Een brakke beveiliging hebben, waarom is dat niet strafbaar?

Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig.

Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Daarbij hóef je geen beveiliging te doorbreken; het is genoeg dat je weet dat je niet mocht zijn op de plek in dat werk waar je bent. Net zoals je bij erfvredebreuk in overtreding bent zodra je een bordje “Verboden toegang art. 461 WvSr” passeert, ook al sloop je geen slot. Maar toelaten dat er wordt binnengedrongen is niet strafbaar.

Daarnaast is het strafbaar om gegevens te vernielen (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.

Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein.

Ook in andere wetgeving kom ik geen regels over beveiligingsplichten tegen. Ja, artikel 13 Wbp eist “adequate beveiliging” als het gaat om persoonsgegevens. Maar dat is formeel bestuursrecht: het Cbp kan bij overtreding een last onder dwangsom opleggen, maar overigens geen boetes (art. 61 Wbp). Strafbaar is het niet, want artikel 75 Wbp (dat bepaalt wat er persoonsgegevenstechnisch strafbaar is) noemt artikel 13 niet. Heel merkwaardig.

Sinds enige tijd hebben telecomproviders een meldplicht bij datalekken waarbij persoonsgegevens op straat komen (art. 11.3a Tw). Maar ook dat is bestuursrecht, hoewel de OPTA wel boetes kan opleggen bij overtreding. Alleen, denk ik dan pietluttig: er staat “een inbreuk op de beveiliging die nadelige gevolgen heeft voor de bescherming van persoonsgegevens” en wat nou als ik geen beveiliging héb?

Heel merkwaardig dus.

Misschien dat het te maken heeft met de moeilijkheid een adequate definitie te vinden? Of dat er onbedoelde bijeffecten optreden als je bv. zegt “hij aan wiens nalatigheid/schuld het te wijten is dat persoonsgegevens worden verkregen/misbruikt”?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Gerelateerde berichten:

• Mag je gekraakte wachtwoorden of hashes in je bezit hebben? (03/03/17 08:14)
• Hacken OV-chipkaart is computervredebreuk (wtf?) (10/12/10 08:59)
• Heling gestolen naaktfoto`s voortaan verboden (11/09/09 09:57)
• “RET luistert gesprekken van trampassagiers af” (11/05/12 08:13)
• Moet ransomware apart strafbaar worden gesteld? (21/04/16 08:15)

Reacties:

Er zijn nog geen reacties op dit bericht.