Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over "ongebruikelijk" betalingsverkeer en betalen aan verdachte landen?
Antwoord: Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.
Dat is hetzelfde als bij 'gewone' gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.
Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.
Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)
Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.
Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.
In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen "zaken doen", nog los van dat je niet wéét waar de gijzelnemers zitten.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.