In Amerika is je computerbevoegdheid misbruiken geen computervredebreuk meer

Een verjaardagscadeautje voor rechtenprofessor Lawrence Lessig, zo tweette hij: het Amerikaanse Hooggerechtshof heeft de scope van de Computer Fraude and Abuse Act fors ingeperkt. Een agent die zijn bevoegdheid misbruikt om een politiedatabase te raadplegen (hij verkocht zeg maar RDW-gegevens aan criminelen) is vast op allerlei manieren strafbaar, maar hij pleegt geen computervredebreuk. In heel veel IT-rechtszaken was een brede lezing van de CFAA altijd een mooie hamer om verdachten tot schikken te dwingen, dus dit is inderdaad nogal een opsteker.

De agent in deze zaak had op zich rechtmatig toegang tot de database met politiegegevens, maar gebruikte deze om tegen betaling aan derden NAW-gegevens die horen bij een kenteken te verschaffen. Dat is natuurlijk misbruik van je bevoegdheid als politieagent, het schendt je geheimhoudingsplicht en zo nog wel een aantal dienstplichten. Maar zijn werkgever gooide het op computervredebreuk, computer fraud. Daar staan namelijk vele jaren cel op.

Het criterium voor computerfraude in de VS is erg breed: je pleegt het misdrijf als je “intentionally accesses a computer without authorization or exceeds authorized access.” In de praktijk wordt dat laatste vaak breed uitgelegd: iedere vorm van niet-bedoeld of niet-beoogd gebruik heet dan “exceeding authorized access”, of het nou gaat om een ingewikkelde technische bug gebruiken om meer te kunnen dan je mag, of om het niet opvolgen van een instructie op een geel briefje bij de receptie. Want als daarop staat “alleen gebruiken voor politiedoeleinden” dan ga je dat te buiten door de informatie op verzoek te verkopen, en dat is dan computervredebreuk.

Dat zat velen niet lekker, want zo kun je alles wel computervredebreuk noemen (en dat gebeurt dan ook). Vandaar dat deze uitspraak een positieve opsteker moet zijn:
The term “exceeds authorized access” is defined to mean “to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter.” … An individual “exceeds authorized access” when he accesses a computer with authorization but then obtains information located in particular areas of the computer—such as files, folders, or databases—that are off-limits to him.
In normale taal staat hier dat je pas van “exceeding” spreekt als je iets voor elkaar krijgt dat je niet zou moeten kunnen. Je doorbreekt een beveiliging of je misbruikt een technische voorziening, zouden wij in Nederlandse termen (art. 138ab Strafrecht) zeggen. Enkel tegen het beleid ingaan is geen “exceeding”, want je wás geautoriseerd om daar te zijn, je account had er toegang of privileges voor. Dat het beleid was om daar alleen soms te zijn of alleen voor bepaalde doelen, is niet relevant voor de bepaling of je onder deze strafwet toegang hebt.

In Nederland geldt deze regel al langer. Zo is het versturen van een vervalste betalingsinstructie naar een bank géén computervredebreuk: als jij bevoegd bent om betalingsinstructies te sturen, dan is ook deze bevoegd gestuurd. Dat de instructie zelf vals is (het geld gaat naar de verkeerde rekening) maakt het insturen zelf niet onbevoegd. Andermans wachtwoord gebruiken is wél computervredebreuk, want dat wachtwoord geeft niet jou maar die ander de bevoegdheid.

Een grijs gebied ligt in gebieden zoals URL-manipulatie: de informatie is op zich beschikbaar zonder formele autorisatie, maar er is ook weer geen openbare bekendmaking van die informatie geweest. Zoals wanneer je “20191225-3998” verandert in “20211225-4006” en dan de kersttoespraak uit 2021 krijgt. Die 4006 moest je raden maar dat is vrij triviaal, en men had net zo makkelijk een wachtwoord erop kunnen zetten. Volgens deze Amerikaanse uitspraak is dit géén computervredebreuk, want je mocht bij alle informatie op deze publiek webserver en er is geen formeel onderscheid tussen een URL aanklikken en willekeurige tekens achter elkaar zetten in een bevraging bij de website.

Arnoud

 

Het bericht In Amerika is je computerbevoegdheid misbruiken geen computervredebreuk meer verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• Mag je gratis betaald internetten met een covert channel? (02/05/16 08:12)
• Is het voor een advocaat strafbaar om zijn KvK-bevoegdheden te misbruiken? (06/10/23 08:19)
• Moet ik aangifte doen van computervredebreuk tijdens de les? (08/05/18 08:14)
• Overheid wil verdachten cybercrime kunnen hacken (17/10/12 08:03)
• Mag de politie een selfie plaatsen op de timeline van een verdachte? (26/09/18 08:12)

Reacties:

Er zijn nog geen reacties op dit bericht.