heb er inclusief deze post maar 8 )

[Reactie gewijzigd door Keypunchie op 23 juli 2024 16:08]

DigitalExorcist @geerttttt23 augustus 2022 20:30
Maar als die server redundant uitgevoerd is, is het afhankelijk van de redundantie niet te zeggen welk datacenter, of welke fysieke server het betreft op dat moment.

En als de storage apart in een SAN draait los van het OS van de server wordt het helemaal lastig.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 16:08]

i-chat @geerttttt23 augustus 2022 21:56
In deze lezing zal het hof gedacht hebben

Bij dat ddis arrest verstoorde men de goede werking van de gehele server en dus de hardware en de taak waar die voor werd ingezet hier wirdt alleen één website gehackt en dus niet de hardware en dus niet de webhosting’inrichting’

Het is een juridisch juiste en logische maar technisch misschien volledig onbegrijpelijke en in mijn optiek misplaatste en maatschappelijk ook totaal onwenselijke interpretatie

Iets dat alleen iemand zonder voldoende inzicht in de complicaties zou oordelen op basis van de letter en niet de betekenis van de wet

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

vrow @geerttttt23 augustus 2022 22:02
Nee, het was een virtuele machine!
CTVirus @geerttttt24 augustus 2022 13:28
Niet perse, je kan toegang verkrijgen tot de data in een website door in te loggen als iemand (sql injection) wat op het webserver niveau geen afwijkend gedrag is.

Aan de andere kant zou een remote code execution op de server dan wel weer strafbaar zijn.
geerttttt @CTVirus24 augustus 2022 21:44
Volgens mij is er dan sprake van een valse sleutel ofwel een valse hoedanigheid zoals het wetsartikel over computervredebreuk voorschrijft:
"met behulp van valse signalen of een valse sleutel, ofd. door het aannemen van een valse hoedanigheid."

Bron: https://maxius.nl/wetboek-van-strafrecht/artikel138ab/

[Reactie gewijzigd door geerttttt op 23 juli 2024 16:08]

Ankh 23 augustus 2022 20:13
Ik denk ik ga eens googlen op de term "Geautomatiseerd werk" en kom de volgende item tegen:
reviews: Wet computercriminaliteit III: schipperen tussen veiligheid en privacy

Blijkbaar veranderd de term nog wel eens binnen het wetboek. Gezien deze uitleg lijkt deze rechter over een oudere versie te praten?
i-chat @Ankh23 augustus 2022 20:34
Dat is de definitie die dit hof in enge zin lijkt te volgen maar dan gaan ze dus volledig voorbij aan virtuele servers (vpsen) of cloud instances waarbij je echt niet meer kunt spreken van computers of netwerken van computers omdat hier de netwerken van computers ineens honderden of duizenden geautomatiseerde werken in de lucht houden


Ik zou die definitie eerder hebben gesteld op een software of een verzameling van software gericht op het verwerken en extern (buiten deze programatuur) beschikbaar stellen van gegevens

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Bulkzooi @i-chat24 augustus 2022 08:20
Dat is de definitie die dit hof in enge zin lijkt te volgen.

Ik zou die definitie eerder hebben gesteld op een software of een verzameling van software gericht op het verwerken en extern (buiten deze programatuur) beschikbaar stellen van gegevens
De definitie "Geautomatiseerd werk" betreft M2M en wat jij beschrijft is een software library.
Groningerkoek @Ankh23 augustus 2022 21:26
Omdat wetgeving niet met terugwerkende kracht wordt ingevoerd moet de rechter uitgaan van de wetgeving op het moment van overtreding.
SuperDre
24 augustus 2022 03:15
Wow, wat een rechterlijke dwaling. Dot is echt te achterlijk voor woorden, dit was werkelijk gewoon echt afpersing.
Maar vooral waarom die nu vrijgesproken is slaat gewoon nergens op, geautomatiseerd werk duidt helemaal niet op een fysiek ding.
mmniet @SuperDre24 augustus 2022 07:45
Deels mee eens. Geen rechterlijke dwaling, maar een fout van het OM, ze hebben ze zaak verkeerd aangepakt en de betreffende man verkeerd aangepakt.

1. De directeur lijkt op basis van dit bericht uit angst te reageren en gelijk naar de politie te gaan. Immers, als ik het zo lees was het een factuur voor het verhelpen van de bug, dat kan hij simpelweg negeren. Dat slaat namelijk nergens op, hij moet zijn eigen IT club met spoed bellen en het laten repareren. Desnoods de website offline halen en een simpele HTML pagina met telefoonnummer tonen (want moet wel bereikbaar zijn voor mensen ivm zorgplicht. De extra opmerking moest de directeur ook gewoon negeren, maar eerst mijn zijn juristen overleggen, want volgens mij voldeed destijds een melding van privacy lek ook gewoon als je daarna actie ondernam. Ja, je naam komt in het nieuws, maar dat zijn tig bedrijven.
2. Het OM had de zaak anders moeten aanpakken, meer een vorm van intimidatie en computervredebreuk lijkt me. Dat was het een betere zaak geweest.
3. De hacker is zelf niet slim geweest. Hij moest een kleinere vergoeding vragen, niet eisen. Daarnaast was hij met de extra opmerking intimiderend, want mijns inziens ook niet slim is. Als iedereen wat aardiger is, ziet de wereld er veel beter uit
Mushroomician 23 augustus 2022 20:10
Volgens mij is zelfs een bladblazer nog een geautomatiseerd werk en het binnendringen is gewoon onrechtmatig bedienen. Van echt fysiek naar binnen is er geen sprake maar afpersing lijkt me hier wel terecht.
Edit: Afpersing, ik weet het ook niet. Lastig geval.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 16:08]

Pianist1985 @Mushroomician23 augustus 2022 20:45
Hoe is dit afpersing?

Er is immers geen moment sprake geweest van een aankondiging dat de beklaagde zélf met gegevens naar buiten zou treden. Sterker nog, als ik het artikel letterlijk moet volgen meldde hij er zelfs nog bij dat een boete niet eens een zekerheid maar een waarschijnlijkheid was.
i-chat @Pianist198523 augustus 2022 21:26
Ik ben gister in je huis geweest en vond daar <insert specifieke beschrijving van een voorwerp> voor 10k kan er voor zorgen dat je huis veilig is want je wilt natuurlijk niet worden vermoord!

De insinuatie dat er sprake kan zijn van moord als je je huis niet laat beveiligen zal menig een bang genoeg maken om dan maar ‘bescherming’ te kopen. Denk jij dan echt dat de gemiddelde afpersingszaak gaat om de woorden: ‘50.000 euro of ik knal je door je kop’?
vrow @i-chat23 augustus 2022 22:04
Dat is je reinste chantage!!
i-chat @vrow24 augustus 2022 08:38
Ja maar juridisch moet je dan wel boven elke twijfel verheven bewijzen dat het als drijgen en niet als dom verwoordde waarschuwing wad bedoeld

Het kan voor het om dan oportuun zijn om toch maar voor een makkelijker vergrijp te kiezen voor het geval dat chantage niet lukt. Daar zijn ze dit keer kennelijk goed in gestikt.
Pianist1985 @i-chat23 augustus 2022 22:44
Er wordt helemaal niet verwezen naar enige strafbare handeling. Je vergelijking slaat de plank dus compleet mis. Waarschuwing voor een mogelijke boete en voor reputatieschade is geen bedreiging in strafbare zin, en nergens wordt de suggestie gewekt dat het uitlekken ervan door de beklaagde gedaan zal worden.

Het OM heeft hem er ook niet voor vervolgd en er is geen aangifte gedaan wegens afpersing.

[Reactie gewijzigd door Pianist1985 op 23 juli 2024 16:08]

i-chat @Pianist198524 augustus 2022 08:45
Lees mijn reactie eens goed

Als ik jou zeg dat ik pikante foto’s van je vrouw publiceer als je me geen geld geeft
Als ik zeg dat ik weet dat jij iets illegaals hebt gedaan en ik beloof daarover te zwijgen in ruil voor een gepaste beloning natuurlijk
Als ik dreig om een beschamend verhaal over jou te publiceren

Dat hij er niet voor is aangeklaagd kan 2 oorzaken hebben
1: de ovj was het niet met me eens dat dit afdreiging zou kunnen zijn
Of 2: de ovj kon het niet bewijzen en koos dan maar voor een ander vergrijp waar hij wél zeker van was

Maar de plank mis: allerminst

[Reactie gewijzigd door i-chat op 23 juli 2024 16:08]

Pianist1985 @i-chat24 augustus 2022 12:28
Beklaagde heeft niet gedreigd het lek zelf openbaar te maken. Bovendien is het openbaar maken van een beveiligingslek geen strafbaar feit zolang je het niet doet op een manier dat privégegevens (die wettelijk beschermd zijn) op straat komen te liggen.

Als dat beschamend verhaal over mij waar zou zijn, en publicatie maatschappelijke relevantie heeft, mag jij trouwens naar hartelust publiceren. Het maatschappelijk nut van het lek publiceren staat hier buiten kijf: de privé-info van Jan en alleman was immers gecompromitteerd. Oh en een offerte is geen eis.

Deze vergelijkingen die je maakt, zijn dus misplaatst. Je vergelijkt afpersing door middel van dreigen met een strafbaar feit, met het melden van een beveiligingslek en het doen van een voorstel tot fixen ervan - beide zaken die gewoon legaal zijn.

Bij afpersing moet er sprake zijn van een causaal verband tussen negatieve gevolgen voor slachtoffer en het nalaten om op de eisen van de dader in te gaan. En moet het scenario dat zich ontvouwt indien niet op de eisen wordt ingegaan, ook nog eens een illegale handeling betreffen.

Het is duidelijk waarom het OM niet tot vervolging is overgegaan wegens afpersing: omdat dit niet heeft plaatsgevonden. Waarom kunnen we deze conclusie trekken? Omdat de mail met die offerte erin waarnaar wordt verwezen, anders gewoon het spreekwoordelijke 'rokende pistool' was en veroordeling appeltje-eitje. Geen OvJ die een schot voor open doel van dat kaliber laat liggen, en de absolute bosmongool die het tot OvJ schopt en die wél zo incompetent is zal nooit verder komen dan parkeerboetes afhandelen.

Ja, je slaat de plank mis, en dat kan ik vaststellen door het simpelweg toepassen van deductie en het gebruik maken van de info uit het artikel.

[Reactie gewijzigd door Pianist1985 op 23 juli 2024 16:08]

geerttttt @i-chat24 augustus 2022 08:46
Ik krijg regelmatig reclame door de bus dat ik een alarmsysteem moet aanschaffen van Verisure omdat ik anders het risico loop op inbrekers in mijn huis die aan mijn waardevolle spullen zitten.

Bedreigt Verisure mij?
RoestVrijStaal 23 augustus 2022 20:19
Ook krijgt de Tielenaar zijn in beslag genomen apparatuur terug.
Ik ben altijd benieuwd bij dit soort situaties hoe die mensen hun belastingaangifte, zorgverzekering e.d. in de tussentijd kunnen regelen. Naast een apparaat om het überhaupt te doen daargelaten, zal de persoon ook bijvoorbeeld oude aangiften, loonstroken en polissen en andere documenten moeten in kunnen zien.

Of beantwoord ik nou mijn eigen vraag door te zeggen dat hoe dan ook die mensen van de regen naar de drup gaan?

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 16:08]

Olaf van der Spek @RoestVrijStaal23 augustus 2022 20:27
Ik ben altijd benieuwd
Laptop lenen? Nieuwe laptop kopen?
Keypunchie
@RoestVrijStaal23 augustus 2022 20:39
Hij zal toch in de tussentijd een andere telefoon en computer hebben geregeld?

En dat soort gegevens staat doorgaans in de cloud, of kun je gewoon een extra kopie van aanvragen.

Het kan een hoop gedoe zijn, maar dit is ook mogelijk bij verlies, diefstal, huis dat afbrand, een huisdier dat je spullen opeet ;-)
Frame164 @RoestVrijStaal23 augustus 2022 23:01
Vragen of je de pc van een bekende even mag gebruiken. De vraag is hoogstens lullig als de ander dan vraagt waarom je zelf geen pc meer hebt. En je kunt ook gewoon naar de bibliotheek gaan of iets nieuws kopen. Dat zijn nu ook de kosten niet.
Bulkzooi @Frame16424 augustus 2022 03:01
Vragen of je de pc van een bekende even mag gebruiken. De vraag is hoogstens lullig als de ander dan vraagt waarom je zelf geen pc meer hebt. En je kunt ook gewoon naar de bibliotheek gaan of iets nieuws kopen. Dat zijn nu ook de kosten niet.
De overheid kan niet echt zulke restricties op prive bezit opleggen. Waarom zou je je bezittingen niet met je kinderen, vrienden en familie delen? Ik bedoel, het gaat maar over een pc, chromebook, mobieltje of een meer highend workstation zoals Threadripper's.

Overigens ook een prima oplossing om een openbare Wifi hotspot op de Marktplein te draaien. Zie je overal. Ik zelf ben wel fan van die MIFI routers.

@RoestVrijStaal Da's allemaal DigiD.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

blackjack21 @Bulkzooi24 augustus 2022 09:20
Ik weet niet of dergelijke voorwaarden in Nederland ook gesteld kunnen worden, maar in Amerika kan een gebruiksverbod onderdeel van de straf zijn https://www.uscourts.gov/...rvised-release-conditions.

Zowel het bezit als gebruik van andermans bezit is dan niet toegestaan.
Bulkzooi @blackjack2124 augustus 2022 09:23
Ik weet niet of dergelijke voorwaarden in Nederland ook gesteld kunnen worden, maar in Amerika kan een gebruiksverbod onderdeel van de straf zijn https://www.uscourts.gov/...rvised-release-conditions.

Zowel het bezit als gebruik van andermans bezit is dan niet toegestaan.
In Nederland had je ook dat verhaal van die moeder die te lief was en het kon betalen, die te veel boodschappen voor haar dochter had gekocht.

Maar ik denk dat de overheid tegen zichzelf vecht, en dat de agenda fout is. Zowel in Amerika, als in Nederland. En als je bv. van der Rutte tegen Trump hoorde praten, dan is dat beleid en sentiment.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

ultimasnake 24 augustus 2022 09:00
Ik ben nog steeds erg benieuwd naar de echte context van de 'reputatieschade/boete' zin. Ook wij hebben onze klanten wel eens gewezen op sterk verouderde software en dat als het niet opgelost worden dat de Autoriteit persoonsgegevens hen kan beboeten op nalatigheid van het niet updaten van hun software (en dat het dan een smet is op hun reputatie stond voorop). Wij boden niet de diensten om dit te verhelpen maar was een net geformuleerde 'waarschuwing' om erger te voorkomen.

Aan de hand van het originele artikel in 2017 heb ook ik besloten enkele duidelijk N+1 achtige lekken niet te melden, ik vond het gewoon te risky toen der tijd omdat de reactie van de dienstverlener gewoon niet te peilen is. Jammer want een ontdekking als dat moet je gewoon kunnen melden. Gelukkig zijn tijden verandert en hebben de sites die ik tegenwoordig bezoek niet meer voorzien van een &order_id=1 query string :-)
engelbertus 24 augustus 2022 17:28
Volgens mij gaat het alsnog ook over een verschil tussen belemmeren, of gebruik maken van de functies.

Een DDoS aanval ovrstelpt een server met aanvragen zodat deze niet meer kan functioneren.

Een simpele request doen en het antwoord krijgen is normaal. de eigenaar van de website heeft de gegevens dus niet afdoende beveiligd, als je met een simpele request zaken te zien krijgt die je niet hoort te zien.

Rootrechten verwerven door een DDoS of een ander fout in de software gebruiken is wel het omzeilen van een beveiliging.

Vervolgens is een request sturen naar een website iets anders dan de software waarop de website draait plat leggen. je hebt dan om het apparaat niveau iets gedaan, het kan niet meer functioneren. je belemmert de software c.q. hardware van een geautomatiseerd werk, en verschaft jezelf zo toegang tot het werk. (de server, zelfs deze nou virtueel is of niet)

Als je misbruik gaat maken van slechte beveiliging van een website, door te dreigen met openbaarmaking om je diensten te kunnen slijten lijkt me niet bepaald gewenst gedrag. Maar dat was ook niet de aanklacht...

Er zal vast iets gewijzigd worden in de wet, of advocaten en rechters vinden een andere weg om er voor te zorgen dat dergelijk ongewenst gedrag toch bestraft kan worden. Door de ten lasteleggingen goed te formuleren of iets dergelijks. Of door e.e.a. toch "beter" te interpreteren.
Anoniem: 1792936 23 augustus 2022 20:33
Als ik zoiets lees dan zou ik bijna zeggen dat er een wettelijk vastgestelde bounty fee moet komen.

Dan weten hackers wat er te halen valt.

Man heeft gehackt, gegevens niet gelekt. Wellicht een vrij hoog bedrag gevraagd om het lek te dichten. Bounty fee?
Keypunchie
@Anoniem: 179293623 augustus 2022 20:40
Sorry hoor, “vrij hoog bedrag”: dit is gewoon dreigen en afpersen.

De man is op een vormfout vrij, maar wat hij heeft gedaan kan echt op geen enkele manier door de beugel/

Het komt niet eens in de buurt van grijs.
Anoniem: 1792936 @Keypunchie24 augustus 2022 07:50
Dat medische/persoons gegevens te grabbel liggen kan net zo goed niet door de beugel. Bedrijven moeten wel op de één of andere manier een incentive hebben om in beveiliging te investeren.

Hacker is eng is niet echt een argument om geen goed IT personeel in te huren
blackjack21 @Anoniem: 179293624 augustus 2022 09:25
Maar dat geeft nog geen vrijbrief om dan maar een hoog bedrag te vragen om het te verhelpen met de melding dat het vervelend zou zijn als het naar buiten gebracht wordt.

"Als jij mij geen 150 euro geeft zal ik de opname dat jij 170 km/h reed en over de vluchtstrook inhaalde verwijderen, zou toch vervelend zijn als die beelden bij de politie terechtkomen". Je moet tenslotte een incentive hebben om niet te hard te rijden, toch?
Bulkzooi @Keypunchie24 augustus 2022 02:07
Sorry hoor, “vrij hoog bedrag”: dit is gewoon dreigen en afpersen.
Er is nooit sprake geweest van fysiek contact. Je kan het interpreteren als een progressief offerte traject, na een gerichte en getargette marketing campagne.

De prijs lijkt me best redelijk, sinds het een systeem van vele doctors betreft die allemaal enkele tonnen per jaar pakken. Reputatie schade is fataal voor hun carrière, en op schaal van de gehele medische branche/sector (en haar problemen) betreft het maar een druppel en peulenschil.

Maar ik betwijfel of die beroepsgroep met Latijns in plaats van C in hun opleiding wel op het goede spoor zitten. Een beetje nostalgische recepten uitschrijven heeft de Pest, de Zwarte Dood en Corona gebracht.

C heeft de home computer en de personal computer gebracht, en empowered ook de consoles, mobiles, IoT en de genoeg andere belangrijke stuff, zoals C++ en Python.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 16:08]

Keypunchie
@Bulkzooi24 augustus 2022 08:24
Je kan de maffia ook beschouwen als een “progressief offerte” traject.

Vraag domweg nooit geld bij het melden van een lek. Simpeler dan dat is het niet.

(En huisartsen “vele tonnen per jaar”. Ze verdienen goed, maar dit is schromelijk overdreven)
Keypunchie
@Bulkzooi24 augustus 2022 08:54
Of het gaat niet lekker met je, of je bent een tekst-genererend algoritme.

In beide gevallen vraag ik je om niet meer op mijn posts te reageren, in ieder geval ben ik van plan je te negeren.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq