Hoge Raad spreekt man die huisartsenpost hackte opnieuw vrij

De Hoge Raad heeft een man uit Tiel, die in 2020 was aangeklaagd voor het inbreken op de website van een Haagse huisartsenpost in 2017, opnieuw vrijgesproken. De rechter oordeelt dat een website geen geautomatiseerd werk kan zijn en volgt daarmee een eerdere uitspraak uit 2022.

In het vonnis van de Hoge Raad staat te lezen: "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van 'inrichting' ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk." De Hoge Raad concludeert dus dat een website geen geautomatiseerd werk kan zijn. Dat is een juridische term voor een 'inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen'.

De Hoge Raad volgt hiermee een eerdere uitspraak van het gerechtshof in Den Haag uit 2022. Toen ging de Tielenaar in beroep tegen een uitspraak van een rechtbank in 2020, waarin hij schuldig werd verklaard voor 'het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk' en veroordeeld werd tot een gevangenisstraf.

In 2022 werd het originele vonnis vernietigd en kreeg de Tielenaar zijn in beslag genomen apparatuur terug. Het gerechtshof stelde toen dat een website geen geautomatiseerd werk is zoals beschreven staat in het artikel 80sexies van het Wetboek van Strafrecht. Het Openbaar Ministerie nam geen genoegen met die uitspraak en ging in beroep bij de Hoge Raad. Die Raad heeft dat beroep nu definitief verworpen.

De hack bij de Haagse huisartsenpost vond in 2017 plaats. De man uit Tiel had dat jaar ingebroken op de website van de huisartsenpost via een beveiligingslek. De man had met de directeur van de huisartsenpost gebeld en gezegd dat hij toegang had tot alle persoonlijke gegevens van de artsen. Het ging onder andere om bankrekeningnummers, wachtwoorden en gebruikersnamen. Later ontving de directeur een offerte van de Tielenaar, die een bedrag tussen de 16.500 en 23.000 euro vroeg om het lek te verhelpen. Naast het bedrag stond er een opmerking op de offerte. Daarin schreef de verdachte dat de huisartsenpost waarschijnlijk beboet zou worden als het beveiligingslek openbaar zou worden gemaakt en veel reputatieschade ging lijden. Hierop stapte de directeur naar de politie, die een onderzoek instelde.

IT-banen

Reacties (127)

eprillios 20 maart 2024 17:31

Belangrijke context is dat hier gekeken is naar de definitie van 'geautomatiseerd werk' zoals die luidde ten tijde van het tenlastegelegde feit. Deze uitspraak zegt dus niet per se wat over toekomstige zaken.

Artikel 80sexies (oud) van het Wetboek van Strafrecht
Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

is nu geworden:

Artikel 80sexies van het Wetboek van Strafrecht
Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.

Deze aanpassing is van wezenlijk belang omdat je in tijden van cloudhosting sowieso veel moeilijker een fysieke webserver kan aanwijzen en zeggen: “Dit ding is gehackt.” Het zou me daarom niet verrassen als de uitspraken anders uit zouden zijn gevallen met de huidige wet.

[Reactie gewijzigd door eprillios op 22 juli 2024 13:31]

Minimise @eprillios • 20 maart 2024 23:55

Dus ze zeggen dat een website geen “apparaat” is, en daarmee dus geen geautomatiseerd werk is. Wat houdt men tegen de Virtuele Machine waarop de website draait een Virtueel Apparaat te noemen “die op basis van een programma automatisch computergegevens verwerken”?

eprillios @Minimise • 22 maart 2024 19:27

Voor virtuele machines zijn de vetgedrukte tekstgedeelten relevant:

Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.

Een virtuele machine met een webserver draait uiteindelijk op hardware, of dat nu op een enkel apparaat is of geclusterd op meerdere apparaten.

Minimise @eprillios • 22 maart 2024 19:42

Ligt aan de interpretatie natuurlijk. Een VM is zelf ook geen groep van apparaten als je de interpretatie van deze rechter volgt! Dus kan het binnendringen van een VM niet het binnendringen van een geautomatiseerd werk zijn volgens zo’n rechter toch? 😈😈😈

[Reactie gewijzigd door Minimise op 22 juli 2024 13:31]

kodak

Hack
Cybercrime
Nederland

@eprillios • 20 maart 2024 18:27

Alleen stelt het hof

“feitelijk slechts bestaat uit samenstel van gegevens, geen fysieke vorm heeft en derhalve karakter van ‘inrichting’ ontbeert”

. Ook bij de meest recente definitie kan een rechter van mening zijn dat een website niet voldoet. Omdat een rechter zich niet zomaar laat overtuigen dat een omschrijving bewijst dat het aan alle kenmerkende verwoordingen voldoet. Een rechter kan namelijk betwisten dat 'een samenstel van gegevens zonder fysieke vorm' als programma automatisch verwerkt. Zelfs al zou men het webservice gaan noemen kan een rechter nog stellen dat dit een poging is om over een website te spreken.

[Reactie gewijzigd door kodak op 22 juli 2024 13:31]

eprillios @kodak • 20 maart 2024 19:02

Het gebrek aan een fysieke vorm en het niet zijn van een inrichting (ten aanzien van de gehackte website) is reden voor de Hoge Raad en het Gerechtshof om vrij te spreken. Het aspect ‘inrichting’ en ruimte voor zaken als cloudhosting (dus zonder eenduidige fysieke vorm) zijn daarentegen juist in de nieuwe wetstekst weggehaald c.q. gecreëerd. Het lijkt mij dat de beperkingen van de wet daarmee weggenomen zijn.

Minimise @eprillios • 20 maart 2024 23:59

Is een Virtuele Cloud Hosting server niet nog steeds een virtueel apparaat die alle functionaliteit van een echt apparaat na kan doen?

Aldy @kodak • 21 maart 2024 14:11

Ik vind het behoorlijk ingewikkeld. Iemand mag een computer niet hacken, maar een website (die op een server draait) wel. Ik vraag mij af wat die hacker sowieso gehackt heeft, want hij kon bij allerlei privégegevens van de artsen. Die gegevens staan toch niet op een website, ook niet aan de achterkant. Hij moet toch meer hebben gehackt als hij bij die gegevens kon.

PolarBear 20 maart 2024 19:35

Denk dat het goed is om te kijken naar waar er precies cassatie voor is ingesteld.

De tenlastelegging van het OM was de volgende:

“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid, namelijk door gebruik te maken van één of meer software programma(s), te weten SQL map, welk programma gebruikt wordt om (databases van) websites te hacken door middel van SQL-injecties en/of (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen, namelijk door (vertrouwelijke en/of gevoelige) informatie (onder andere big nummers, wachtwoorden, adresgegevens en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf en/of een ander te mailen en/of te exporteren.”

Het cassatiemiddel klaagt over de door het hof gegeven vrijspraak van het tenlastegelegde feit voor zover de tenlastelegging inhoudt dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”.

De Hoge Raad heeft dit uiteindelijk bepaald:

2.6.1
De tenlastelegging houdt in dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”. Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.

2.6.2
De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd. Voor zover het cassatiemiddel klaagt dat “de website van [A]” in de tenlastelegging moet worden begrepen als de inrichting die de functionaliteit van de website in stand houdt, of als aanduiding van “een gedeelte van” een geautomatiseerd werk, faalt het daarom.

Het gaat dus vooral om de uitleg van de tenlastelegging (!).

De conclusie van de Advocaat Generaal lijkt er overigens wel naar te strekken dat met website ook de fysieke server en andere programatuur die er mee samenhangt moet worden begrepen. En dat er wél voldaan werd aan de defintie geautomatiseerd werk in de tenlastelegging.

2.42
De derde optie die ik voor me zie, bevindt zich ergens in het midden van het geschetste continuüm en houdt in dat een website weliswaar geen geautomatiseerd werk is, maar het wel mogelijk is - maar niet noodzakelijk - het begrip website zo te lezen dat hiermee ook het fysieke substraat (de geautomatiseerde werken) wordt aangeduid. Voor de vraag wat de juiste lezing van het begrip ‘website’ is, moet dan worden gekeken naar de context waarin het begrip wordt gebruikt; de betekenis hiervan dus moet worden bezien in samenhang met de overige bewoordingen van de tenlastelegging. Indien sprake is van een sterk ‘functioneel verband’ tussen website en een - in de tenlastelegging niet geëxpliciteerd - geautomatiseerd werk, zal de juiste lezing dan al snel inhouden dat het wel in de tenlastelegging opgenomen begrip website mede de relevante servers omvat. Concreet: indien het belemmeren dan wel het binnendringen van een website is ten laste gelegd, moet dit dan zo worden gelezen dat óók het belemmeren onderscheidenlijk het binnendringen van de relevante servers is tenlastegelegd.

2.43
Alles afwegende meen ik dat de laatste optie de beste kaarten heeft. De eerste optie lijkt mij weliswaar een erkenning in te houden van de werkelijke verhouding tussen een website en de bijbehorende server, maar zou op te gespannen voet staan met de wettelijke definities. Voor de gedachte dat de Hoge Raad met het arrest van 24 december 2021 de hiervoor genoemde tweede interpretatie tot uitdrukking heeft willen brengen zie ik (te) weinig aanknopingspunten in de tekst van het arrest. De derde interpretatie lijkt mij hiermee wel goed in lijn en sluit aan op hetgeen ik hiervoor onder 2.13 tot en met 2.23 het betoogd. Deze interpretatie geeft uitdrukking aan de idee dat het bij het bepalen van de (exacte) portee van een begrip ook aankomt op de strekking en ratio van de in het geding zijnde strafbepaling. Voor een mogelijk bezwaar dat ik tegen deze optie zie - variërende implicaties van het bezigen van de woorden ‘website’ in een tenlastelegging afhankelijk van de strafbaarstelling waarop deze is geënt - vrees ik, gelet op de thans in het wetboek opgenomen bepalingen, niet. Gelet op de onlosmakelijke samenhang tussen een website en een server kan evenmin als bezwaar worden geformuleerd dat deze interpretatie een uitbreiding van de strafbaarheid inhoudt.

Dit alles doet mij denken dat als het OM het volgende had opgeschreven een veroordeling had binnen gesleept:

“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl) en/of de bijbehorende databasesever, en/of de bijbehorende opslag en/of de bijgehordende server,

TwiekertBOB @PolarBear • 21 maart 2024 07:48

Zo klinkt het inderdaad. De website is in de analogie de deur die gebruikt is om binnen te komen.

Het blijft wel vreemd in onze rechtspraak dat het zo kan lopen. Het is toch wel erg duidelijk wat bedoeld wordt met de tenlastelegging. Die zou dan ook met een aantal vragen aangepast moeten kunnen worden.

T-men 20 maart 2024 17:02

Wat mij uit dit artikel niet duidelijk wordt is waarom die definitie van "geautomatiseerd werk" hier zo van belang is ?
Is het hacken van een website hiermee nu legaal in Nederland ?

cybermarc

@T-men • 20 maart 2024 17:07

Volgens mij betekend dit niet dat hacken op een website nu legaal is, het betekend volgens mij dat het Openbaar Ministerie de aanklacht verkeerd geformuleerd heeft, dat de rechtbank hierin is meegegaan en dat de ten laste legging in hoger beroep uiteindelijk niet houdbaar bleek.

marktweakt @cybermarc • 20 maart 2024 17:26

Huh?
Volgens mij staat in het artikel duidelijk vermeld dat de term 'geautomatiseerd werk' in artikel 80 van het wetboek van strafrecht staat. Alleen het wederrechtelijk binnendringen van een 'geautomatiseerd werk' is dus strafbaar:

Het gerechtshof stelde toen dat een website geen geautomatiseerd werk is zoals beschreven staat in het artikel 80sexies van het Wetboek van Strafrecht.

En volgens het artikel heeft de Hoge Raad nu bevestigd dat een website geen 'geautomatiseerd werk' is:

In het vonnis van de Hoge Raad staat te lezen: "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van 'inrichting' ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk."

Dus is volgens mij het hacken van een website nu inderdaad niet strafbaar.
De wet (art. 80 WvS) zal dus aangepast moeten worden om dit wel strafbaar te stellen.

[Reactie gewijzigd door marktweakt op 22 juli 2024 13:31]

Brainscrewer @marktweakt • 21 maart 2024 08:40

Dus is volgens mij het hacken van een website nu inderdaad niet strafbaar.

Je mist de nuance van dit artikel. De Hoge Raad heeft enkel en alleen bepaald dat een website, onder de oude definitie van artikel 80sexies niet kan worden gezien als een geautomatiseerd werk. Met de huidige definitie zal daar vermoedelijk nog steeds sprake van zijn.

Het hacken van een website is nog steeds strafbaar (zie computervredebreuk), maar belangrijk voor het OM is om bij de tenlastelegging te benoemen dat er wederrechtelijk is binnengedrongen op de webserver waarop de website werd gehost. Een webserver wordt namelijk wel degelijk gezien als een geautomatiseerd werk.

Door het OM is in deze casus de verkeerde tenlastelegging op zitting gebracht, waardoor uiteindelijke vervolging niet is geslaagd, omdat bij een onjuiste tenlastelegging altijd vrijspraak volgt.

[Reactie gewijzigd door Brainscrewer op 22 juli 2024 13:31]

marktweakt @Brainscrewer • 21 maart 2024 09:02

Helder. Dank voor de nuancering die ik eerlijk gezegd na opnieuw lezen nog steeds niet uit het artikeltje haal. Zo wordt artikel 181sexies ook helemaal niet genoemd in het artikel.

Mijn stelling had dus moeten zijn:
Dus is volgens mij het hacken van een website nu inderdaad niet strafbaar onder artikel 80 WvS.

Brainscrewer @marktweakt • 21 maart 2024 09:24

Ik bedoel 80sexies idd, de definitie van een geautomatiseerd werk.

In artikel 80sexies wordt enkel en puur de definitie van de term 'geautomatiseerd' genoemd, daarom staat het ook in het wetboek van Strafvordering. In artikel 138ab van het Wetboek van Strafrecht, computervredebreuk, wordt die term genoemd.

Je zal dus nooit voor het hacken van een website vervolgd worden onder artikel 80sexies van het wetboek van strafvordering, maar altijd onder artikel 138ab van het wetboek van Strafrecht. Het hacken van een website is dus ook nog steeds strafbaar en niet legaal, omdat je wederrechtelijk (= zonder goedkeuring) toegang krijgt tot een webserver waarop de betreffende website wordt gehost.

Aldy @Brainscrewer • 21 maart 2024 14:19

Ik begrijp hieruit dat als de OvJ zijn of haar werk beter had gedaan deze hacker veroordeeld zou zijn geweest. De verdediging had er dus duidelijk meer kaas van gegeten.

memphis @marktweakt • 20 maart 2024 17:54

Naar mijn weten kunnen rechters anders bepalen dan de geschreven wet. OK, daar kan wel weer een beroep tegenover staan maar rechters hebben ook de taak om de wetten te toetsen.

WimOBL @memphis • 20 maart 2024 18:32

Was dat niet de taak van de eerste kamer emmissie bij bodemprocedure door de rechter

marktweakt @memphis • 20 maart 2024 19:05

De rechter moet zich aan de wet houden.
Daar waar de wet onduidelijk is ontstaat ruimte om deze te interpreteren.
Daar is in dit geval geen sprake van.

willieverhoef @marktweakt • 20 maart 2024 17:33

En aangezien bijna alle software een website is ? DigiID hacken mag dus ? Denk dat deze wet duidelijker moet.

Patrick_Wolf @willieverhoef • 20 maart 2024 17:53

Het verschil in de website hacken of de server binnendringen is er dan natuurlijk nog wel

mr.Millenarian @Patrick_Wolf • 20 maart 2024 18:14

Stond deze website dan niet op een server ergens?

Zynth @mr.Millenarian • 20 maart 2024 18:19

Als je bijvoorbeeld via een formulier sql-injectie doet, hoef je op zich geen server te hacken.
Alleen de werking van de website.

[Reactie gewijzigd door Zynth op 22 juli 2024 13:31]

Minimise @Zynth • 20 maart 2024 18:48

SQL-injectie is gewoon een subset van de mogelijkheden om een database van een server te hacken hoor!

[Reactie gewijzigd door Minimise op 22 juli 2024 13:31]

cybermarc

@marktweakt • 20 maart 2024 18:10

Volgens de rechter is een geautomatiseerd werk als bedoeld onder artikel 80Sexies van het wetboek van strafrecht een fysiek voorwerp. Een website is geen fysiek voorwerp en dus kan de verdachte nooit onder dit wetsartikel veroordeeld worden.

supersnathan94

Politiek en recht

@cybermarc • 20 maart 2024 19:50

Dan hebben we wel een groot probleem.

Een “geautomatiseerd werk” is dan bij voorbaat alleen nog maar een elektronisch apparaat wat van de lopende band afrolt. Een handmatig in elkaar gezette server of nas is al niet meer een “geautomatiseerd werk” volgens die definitie.

Heel sec gezien vind ik deze uitspraak ontzettend gevaarlijk.

Dragonheart-03 @supersnathan94 • 21 maart 2024 08:13

Hoezo gevaarlijk - het legaliteitsbeginsel begrenst de mogelijkheden van het strafrecht.

Zie bijv de HIV arresten. Waar mensen zijn vrijgesproken van poging doodslag terwijl ze effectief doelbewust met mensen seks hadden om ze te besmetten met hiv... En dat natuurlijk zonder de slachtoffers dat te vertellen.

Als de wetgever dit wil strafbaar laten zijn dan moet men de wet aanpassen ( en dit lijkt al eerder na de feiten te zijn gebeurd.

supersnathan94

Politiek en recht

@Dragonheart-03 • 21 maart 2024 10:25

Hoezo gevaarlijk - het legaliteitsbeginsel begrenst de mogelijkheden van het strafrecht.

Omdat het hiermee dus wordt goedgepraat. Een website kan volgens deze uitspraak geen geautomatiseerd werk zijn.

Nou. Ik zie de hacks wel voorbij komen in het nieuws dan. Voor zover ik weet is dit namelijk wel het artikel wat normaal wordt aangevoerd bij dit soort gevallen om tot een strafvaststelling te komen, maar kan het mis hebben.

p0p0 @marktweakt • 20 maart 2024 17:57

Nee, het is niet volgens dit wetsartikel strafbaar.
De aanklager had dus verder moeten zoeken in het wetboek, in welke vorm het om een strafbaar feit ging.
Uiteindelijk, klinkt het als een creatieve sollicitatie wat hij probeerde, echter, doordat hij vervolgens geld vraagt om het op te lossen, en het 'want anders' komt mij, als leek in het strafrecht, al vrij snel over als chantage, wat dus al strafbaar zou kunnen zijn.
En zo zullen er meer dingen zijn, echter heeft de aanklager deze niet in de aanklacht geformuleerd (of misschien wel, en kan hij dus op de andere artikelen wel veroordeeld worden, echter omdat een deel van de aanklacht dus niet klopte, moest dit eerst duidelijk verklaard worden)

GoBieN-Be @marktweakt • 20 maart 2024 19:07

En heb je alle andere artikels van het strafwetboek bekeken om tot die conclusie te komen?
Er zijn wellicht nog andere artikels die hier over kunnen gaan.

En wellicht is het feit dat de man niks ontvreemde of beschadigde de reden dat hij er mee weg komt.

phantom09 @marktweakt • 20 maart 2024 19:54

Dus hacken bij een bank mag ook wel aan gezien dit een website is

-AzErTy- @cybermarc • 20 maart 2024 17:14

De link in het artikel verwijst dat het om een cassatie beroep uitspraak gaat.
Voor zover ik weet wil dit zeggen dat louter om de geldigheid/verwoording gaat die niet in orde is in het eerste proces. Maar over de grond van de zaak wordt geen uitspraak gedaan.

Normaal staat het hierna het gerecht/ de wachtpost vrij om een herformulering te doen en een nieuw proces te beginnen.

dabronsg @-AzErTy- • 20 maart 2024 17:34

Nee.

Bij cassatie wordt niet naar de inhoud gekeken maar alleen of het recht goed is toegepast. Is beslist op basis van de juiste prevalerende (vaak internationale) wetten.

Een zaak wordt in eerste aanleg beoordeeld door een rechtbank/rechter

Daarna in beroep door een gerechtshof/raadsheer.

Daarna kan in cassatie beoordeeld worden of het recht goed is toegepast. De zaak wordt niet inhoudelijk beoordeeld door de hoge raad.

De hoge raad kan de zaak verwijzen naar een ander gerechtshof als daar aanleiding voor is en dan wordt de zaak wel weer inhoudelijk beoordeeld.

In deze zaak is geen beroep meer mogelijk.

De titel van dit artikel is dan ook verkeerd. De man is niet vrijgesproken door de HR, de cassatie is verworpen.

[Reactie gewijzigd door dabronsg op 22 juli 2024 13:31]

Horatius @-AzErTy- • 20 maart 2024 17:30

Normaal staat het hierna het gerecht/ de wachtpost vrij om een herformulering te doen en een nieuw proces te beginnen.

Alleen is het strafbare feit al meer dan 6 jaar geleden begaan en dus verjaard. Al zouden ze het wel kunnen denk ik niet dat ze hem nogmaals voor computer vrede breuk kunnen vervolgen, want hij is niet alleen in cassatie vrij gelaten maar ook in het hogerberoep.

Ook waar het hier om gaat is dat binenndringen op een webportal geen computer vrede breuk is maar binnendringen op een server wel. Zie hier een andere uitspraak https://uitspraken.rechts...d=ECLI:NL:RBAMS:2020:1960

Ingewikkeld stukje nuance dat hier ligt welke mij de pet te boven gaat.

[Reactie gewijzigd door Horatius op 22 juli 2024 13:31]

ThaJens @Horatius • 20 maart 2024 17:38

Op het moment dat er een onderzoek naar het strafbare feit wordt gestart, stuit de verjaring

jpsch @Horatius • 20 maart 2024 19:49

Je kunt toch nooit voor twee keer hetzelfde delict vervolgd worden?
Cassatie gaat toch over de procesgang, niet over de inhoud van het feit?

ShadLink @cybermarc • 20 maart 2024 17:15

Jup. Een blunder van het OM.

mmniet @T-men • 20 maart 2024 17:03

inderdaad is me dat ook een raadsel, dit is toch niet weer zo een dwaling als downloaden van software die lang legaal was?

Wanneer is iets dan een geautomatiseerd werk?

Zezura @mmniet • 20 maart 2024 17:13

Ik twijfel over bijvoorbeeld het uitvoeren van JavaScript op je eigen computer en hier een kwetsbaarheid in vinden strafbaar is. Want het is je eigen computer, en het is je eigen code die je uitvoert. Je hebt het alleen gedownload van internet en je kiest er voor om het uit te voeren op je apparaat wat van jou is.

Dat is toch anders dan dat je een server van een ander in het vizier hebt en doelbewust manipuleert
Wie weet stuurde de server wel gewoon alle gevoelige gegevens mee in het ophalen van de website. Dan is dat niet misbruiken maar gewoon uitlekken van informatie zou ik zeggen, maar ik ben geen expert en het is maar gokken. Ik heb overigens geen idee wat die vent gedaan heeft om ongewenste informatie te kunnen bemachtigen.

[Reactie gewijzigd door Zezura op 22 juli 2024 13:31]

cybermarc

@mmniet • 20 maart 2024 17:20

Onder geautomatiseerd werk wordt onder artikel 80sexties volgens de rechter een fysiek voorwerp verstaan een website is dat volgens de rechtbank niet.

Ozzy @T-men • 20 maart 2024 17:10

Ik heb precies dezelfde vraag. Is hier nu vrijspraak gekomen, omdat de term website is gebruikt? Als er had gestaan "Inbraak op IT-systeem, of database of webapplicatie", was er dan wel een veroordeling gekomen?Ik zie een website overigens wel als een "inrichting om gegevens over te dragen.", maar blijkbaar klopt dat dus niet.
Ik grok denk ik niet de betekenis en consequenties van dit vonnis.
Ik heb even doorgelezen op rechtspraak.nl,

Ik denk dat dit een van de kernpunten is:

“3.14 Uit het voorgaande kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, “ereader”, chip of wat dies meer zij, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma's, of – voor onderhavige casus relevant – websites. (...)”

Maar naar mijn idee kan dat best wat consequenties hebben. Of is er een andere wet die specifiek gaat over het hacken van software?

[Reactie gewijzigd door Ozzy op 22 juli 2024 13:31]

ThaJens @Ozzy • 20 maart 2024 17:41

Er is vrijspraak gekomen omdat hij verdacht werd van artikel 120ab Wetboek van Strafrecht. Dit artikel stelt inbraak op een "geautomatiseerd werk" strafbaar. Echter, concludeert de Hoge Raad dat een website niet onder de definitie van "geautomatiseerd werk" valt, dus is hij vrijgesproken. Het maakt niet uit hoe de aanklacht verwoord is, het gaat erom dat de daad die de verdachte gepleegd heeft niet onder de definitie gegeven in artikel 80sexies valt. Hij had eventueel voor een ander strafbaar feit of op basis van een ander wetsartikel veroordeeld kunnen worden, maar daar heeft het OM om een of andere reden nagelaten.

Ozzy @ThaJens • 20 maart 2024 17:45

Ik denk dat het wel uitmaakt, als ze namelijk hadden gesteld dat er ingebroken was op een server, dan is dat wel een fysiek apparaat en was er wel jurisprudentie geweest, namelijk dat alle objecten in voorgaande uitspraken hardware is.

ThaJens @Ozzy • 20 maart 2024 17:48

In deze casus heeft hij niet ingebroken op een server, alleen op een website. Dus ze kunnen wel stellen dat hij op een server heeft ingebroken, maar dat betekent niet dat hij dat daadwerkelijk gedaan heeft.

[Reactie gewijzigd door ThaJens op 22 juli 2024 13:31]

Minimise @ThaJens • 20 maart 2024 18:50

Je mag toch uitgaan dat de gemiddelde website gewoon op een server staat en niet op alleen de cache van een router of switch? En hoe is zelfs een router of switch geen geautomatiseerd werk? Want zelfs daar zitten gewoon computer chips en transistoren in!

[Reactie gewijzigd door Minimise op 22 juli 2024 13:31]

ThaJens @Minimise • 20 maart 2024 19:01

Je bent in dat geval niet per se ingebroken op de gehele (fysieke) server. Als je een website hebt die Wordpress draait en je brute-forced het wachtwoord van het adminpaneel heb je nog steeds alleen toegang tot de website, niet tot de fysieke server zelf en de andere data op de server.

Minimise @ThaJens • 20 maart 2024 19:04

Als je het admin wachtwoord hebt van Wordpress, dan zou je vaak gewoon Turing-complete code kunnen injecteren in het geautomatiseerde werk, of niet dan?

[Reactie gewijzigd door Minimise op 22 juli 2024 13:31]

mmjjb @Minimise • 20 maart 2024 19:39

Nee, want je kan bij een normale webhost niet buiten de omgeving van de website komen. Indien dat wel het geval was, viel het onder "geautomatiseerd werk".

Minimise @mmjjb • 20 maart 2024 20:18

Voor Turing-complete code hoef je niet buiten de omgeving te komen. Bovendien kom je met de Van Neuman architectuur altijd wel via het gedeelde geheugen, cache, registers enzo buiten je omgeving.

[Reactie gewijzigd door Minimise op 22 juli 2024 13:31]

Nox @Minimise • 21 maart 2024 08:24

Ter info, routers en switches cachen niks. Die doen alleen pakketjes doorsturen naar de volgende hops.

Minimise @Nox • 21 maart 2024 10:49

Routers zijn volledig te herprogrammeren om als volledige DNS servers te fungeren en HTML webpagina’s te serveren, mits het allemaal in het kleine interne geheugen past!

Nox @Minimise • 21 maart 2024 22:55

De vraag die je dan moet stellen: zijn het routers of DNS servers?

Minimise @Nox • 22 maart 2024 06:42

Beiden. Zo is een smartphone is ook telefoon, computer en camera in 1.

Nox @Minimise • 22 maart 2024 07:52

Ik heb het dan wel over datacenterarchitectuur, niet over de tp-link in je meterkast... Die cisco asr router heeft alleen een webpagina voor management. Hij zal ook wel dhcp kunnen uitdelen maar daarna begint het wel op te raken qua features buiten routertaken.

m_snel @T-men • 20 maart 2024 17:13

Omdat het OM dat als beschrijving heeft opgesteld in de aanklacht. Als er had gestaan dat de persoon in een auto had ingebroken was de aanklacht natuurlijk ook niet serieus behandeld.

ThaJens @T-men • 20 maart 2024 17:14

De definitie van "geautomatiseerd werk" is van belang om iemand te kunnen veroordelen op basis van artikel 130ab Wetboek van Strafrecht. Op het moment dat iets geen geautomatiseerd werk is, kun je er ook niet voor veroordeeld worden als je het hackt en/of binnendringt.

Cambionn

@T-men • 20 maart 2024 17:22

Nee dat is het niet. Het probleem is enkel de aanklacht zelf. Bewust en expres binnendringen op websites mag (meestal) niet (bugbounty programs en ingehuurde redteams enzo daar gelaten), dat geld op meer dingen dan geautomatiseerd werk. Immers, anders zou je een huis ook mogen binnendringen. Dat is ook geen geautomatiseerd werk.

Het probleem is hier dat de aanklacht letterlijk op "opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk door het doorbreken van een beveiliging" is gezet. En dat heeft hij niet gedaan. Als het OM gewoon de aanklacht beter had gesteld was hij er waarschijnlijk niet mee weggekomen.

Security.nl gaat hier dieper op in. Het komt erop neer dat geautomatiseerd werk om een fysiek apparaat moet gaan, en websites zijn niet een fysiek apparaat. Het vonnis luid dan ook "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk".

[Reactie gewijzigd door Cambionn op 22 juli 2024 13:31]

kodak

Hack
Cybercrime
Nederland

@T-men • 20 maart 2024 17:26

De wet Computercriminaliteit is er vorige eeuw voor het eerst gekomen omdat het misbruik van andermans computersystemen moeilijk te vervolgen was. Als met bewijs niet kan worden aangetoond dat een website een geautomatiseerd werk is dan hangt het er maar net vanaf wat de verdachte daarnaast wel als strafbaar te verwijten valt. Het zou dus goed kunnen dat toegang tot een website krijgen voorlopig niet vervolgd zal worden omdat het op zich geen strafbaar feit is. Want de eigenaar en gebruikers kunnen de toegang wel onwenselijk vinden, maar de Hoge Raad stelt dat dit op zich niet genoeg is bij een website. Dus dan moet je maar net een officier van justitie of rechter treffen die bewijs dat het wel een geautomatiseerd werk betreft kan accepteren, of dat die in andere omstandigheden reden ziet dat iets strafbaars is begaan.

nullbyte @T-men • 20 maart 2024 17:58

https://www.om.nl/onderwe...rtikel-computervredebreuk

Wetboek van Strafrecht, Boek II, Titel V, Artikel 138ab

Artikel 138ab

Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

Het staat letterlijk in de wettekst.

gaskabouter @T-men • 20 maart 2024 18:31

Feitelijk geeft de rechter de hiermee aan dat er geen sprake is van computervredebreuk.

Anders dan een database verwerkt en website dus geen gegevens op geautomatiseerde manier zoals databases dat doen. Grijs gebied natuurlijk

Het krijgt daarmee het karakter van vandalisme in plaats van inbraak.

[Reactie gewijzigd door gaskabouter op 22 juli 2024 13:31]

Kees BOFH @T-men • 20 maart 2024 19:15

Niet alleen het hacken van een website is hiermee legaal, maar een DDoS om een website plat te leggen is ook legaal.

Als ik de wet erbij pak waarmee ddos-sers aangepakt worden dan zie ik:

Art. 138b Sr. Hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van
een geautomatiseerd werk belemmert door daaraan gegevens aan te
bieden of toe te zenden.

Art. 161sexies Sr. Hij die opzettelijk enig geautomatiseerd werk of enig werk voor
telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis
in de gang of in de werking van zodanig werk veroorzaakt, of een ten
opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt.

Dat zijn tenminste de wetteksten die ik aanhaal als ik aangfite doe van een ddos. Maar als een website geen 'geautomatiseert werk' is, dan is het uitvoeren van een ddos aanval ook niet illegaal, want je maakt geen 'geautomatiseerd werk' onbeschikbaar.

The Legend

@Kees • 20 maart 2024 20:22

Een DDoS is wel strafbaar, zie: https://uitspraken.rechts...d=ECLI:NL:GHAMS:2020:4033

Verdere toelichting

The Legend in 'Hoge Raad spreekt man die huisartsenpost hackte opnieuw vrij'

The Legend

@T-men • 20 maart 2024 20:20

Volgens mij is de conclusie niet dat het hacken van websites niet strafbaar is. De conclusie is dat in dit geval het ten laste gelegde niet strafbaar is. Dat komt als ik het goed begrijp doordat het OM in de ten laste legging de website heeft aangemerkt als “geautomatiseerd werk” en daar gaat het mis. Het Hof en de HR stellen denk ik terecht vast dat een website geen geautomatiseerd werk kan zijn, want (onder meer) geen fysiek apparaat. Het ten laste gelegde kan dus niet strafbaar zijn. In cassatie heeft het OM aangevoerd dat de ten laste legging moet worden uitgelegd als de inrichting die de functionaliteit van de website in stand houdt, of als aanduiding van “een gedeelte van” een geautomatiseerd werk. De HR zegt kort gezegd: als je dat zo had bedoeld, dan had je dat zo maar ten laste moeten leggen. Nu je dat niet hebt gedaan moeten we gewoon uitgaan van hetgeen daadwerkelijk ten laste is gelegd en daarin staat dat de website het geautomatiseerd werk is, en dat is het niet.

Kortom: volgens mij is een website hacken nog steeds strafbaar, en zal het OM bij een volgende zaak de ten laste legging anders verwoorden.

[edit]

Interessant om te lezen is de conclusie van de AG in deze zaak (de AG is een soort adviseur van de HR die de zaak en het juridisch kader uitgebreid uiteenzet en concreet voorstelt om het cassatieberoep te verwerpen of niet). In dit geval heeft de AG geconcludeerd tot vernietiging van de uitspraak van het Hof. Feitelijk zegt de AG wat hier ook veel wordt gezegd: een website kan niet bestaan zonder server, en een server is zonder meer een geautomatiseerd werk. Als het hacken van een website ten laste wordt gelegd dan moet je dat als rechter dus lezen als “de website die draait op de server”. De HR gaat alleen dus niet mee in deze uitleg.

Leesvoer, over de ten laste legging vanaf overweging 2.24

https://uitspraken.rechts...ls?id=ECLI:NL:PHR:2024:97

[Reactie gewijzigd door The Legend op 22 juli 2024 13:31]

wild_dog @T-men • 21 maart 2024 00:05

Nee, het zit hem in een verkeerde verwoording van het OM.

Binnendringen in een "geautomatiseerd werk" is verboden. En een server met een LAMP of een WAMP stack die jouw website host is een geautomatiseerd werk. Maar alleen de website, de pagina die jij te zien krijgt als je bijvoorbeeld naar "www.tweakers.net" gaat, is geen geautomatiseerd werk. Dat is enkel gegevens. Het OM had de aanklacht zo verwoord, dat alleen binnen dringen in de website ten lasten is gelegd, niet echt het binnendringen in de hele server/stack.

Dit doet me denken aan een Amerikaanse zaak, waar werd "ingebroken in een website" omdat naar elke bezoeker alle gebruikers gegevens gestuurd werden, maar met een cliënt side JavaScriptje de relevante data er uit gefilterd werd. Het bekijken van de ongefilterde content werd als "inbraak" bestempeld, en dat is gewoon onzin.

Deze zaak werd verworpen, omdat de bewoording van het OM op het zelfde neer kwam: er werd "ingebroken in een website", wat niet kan, i.p.v. ingebroken in de server/database.

EDIT: ging om dit voorval; een of andere educatie instantie stuurde Social Security Numbers (vergelijkbaar met BSN) van leerjaren/medewerkers in de HTML pagina mee, en journalisten konden dit lezen door op "view source" te drukken, en dit werd als "hacken" bestempeld door de gouverneur van Missouri.

[Reactie gewijzigd door wild_dog op 22 juli 2024 13:31]

Maarten69 20 maart 2024 17:04

Vervolg de verdachte dan om afpersing zou ik dan denken.
Hier is toch overduidelijk sprake van persoonlijk gewin?

Remzi1993 @Maarten69 • 20 maart 2024 17:13

Vervolg de verdachte dan om afpersing zou ik dan denken.
Hier is toch overduidelijk sprake van persoonlijk gewin?

Dit lijkt te gaan om een ethische hacker, dus een persoon die toevallig een beveiligingslek heeft gevonden en dat dus netjes heeft gemeld. Niet alleen dat maar hij bood ook zijn diensten aan om dat op te lossen. Hier kan je als freelancer gewoon geld voor vragen. Als de directeur hem niet wilde inhuren hadden ze gewoon iemand anders of een bedrijf kunnen inhuren die de lekt oploste.

Nergens staat dat hij die gegevens heeft gedownload en heeft verspreid en gedeeld.
Als ik toevallig als ICT-er bij mijn eigen huisarts een lek zie en dat netjes meld dan ben ik toch ook niet fout bezig? Dat ik dan een paar gegevens moet bekijken en delen met de huisarts om te bewijzen dat er een lek is, is hoe dat gaat. Anders kan iedereen zonder bewijs wel zeggen dat er een lek is.

En als ik het kan oplossen dan kan ik toch aanbieden dat ze mij kunnen inhuren? Snap niet waarom dit allemaal strafbaar zou zijn. Het is pas strafbaar als ik alle gegevens ga downloaden en er dingen mee ga doen.

[Reactie gewijzigd door Remzi1993 op 22 juli 2024 13:31]

marktweakt @Remzi1993 • 20 maart 2024 17:33

Later ontving de directeur een offerte van de Tielenaar, die een bedrag tussen de 16.500 en 23.000 euro vroeg om het lek te verhelpen. Naast het bedrag stond er een opmerking op de offerte. Daarin schreef de verdachte dat de huisartsenpost waarschijnlijk beboet zou worden als het beveiligingslek openbaar zou worden gemaakt en veel reputatieschade ging lijden.

Volgens mij is dit niet de manier waarop ethische hackers werken.

En als dat wel zo is dan zouden de gevangenissen vol zitten met ethische hackers.

Remzi1993 @marktweakt • 20 maart 2024 17:35

Toevallig net op iemand anders gereageerd:

Ik reageerde op @Maarten69 die het over afpersing en dergelijke had en tevens insinueerde dat je geen offerte mag aanbieden, want persoonlijk gewin:
[...]
Volgens mij is dat onzin. Maar ik kan mij ook wat vinden in de directeur want de bedragen lijken hoog, maar om dat dus in te schatten of de offerte redelijk was moeten we uiteraard weten wat voor soort lek het was en de techniek van de website en soortgelijke offertes van andere mensen en/of bedrijven.

Die directeur heeft zijn tijd verspild en zijn energie.

Het lijkt mij onnodig om dan iedereen de bak in te doen die toevallig een lek ziet en een offerte uitbrengt om dat snel op te lossen.

[Reactie gewijzigd door Remzi1993 op 22 juli 2024 13:31]

marktweakt @Remzi1993 • 20 maart 2024 17:42

Volgens mij is er dan toch echt sprake van het onder druk zetten van een website eigenaar voor persoonlijk gewin. Lijkt mij zeker wel afpersing.

En dit is zeker niet de werkwijze van een ethisch hacker.

Remzi1993 @marktweakt • 20 maart 2024 17:44

Nee, want het OM heeft geen afpersing in de aanklacht gebruikt. Dus de OM denk dat dat een zwakke grond is anders hadden ze dat voorgedragen.

marktweakt @Remzi1993 • 20 maart 2024 17:46

Waar staat dat in het artikel?

Volgens mij ga je nu zelf van alles erbij verzinnen.

Remzi1993 @marktweakt • 20 maart 2024 17:47

Link naar vonnes staat in het nieuwsartikel.

TheVivaldi @marktweakt • 20 maart 2024 20:12

Staat in het vonnis, wat gelinkt staat in het artikel, of is dat ook verzonnen?

The Zep Man

Nederland
Politiek en recht

@marktweakt • 20 maart 2024 17:50

Volgens mij is er dan toch echt sprake van het onder druk zetten van een website eigenaar voor persoonlijk gewin. Lijkt mij zeker wel afpersing.

En dit is zeker niet de werkwijze van een ethisch hacker.

Offertes van freelancende ethische hackers bevatten vaak bewoording die eng is voor een leek, maar dat vanzelfsprekend is voor iemand in het informatiebeveiligingswereldje. Er zal wel een sectie genoemd zijn met de risico's van het gemelde lek, en een sectie met een aanbod. Dat is geen afpersing, want anders was die wel daarvoor vervolgd (say it, forget it, write it, regret it). De huisartsenpost had ook een andere informatie beveiligingsexpert kunnen benaderen over het lek.

Nu is direct de directeur benaderen niet altijd even handig, maar ik betwijfel dat die huisartsenpost een nette responsible disclosure-procedure had in 2017.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:31]

J_van_Ekris @The Zep Man • 20 maart 2024 20:26

Er zal wel een sectie genoemd zijn met de risico's van het gemelde lek, en een sectie met een aanbod.

Dat hangt natuurlijk heel erg af van de formulering/toonzetting van de gestelde risico's. Als een onguur type jouw pizzeria binnenloopt en mompelt "Beetje brandgevaarlijk pand, zou zonde zijn als het vanacht tot aan de grond afbrandt", om vervolgens een "offerte" voor brandbescherming neer te leggen, dan kijk je er anders naar. Mijn punt is: toonzetting kan het verschil zijn tussen het beschrijven van risico's en de urgentie waarmee ze geaddresserd moeten worden, en chantage.

We kennen de inhoud niet van de risicobeschrijving, maar je richt het op een leek (directeur), dus dan zal je ook moeten voorkomen dat dat soort mensen wel de urgentie snappen, maar het niet als chantage gaan opvatten.

The Zep Man

Nederland
Politiek en recht

@J_van_Ekris • 21 maart 2024 04:30

We kennen de inhoud niet van de risicobeschrijving, maar je richt het op een leek (directeur), dus dan zal je ook moeten voorkomen dat dat soort mensen wel de urgentie snappen, maar het niet als chantage gaan opvatten.

Gezien er geen sprake is van een aanklacht hiervoor, zal het allemaal wel meevallen.

Haribo112 @J_van_Ekris • 21 maart 2024 09:27

Het verschil is dat de hacker helemaal niet insinueerde dat hij het lek zou misbruiken als de directeur niet zou betalen. Dat zou namelijk strafbaar zijn. De consequentie voor het niet gebruik maken van de diensten van de hacker was dat het lek gemeld zou worden bij de betreffende instanties.

Keypunchie

Nederland

@Remzi1993 • 20 maart 2024 18:36

“Je fiets staat vaker niet op slot viel me op”

“Voor slechts 600 euro kan ik hem wel op slot zetten voor je, zou tenslotte zonde zijn als er iemand mee wegreed”

TheVivaldi @Keypunchie • 20 maart 2024 20:13

Zou jij het gratis oplossen dan? Heel ludiek, maar je moet wél elke dag brood op de plank hebben.

Keypunchie

Nederland

@TheVivaldi • 20 maart 2024 21:41

Ik zou het laten bij de eerste opmerking. Gratis, inderdaad.

Remzi1993 @Keypunchie • 20 maart 2024 23:23

Als iemand ziet dat je slot kapot is en die is toevallig ook fietsenmaker (dit is een goede vergelijking met ICT-er die een lek vind) en aanbied dat je bij zijn zaak een nieuwe slot kan kopen.

Dit is wat er misschien is gebeurt.

Oon

@Remzi1993 • 20 maart 2024 19:59

De offerte sturen is prima, de opmerking die erg impliceert dat bij niet akkoord gaan het lek openbaar gemaakt gaat worden is niet prima.

Een ethische hacker bevindt zich op grijs gebied en die zijn daarom als het goed is ook uitermate voorzichtig in hun communicatie. Anders ben je gewoon een scriptkiddie zonder enige kennis van zaken.

Ozzy @Remzi1993 • 20 maart 2024 17:28

Op zich kan ik meegaan in jouw verhaal, maar dat lijkt niet de reden te zijn dat dit vonnis er is. Dat lijkt echt te draaien om het feit dat de "website van de huisartsenpost" niet gezien kan worden als "inriching om gegevens over te dragen".

Maar als dat zo is, dan kan een website dus ook geen beveilingslek bevatten. Sterker nog, ik zou dan zelf kunnen denken dat een website niet aan de AVG hoeft te voldoen, omdat een website geen gegevens kan overdragen.

Ik erger me overigens ook mateloos aan het taalgebruik in het vonnis. Ik moet het echt 10 keer lezen en dan nog begrijp ik blijkbaar niet goed wat er staat.

Remzi1993 @Ozzy • 20 maart 2024 17:33

Ik reageerde op @Maarten69 die het over afpersing en dergelijke had en tevens insinueerde dat je geen offerte mag aanbieden, want persoonlijk gewin:

Vervolg de verdachte dan om afpersing zou ik dan denken.
Hier is toch overduidelijk sprake van persoonlijk gewin?

Volgens mij is dat onzin. Maar ik kan mij ook wat vinden in de directeur want de bedragen lijken hoog, maar om dat dus in te schatten of de offerte redelijk was moeten we uiteraard weten wat voor soort lek het was en de techniek van de website en soortgelijke offertes van andere mensen en/of bedrijven.

Die directeur heeft zijn tijd verspild en zijn energie.

TheVivaldi @Ozzy • 20 maart 2024 20:15

Een website kan wél gegevens overdragen, of denk je dat bijvoorbeeld cookies door de toverfee op je computer worden geplaatst?

nullbyte @Remzi1993 • 20 maart 2024 18:02

Nergens staat dat hij die gegevens heeft gedownload en heeft verspreid en gedeeld.

Computervredebreuk: Wetboek van Strafrecht, Boek II, Titel V, Artikel 138ab heeft het nergens over het delen en verspreiden. Dat is irrelevant. Wat wel relevant is dat is de definitie van een geautomatiseerd werk. daar draait namelijk het hele artikel om.

https://www.om.nl/onderwe...rtikel-computervredebreuk

[Reactie gewijzigd door nullbyte op 22 juli 2024 13:31]

drakiesoft @Remzi1993 • 20 maart 2024 18:13

Ethisch hacken staat niet synoniem voor dat elke scriptkiddie even overal kan proberen in te breken en dan achteraf geld vragen voor ongewenste bezigheden.

Meneer had even van te voren zijn diensten kunnen aanbieden/ uitleggen en dan indien gewenst en met overeenkomst van partijen zijn diensten kunnen uitvoeren. Er zijn professionelere partijen die je beter in dienst kan nemen dan deze amateur.

Zo af en toe... @Remzi1993 • 20 maart 2024 18:38

Nou, ik vindt die hacker niet zo ethisch. Als hij het lek had gemeld met de mededeling dat het beter kan, dan zou ik het een ethische hacker vinden. Maar de impliciete dreiging met dat ze een boete kunnen krijgen door de verplichte melding en gelijk maar een offerte indienen om het lek te dichten vind ik op afpersing lijken.
Met gewoon een melding waren ze bij die huisartsenpraktijk blij geweest. Ze hadden hun leverancier kunnen inschakelen en wellicht een beloning kunnen aanbieden. Dat zou ethisch geweest zijn.

Zezura @Maarten69 • 20 maart 2024 17:08

Inderdaad zou je denken als je het zo leest.
Het is toch niet oké als je een beveiligingslek ontdekt in een website / API of überhaupt elke vorm van een applicatie en dat dan bewust misbruikt. (Dan praten we nog niet over afpersing van reputatieschade. Persoonlijk vind ik een offerte uitbrengen dan bespottelijk in zo’n combinatie.)

Frame164 @Maarten69 • 20 maart 2024 17:12

Maar als dat niet in de oorspronkelijk aanklacht staat moet je hiervoor een nieuwe procedure starten. Je kunt dat niet opeens toevoegen.

REDSD

@Maarten69 • 20 maart 2024 17:13

Nou het is niet helemaal afpersing, de instantie is eigenlijk verplicht een lek te melden en daar kan een boete opvolgen. Wat hij alleen voorstelt is dat de organisatie niet de regels na leeft en die gast inhuurt om het lek te fixen. Misschien dat je hem kan veroordelen omdat hij iets voorstelt wat volgens de regels niet mag.

OCU-Macs @Maarten69 • 20 maart 2024 17:15

Nee, want hij stuurde een offerte, geen dwangbrief.

Een offerte kunt je altijd weigeren. Die onsubtiele opmerking betreffende de boete en reputatieschade deed kennelijk geen afbreuk aan het doel van het schrijven, te weten: Een offerte.

Dus heeft het OM de aanklacht op het 'binnendringen van een geautomatiseerd werk' gegooid omdat ze wellicht niet zo zeker van hun zaak zouden zijn als ze het op 'afpersing' zouden gooien.

En nu blijkt een website (juridisch gezien) geen geautomatiseerd werk te zijn. Dan vraag ik me wel af: Gaat hier straks een precedentwerking vanuit en is straks iedere webinterface van een applicatie geen 'geautomatiseerd werk' ?

Dat kan dan nog 'leuk' worden...

Cambionn

@Maarten69 • 20 maart 2024 17:15

Ligt er beetje aan denk ik. Wat mij nou niet duidelijk is is of hij het precieze probleem ook heeft gemeld of dat weigert zonder betaling. Want zo wel dan is het mogelijk een reguliere melding met een vrijblijvende offerte om het te fixen.

Dat hij noemt dat als dit bekend wordt ze waarschijnlijk een boete krijgen is opvallend, maar ook niet onwaar. Of dit in samenwerking met een fatsoenlijke melding als bedreiging kan worden gezien lijkt me dan ook twijfelachtig. Als een verkoper zegt "je moet aan dit voldoen voor de wet anders staan er boetes op, maar ons product fixed dat voor je" is dat natuurlijk prima. Of iig, dan is het geen afpersing.

Als hij echter niet wil vrijgeven hoe hij binnen is gekomen zonder dat er betaald wordt is dat opeens een compleet ander verhaal.

Hoe dan ook had het wel met een andere aanklacht verholpen kunnen zijn. Bewust en expres binnendringen zonder toestemming mag niet. Echter hadden ze het niet op het "binnendringen van een geautomatiseerd werk" moeten gooien.

[Reactie gewijzigd door Cambionn op 22 juli 2024 13:31]

m_snel @Maarten69 • 20 maart 2024 17:16

Dat vindt ik nog al vergezocht. Hij bied zijn hulp aan, en waarschuwt dat de praktijk in overtreding is. Dat hij dit openbaar zou maken staat er niet, maar is ook z’n goed recht.
Ik denk dat de directeur beter had kunnen bedanken en gewoon een ander had kunnen inschakelen. En zelf natuurlijk de problemen bekend had moeten maken.

aldieaccounts 20 maart 2024 18:46

enigszins offtopic, maar ik kan er nergens vinden waar de voor mij vreemde artikelnaam '80sexies' vandaan komt. Is er iemand met een wetsachtergrond die dit toevallig weet?

Ik vind het er uit zien alsof iemand 'artikel 80 sectie 6' door een dicteerprogramma heeft gehaald :-D

PolarBear @aldieaccounts • 20 maart 2024 19:06

Het is een later ingevoegd artikel. Waarom precies deze nummering is gekozen weet ik niet. Als je naar artikel 77 kijkt is er ook een 77a, b, c en verder tot gg. Niet alle tussenliggende combinaties bestaan (nog).

Artikel 80 heeft een bis, ter, quater, quinquies etc daar worden latijnse telbijwoorden gebruikt. Sexies is 6. Dus het had ook 80f kunnen zijn. Ik zie dat 80bis in 1920 is toegevoegd, het zal met de tijdsgeest te maken hebben dat ze toen latijnse telbijwoorden gebruikte.

Artikel 77a is in 1965 toegevoegd. Dus ik denk dat het gewoon met de tijd te maken heeft.

Beide zie je ook wel eens met huisnummers als er woningen bijgebouwd of gecreeerd worden.

[Reactie gewijzigd door PolarBear op 22 juli 2024 13:31]

aldieaccounts @PolarBear • 20 maart 2024 22:45

Ah, latijn!

Ik had er niet aan gedacht te kijken wat er nog meer aan 80iets artikelen waren.
mate "bis, ter, quater, quinquies" had ik wellicht de connectie gemaakt ;-)

dank voor het bevredigen van mijn nieuwsgierigheid.

ChillinR

@aldieaccounts • 20 maart 2024 19:18

Geen idee waarom ze het niet bijvoorbeeld artikel 80f noemen (je hebt bijvoorbeeld wel artikel 82a), maar sexies is blijkbaar latijn voor zesmaal:

https://nl.m.wiktionary.org/wiki/sexies

Zie hier (o.a) de verschillende artikelen met nummer 80: https://wetten.overheid.nl/BWBR0001854/2019-04-01

Daar staat bijvoorbeeld ook 80quinquies, waarbij quinquies vijfmaal betekent (en vergelijkbaar voor viermaal, etc.)

Simon Weel 20 maart 2024 17:17

Stukje van de rechtbank gelezen. Volgens mij dekt het begrip 'website' in dit geval de lading niet. Zoals ik het lees had in de ten laste legging moeten staan dat de verdacht zich toegang had verschaft tot de onderliggende structuur van website.

[Reactie gewijzigd door Simon Weel op 22 juli 2024 13:31]

m_snel @Simon Weel • 20 maart 2024 17:33

Het woord geautomatiseerde website is ook twijfelachtig, want een simple site is meestal handmatig gemaakt.
Er bestaan gewoon juiste termen voor dit misdrijf, namelijk computervredebreuk.

ThaJens @m_snel • 20 maart 2024 17:46

In artikel 120ab Wetboek van Strafrecht, wat men ook wel computervredebreuk noemt, wordt gesproken van de term "geautomatiseerd werk". De definitie hiervan ligt in artikel 80sexies, vandaar dat deze in het Tweakers artikel benoemd wordt.

TheVivaldi @m_snel • 20 maart 2024 20:18

Het woord geautomatiseerde website is ook twijfelachtig, want een simple site is meestal handmatig gemaakt.

Nog wel, ja, maar dat gaat veranderen. Of in memetermen:

AI: *hold my beer*

TechSupreme 20 maart 2024 17:45

Wat de rechter destijds heeft gezegd in technische simpele woorden, is dat het indringen op een server (Windows, Linux, Apache, nginx, IIS, etc.) niet gelijk staat aan het indringen op een webpagina (php, asp, py, html, etc.). Een webpagina is iets zonder fysieke vorm, virtueel.

Dus als de bug zit in de code van de pagina kan het geen computer vredebreuk zijn, maar als de bug zit in de serversoftware dan weer wel.

Als je er met een technisch oog tegenaan kijkt dan denk je: "wat maakt het uit?", maar zo is de wet eenmaal geformuleerd.

Het is nu aan de wetgever om er nog eens naar te kijken en het anders te formuleren.

[Reactie gewijzigd door TechSupreme op 22 juli 2024 13:31]

geerttttt @TechSupreme • 20 maart 2024 17:58

Tja, lastig wel, de wet zegt:

Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken

In dit geval is er een apparaat (de webserver) die, op basis van een programma, (een stel website scripts), gegevens (de NAW gegevens van artsen), automatisch verwerkt. Daar heeft hij lijkt mij op ingebroken.

TechSupreme @geerttttt • 20 maart 2024 18:09

Laten we het ontleden.

* Je hebt de script ->
* Die gaat door een interpreter ->
* Die interpreter poept iets uit wat naar de HTTP server gaat ->
* Die HTTP server draait op een OS ->
* En als laatste draait het OS op fysieke hardware!

Het wordt al helemaal leuk als het een VPS of een container is want dan komen er nog een paar lagen tussen. En tegenwoordig zijn ook desktop OS'en steeds meer en meer processen gaan virtualiseren vanwege beveiligingsoverwegingen.

Je kan dan zeggen: "wat maakt het uit? einde van de dag komt het toch weer in het fysieke geheugen terecht en wordt het afgehandeld door een fysieke processor", maar de rechter en het gerechtshof zijn blijkbaar van mening dat als je zoveel lagen op elkaar stapelt dat je dan niet meer kan spreken van een fysiek iets en daardoor ook niet meer kan spreken van een apparaat.

[Reactie gewijzigd door TechSupreme op 22 juli 2024 13:31]

Krommetenen @TechSupreme • 20 maart 2024 18:01

Mjah en dan redeneer je dus dat inbreken in een schuur of in een huis in feite verschil uitmaakt ongeacht de buit, leed of wie je neerknalt tijdens de daad.

Het zal vast in een andere zaak en context wel rijmen.

herpiederpienow 20 maart 2024 17:54

Ik vraag mij bij het lezen van dit artikel vooral af waar wij als maatschappij nou mee bezig zijn. Het lijkt mij nogal duidelijk dat de hacker in kwestie niet per se goede bedoelingen had. Doet het er dan toe of de aanklacht goed geformuleerd is? Lijkt mij van ondergeschikt belang. Dit lijkt mij hooguit relevant voor de strafmaat, niet op de vraag of de verdachte in kwestie schuldig is aan een vergrijp of niet.

Enkel als de rechters die deze zaak hebben behandeld zichzelf niet kundig genoeg achten om hier een oordeel over te vellen lijkt mij een veroordeling een wenselijkere uitkomst dan vrijspraak met eventueel de mogelijkheid om het hele proces nog eens over te doen.

Ik snap werkelijk waar niet waarom wij onze rechtspraak zo inrichten. Ik snap het wel, maar ik snap niet waarom het geaccepteerd wordt. De huidige wet en regelgeving beschermd mensen met slechte of twijfelachtige bedoelingen. Iemand met twijfelachtige bedoelingen die zich letterlijk aan de wet houdt kan met gemak maatschappelijk veel meer schade aanrichten dan iemand met goede bedoelingen die de wet niet zo nauw neemt. In die zin vormt de wet meer een obstakel voor maatschappelijke vooruitgang dan een framework om dit in goede banen te leiden. Het is namelijk niet alsof we er de afgelopen jaren nu zo hard op vooruit gaan met zijn allen.

PolarBear @herpiederpienow • 20 maart 2024 19:18

Doet het er dan toe of de aanklacht goed geformuleerd is?

Ja, het is de taak van het OM om de juiste aanklacht te formuleren. Dat lijkt mij een fundamenteel onderdeel van het strafrecht. Als het OM iets anders tenlastelegt dan volgens de rechter aan de hand is dan is vrijspraak logisch. Je kan je als verdachte anders bijvoorbeeld niet goed verdedigen.

Het OM had bijvoorbeeld ook nog op basis van onderstaande ook afdreiging tenlaste kunnen leggen (hoewel het is een klachtdelict dus de huisartsenpost in kwestie had wel moeten verzoeken om dat te vervolgen).

Later ontving de directeur een offerte van de Tielenaar, die een bedrag tussen de 16.500 en 23.000 euro vroeg om het lek te verhelpen. Naast het bedrag stond er een opmerking op de offerte. Daarin schreef de verdachte dat de huisartsenpost waarschijnlijk beboet zou worden als het beveiligingslek openbaar zou worden gemaakt en veel reputatieschade ging lijden. Hierop stapte de directeur naar de politie, die een onderzoek instelde.

[Reactie gewijzigd door PolarBear op 22 juli 2024 13:31]

herpiederpienow @PolarBear • 21 maart 2024 04:23

Dat mag allemaal wel zo zijn, maar de er iemand van het OM een beetje loopt te stuntelen dat betekent nog niet dat de rechter of wie dan ook diegene kan corrigeren. Ik twijfel er behoorlijk aan of een dergelijke houding in de rechtspraak wel zinvol is. Er doet zich mijns inziens een situatie voor die vraag om een oordeel van de rechter(s). Aan die situatie kan niets meer wijzigen, deze heeft immers al plaatsgevonden. Enkel waarheidsvinding, eventuele relevante omstandigheden waaronder de gebeurtenissen hebben plaatsgevonden en wat de wet zegt over dergelijke situaties zijn van belang. Tenzij er door de verkeerde ter laste legging de verkeerde rechter(s) de zaak behandelt, zou het volgens mij wenselijk wezen als een dergelijke aanklacht gewoon herformuleerd kan worden. Hooguit zou naar aanleiding daarvan besloten kunnen worden om de verdediging wat extra tijd te geven om zich op de gewijzigde aanklacht voor te bereiden. Dit zou echter vaak niet veel uit moeten maken.

mphilipp 20 maart 2024 17:17

"Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van 'inrichting' ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk."

Nou, dat is een hele vreemde redenatie. Dat lijken ze het toch niet helemaal te begrijpen. Het kan best zijn dat heel strikt genomen de site bestaat uit een aantal HTML bestanden, maar die bestanden staan op een server en feitelijk is een 'website' de samenstelling van statische html bestanden, een webserver, misschien een applicatieserver, configuratiebestanden en allerlei techniche infrastructuur om eea goed te laten functioneren (dns, ssl, ssh, etc). En dát is waar de hacker op inbreekt. Hij breekt niet in op een bestandje, maar op de server die deel uitmaakt van de website. Volgens mij hebben ze het de rechter niet goed uitgelegd, of er is een verkeerde formulering gebruikt in de aanklacht. Evengoed zie ik een site wel degelijk als een geautomatiseerd werk met een inrichting. Als je niets inricht, doet ie niets.

Kalief 20 maart 2024 19:30

Rare uitspraak.

De man uit Tiel had dat jaar ingebroken op de website van de huisartsenpost via een beveiligingslek.

De website bevindt zich als je hem met je browser hebt gedownload om hem te lezen lokaal op je PC.

De Tielenaar brak niet in op de website maar op de webserver waar de bronbestanden van de website zich bevonden.

Volgens mij heeft het OM hier zitten prutsen.

Op dit item kan niet meer gereageerd worden.

Hoge Raad spreekt man die huisartsenpost hackte opnieuw vrij

Lees meer

IT-banen

Reacties (127)

Sorteer op:

Weergave: