Denk dat het goed is om te kijken naar waar er precies cassatie voor is ingesteld.
De tenlastelegging van het OM was de volgende:
“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid, namelijk door gebruik te maken van één of meer software programma(s), te weten SQL map, welk programma gebruikt wordt om (databases van) websites te hacken door middel van SQL-injecties en/of (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen, namelijk door (vertrouwelijke en/of gevoelige) informatie (onder andere big nummers, wachtwoorden, adresgegevens en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf en/of een ander te mailen en/of te exporteren.”
Het cassatiemiddel klaagt over de door het hof gegeven vrijspraak van het tenlastegelegde feit voor zover de tenlastelegging inhoudt dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”.
De Hoge Raad heeft dit uiteindelijk bepaald:
2.6.1
De tenlastelegging houdt in dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”. Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.
2.6.2
De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd. Voor zover het cassatiemiddel klaagt dat “de website van [A]” in de tenlastelegging moet worden begrepen als de inrichting die de functionaliteit van de website in stand houdt, of als aanduiding van “een gedeelte van” een geautomatiseerd werk, faalt het daarom.
Het gaat dus vooral om de uitleg van de tenlastelegging (!).
De
conclusie van de Advocaat Generaal lijkt er overigens wel naar te strekken dat met website ook de fysieke server en andere programatuur die er mee samenhangt moet worden begrepen. En dat er wél voldaan werd aan de defintie geautomatiseerd werk in de tenlastelegging.
2.42
De derde optie die ik voor me zie, bevindt zich ergens in het midden van het geschetste continuüm en houdt in dat een website weliswaar geen geautomatiseerd werk is, maar het wel mogelijk is - maar niet noodzakelijk - het begrip website zo te lezen dat hiermee ook het fysieke substraat (de geautomatiseerde werken) wordt aangeduid. Voor de vraag wat de juiste lezing van het begrip ‘website’ is, moet dan worden gekeken naar de context waarin het begrip wordt gebruikt; de betekenis hiervan dus moet worden bezien in samenhang met de overige bewoordingen van de tenlastelegging. Indien sprake is van een sterk ‘functioneel verband’ tussen website en een - in de tenlastelegging niet geëxpliciteerd - geautomatiseerd werk, zal de juiste lezing dan al snel inhouden dat het wel in de tenlastelegging opgenomen begrip website mede de relevante servers omvat. Concreet: indien het belemmeren dan wel het binnendringen van een website is ten laste gelegd, moet dit dan zo worden gelezen dat óók het belemmeren onderscheidenlijk het binnendringen van de relevante servers is tenlastegelegd.
2.43
Alles afwegende meen ik dat de laatste optie de beste kaarten heeft. De eerste optie lijkt mij weliswaar een erkenning in te houden van de werkelijke verhouding tussen een website en de bijbehorende server, maar zou op te gespannen voet staan met de wettelijke definities. Voor de gedachte dat de Hoge Raad met het arrest van 24 december 2021 de hiervoor genoemde tweede interpretatie tot uitdrukking heeft willen brengen zie ik (te) weinig aanknopingspunten in de tekst van het arrest. De derde interpretatie lijkt mij hiermee wel goed in lijn en sluit aan op hetgeen ik hiervoor onder 2.13 tot en met 2.23 het betoogd. Deze interpretatie geeft uitdrukking aan de idee dat het bij het bepalen van de (exacte) portee van een begrip ook aankomt op de strekking en ratio van de in het geding zijnde strafbepaling. Voor een mogelijk bezwaar dat ik tegen deze optie zie - variërende implicaties van het bezigen van de woorden ‘website’ in een tenlastelegging afhankelijk van de strafbaarstelling waarop deze is geënt - vrees ik, gelet op de thans in het wetboek opgenomen bepalingen, niet. Gelet op de onlosmakelijke samenhang tussen een website en een server kan evenmin als bezwaar worden geformuleerd dat deze interpretatie een uitbreiding van de strafbaarheid inhoudt.
Dit alles doet mij denken dat als het OM het volgende had opgeschreven een veroordeling had binnen gesleept:
“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl) en/of de bijbehorende databasesever, en/of de bijbehorende opslag en/of de bijgehordende server,