- Door
- Arnout Veenman
- geplaatst op
- 23 oktober 2012 13:46 uur
Minister Opstelten van Veiligheid en Justitie wil het helen van gestolen gegevens, zoals persoonsgegevens en creditcardnummers die buit gemaakt zijn door hacking en phishing, strafbaar stellen. Maar dat is toch al lang geregeld en strafbaar gesteld in art. 139e Sr?
De brief van minster Opstelten
In een brief aan de Tweede Kamer schrijft minister Opstelten:
Er worden op internet feiten gepleegd waarbij gegevens worden verkregen via hacking of andere wijze, die interessant zijn voor derden om te kunnen gebruiken voor criminaliteit. Voorbeelden hiervan zijn persoonsgegevens uit databases die gekraakt zijn en daarna gebruikt kunnen worden om bijvoorbeeld goederen te kopen op het internet bij Marktplaats e.d. Ook worden creditcardgegevens die via phishing worden verkregen, aangeboden op het internet en verkocht. Hoewel in dit laatste geval het gebruik van deze gegevens om creditcards te maken al strafbaar is gesteld, is het voorhanden hebben, het overdragen en het kopen van deze gegevens zelf niet strafbaar.
Over de reden waarom het niet strafbaar zou zijn, verwijst de minister naar artikelen die diefstal en heling van (fysieke) goederen regelen:
Dat heling van dit soort gegevens thans niet strafbaar is, houdt verband met het feit dat computergegevens op grond van de jurisprudentie slechts in bepaalde omstandigheden als een goed in de zin van de artikelen 310 en 416 van het Wetboek van Strafrecht (Sr) worden aangemerkt.
Art. 139e Sr
Met die artikelen kom je er inderdaad niet, want die gaan over fysieke goederen, daarom heeft de wetgever al in 1993 en 2006 voorzieningen getroffen. Als de minister, of beter gezegd, zijn ambtenaren, iets beter in het Wetboek van Strafrecht hadden gekeken, dan hadden ze artikel 139e Sr ook ontdekt. Dit artikel stelt het volgende strafbaar:
Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft:
1 hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen;
2 hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt;
3 hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt van een ander.
Samengevat is niet alleen het helen van gestolen gegevens hierdoor strafbaar, maar zelfs het bezitten van een voorwerp waarvan het redelijke vermoeden bestaat dat er gestolen gegevens op staan. Het enkel bekendmaken (helen) van de gegevens aan een derde is dus gewoon al strafbaar gesteld.
Vonnis Rechtbank Rotterdam
Dat dit in de praktijk ook gebeurt blijkt uit een vonnis van de rechtbank Rotterdam uit 2010. Cybercriminelen hadden een website aangevallen en daarbij met behulp van een SQL-injection aanval gegevens uit een database gehaald en deze heeft de dader aan een ander (mededader) gegeven en werd daarvoor voor veroordeeld. In de bewijsmotivering stelt de rechtbank dat de verdachte het volgende strafbare feit heeft gepleegd:
het de beschikking hebben over en opzettelijk ter beschikking stellen aan een ander van een voorwerp waarop, naar hij wist, gegevens zijn vastgelegd die door wederrechtelijk aftappen van telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen;
Ook voor het stelen van de gegevens is de cybercrimineel veroordeeld, op grond van art. 138ab lid 2 Sr (sinds de invoering van het kraakverbod hernummert naar 138ab):
computervredebreuk en vervolgens gegevens, die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overnemen of aftappen,
Ook bij gegevens afkomstig van phishing
Ook het afhandig maken van gegevens via phishing is al strafbaar als phishing (art. 326 Sr). Ik durf de stelling aan dat het opnemen van gegevens via een geautomatiseerd werk worden opgeslagen (opgenomen) valt onder het bereik van art. 139e Sr. Je neemt gegevens wederrechtelijk op van een geautomatiseerd werk door middel van phishing. Als gevolg daarvan is ook heling van gegevens die via die weg zijn verkregen waarschijnlijk ook al strafbaar.
Probleem is al lang opgelost
Samengevat wil minister Opstelten dus een probleem oplossen dat al lang opgelost is!
