- Door
- Vraag het Mr. Ras
- geplaatst op
- 20 september 2007 10:15 uur
Vandaag weer een nieuwe Vraag het Mr. Ras, de rubriek op ISPam.nl waarin Mr. Steven Ras van ICTRecht één juridische vraag van ISPam.nl lezers beantwoord. Het thema voor de volgende Vraag het Mr. Ras wordt volgende week op ISPam.nl geplaatst.
Wie is er aansprakelijk voor acties van hackers?
Magus stelde de volgende vraag:
Een persoon maakt gebruik van een veiligheidslek op jouw server om zichzelf toegang te verschaffen tot jouw server.
Vervolgens wordt de server misbruikt om grote hoeveelheden spam te versturen, een ddos uit te voeren of een phishing of mp3 download website te plaatsen. Zaken dus die tot veel overlast leiden en mogelijk zelfs illegaal zijn.
Wie is er nu aansprakelijk en bij wie ligt de bewijslast, indien er over deze zaken op de gekraakte server klachten danwel aangiftes binnenkomen? De beheerder van de server of degene die de server heeft gekraakt? En belangrijker, bij wie ligt de bewijslast?
In bovenstaande casus komen drie partijen naar voren. Het gaat om de hacker, het slachtoffer van bijvoorbeeld een ddos-aanval en de webhoster. De vraag is welke partij het slachtoffer aan kan spreken in geval van schade.
Er zijn verschillende situaties denkbaar. Ik bespreek er twee:
Situatie 1: Een ddos-aanval via de server van een webhoster
Zowel het slachtoffer als de webhoster kunnen de hacker aangeven. De webhoster kan de hacker aangeven op grond van computervredebreuk (artikel 138a Sr). Het slachtoffer heeft de mogelijkheid om de hacker aan te geven voor het uitvoeren van een ddos-aanval (artikel 161sexies Sr). Door de aangifte van de webhoster dan wel het slachtoffer ontstaat een verdenking jegens de hacker.
De politie start vervolgens een opsporingsonderzoek. Tijdens het opsporingsonderzoek wordt bewijsmateriaal verzameld. Denk hierbij aan de verklaringen van de webhoster, het slachtoffer van de ddos-aanval en de hacker, maar ook aan de computer van de hacker die in beslag kan worden genomen. De politie draagt dan de bewijslast. Uiteindelijk zal de officier van justitie aan de hand van het opsporingsonderzoek bepalen of de zaak voor de rechter komt.
Indien de zaak voor de rechter komt, hebben partijen die schade hebben geleden, de webhoster of het slachtoffer, de mogelijkheid zich te voegen in het strafproces om zo hun schade vergoed te krijgen. Voeging bij een strafrechter is echter alleen mogelijk als de schadeprocedure eenvoudig is. Bij een ingewikkelde zaak zal een aparte civiele procedure gestart moeten worden. Wel is het verstandig om pas met deze procedure te beginnen als het strafrechtelijk traject is afgerond in verband met het bewijs.
Het aangeven van cybercrime op het internet is voor alsnog alleen mogelijk voor kinderporno, het seksueel benaderen van minderjarigen en radicale en terroristische uitingen. Waarschijnlijk zullen computervredebreuk en ddos-aanvallen in de toekomst ook via het meldpunt aangegeven kunnen worden.
Situatie 2: Op de server van de webhoster wordt ingebroken en er wordt vervolgens een illegale mp3 download website geplaatst
De auteursrechthebbende kan een ‘notice and take down’-melding aan de webhoster doen. Deze melding dient de webhoster op te volgen (artikel 6:196c, lid 4 BW). Het gaat hier immers om een website waarvan de content onmiskenbaar onrechtmatig is. Blokkeert of verwijdert de webhoster de website niet, dan is de webhoster civielrechtelijk aansprakelijk.
In het civiele recht geldt in beginsel dat degene die iets stelt dat ook bewijst. Aangezien er sprake is van computervredebreuk jegens de webhoster, kan de webhoster natuurlijk gewoon aangifte doen, zoals besproken in situatie 1, en eventuele schade uit zijn aansprakelijkheid vorderen van de hacker.
