Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Vorige week werd gemeld dat RTL iemand had ingeschakeld om 25 webwinkels te hacken. Bij vijf webwinkels werden ernstige problemen ontdekt. Op zich schokkend, maar ik vroeg me af, mág RTL dat zomaar? Ik mag toch ook niet zomaar gaan inbreken of stelen bij fysieke winkels om te zien of ze me betrappen?

Antwoord: De strafwet geldt voor iedereen. Het zonder toestemming kraken van beveiligingen, inbreken in databanken of het kopiëren van geheime informatie is verboden, en daarbij maakt het beroep dat je uitoefent niet uit. Maar onder uitzonderlijke omstandigheden kan iemand vrijuit gaan met een beroep op de persvrijheid.

Wanneer een publicatie een maatschappelijk belang dient en niet verder gaat dan noodzakelijk voor dat doel, kan het toegestaan zijn om in die publicatie bijvoorbeeld te onthullen dat een bepaald systeem onveilig of lek is.

Een voorbeeld van hoe het niet moet, is een journalist die wilde aantonen dat er een gat in het bancaire systeem van automatische incasso zat, waarmee kwaadwillenden zonder enige controle geld konden incasseren. Daarbij had hij maar liefst € 739.435,80 geïncasseerd van tientallen partijen. Dat ging de Hoge Raad te ver. De journalist had met name ook met een kleiner bedrag kunnen werken om zijn punt te maken. Dat het hier ging om geld dat bij willekeurige mensen werd afgeboekt en niet bij kennissen die hij had kunnen vragen om medewerking, woog ook zwaar mee.

In de Nieuwe Revu-zaak kraakte men de privémailbox van de staatssecretaris van Defensie. Daarbij werd een botnet van 14.000 computers ingezet, maar het journalistieke punt bij het raden van dat wachtwoord vond de rechter belangrijk genoeg om dit te negeren.

De Revu-journalisten werden weer wél veroordeeld voor het snuffelen in de mailbox nadat het wachtwoord was gekraakt. Dat ging namelijk weer wel te ver. Als je punt is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is het niet nodig om de mails te lezen (laat staan daaruit te citeren in je tijdschrift). Het overzicht van de inbox is bewijs dat je binnen bent.

Iets dergelijks werd ook geoordeeld bij perspublicaties over de gestolen camera van prins Willem-Alexander en prinses Máxima. Daarbij werden ook beelden uit die camera afgedrukt als bewijs, maar dat werd niet geaccepteerd door de rechter. Het tonen van beelden voegt aan zo'n artikel niet veel toe, en omdat het privébeelden zijn hebben ze een groot privacybelang. Daarom is dergelijke publicatie niet toegestaan.

De veiligheid van webwinkels staat nu zeer in de belangstelling, dus dat maatschappelijk belang is er wel bij de RTL hack. De vraag is dus of men werkelijk zo ver moest gaan als men is gegaan om het journalistieke punt te maken. Een belangrijke factor daarbij lijkt me dat je de webwinkels eerst de tijd geeft het lek te fixen en pas daarna gaat publiceren. Zo beperk je de schade voor hen.

Het is en blijft een risico, want of je werkelijk maatschappelijk verantwoord journalistiek bezig bent, bepaalt uiteindelijk de rechter. Dus ga niet zelf webwinkels hacken onder het mom "iedereen is journalist en als ik wat vind dan bel ik Security.nl".

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.