Het lijkt mij nogal logisch dat een patienten-adresboek geen "geautomatiseerd werk" is.

Maar het loopt vooral spaak bij: "binnendringen in een geautomatiseerd werk".

Moet zijn: "computervredebreuk in een webserver".

Of beter simpelweg: "computervredebreuk" - als in Wetboek van Strafrecht, Boek II, Titel V, Artikel 138ab

Begin maar helemaal opnieuw.

Schot voor de boeg, want nog niet alles gelezen, maar een uitspraak weg vrij maakt voor nog meer ellende voor de toekomst, tenzij de wetgever aanleiding in deze uitspraak ziet art.80 sexies en 138ab te wijzigen. Kan Engelfriet zijn licht hierover laten schijnen?

Enerzijds zijn het de relatief lage straffen in Nederland voor computercriminaliteit die Nederland een paradijs voor onethische LLM en AI experimenten maakt, en de hackbevoegdheid in het buitenland van de politie, het eenvoudig maakt ingezeten van Nederland digitaal elders te laten verblijven en ze een aangenaam leven, zo onmogelijk mogelijk te maken.

Maar goed, Hoge Raad onderbouwt zijn uitspraak dat een website geen inrichting is (ik vraag mij af welke definitie van inrichting uit het woordenboek hier gehanteerd is...) het moet een apparaat zijn. Dat apparaat zit blijkbaar nogal stevig in het openbaar bestuur.

Is ASML al uit Nederland vertrokken? Pas als er met chips op de bank geknoeid is, is het blijkbaar een apparaat.

Juridische vraag in reactie op de eerdere uitspraak:

https://www.security.nl/posting/766355/Hof+vindt+website+geen+geautomatiseerd+werk+en+spreekt+verdachte+vrij

"De HR lijkt dus "website" zo te lezen dat "onderliggende serverhardware en netwerkinfrastructuur" er gewoon bij hoort, en heeft er geen moeite mee dat de website-eigenaar een andere entiteit is dan de eigenaar of exploitant van die hardware. Het belang van de strafbaarheid zit hem erin dat die website offline was, of hier dat de verdachte is gegaan waar hij niet mocht zijn. Niet of er een complete lijst bijgevoegd is van de eigenaren van alle componenten.

Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen."

Computervredebreuk is in de wet verwoord als binnendringen in "geautomatiseerd werk"
De rechter heeft een zeer vreemd uitspraak gedaan door computervredebreuk niet als misdaad te zien door een eigen uitleg met woorden.

Eens

Kan de huisjurist bij Security.nl hier eens wat toelichting op geven.
Wat is hier fout gegaan?

Had het OM het op afpersing moeten gooien?
Als computervredebreuk niet meer werkt... wat dan wel?

Dus dat betekend dat het in breken op patiënten-portalen volgens de hoge raad is toegestaan. blijkbaar is dat niet geautomatiseerd en mag je er dus op inbreken. Het klinkt allemaal nogal erg ondeskundig.

Dus als ik dit goed begrijp dan zijn virtuele machines ook geen geautomatiseerd werk want het heeft geen fysieke vorm (de hypervisor wel maar de VMs op de hypervisor dan weer niet), alsmede wat hierop draait? Het gaat de goede kant op!

Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.

Ik snap er niets van.....

Nee, dat betekent in gewoon Nederlands dat de delictsomschrijving niet deugt en moet worden aangepast.

Het feit is blijkbaar op 25 augustus 2017 gepleegd. Blijkbaar was de definitie toen nog anders:

Onder ‘geautomatiseerd werk’ wordt blijkens art. 80sexies Sr – zoals geldend op de tenlastegelegde datum, te weten 25 augustus 2017 – verstaan ‘een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen’. Blijkens de wetsgeschiedenis heeft de wetgever in de begripsbepaling van ‘geautomatiseerd werk’ steeds het oog gehad op uitsluitend fysieke apparaten (vergelijk Kamerstukken II, 1991-1992, 21551, nr. 3, p. 5 en 6 en Kamerstukken II, 2018-2019, 34372, nr. 3, p. 85 e.v.).

Ik krijg ook de indruk dat de HR voorsorteert op iets anders.

Juristen kunnen stellen dat dit taak van de HR is, en deze taakopvatting soms naar het rechtsgevoel, tot onredelijke uitspraken leidt, met als aanmoedigende reden: wetgever, ga hier mee aan de gang.

Een op dit gebied deskundig jurist zou het je beter kunnen uitleggen, maar hier een oppervlakkige poging; in deze zaak ging het OM in cassatie om uitspraak te krijgen over tenlastelegging die het OM in de dagvaarding had gezet. Niet om de straf, maar of een website van huisartsenpost een inrichting is zoals omschreven in art 80 sexies WbSr.

Dan gaat het om art 80 sexies (oud), maar er is iets met toepassing van de oude bepaling van art 80 sexies (zie arrest) en daar zou ik -of een ander- even naar kunnen zoeken wat dat voor deze zaak betekend heeft, en hoe deze uitspraak te duiden.

Ik voorzie een heleboel onserieuze grappenmakers (hackers!) die dergelijke uitspraken op onethische wijze mondeling dan wel schriftelijk of elektronisch verspreiden: ridiculisering van het het recht en de rechtsstaat, en Nederland heeft een onsmakelijk rijke geschiedenis wat dat betreft. Een website is geen inrichting! En die vervolgens volhacken met dan wel portretten van TBS-ers, dan wel pasfoto's van patiënten van de huisartsenpraktijk die om een GGZ verwijzing hebben gevraagd of most wanted banga lijsten. Verdere uitwassen uit deze subcultuur kan ik hier niet beschrijven, dat botst met de redactionele belangen van deze site, maar je kunt ze vast bedenken.

Als toeschouwers kunnen niet met zekerheid stellen of de wetgevende macht (en veiligheidsclubs daarom heen) geheel vrij is van dergelijk cynische smetten. En dat alles schijnt dan weer iets te maken te hebben met de kwaliteitsdelicten uit het WbSv...Heel verdrietig als je goed erover nadenkt, maar het is, het bestaat, en het heeft een ontstaansgeschiedenis in subculturele groepen.

Ik kom op een later tijdstip terug om te kijken of en hoe anderen de uitspraak van de HR over de website van de huisartsen-praktijk duiden.

Een website is toch bedoeld om gegevens over te dragen van de eigenaar maar de bezoeker van de website? Ik snap hier helemaal niks van.

Begin maar helemaal opnieuw.[/quote]Je kan gelukkig maar 1 keer berecht worden voor een delict.

Wat een geldverspilling, als het gaat om het Openbaar Ministerie, dat weer in cassatie gaat zonder verdere bewijslast of aanvullende argumenten te presenteren, en twee keer hetzelfde te horen krijgt.
Net als in de zaak van De Mos, is het gemakkelijk te voorspellen dat dit een vergelijkbaar verloop zal hebben. Ik ben geen aanhanger van zijn partij, zeker niet sinds die Verdonk zich heeft aangesloten, maar het is onrechtvaardig hoe deze man behandeld wordt en daardoor zijn werk in Den Haag, waarvoor hij is gekozen, niet naar behoren kan uitvoeren, en dat nu al vier jaar lang.
De kosten voor al deze onzin zullen waarschijnlijk weer worden afgewenteld op de BOA's en de politie door hen strenger te laten optreden en dus sneller en vaker boetes uit te laten schrijven.

Goed dat de definitie van "een geautomatiseerd werk" niet eindeloos wordt opgerekt, en dus niet de informatie omvat die in of met behulp van een geautomatiseerd werk wordt bewaard. Op dat punt ben ik het dus eens met de betreffende rechterlijke uitspraken.

Je moet ook niet over iemand die een opmerking maakt dat hij jouw trui lelijk vindt, roepen dat die geweld heeft gepleegd. Het is niet fijn als iemand jouw trui lelijk vindt, maar dat is nog niet hetzelfde als dat iemand geweld tegen je pleegt.

Er lijkt me ook geen sprake van computervredebreuk, want de Tielenaar heeft het functioneren van het IT-systeem (de realisatie van de daarmee nagestreefde doelen) niet verstoord (noch de hardware van het geautomatiseerde werk, noch de.software - d.w.z. de opdrachten die aan de hardware zijn gegeven of de informatie die met behulp van de hardware wordt bewaard).

Voorts heeft de Tielenaar alleen informatie bekeken waartoe de website van de huisarts hem toegang bood. Dat kan de huisarts onprettig vinden, maar dan zou ik tegen die huisarts (of de "directeur van de huisartsenpost") hetzelfde zeggen als tegen een winkelier, namelijk: als je niet wilt dat buitenstaanders iets zien, dan moet je het niet in de etalage (website) van je winkel zetten.

De Tielenaar heeft als het ware een etalage gezien waar vitrage voor hing, waarbij die vitrage echter toch het zicht niet afdoende belemmerde. Vervolgens heeft hij de huisarts geattendeerd met de mededeling: "U heeft vitrage in uw etalage opgehangen, maar ik kan daar toch doorheen kijken. Ik kan u wel voorzien van betere vitrage, tegen vergoeding van, zeg, 20.000 euro."

De huisarts / directeur heeft vervolgens aangifte gedaan bij de politie: "Er heeft iemand uit Tiel ongeoorloofd door mijn vitrage gekeken en probeert me nu af te persen met een aanbod om tegen een woekerprijs betere vitrage op te hangen."

Terecht dat de rechters hebben gezegd: wat die Tielenaar deed is niet strafbaar. Impliciet zeggen ze daarmee ook: de huisarts is zelf verantwoordelijk voor het aanbrengen van goede vitrage. Want zoals het nu ging, zette die huisarts misschien wel zijn eigen patiënten bloot in de etalage.

Zie verder mijn opmerkingen over deze zelfde casus in: https://www.security.nl/posting/766355/Hof+vindt+website+geen+geautomatiseerd+werk+en+spreekt+verdachte+vrij

En het door mij gestarte topic: https://www.security.nl/posting/813517/Medische+privacy+-+een+gedeeltelijke+oplossing

M.J.

Dit is toch gewoon een vorm van Ransomware. Ik breek in op een website, en heb toegang tot allerlei persoonlijke gegevens. In plaats van dit te melden, hopende op een T-shirt of een beloning, wordt “aangeboden de beveiliging op orde te maken” voor een belachelijk hoog bedrag.

“De offerte was voorzien van de opmerking dat er waarschijnlijk een boete betaald zou moeten worden wanneer het beveiligingslek openbaar wordt en er flinke reputatieschade zal plaatsvinden.”

Dit ruikt naar een dreigement om gegevens openbaar te maken en is dus een gijzeling van gegevens.

Ik hoop trouwens wel, dat de huisartsenpost, behalve aangifte bij de politie, ook “hun” IT-bedrijf heeft aangeschreven en in gebreke stelt wanneer dit probleem niet a.s.a.p. opgelost wordt.

De Tielenaar brak niet in op een website, hij keek erin. Zie mijn eerdere commentaar vandaag 21-03-2024 om 9:04 uur, over de vergelijkbaarheid tussen een website en een etalage.
De Tielenaar meldde het wel degelijk. En deed vervolgens meteen een belachelijk aanbod. Dat is niet verboden.

Het kan wel naar iets "ruiken", maar als iemand "ruikt" naar een gijzelnemer, maakt dat diegene nog niet tot een gijzelnemer. De Tielenaar heeft geen gegevens onbereikbaar gemaakt en ook niet openbaar gemaakt, en daar ook niet mee gedreigd.

Ja, dit is gewoon de verantwoordelijkheid van de huisartsenpost. Ze zouden de melder geen 16.000 of 23.000 euro moeten geven, maar wel een T-shirt of een boekenbon. Want dankzij hem weten ze dat er een gat zit in de beveiliging.

M.J.

Ter info:
sexies is geen typo van de auteur. Het blijkt werkelijk een woord te zijn.
Zie https://wetten.overheid.nl/jci1.3:c:BWBR0001854&boek=Eerste&titeldeel=IX&artikel=80sexies&z=2019-04-01&g=2019-04-01

Hoe pak je dan fraude via bedrieglijk echt nagemaakte websites aan?

Het lijkt wel dat op voorhand de cybercrimineel veel ruimte gelaten wordt.

Trouwens ook de zogeheten 'legale' bedrieglijke trackers en data-slurpers worden hiermee niet ingeperkt/
laat staan aangepakt.

Het recht aan de kant van de sterk(st)e, die observeert en restricties invoeren wil.

Met die redenatie heb ik flinke moeite.
Het zet de weg open dat het met een camera opnemen wat er bij de buren gebeurt mag. Hadden ze maar een betere en hogere afscheiding neer moeten zetten.

Er gaat hier wel degelijk iets goed mis. De poging tot oplichting zo goedpraten is niet goed. Flessentrekkerij is strafbaar

Ik heb grote moeite met deze omschrijving. Er is geen sprake van dat de Tielenaar de website bekeek en zag dat hij zonder verdere ingrepen door de beveiliging heen kon kijken. Dit zou wellicht een analogie zijn geweest als bleek dat het veranderen van dokter.com/patient/2458 naar dokter.com/patient/2459 leidde tot de inzage van de gegevens van een andere patient.

De Tielenaar heeft specifiek een programma gebruikt met als expliciet doel de beveiliging te omzeilen en toegang te krijgen tot een omgeving waar hij anders niet zomaar had kunnen komen en waarvan hij wist dat het niet de bedoeling was dat hij daar zou komen. Dat is meer het zien van een deur met een slecht slot erop, het slot met een loper openen, naar binnen gaan, en vervolgens in privégegevens snuffelen alvorens te zeggen "Ik kan trouwens wel een beter slot plaatsen tegen een riante vergoeding."

Gijzeling zie ik dan weer niet, omdat de Tielenaar geen gegevens heeft buitgemaakt of gedreigd te openbaren, noch betaling heeft geëist om gegevens terug te geven. Afhankelijk van hoe de mail was opgesteld, kan ik me voorstellen dat deze wel als een vorm van afpersing is begrepen; dat ligt er een beetje aan of de inhoud neerkwam op "Betaal mij, want als bekend wordt dat jouw website lek was, gaat je dat nog meer geld kosten, vriend" of "U dient dit lek door een vakkundig IT-specialist te laten repareren – ik ben bereid dit voor de geoffreerde kosten te doen. Hou er rekening mee dat de kosten van niet-reparatie ernstig kunnen oplopen door eventuele boetes of reputatieschade die kunnen volgen."

Volgens mij zijn er twee verschillen tussen de door jou opgevoerde situatie (het met een camera opnemen wat er bij de buren gebeurt) en de onderhavige situatie van de Tielenaar die constateert dat een website niet goed beveiligd is en dan contact opneemt met de eigenaar van de website.

Ten eerste is er een verschil tussen de privé-omgeving van de buren, wiens privacy gerespecteerd moet worden, en een website (een etalage op het internet) die zakelijk is èn bedoeld is voor het publiek, maar waarin een niet voor publiek bedoeld gedeelte per abuis niet goed is afgeschermd. Anders dan een privé-omgeving, is een website op zich wel degelijk bedoeld om door onuitgenodigde en onbekende vreemdelingen te worden bezocht en bekeken.

Ten tweede is er een verschil tussen enerzijds naar binnen kijken en anderzijds het verwerken van (persoons)gegevens. Als ik op straat voorbij een privéwoning loop waarvan de gordijnen open zijn, dan kan ik soms wat van de woonkamer zien. Het is niet strafbaar dan een blik door zo'n raam naar binnen te werpen (vanaf de straat). Het is ook niet strafbaar om dan naar de brievenbus te lopen en er een brief doorheen te gooien, en zelfs niet om de brievenbus te openen en door het spleetje naar binnen te turen. Dat is weinig elegant gedrag, maar het is niet strafbaar als het incidenteel gebeurt.

Het opnemen met een camera van wat er in een woonkamer gebeurt, is een vorm van verwerking van persoonsgegevens, en valt derhalve onder het materiële toepassingsgebied van de AVG. Iemand die zonder toestemming, noodzaak of "gerechtvaardigd belang" de woonkamer van een ander filmt, is mogelijk in overtreding van de AVG. Denk aan de rechtszaken m.b.t. de beelden die Google Earth in de beginfase daarvan verzamelde.

Voor zover mij bekend, heeft de Tielenaar alleen geconstateerd dat de website van de huisartsenpost niet goed beveiligd was, maar geen gegevens uit die website verzameld of bewaard ("verwerkt") op zijn eigen computer. Het lijkt er dus op het eerste gezicht op dat de Tielenaar ook de AVG niet heeft overtreden.

Het overtreden van de AVG is overigens lang niet altijd strafbaar, zoals we in talloze rechtszaken hebben kunnen zien. De AP heeft als toezichthouder weliswaar een handhavingsbevoegdheid op grond van de AVG, maar geen bevoegdheid om personen strafrechtelijk te vervolgen. Voor zover ik weet, heeft de huisartsenpost wel aangifte bij de politie gedaan, maar geen klacht bij de AP ingediend over de handelwijze van de Tielenaar.

-- Toepasbaarheid van de AVG op deze casus --
In verband met de eventuele toepasbaarheid van de AVG op deze casus, komen de volgende vragen bij me op:

1. Heeft de Tielenaar, als hij gegevens van de website van de huisartsenpost heeft verwerkt, die gegevens alleen verwerkt voor eigen, "huishoudelijk" gebruik (artikel 4 lid 1 onder c AVG)? Ik denk dat aangetoond zou kunnen worden dat dit niet het geval is, omdat de Tielenaar immers een zakelijke offerte uitbracht /aanbieding deed, gericht aan de huisartsenpost. Anderzijds zou de Tielenaar dan kunnen aanvoeren dat hij pas tijdens het huishoudelijke gebruik van de gegevens op het idee kwam om zo'n offerte uit te brengen. Een goede toezichthouder en eventueel daarna een bestuursrechter zou dan beoordelen:
a) wat dat vermeende "huiselijk gebruik" dan eigenlijk behelsde, en
b) of er wel of niet overtuigend bewijs is dat de Tielenaar al vanaf het begin voornemens was de gegevens (ook) zakelijk te gebruiken. Zulk bewijs zou bijvoorbeeld kunnen bestaan uit informatie over de eerdere handelwijze van de Tielenaar m.b.t. andere websites met andere gegevens, m.a.w. als hij meermalen eigenaren van websites heeft benaderd met een dergelijk aanbod.

2. Wat is de juridische status van een "white hat hacker", als de Tielenaar beweert dat hij dat is, en als hij beweert de gegevens uitsluitend voor een dergelijk goed doel te hebben verzameld? Artikel 2 lid 2 AVG voorziet niet in "white hat hacking", net zo min als artikel 6 lid 1 AVG. Hooguit zou je kunnen proberen "white hat hacking" te beschouwen als een "taak van algemeen belang" zoals bedoeld in artikel 6 lid 1 onder e) AVG, of kunnen proberen om aan de "white hat hacker" een "gerechtvaardigd belang" toe te schrijven zoals bedoeld in artikel 6 lid 1 onder f) AVG. Geen van beide lijkt me de bedoeling van de wetgever - maar ach, rechters zijn wel vaker creatief met het fantaseren van nieuwe bedoelingen van wetgeving.

Hoe staat het met de bewijslast rondom "white hat hacking" - is het aan de AP om te bewijzen dat een hacker dat (in een bepaald geval) niet is, of is het aan de hacker om te bewijzen dat hij/zij dat wel is?

3. Als het niet (uitsluitend) om huishoudelijk gebruik van de gegevens gaat, waar zit dan de grens tussen enerzijds "via internet gegevens bekijken" en anderzijds "via internet gegevens verwerken (in de zin van de AVG)"? Is het überhaupt mogelijk via internet gegevens alleen te "bekijken" zonder ze meteen ook te "verwerken"? Ik denk eerlijk gezegd dat dit niet mogelijk is, gezien de teksten van artikel 2 lid 1 AVG en artikel 4 onder 2) AVG. Wie via internet gegevens bekijkt, maakt daarbij altijd gebruik van enige vorm van "geautomatiseerde verwerking" van gegevens die "in een bestand zijn opgenomen".

-- Onderscheid tussen moraal (ethiek) en strafbaarheid --
Ik ben het niet met je eens dat een eerlijke beoordeling dat iets voor de wet niet strafbaar is, meteen zou betekenen dat er iets zou worden "goedgepraat".

De wet verbiedt lang niet elke vorm van immoreel handelen, en dat is maar goed ook. Als de wet elke vorm van immoreel handelen zou verbieden, dan zouden rechters veranderen in inquisiteurs en zouden we terecht komen in een zeer onveilige samenleving waar angst regeert.'

-- Proto-fascisme --
Helaas is de afgelopen jaren een dergelijke samenleving in sneltreinvaart dichterbij gekomen - een samenleving gebaseerd op een angst- en technoveiligheidscultuur met proto-fascistoïde trekjes. Machthebbers hitsen op min of meer subtiele en indirecte wijze via gehoorzame media het volk op om bang te worden (bijv. voor terrorisme, immigranten, Poetin of kinderporno) en om te gaan roepen om "veiligheid", en vervolgens bieden die machthebbers zogenaamd "veiligheid", maar rollen in feite een apparaat van controle en onderdrukking over het volk uit. Die controle en onderdrukking (met veel technische middelen) maken zowel de onderlinge verhoudingen tussen gewone mensen als de verhouding tussen gewone mensen en de overheid juist steeds onveiliger - vooral voor gewone mensen.

Die kwalijke weg zijn we nu al een flink aantal jaren aan het bewandelen, met een duidelijke versnelling sinds de coronacrisis. Net als ten tijde van de opkomst van het fascisme in de jaren twintig en dertig van de vorige eeuw, vinden veel mensen deze ontwikkeling prima en "gezond" en denken dat ze daardoor eindelijk meer "veiligheid" zullen krijgen. Ze zullen van een koude kermis thuiskomen - maar waarschijnlijk helaas pas nadat er vele, vele slachtoffers zijn gevallen. Het Toeslagenschandaal en schadelijke "coronamaatregelen" waren pas het begin. De lessen van honderd jaar geleden blijken helaas door verreweg de meeste mensen te zijn vergeten of nooit geleerd.

Wat ik goed vind aan deze uitspraken van het gerechtshof Den Haag en nu ook de Hoge Raad, is dat die ook bevestigen dat we, met al onze elektrische, "digitale" middelen (ICT, de "Cloud", "virtuele" werelden op beeldschermen, AI etc.), als mensen toch steeds geworteld en belichaamd blijven in een analoge werkelijkheid. De Hoge Raad attendeert ons er weer even op dat we nog steeds met onze voeten in de analoge klei staan. Dat is op zichzelf heel gezond.

M.J.

Wat je hier lijkt te zeggen, is dat het volgen van je eigen nieuwsgierigheid op zichzelf al strafbaar zou moeten zijn zodra het gaat om persoonsgegevens van anderen die jou geen toestemming hebben gegeven daar kennis van te nemen. Dat zou in mijn ogen veel te ver gaan. Het zou bijvoorbeeld allerlei vormen van onderzoeksjournalistiek strafbaar maken. Ook zou het vormen van empathische burenhulp strafbaar maken. Denk aan zieke en vervolgens overleden personen die uiteindelijk pas na maanden worden aangetroffen wanneer de stank zich tot buiten hun eigen woning verspreidt. Een koude en kille samenleving, waarin iedereen zich gedekt en gedeisd houdt.

Het klopt dat de Tielenaar niet passief is gebleven, maar actief heeft uitgeprobeerd of hij toegang kon krijgen tot gegevens van de huisartsenpost. Maar die activiteit lijkt me op zichzelf niet strafbaar, tot en met het moment dat hij inderdaad op de betreffende gegevens stuitte. De cruciale vraag is wat hij heeft gedaan toen hij eenmaal die gegevens tegenkwam. Daarover heeft de rechter nu een uitspraak gedaan.

-- Onderzoek - in welke "omgeving", met welke "bedoeling"? --

Het woord "omgeving" dat je hier gebruikt, is meerduidig. Tradtioneel duidt dit woord een fysieke omgeving aan, bijvoorbeeld en tuin of een straat. Jij gebruikt het om een "virtuele" omgeving aan te duiden. Het verschil tussen die twee betekenissen is in deze casus echter relevant, je moet die twee betekenissen niet zomaar over één kam scheren. De Tielenaar heeft zich bij zijn "bezoek" aan de website geen toegang verschaft tot een andere fysieke omgeving dan die, waar hij toe werd uitgenodigd. Er vond een uitwisseling van signalen plaats tussen de computer van de Tielenaar en de server waarop de website van de huisartsenpost werd gehost, ergens in een serverpark op één of ander bedrijfsterrein. De Tielenaar is niet naar dat bedrijventerrein gegaan en heeft zich geen fysieke toegang verschaft tot enig fysiek gebouw of enige fysieke ruimte waar hij niet thuishoorde.

De taal die men ons probeert aan te leren en op te dringen, is een fantasietaal, waarin ons voorgespiegeld wordt dat wij ons in een virtuele "omgeving" bevinden. Het vervoerbedrijf NS roept ons bijvoorbeeld op: "plan je reis in de app", terwijl het in correct Nederlands zou zijn: "plan je reis met de app" - die immers niet meer is dan een instrument. NS en talloze andere bedrijven en volgzame overheden willen echter dat we gaan geloven in de fantasie dat wij voornamelijk virtuele wezens zijn, geen mensen van vlees en bloed. Wij moeten van hen leven in een "digitale samenleving", met andere woorden, wij moeten ons werkelijke leven zoveel mogelijk verlaten om alleen nog te leven door, in en via apparaten waar bedrijven winst op maken. Facebook wil ons met elkaar "verbinden" - via Facebook, en dus moeten andere, meer directe verbindingen in een kwaad daglicht worden gesteld en kapot worden gemaakt. Jij laat je in je taal en denken al een beetje meeslepen door deze nieuwe techno-religie, die wordt uitgedragen door hogepriesters uit Silicon Valley.

Dit is een gevaarlijke, dehumaniserende religie. Het is een vorm van grooming.

Het zou beter zijn om uit deze religie te stappen en weer een taal te gaan gebruiken die benoemt wat er feitelijk plaatsvindt, namelijk een uitwisseling van signalen in de vorm van codes, en het gebruik van instrumenten die zulke codes uitwisselen en verwerken. Dus niet: "Ik ga in de app" of "ik bezoek de website", maar: "ik gebruik de app" en "ik bekijk de website".

Is de zg. "bezoeker" van een website eerder een hoerenloper die iets penetreert, of eerder een voyeur? In landen waar prostitutie illegaal is, maakt dat nogal wat uit voor de strafbaarheid...

Je andere argument is dat de Tielenaar iets heeft gedaan wat niet de bedoeling was van de medewerkers van de huisartsenpost. Dat lijkt me echter op zichzelf geen steekhoudend argument voor enige vorm van strafbaarheid van wat de Tielenaar deed. Ik doe zelf ook vaak dingen die niet de bedoeling van anderen zijn, en vice versa.

Het is goed om te beseffen dat het niet de bedoeling van politici, managers, hoge adviseurs, lobbyïsten e.d. dat wij achter bepaalde truukjes komen die zij hebben toegepast om hun eigen positie of die van hun opdrachtgevers te bevorderen. Het is ook niet de bedoeling van huisartsen dat we erachter komen dat zij onze medische persoonsgegevens al jaren zonder onze toestemming hebben gedeeld met een groot data-bedrijf (zie mijn blog op deze site: https://www.security.nl/posting/813517/Medische+privacy+-+een+gedeeltelijke+oplossing). In mijn ogen is het goed dat wij allerlei dingen juist wel onderzoeken, ook als dat niet de bedoeling is van mensen die er belang bij hebben dat iets juist niet wordt onderzocht.

Zolang de Tielenaar alleen bezig was met onderzoek, en wel onderzoek naar de deugdelijkheid en de beveiliging van een zakelijke website, vind ik dat dit op zichzelf niet strafbaar moet zijn. Privacy is niet hetzelfde als geheimhouding van list en bedrog, of geheimhouding van zakelijk of professioneel falen.

-- Onderzoeksmiddelen --
Je kunt dan nog bezwaar maken tegen de middelen die de Tielenaar inzette bij zijn onderzoek. In zijn geval ging dat om een computerprogramma (een "app"?). Laat ik dit opnieuw vergelijken met iemand die op straat voorbij een woning loopt, met vitrage achter een deel van de voorruit. De voorbijganger haalt een verrekijker te voorschijn en ontdekt dat als hij die goed instelt, hij door de vitrage heen een blik kan werpen op het inwendige van de kamer, waar de bewoners juist bezig zijn met... ach laat maar. Is de voorbijganger niet strafbaar wanneer hij met het blote oog kijkt, maar wel zodra hij zijn verrekijker ter hand neemt? En wat als hij een bril met multifocale glazen op heeft?

Het raam van de woonkamer is welbewust gemaakt om een visuele verbinding te leggen tussen het inwendige van de woonkamer en de buitenomgeving. Dit legt in redelijkheid een verantwoordelijkheid bij de bewoners om die verbinding uit te schakelen op momenten dat de verbinding onwenselijk is. Het is mijns inziens daarom aan de bewoners van het huis om ervoor te zorgen dat ze, op momenten waarop ze niet willen dat voorbijgangers naar binnen kijken, de juiste maategelen treffen, in dit geval: de gordijnen dicht doen.

Het wordt wel anders als een voorbijganger (of een overbuurman) een hoogtechnologische richtmicrofoon opstelt om daarmee de conversaties van bewoners in de woning af te luisteren, zonder dat meteen na de eerste minuut aan ze te vertellen. De redenen dat het dan anders wordt, zijn mijn inziens:
1. Dat het dan niet om welbewuste verbinding tussen het inwendige en de buitenomgeving gaat, zoals een raam wanneer de gordijnen open zijn, maar om een privé-omgeving die niet bedoeld is om auditief verbonden te zijn met de buitenomgeving;
2. Dat de bewoners van die privé-omgeving geen verweer hebben tegen een dergelijke richtmicrofoon;
3. Dat de bewoners van die privé-omgeving een bepaald respect voor hun privéleven mogen verwachten, met name ook in hun eigen woning, als zijnde natuurlijke personen (zie het doel van de AVG, nl. de "bescherming van natuurlijke personen") - meer dan bijvoorbeeld het geval is als het gaat om een zakelijke ruimte;
4. Dat degenen van wie gegevens worden verzameld, er niet (en niet tijdig) over worden geïnformeerd en dus niet eens weten dat het gebeurt, waardoor ze extra kwetsbaar worden. Hierbij moet nog worden opgemerkt dat als een voorbijganger of een overbuurman de bewoners zou informeren over de inzet van een richtmicrofoon, de bewoners dan kunnen overgaan tot acties om zichzelf daartegen te beschermen, bijvoorbeeld met hulp van bevoegde autoriteiten (bijv. de politie, de AP).

-- Bewijslast afpersing --


Op zichzelf ben ik het op dit punt met je eens. Bij de toetsing of een tekst of een andere communicatie beschouwd moet worden als een vorm van afpersing in strafrechtelijke zin, moet de lat wel hoog liggen voor wat betreft het bewijs. Het mag niet zo zijn dat iemand kan zeggen: "Ik voelde me geïntimideerd door zijn blik" en dat er dan al meteen sprake zou zijn van afpersing. Het ging hier bovendien om de directeur van een huisartsenpost, die de betreffende communicatie in een zakelijke omgeving ontving. Dan moet je daar als professional mee kunnen omgaan. In dit geval had de directeur kunnen volstaan met tegen de Tielenaar te zeggen: "Bedankt voor de informatie. Ik ben niet geïnteresseerd in uw aanbod." Eventueel had de directeur nog een melding kunnen maken van het voorval, bij de politie en/of de AP, zonder aangifte te doen.

M.J.

Dit heb ik niet gezegd, noch heb ik dit gesuggereerd. Wat ik heb gezegd, is dat de acties van de Tielenaar geen kwestie meer zijn van "het volgen van je eigen nieuwsgierigheid".

Als ik op straat langs een wijd open voordeur loop en ik ga naar binnen, is dat al een vrij dubieuze actie. Wellicht dat ik met een "ik was bezorgd en wilde kijken of alles in orde was en iemand waarschuwen" nog wel net wegkom, maar de bewoner zal allicht al niet blij zijn.

Wanneer ik actief aan voordeuren ga lopen rammelen of met een creditcard het slot probeer open te vegen tot ik er één vind die ook daadwerkelijk open gaat en daar naar binnen loop met een "hoi, ik wil je alleen even laten weten dat ik je slot zo openkreeg", dan is het niet heel vreemd dat de bewoner de politie even belt, die mij vervolgens meeneemt.

Dat is het echter wel.

Ik ga niet op de semantische discussie in over fysieke, dan wel virtuele omgevingen, maar het omzeilen van een beveiliging om toegang te krijgen tot iets waarvan je weet dat je daar geen toegang behoort te hebben, is gewoon strafbaar. Er geldt een exceptie voor journalistiek doeleinden, maar ook die is aan de noodzakelijke beperkingen gebonden.

De uitspraak van de rechter in deze zaak stelt niet dat de acties van de Tielenaar legitiem of toegestaan waren, maar komt effectief neer op het semantische feit dat zijn acties niet onder de definitie van de aanklacht vallen, de aanklacht dus niet klopt, en hij daar dus niet voor vervolgd kan worden.

De eerste definitie volgens de Van Dale is overigens een "kring van personen waarin iemand verkeert". Dat is dus al een abstract begrip van het woord omgeving, en verwijst dus niet naar een fysieke locatie.

In principe zijn we het hier gewoon over eens.

Maar, zoals gezegd, een goed oordeel hierover hangt af van de communicatie tussen de hacker en de arts. En voor zover ik weet hebben we die niet, dus er valt niet zoveel over te zeggen.

Maar dat laatste heeft de Tielenaar nu juist niet gedaan. Hij is niet een fysieke ruimte binnengegaan. En in overdrachtelijke (figuurlijke) zin heeft hij alleen de klep van de brievenbus van een gesloten voordeur geopend en daardoor naar binnen gekeken. Hij is niet ergens naar binnen gegaan, maar heeft van buitenaf het inwendige geobserveerd. Hij heeft geen slot geforceerd, maar alleen een klep geopend zonder schade aan te richten aan de voordeur.

Dan hoor ik van jou graag naar welk artikel van het Wetboek van Strafrecht je hier verwijst.

Door het "semantisch" te noemen, onderbouw je nog niet waarom dat onderscheid niet relevant zou zijn. Voor de rechters was het onderscheid wel relevant, want zij beschouwden een "geautomatiseerd werk" als een fysieke entiteit.

Opnieuw, waar staat in het Wetboek van Strafrecht dat het omzeilen van "een beveiliging" om toegang te krijgen tot "iets" waarvan je weet dat je daar geen toegang "behoort te hebben", strafbaar zou zijn? Graag een verwijzing naar een concreet wetsartikel.

Dat is logisch, want in het strafrecht moet bewezen worden dat acties niet zijn toegestaan, m.a.w. wel verboden waren. In een rechtsstaat is alles wat niet bij wet (of op de wet gebaseerde regelgeving) verboden is, in beginsel wel toegestaan.

"Semantisch" is echt jouw toverwoord, een soort handig wegpoetsdoekje. Hamlet: "To be or to indulge in semantics, that's the question." Wat had er volgens jou dan wel in de aanklacht moeten staan om tot vaststelling van een gepleegd strafbaar feit te komen?

Die definitie staat ook in mijn Van Dale, waarbij dit nader wordt gespecificeerd als: "huisgenoten, vrienden of kennissen enz." Van Dale doelt hier dus op natuurlijke personen, dat wil zeggen analoge mensen van vlees en bloed, en bijvoorbeeld niet op romanpersonages of virtuele avatars. Ook natuurlijke personen vormen een fysieke omgeving. Als tweede definitie geeft mijn Van Dale: "omstreken: een mooie, heuvelachtige omgeving."

M.J.

Je blijft maar voorbij gaan aan het feit dat hij wel degelijk een slot heeft geforceerd. De informatie die hij raadpleegde was niet publiekelijk toegankelijk – hij is geconfronteerd met een beveiligingssysteem, waar hij geen toegang voor had. Middels een specifieke techniek (SQL injectie) heeft hij gebruik gemaakt van een kwetsbaarheid in de beveiliging en deze daarmee doelbewust omzeild.

Dat is absoluut niet het equivalent van "even door de brievenbus kijken", dat is gewoon het equivalent van een slot forceren.

Artikel 138.

Het arrest van de Hoge Raad stelt nu alleen dat alleen een website an sich geen geautomatiseerd werk is volgens de wet en dus niet onder dit artikel valt. Je zult een hacker dus moeten aanklagen voor ongeautoriseerde toegang tot het systeem waar de website op draait, en niet enkel voor toegang tot de website zelf. Het zou me niet verbazen als hier duidelijkere wetgeving voor komt, omdat ik me niet kan voorstellen dat de wetgever websites vogelvrij wil verklaren.

De rechters hadden het over het begrip "geautomatiseerd werk" zoals juridisch gezien in de wet omschreven. Niet over een algemeen woord in dagelijks taalgebruik waarover jij een mening hebt die niet aansluit bij het gebruik van de meeste andere mensen.

Dat hij zich ongeautoriseerd toegang heeft verschaft tot (een gedeelte van) de server waar de website op draait.

Nee, want een slot is een fysiek werk, en dat is een aantal nullen en enen niet. De Hoge Raad maakt kennelijk onderscheid tussen informatie (software; nullen en enen) die met een bepaalde bedoeling wordt bewaard, bijvoorbeeld de bedoeling om de toegang tot andere informatie te bemoeilijken, en hardware (een fysiek, al dan niet geautomatiseerd werk).

De bedoeling om informatie geheim te houden, al dan niet in combinatie met pogingen om die informatie te verstoppen, leidt op zichzelf niet tot een strafbaar feit als iemand anders doelbewust die informatie toch achterhaalt, omdat die iemand anders een andere bedoeling heeft.

Artikel 138 Sr maakt het gedrag van de Tielenaar niet strafbaar. Dat artikel luidt:
" Artikel 138
1 Hij die in de woning of het besloten lokaal of erf, bij een ander in gebruik, wederrechtelijk binnendringt of, wederrechtelijk aldaar vertoevende, zich niet op de vordering van of vanwege de rechthebbende aanstonds verwijdert, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
2 Hij die zich de toegang heeft verschaft door middel van braak of inklimming, van valse sleutels, van een valse order of een vals kostuum, of die, zonder voorkennis van de rechthebbende en anders dan ten gevolge van vergissing binnengekomen, aldaar wordt aangetroffen in de voor de nachtrust bestemde tijd, wordt geacht te zijn binnengedrongen.
(...)"

Het is heel begrijpelijk dat de aanklager aan de Tielenaar niet artikel 138 ten laste heeft gelegd, want de Tielenaar bevond zich niet in een relevante "woning, besloten lokaal of erf, bij een ander in gebruik", en had zich ook geen toegang verschaft door middel van "braak, inklimming, valse sleutels, een valse order of een vals kostuum". Een beroep op artikel 138 zou daarom gefaald hebben.

In plaats daarvan koos de aanklager, voorzover ik meen te begrijpen, voor artikel 138b Sr, dat luidt:
"Artikel 138b
1 Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.
(...)"

Het is begrijpelijk dat ook een beroep op dat artikel faalt, want de Tielenaar heeft de toegang tot of het gebruik van de server waarop de website draait, niet belemmerd.

Bovendien overwoog het Gerechtshof van Den Haag hierover:
"Onder ‘geautomatiseerd werk’ wordt blijkens art. 80sexies Sr – zoals geldend op de tenlastegelegde datum, te weten 25 augustus 2017 – verstaan ‘een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen’. Blijkens de wetsgeschiedenis heeft de wetgever in de begripsbepaling van ‘geautomatiseerd werk’ steeds het oog gehad op uitsluitend fysieke apparaten (vergelijk Kamerstukken II, 1991-1992, 21551, nr. 3, p. 5 en 6 en Kamerstukken II, 2018-2019, 34372, nr. 3, p. 85 e.v.).

Meer specifiek heeft de wetgever met betrekking tot de artikelen 138a (oud)/138ab (nieuw) Sr de opvatting tot uiting gebracht dat het daarbij gaat om de bescherming van het voorwerp waarin de gegevens zich bevinden, en niet om de gegevens zelf (zie onder meer Kamerstukken II 1990/91, 21551, nr. 6, p. 8-9 en Kamerstukken II 1998/99, 26671, nr. 3, p. 32-33).

Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account."

Dus nee, de aanklager heeft geen domme fout gemaakt door zich op een verkeerd wetsartikel te beroepen, zoals jij suggereert. De aanklager heeft zijn best gedaan, maar de handelwijze van de Tielenaar is simpelweg door de wetgever niet strafbaar gesteld. En terecht, in mijn ogen, want de Tielenaar heeft geen schade aangericht. Hij heeft hooguit een paar minuten tijd van de directeur van de huisartsenpost gevraagd voor een offerte met een veel te hoog bedrag. Als we iedereen die de tijd van een ander verdoet, strafbaar zouden stellen, dan zou 99,999% van de Nederlandse bevolking beboet of achter de tralies gezet worden. (Ik niet, trouwens, want ik verdoe nooit iemand anders' tijd, alleen mijn eigen tijd. Jij wel, want jij verdoet mijn tijd.)

Jouw uitgangspunt is dat de hacker moet worden aangeklaagd, ongeacht wat er in de wet staat. Dat is een onrechtsstatelijk uitgangspunt.

Ik hoop dat de wetgever geen zaken strafbaar gaat stellen waarin er in het geheel geen schade wordt aangericht en er ook geen sprake is van dreigen met schade, schade riskeren of iets dergelijks. Het is tijd dat huisartsen en anderen hun verantwoordelijkheid gaan nemen en de bereidheid gaan tonen om te beseffen dat als je informatie veilig wilt bewaren, je die informatie niet via een website aan het internet moet koppelen.

Aha, omdat de uitspraak van de rechters en de wet je niet bevallen, vind je nu opeens dat de betekenis van de wet niet maatgevend zou moeten zijn en zou moeten worden vervangen door de betekenis van "dagelijks taalgebruik" dat "aansluit bij het gebruik van de meeste andere mensen". Je deed alsof je naar de wet verwees, maar eigenlijk wil je dus een volksgericht om die Tielenaar achter de tralies te krijgen. Eerder vandaag, in mijn bijdrage om 10:51 uur, noemde ik al "proto-fascistoïde trekjes". Dit is daar een voorbeeld van.

Maar dat heeft de Tielenaar niet gedaan. Hij heeft alleen, via internet, informatie (gegevens) bekeken die daar op die server staat. Je wilt hem bestraffen voor iets dat hij niet heeft gedaan. Hij is niet in die server geweest, en ook niet in het gebouw waar die server staat.

Jij lijkt een beetje op de Amerikanen die Julian Assange willen bestraffen voor spionage, terwijl hij alleen, zittend in IJsland of Engeland of zo, informatie in ontvangst heeft genomen die hem vanuit Amerika werd toegestuurd, vervolgens die informatie heeft gepubliceerd, en ondertussen ook met zijn bron heeft overlegd. Assange is, ongeacht of hij door het VK nog uitgeleverd wordt of niet, op een verschrikkelijke manier te grazen genomen door het Amerikaanse bewind. Zijn gezondheid is na jaren gevangenschap verwoest en de rest van zijn leven zal hij waarschijnlijk zwaar getraumatiseerd rondlopen. Als hij wordt vrijgelaten, gaat het ergste voor hem in zekere zin nog komen, want dan valt de druk van buiten weg en moet hij zien om te gaan met de gevoelens die dan loskomen.

Ik ben heel blij dat de Hoge Raad in dit geval niet mee is gegaan met de drogredenering dat het op afstand zoeken en bekijken van informatie gelijk zou staan aan het binnendringen van een fysieke ruimte.

Het is belangrijk dat vrije nieuws- en informatiegaring behouden blijft.

M.J.

Meeste huisartsen willen patiëntinformatie niet veilig bewaren maar die delen met zoveel mogelijk andere artsen en de farma industrie.


Eens, alleen, alles wijst erop dat het de precies de andere kant op gaat. DSA is bedoelt om vrije informatiegaring te hinderen, sommige informatie wordt dan 'desinformatie' genoemd.

Wat gehinderd wordt is bepaalde vrije informatiegaring,
namelijk die info die de overheid niet graag gedeeld ziet.

Misleidende alternatieve info kan gedeeld worden,
bepaalde info niet en die wordt direct ge-debunked.
de verspreiders ervan gedemoniseerd of belachelijk gemaakt.

Dit is uiteindelijk de gang van elk bewind dat eertijds als een vorm van democratie begon.

De huidige EU begint al weer met directieven te verspreiden,
net als dat andere systeem aan de andere kant van Centraal Europa,
dat in 1917 hiermee begon.

Zo vernietigt het systeem de boeren en de middenklasse onder andere
en wat voor toekomst heeft onze generatie Z per slot van rekening (de na 1997 geborenen)?

Mensen, die het nog niet zien, kunnen het niet of nooit zien
of zijn niet (voldoende) bewust en/of NPC's * binnen het systeem.
* NPC (non-player-character als in een soort van video-spel-realiteit).

#laufer

En een brievenbus is ook een fysiek werk, dus jouw analogie is daarmee net zo (in)valide.

Iemand die zich doelbewust toegang verschaft tot objecten of informatie waar deze geen toegang toe is verleend, door middel van het verbreken of omzeilen van beveiligingsmaatregelen om die objecten of informatie privé te houden, is in principe strafbaar bezig. Of daar schade bij ontstaat is niet relevant.

Klopt, dat heb ik iets te gehaast opgeschreven, dat had natuurlijk Artikel 138ab moeten zijn.

Ik corrigeer in onderstaande reactie jouw fouten met de opmaak, zodat het beter leesbaar en duidelijker wordt.

Nee, want het is juist een analogie, dus een vergelijkend verhaal. Ik vind mijn analogie ("de klep van een brievenbus openen en daardoorheen naar binnen turen") beter dan jouw analogie ("door een geopende voordeur naar binnen lopen") als het gaat om het kennis nemen van informatie op een deel van een website dat normaal onzichtbaar is, zonder schade aan te richten.

Nee hoor, je beschrijft hiermee ook het werk van onderzoeksjournalisten die beveiligingsmaatregelen "omzeilen" door anonieme bronnen, bijv. klokkenluiders, te raadplegen. Dat is niet strafbaar. Als het wel strafbaar was, zouden we geen vrije nieuwsgaring en dus in essentie ook geen persvrijheid meer hebben, en daarmee geen adequaat verweer meer tegen liegende machthebbers. Waarom ga je niet in op dat probleem? Wil je graag onder een autoritair bewind leven?

Ik ben in mijn vorige reactie ook ingegaan op artikel 138b.

Je negeert hier wat ik zei m.b.t. het strafrecht in een rechtsstaat, namelijk dat iets niet strafbaar is tenzij het in de wet strafbaar is gesteld. Het gerechtshof heeft wèl inhoudelijk geoordeeld over de zaak, en op basis van die beoordeling de Tielenaar vrijgesproken.

Nee. Anders dan jij beweert, zegt het Gerechtshof Den Haag in dat vonnis niets over "computervredebreuk" (behalve, impliciet, dat daar in dit geval geen sprake van is). Wel stelt het gerechtshof (expliciet) dat een website geen "geautomatiseerd werk" is, maar gezien moet worden als informatie die zich op of in een geautomatiseerd werk bevindt. Ik zou het op prijs stellen als je ten minste de feiten juist weergeeft.

Als de aanklager had gesteld dat de Tielenaar "een geautomatiseerd werk was binnengedrongen", dan zou de uitspraak van het gerechtshof waarschijnlijk hetzelfde zijn geweest. Immers, de Tielenaar was niet het fysieke werk binnengedrongen. Hooguit zou je kunnen zeggen dat de Tielenaar met het fysieke werk had gecommuniceerd. Wil jij misschien zoiets als "misleidende communicatie met een fysiek werk" strafbaar gaan stellen? Dat lijkt me niet haalbaar, want een fysiek werk, niet zijnde een mens, kan niet worden "misleid", het kan alleen worden bediend (aangestuurd, beïnvloed).

Of wil je het volgende strafbaar gaan stellen: "communicatie met een fysiek werk die niet de bedoeling is van de eigenaren van dat fysieke werk"? Dus dat als een eigenaar alleen nog maar bereid is via een fysiek werk met mensen te communiceren, die mensen enorm op hun tellen moeten gaan passen dat de eigenaar achteraf niet gaat roepen dat de interactie van die mensen met het fysieke werk "niet conform de bedoeling van de eigenaar" zou zijn? Dan hou je ook geen vrije samenleving meer over. Dan word ik bijvoorbeeld al strafbaar wanneer ik via een website van bijv. een bank de chatbot waar ik naartoe verwezen word, zover krijg dat die een tekst produceert waarvan de eigenaar (de bank) niet wil dat de chatbot die produceert.

Alsof je op straat wordt aangevallen door een hond, en de eigenaar van het beestje beweert dan dat je strafbaar bent omdat je die hond iets "hebt laten doen" wat de eigenaar niet zo bedoeld had... Dat zou de omgekeerde wereld zijn.


Nee, mijn mening is dat in dit specifieke geval een handelwijze zoals die van de Tielenaar niet strafbaar hoort te zijn, mede omdat strafbaarstelling daarvan schade zou toebrengen aan de vrijheid van nieuws- en informatiegaring, die tegenwoordig toch al in het gedrang is gekomen (zie bijv. de zaak van Julian Assange). Ik heb nog niet nagedacht over de vraag of er helemaal "niets hoeft te gebeuren". In ieder geval lijkt het me goed als huisartsen medische gegevens weer veilig gaan opslaan, dus niet aan internet gekoppeld.

Hiermee ga ik lijnrecht in tegen de heersende trend om alle informatie aan internet te koppelen. Maar hier en daar begint al een beetje inzicht door te breken dat dat waanzin is. Soldaten mogen op hun militaire bases in conflictgebieden bijvoorbeeld geen wearables meer dragen die hun positie prijsgeven via internet. Ondertussen worden de medische gegevens van patiënten echter in de praktijk vogelvrij verklaard (met EHDS, leidend tot afschaffing van het medisch beroepsgeheim). Onze overheid is meer gericht op oorlog dan op goede zorg aan de eigen burgers.


Je gaat niet in op wat ik in mijn vorige reactie zei over het feit dat de hele taal en denkwijze waarin opgeslagen informatie (enen en nullen) wordt opgevat als een "omgeving" waar een mens "in" kan zijn of "in kan doordringen", misleidend is.

Kijk, als ik een boek lees, dan kan ik doordringen in de geest of de percepties van de auteur. Maar ik kan niet doordringen in de drukletters die staan afgedrukt op het papier van het boek.

Stel dat ik, bijvoorbeeld als journalist, een papieren document lees dat een overheid of een bedrijf geheim wil houden. Wat jij wilt, is eigenlijk dat die overheid of dat bedrijf mij dan kan beschuldigen van "boekvredebreuk" of "documentvredebreuk". Dat lijkt een beetje op hoe autoritaire regimes een toerist die een gevel voorbij loopt van een gebouw waarin mensen gemarteld worden, kunnen beschuldigen van "spionage".

Het verzamelen van informatie is op zichzelf, in ieder geval in een democratische rechtsstaat, géén "huisvredebreuk", "kantoorvredebreuk", "boekvredebreuk" of "computervredebreuk".


Insluiping op een fysiek terrein waar een bordje bij staat met "Verboden toegang op grond van artikel 461 Wetboek van Strafrecht" is nu al gewoon strafbaar, hoor. Zie bijvoorbeeld: https://nl.wikipedia.org/wiki/Eigen_weg#Openbaarheid, en daar heb ik ook geen bezwaar tegen.

Hoe het juridisch zit met het binnentreden van een fysiek huis waarvan de voordeur open staat (jouw voorbeeld) weet ik niet. Als een goede buur dit doet, bijvoorbeeld om een pakketje af te geven of te vragen of de bewoner zin heeft in een kopje koffie, lijkt me niet dat dit strafbaar moet zijn. Het moet wel strafbaar zijn als de bewoner zegt: "Sorry, Jan, ik heb nu even geen tijd, ik wil graag dat je mijn woning verlaat", en Jan geeft daar dan geen gehoor aan. Dan is er alsnog sprake van "huisvredebreuk", en dat is nu al gewoon strafbaar.

"Computervredebreuk" ontstaat wanneer iemand fysiek een computer of een ruimte met een computer binnendringt, of het functioneren van een geautomatiseerd werk, zijnde een computer, verstoort. Dat is al strafbaar gesteld, namelijk in artikel 138ab Wetboek van Strafrecht (zie mijn vorige reactie). Alleen is dat in de casus van de Tielenaar niet van toepassing.

Dus waarom jij nu opeens zo moet *kuchen*, is mij niet helemaal duidelijk. Misschien tijd voor een hoestpastille?

Het zou goed zijn als jij onder ogen ziet dat je, door de interpretatie van "de meeste mensen" van een term te stellen boven de betekenis daarvan in een wetstekst, met als doel om dan een persoon te kunnen bestraffen (de Tielenaar), in essentie oproept tot een volksgericht. En ja, wie indirect oproept tot een volksgericht, geeft blijk van "proto-fascistoïde trekjes", zoals ik aangaf. Dat is nog niet hetzelfde als fascisme. Dus leg jij mij alsjeblieft geen dingen in de mond die ik niet heb gezegd.

(P.S.) Ter referentie (als context): met een beroep op de interpretatie van "de meeste mensen" appelleer je eigenlijk aan iets wat bekend staat als "gesundes Volksempfinden":


M.J.

En ik vind mijn analogie iets beter, omdat het in beide gevallen het doelbewust en ongeautoriseerd toegang verkrijgen tot een niet publiekelijk toegankelijke ruimte betreft. Iets waar een brievenbus niet zoveel mee te maken heeft, omdat een brievenbus geen enkel doel heeft om toegang tot de achterliggende ruimte te beperken, en die je meestal niet opent met het gebruik van specifiek gereedschap om een zwakte in de brievenbus te misbruiken. Ik weet het niet, ik ben geen postbode.

Die, zoals ik al in een eerdere reactie al heb genoemd, onder voorwaarden een uitzondering hebben. Vandaar dat ik ook "in principe" benadrukt heb. Ook ethische hackers kunnen hier onder voorwaarden mee weg komen - of die voorwaarden in deze zaak van toepassing zouden zijn geweest, weten we niet.

Dit is waar het een beetje misgaat in jouw hele verhaal. Computervredebreuk is niet het fysiek openen van een computerkast, en niet het binnendringen van een ruimte met een computer erin (dat laatste is gewoon inbraak, insluiping, of huisvredebreuk naar gelang de omstandigheden). Computervredebreuk heeft betrekking op het ongeautoriseerd digitaal/virtueel/op afstand toegang krijgen tot een computersysteem/geautomatiseerd werk en de informatie daarop, en er zijn jaren van gerechtelijke uitspraken die dit ondersteunen.

Het belangrijkste stukje uit de uitspraak:
Met andere woorden: op het moment dat de aanklacht (ook) had gesteld dat de Tielenaar zich ongeautoriseerd toegang had verschaft tot (gedeeltes) van de server waarop de website stond, dan was Artikel 138ab van toepassing geweest en had er een inhoudelijke beoordeling kunnen plaatsvinden over of de acties van de Tielenaar strafbaar waren of niet.

Met andere woorden, het zou best kunnen zijn dat de Tielenaar iets strafbaars heeft gedaan, maar daar is hij niet voor aangeklaagd, daar is dus niet naar gekeken, en vrijspraak is de daarmee de (terechte) uitslag.

Nee, maar de wijze waarop je die informatie hebt verkregen kan wel degelijk "diefstal", "inbraak", "heling" of nog een handjevol strafbare zaken zijn.

Ik probeerde je een aantal voorbeelden te geven van zaken waar geen schade aan te pas komt of hoeft te komen – het soort zaken waarvan jij net aangaf dat je hoopt dat de wetgever die niet strafbaar gaat stellen – die al strafbaar zijn. Maar, goed dat je dat nog even hebt bevestigd. Het criterium "geen schade" is geen criterium voor strafbaarheid.

Enfin, aangezien je er al weer een heleboel bij fantaseert over wat ik gezegd of bedoeld zou hebben binnen en inmiddels zelfs de nazi's er bij hebt gesleept, vind ik het wel weer welletjes. De wet van Godwin enzo.

Succes ermee, we gaan zien hoe deze uitspraak opgepikt wordt in de toekomst.

Een brievenbus is een onderdeel van de deur die wèl beoogt de toegang tot de achterliggende ruimte te beperken. Tegelijk faciliteert de brievenbus het doorgeven van informatie naar de achterliggende ruimte. Daarom is een brievenbus (bedoeling: beperken fysieke toegang èn faciliteren van doorgifte informatie) een betere analogie van een website dan een per abuis openstaande voordeur (bedoeling is dan alleen: beperken fysieke toegang, waarbij er extra wordt aangenomen dat het instrument (de deur) door een menselijke fout of een menselijke keuze deze keer niet gebruikt wordt). De website van de huisartsenpost was wèl in gebruik, en dat was ook de bedoeling van de eigenaar.


De vrijheid van nieuwsgaring en persvrijheid ("vrijheid van drukpers") geldt niet voor een beperkte groep personen (zoals onderzoeksjournalisten - en hoe zou je zo'n groep dan definiëren? Alleen mensen met een vast dienstverband en een officiële functieomschrijving?). Nee, zoals ik al eerder aangaf, met verwijzing naar het eerdergenoemde interview met Glenn Greenwald, gaat het om de bescherming van nieuwsgaring en persvrijheid als activiteit. Dat negeer jij nu opnieuw.

In een democratische rechtsstaat hebben mensen een grondrecht om vrijelijk aan nieuwsgaring en meningsuiting te doen.

Zo wordt het in de wet tot op heden wel gedefinieerd, en dat lijkt me maatgevend.

In Artikel 138ab, eerste lid, wordt gesproken van de middelen waarmee strafbare binnendringing mogelijk kan worden gemaakt (de door jou in jouw voorlaatste posting geciteerde onderdelen a t/m d). Maar dat maakt nog niet dat de inzet van die middelen voor iets anders, namelijk alleen communicatie met het geautomatiseerde werk, opeens ook strafbaar zou zijn. Een hamer kan bijvoorbeeld gebruikt worden om keurig legaal een kastje te timmeren, of om wederrechtelijk de voordeur van een huis kapot te maken. Dit maakt het gebruik van een hamer op zichzelf nog niet strafbaar.


Graag krijg ik dan een verwijzing naar de gerechtelijke uitspraken die dit volgens jou ondersteunen.

Jij wilt graag afwijken van de wettelijke definitie die nu in het Wetboek van Strafrecht staat, en dan zeg je dat het zo "is". Op die manier kan ik ook wel zeggen: "Computervredebreuk is als je een computer pijn doet en die roept au!" Dat zou leuk gefantaseerd zijn, maar dat staat (tot op heden) niet in de wet.

Er is allerlei literatuur en films over sensitieve, bijna menselijke robots. Bijvoorbeeld de roman "Klara en de zon" van Kazuo Ishiguro, of de Scandinavische televisieserie "Real Humans". Of voor mijn part "Blade Runner 2049". Maar de server (het geautomatiseerde werk) en de website van de huisartsenpost waar de Tielenaar signalen mee uitwisselde, lijken me toch echt iets heel anders. Je hebt bijvoorbeeld niet aannemelijk gemaakt dat het daarbij zou gaan om een werk dat gelijk gesteld zou moeten worden aan een levend wezen in wiens "geest" men door middel van uitsluitend communicatie (de uitwisseling van signalen) zou kunnen "doordringen".

Ik sluit niet uit dat een dergelijk magisch geloof inmiddels ook door sommige Nederlandse rechters wordt aangehangen. Maar het Gerechtshof Den Haag en de Hoge Raad lijken hun gezonde verstand op dit punt nog niet te zijn kwijtgeraakt.


Zoals ik in mijn vorige posting ook al aangaf, maar waar je niet op ingaat, denk ik dat bij een gezonde uitleg van de wet ook artikel 138ab een binnendringen van het fysieke werk (bijv. de server of het gebouw van de server) vereist, of een verstoring van het functioneren van dat werk, voordat er sprake is van een strafbaar feit.

Je scheert hier ten onrechte "lezen" (m.a.w. informatie waarnemen) en "zich toegang verschaffen tot" over één kam. Ik zal het je nog een keer duidelijk proberen te maken.

Stel, je hebt een biblotheek met een etalage. In de bibliotheek staan boeken, en in de etalage staan ook boeken. Als ik het slot van de bibliotheek forceer, daar binnendring, een boek uit de kast pak en het ga lezen, dan ben ik strafbaar omdat ik de bibliotheek ben binnengedrongen, maar niet omdat ik dat boek ben gaan lezen. Als ik voorbij de etalage loop en daar staat een opengeslagen boek in, en ik lees die pagina, dan ben ik niet strafbaar. Want dan ben ik die bibliotheek niet binnengedrongen.

Dit is puur speculatief, wat je hier zegt ("Het zou best kunnen zijn dat...") Maar eerder poneerde je deze speculatie nog heel stellig. Strafrechters veroordelen (althans in een democratische rechtsstaat) geen mensen op grond van speculaties.

Dat kan, maar in dit geval was het niet zo. Dat is wat het Gerechtshof en de Hoge Raad hebben geconstateerd. Ze hebben bijvoorbeeld niet iets gezegd in de geest van: "Er is onvoldoende bewijs dat de Tielenaar in het geautomatiseerde werk is binnengedrongen." In plaats daarvan hebben ze duidelijk gezegd: "Er is niet gebleken dat de Tielenaar een geautomatiseerd werk is binnengedrongen zoals bedoeld het Wetboek van Strafrecht."

Jij wilt graag iets strafbaar gesteld zien wat dat nu nog niet is. Jij wilt dat bereiken door het concept "computervredebreuk" breder te maken dan wat er nu in de wet (art. 138ab Sr.) is opgenomen, namelijk door "toegang tot een geautomatiseerd werk" ruimer op te vatten, namelijk alsof dit ook betekent: "communicatie op afstand met een geautomatiseerd werk". Het door jou gewenste criterium lijkt te zijn dat als een geautomatiseerd werk reageert op signalen, de zender van die signalen dan dus "toegang" zou hebben verkregen tot het betreffende geautomatiseerde werk, en dat die "toegang" dan moet worden opgevat als "wederrechtelijk" als de eigenaar van het geautomatiseerde werk liever niet had gewild dat het geautomatiseerde werk die signalen had ontvangen.

Dat is een wens van jou. Dit lijkt mij een zeer onverstandige wens, omdat dit het recht op vrije nieuwsgaring en persvrijheid zou ondermijnen. En ook omdat het een volgende stap zou zijn op de heilloze weg om informatie als een soort materieel bezit op te gaan vatten, in plaats van iets dat in beginsel vrij mag stromen.

Gezien de kwetsbare staat van onze rechtsstaat, de politieke digitaliseringsmanie en de opkomst en verbreiding van een autoritaire en technocratische mentaliteit, sluit ik niet uit dat jouw wens in de (nabije of verdere) toekomst helaas vervuld zal worden (bijv. door magisch denkende rechters die een boek of een computer verwarren met een omgeving, of door rechters die voorstander zijn van een verbod tot communicatie met websites voorzover die websiteeigenaren niet bevalt), met alle vrijheidsbeperkende en dehumaniserende effecten vandien.


Ik heb niet beweerd dat "geen schade" op dit moment wel of niet een criterium is voor strafbaarheid. De criteria voor strafbaarheid staan vermeld in het Wetboek van Strafrecht, de Opiumwet e.d. In sommige gevallen is het toebrengen van schade overigens wel degelijk strafbaar gesteld, Denk bijvoorbeeld aan artikel 103a Sr. of artikel 117 lid 2 Sr. Ik vermoed dat bijvoorbeeld ook vernieling van publiek of ander eigendom strafbaar is gesteld (maar heb even geen puf om het op te zoeken, het Wetboek van Strafrecht is nogal lang). Wat ik wel heb gedaan, is de hoop uitspreken dat de wetgever geen gedragingen strafbaar stelt voorzover die gedragingen niet leiden tot, of serieus risico opleveren op schade.

Meer in het algemeen zie ik in het Wetboek van Strafrecht drie elementen telkens terugkomen (expliciet of impliciet) in de omschrijvingen van daarin opgenomen strafbare feiten (d.w.z. gedragingen):
-- opzet (oogmerk);
-- ordeverstoring (incl. het veroorzaken van risico op schade);
-- schade (als gevolg van een gedraging - het kan gaan om materiële of immateriële schade).

Zoals eerder gezegd, heeft de Tielenaar (voor zover nu bekend) geen schade aangericht, maar signalen uitgewisseld met een geautomatiseerd werk. Voor zover bekend heeft de Tielenaar ook geen informatie uit dat werk "afgetapt" of "opgenomen" (zie bijv. art. 139c, eerste lid Sr.), maar alleen als persoon geconstateerd dat het mogelijk was om dat te doen.

Uit het feit dat de signalen die de Tielenaar met het geautomatiseerde werk uitwisselde, de eigenaar van dat werk onwelgevallig waren en leidden tot gedragingen van het werk die de eigenaar daarvan onwelgevallig waren, kan mijns inzien niet worden afgeleid dat de Tielenaar dat werk zou zijn "binnengedrongen" of zichzelf tot het werk "toegang" zou hebben verschaft.

Stel bijvoorbeeld dat ik ga flirten met iemand. Die iemand reageert daar geamuseerd op en wisselt wat informatie met mij uit. Vervolgens stap ik naar de nogal bezitterig ingestelde partner van diegene en vertel hem/haar: "Hé, jouw geliefde staat wel open voor een flirt, bijvoorbeeld met mij. Tegen betaling van 20.000 euro wil ik je wel helpen door je een instrument aan te reiken waarmee je kunt voorkomen dat jouw partner dat nog een keer doet, bijvoorbeeld met iemand anders die hem/haar dan misschien zou verleiden om het bed in te duiken. Ik heb voor jou in de aanbieding: een muilkorf, een burka en technieken voor psychologische beïnvloeding. Zo kun jij jouw partner kuis houden."

Heb ik dan een strafbaar feit gepleegd? Ik vind van niet. Het zou uitermate onaardig zijn als ik dat zou doen. Maar strafbaar? Nee. Een flirt is namelijk niet hetzelfde als een beroving of een verkrachting. Ik ben blij dat flirten in Nederland niet strafbaar is gesteld.

Als je een geautomatiseerd werk ziet als een verlengstuk van de eigenaar daarvan, dan moet het toegestaan blijven om met die eigenaar te communiceren via dat verlengstuk. Je mag het verlengstuk niet beschadigen en niet stelen. Maar je mag er wel mee communiceren. Als de eigenaar dat niet wil, dan moet hij communicatie met dat verlengstuk niet zelf aanbieden aan passanten in de openbare ruimte (bijv. via een website op internet).

M.J.

Gewoon dom van de Officier van Justitie. Software werkt niet zonder hardware. Een website of webapplicatie hacken kan dus ook niet zonder binnen te dringen op een geautomatiseerd werk. Gewoon verkeerd geformuleerd en de rechtspraak kijkt naar de letter van de wet. Het handelen van criminelen wordt niet beoordeeld. Er wordt enkel gekeken of de tenlastelegging is bewezen. Dat is ook de reden dat de criminelen zo laag gestraft worden. Er wordt nooit naar alle gepleegde misdrijven gekeken

"Binnendringen op" kan niet. Je dringt ook niet binnen op je toetsenbord. Trouwens ook niet in je toetsenbord, behalve als je met een drilboor typt.


Mee eens. De verantwoordelijkheid voor de informatie op een geautomatiseerd werk /website ligt bij de eigenaar.

Misschien moet je even naar de definitie kijken van binnendringen bij 138ab WvS, voordat je domme dingen zegt. Het heeft iig niets te maken met fysiek ergens iets insteken in dit geval.

N.a.v. een ander artikel op deze site vandaag 09-04-2024 (https://www.security.nl/posting/837232/Juridisch+adviseur+krijgt+taakstraf+voor+illegaal+inloggen+op+Outlook+werkgever) ben ik hier even teruggekomen en zie jouw opmerking van 02-04-2024 staan.

Je roept dat @Anoniem op 29-03-2024 om 15:07 uur "domme dingen" zegt, maar je verklaart niet waarom. Je verwijst zonder nadere toelichting naar de definitie van de term "binnendringen" in 138ab Sr. Die definitie luidt als volgt:


Ad a. Je geeft niet aan wat er volgens jou onder het "doorbreken" van een beveiliging moet worden verstaan, en ook niet wat er onder een "beveiliging" zelf moet worden verstaan.

Een "beveiliging" is niet hetzelfde als een "verwachting" van de eigenaar van een geautomatiseerd werk dat een bezoeker van een website op een bepaalde manier zal reageren op bepaalde (bijv. impliciete) signalen die worden gegenereerd door die website. Daarnaast is een "beveiliging" niet hetzelfde als een (expliciete) aankondiging dat "ik niet wil dat u zus-of-zo doet".

Het "doorbreken" van iets is op zichzelf niet strafbaar, bijvoorbeeld het "doorbreken van een verwachting". Ook het "negeren van een wens" of van een "bedoeling" is op zichzelf niet strafbaar. Als onderzoeksjournalisten altijd de wensen van belasting ontwijkende oligarchen zouden respecteren, dan zou die belastingontwijking nooit aan het licht zijn gekomen, om maar een voorbeeld te noemen.

Het forceren van een fysiek slot is het doorbreken van een beveiliging. Maar daarvan is in het geval van de Tielenaar geen sprake geweest.

Ad b. Wat er met een "technische ingreep" door de wetgever bedoeld wordt, blijkt niet uit deze wetstekst. Als de wetgever doelt op een fysieke ingreep, lijkt het me wel duidelijk - bijvoorbeeld als er een fysiek slot wordt geforceerd, of als het scharnier van een deur wordt doorgezaagd. Maar als het gaat om een uitwisseling van signalen tussen een website en iemand die met die website communiceert, is het onduidelijk waar de grens ligt tussen enerzijds "communicatie" en anderzijds "een technische ingreep".

Stel bijvoorbeeld dat persoon A via een analoge telefonische verbinding (koperdraad) persoon B ertoe overhaalt om bepaalde informatie te verschaffen. Is dat een "technische ingreep"? Nee, er is alleen sprake van communicatie. Stel nu dat persoon A via een digitale telefonische verbinding persoon B ertoe overhaalt om bepaalde informatie te verschaffen. Is het dan opeens wèl een "technische ingreep" geworden? Nee, nog steeds niet, het is nog steeds communicatie. Stel nu dat persoon A via een internetverbinding een website zover krijgt om bepaalde informatie te verschaffen, wordt het dan opeens een "technische ingreep"? Nee, ook niet. Het is nog steeds gewoon communicatie.

Ad c. Je onderbouwt niet wat er "vals" zou zijn geweest aan de signalen die de Tielenaar naar de website van de huisartsenpost heeft verzonden. Een vermoeden dat bepaalde signalen tot een door de eigenaar ongewenst resultaat zouden leiden, is niet voldoende om signalen te karakteriseren als "vals". De Tielenaar heeft (voor zover bekend) niet geprobeerd de website-eigenaar te bedriegen, maar alleen om informatie te krijgen.

Ad d. Voor zover bekend, heeft de Tielenaar ook geen "valse hoedanigheid" aangenomen. Voor zover bekend, beperkte de website de verstrekking van de betreffende informatie ook niet tot "mensen met een bepaalde hoedanigheid".

Kortom, je roept zelf maar iets doms. De Hoge Raad heeft duidelijk gemaakt dat het bij een "geautomatiseerd werk" om een fysieke entiteit gaat. Per definitie houdt het "binnendringen" van een fysieke entiteit in dat de buitengrenzen van die entiteit op fysieke wijze worden gepasseerd. Daar gaat het dus wel degelijk om, anders dan jij zonder enige onderbouwing beweert.

M.J.

@M.J. Het kan natuurlijk dat je per ongeluk iets doms zegt. Dat betekent niet dat je dom bent. Maar als je er zoveel tijd in steekt een dan met nog meer onzin aankomt...

Het heeft dus niets met fysiek binnendringen te maken. Ten opzichte van je laatste gereutel: iedereen die niet de eigenaar is of expliciete toestemming heeft, mag niet in een beheer gedeelte komen. Per ongeluk is sowieso al onwaarschijnlijk omdat er nooit een klikbare link naar toe is en omdat het niet bereikbaar is door een tikfout in de url. Dus opzettelijk een wederrechtelijk en dus strafbaar.
Ik zal voorbeelden voor je geven:
Ad a: wachtwoord kraken
Ad b: gebruik van een exploit
Ad c: gebruik van een account van een ander
Ad d: al toegang hebben, maar die toegang misbruiken

Een website werkt niet zonder server en een server werkt niet zonder software. Binnendringen op de website op een van bovenstaande manieren kan dus ook niet zonder server. De Hoge Raad weet dat ook, maar oordeelt op basis van de feiten uin de stukken en dat wordt daarin kennelijk niet in genoemd. Dus foutje van OM. Ik zou zeggen dat dat feiten van algemene bekendheid zijn, maar M.J. bewijst helaas het tegendeel.

Er kruipt niets fysieks door een glasvezelkabel naar binnen. Val anderen niet lastig met je onzin en onkunde

@Anoniem op 14-04-2024 oom 20:38 uur.

Inmiddels heeft een @Anoniem (jij of iemand anders) in het topic onder https://www.security.nl/posting/837232/Juridisch+adviseur+krijgt+taakstraf+voor+illegaal+inloggen+op+Outlook+werkgever, posting op 17-04-2024 om 16:49 uur, verwezen naar een andere uitspraak van de Hoge Raad, waarin die expliciet lijkt aan te geven dat de term "binnendringen in een geautomatiseerd werk" in het strafrecht ruimer moet worden opgevat, dus inderdaad ook wanneer iemand een signaal stuurt naar een fysiek apparaat en het fysieke apparaat reageert daarop. Het cruciale criterium lijkt te zijn (ook in het denken van de Hoge Raad) of de eigenaar van het fysieke apparaat dat signaal ongewenst vindt en niet had willen ontvangen - wanneer dat het geval is, wordt het signaal beschouwd als een vorm van "wederrechtelijk binnendringen" en strafbaar gesteld.

Als een signaal door de eigenaar wel gewenst wordt, dan lijkt het signaal te worden opgevat als bona fide "communicatie" of het "bezoeken" van het apparaat ("geautomatiseerde werk") of de website.

In reactie daarop schreef ik in dat topic (op 17-04-2024 om 19:34 uur) daarover het volgende:


Wat ik me afvraag, is waar jouw woede vandaan komt. Je hebt het over mijn "gereutel" en je zegt: "Val anderen niet lastig met je onzin en onkunde."

Irriteert het jou dat ik het magische denken (het geloof dat een virtuele "wereld" die d.m.v. codes op apparaten kan worden geproduceerd, op de één of andere manier gelijkgesteld kan worden aan de echte, fysieke wereld) bekritiseer waaraan zoveel IT-nerds zich inmiddels overgeven?

Vind je het bijvoorbeeld ook irritant als ik zeg dat hetgene wat allerlei IT-nerds "Artificial Intelligence" (AI) noemen, in feite niet meer is dan "Complex Automated Calculations" (CAC)? Fanatieke aanhangers van religies zijn door de hele geschiedenis heen vaak onverdraagzaam geweest, er mocht niet getornd worden aan de "zekerheden" van hun geloof. Misschien geldt dat ook voor aanhangers van de steeds dominantere tech-religie.

Als een religie zich speciale, juridische voorrechten weet te verwerven, dan is het tijd voor waakzaamheid.

Jouw voorbeelden van strafbaar gestelde gedragingen
Jij noemt de volgende gedragingen die inmiddels (kennelijk) strafbaar zijn gesteld:


Dit roept de vraag op waarom die zaken, zoals jij ze noemt, op zichzelf strafbaar zouden moeten zijn. Ik bespreek de vier door jou genoemde voorbeelden van de toepassing van artikel 138ab Wetboek van Strafrecht:

"a. Doorbreken beveiliging. Ad a: wachtwoord kraken". Waarschijnlijk omvat dit volgens jou ook: "Wachtwoord raden" (bijvoorbeeld als iemand zo dom is om een wachtwoord in te stellen als "Welkom" of "1234" of z'n eigen geboortedatum of zoiets. Waarom zou dit op zichzelf strafbaar gesteld hoeven te worden?

Stel ik kom een persoon tegen en ik slaag erin om, door middel van een beetje deductie, diens geboortedatum te achterhalen, waardoor ik weet wanneer diegene jarig is, om hem/haar dan te kunnen verrassen met een verjaardagscadeautje. Heb ik dan op wederrechtelijke wijze "een beveiliging doorbroken"? Nee, natuurlijk niet. Maar als het om de computer van diegene gaat, dan wordt het opeens strafbaar gesteld. Waarom? Om de eigenaar van die computer te beschermen als die zelf onvoldoende verantwoordelijkheid heeft genomen voor het beveiligen van zijn/haar gegevens.

Als iemand zijn fiets ergens in de stad achterlaat zonder hem op slot te zetten, en iemand anders steelt hem, dan is die ander strafbaar (ook al wordt daarop in de praktijk niet gehandhaafd). Het meenemen van de fiets is een fysieke handeling. Als iemand een deur fysiek forceert om ergens naar binnen te kunnen, is dat ook strafbaar. Maar als iemand de klep van een brievenbus opent om naar binnen te turen in de gang daarachter, dan is dat op zichzelf niet strafbaar. Dat is een belangrijk verschil. Als het klopt wat jij zegt, namelijk dat "het kraken" (of raden) van een wachtwoord op zichzelf al strafbaar is, dan is het Nederlandse strafrecht een bedenkelijke weg ingeslagen.

"b door een technische ingreep. Ad b: gebruik van een exploit". Een exploit kan als volgt worden omschreven (Wikipedia):


Twee woorden springen er in deze omschrijving uit: "ongewenst gedrag" (van de computer) en "kwetsbaarheid" (van de software). Dit laat zien dat tech-gelovigen de verantwoordelijkheid voor het gedrag van de computer willen leggen bij degene die dit gedrag van buitenaf weet te beïnvloeden, en niet bij de eigenaar ervan die dat niet wil. De wens van de eigenaar is dan maatgevend voor de vraag of er sprake is van wederrechtelijk gedrag van de bezoeker. Dat is met het oog op rechtsstatelijkheid een zeer dubieuze benadering zodra het niet gaat om een fysieke machtsovername (bijvoorbeeld als ik achter het stuur van de auto van een ander spring en met die auto wegrijd). Immers, waar is de grens tussen "communicatie met" en "binnendringen van" of "overname van"? Het is één ding om ongewenste fysieke handelingen strafbaar te stellen, maar iets heel anders om ongewenste communicatie strafbaar te stellen.

Het idee dat software "kwetsbaar" zou kunnen zijn, is een vorm van magisch denken. Niet de software is kwetsbaar, maar de eigenaar of gebruiker daarvan. Software kan "beïnvloedbaar" zijn, maar dat is iets anders.

"c. met behulp van valse signalen of een valse sleutel. Ad c: gebruik van een account van een ander"
Hier stel je het gebruik van een account van een ander gelijk aan het gebruik van valse signalen of een valse sleutel. Maar dat hoeft helemaal niet zo te zijn. Denk bijvoorbeeld aan de mantelzorgers die het account van een dementerend familielid gebruiken om bepaalde zaken voor diegene te regelen. Dat was geen probleem (het was vergelijkbaar met het duwen van iemand anders' rolstoel), totdat het strafbaar werd gesteld. Momenteel worden er door de minister "oplossingen" voor dit door de overheid gecreëerde probleem gezocht, en wordt er vooralsnog niet gehandhaafd. Maar wat is het probleem hier nu eigenlijk? Het probleem is de strafbaarstelling zelf, niet "het gebruik van het account door een ander". Er is geen sprake van "valsheid" of "bedrog", maar van zorgverlening.

Het gaat hier om een onwenselijke juridisering van menselijke verhoudingen, die samengaat met een technocratisering van menselijke verhoudingen. Tech-nerds vinden dat vaak prima, die gedijen daar goed bij. Het maakt hen belangrijker en schept mogelijkheden voor nog meer technificatie, waarmee geld kan worden verdiend. Maar voor heel veel mensen is het een gruwel. Het maakt zorgverlening niet makkelijker, maar juist nog moeilijker en zwaarder.

"d. door het aannemen van een valse hoedanigheid. Ad d: al toegang hebben, maar die toegang misbruiken". Je stelt hier het "misbruik van toegang" ten onrechte gelijk aan "het aannemen van een valse hoedanigheid". Iemand die onder eigen naam inlogt op een computersysteem van zijn/haar werkgever, terwijl hij/zij kan vermoeden dat de werkgever dat niet zou willen, misbruikt mischien de toegang die hij/zij heeft, maar doet dat niet onder een valse hoedanigheid.

Tenzij rechters magisch gaan denken en "het ongewenst gebruiken van een echte hoedanigheid" simpelweg gelijk gaan stellen aan "het aannemen van een valse hoedanigheid". Gewoon, omdat die rechter wil straffen en dus een stok wil vinden om een hond mee te slaan. Helaas heb ik moeten constateren dat Nederlandse rechtspraak zich heden ten dage soms verlaagt tot een dergelijk niveau. Het wordt dan een soort Middeleeuwse rechtspraak.

Als je zelf een zaak voert voor een rechtbank, is het niet verstandig zoiets hardop te zeggen, want dat wordt dan door zo'n Middeleeuwse rechter al gauw afgestraft. In de praktijk oordelen rechters vaak op grond van hun eigen subjectieve gevoelens, waar ze dan vervolgens een juridische verklaring voor verzinnen.

Als je dan in hoger beroep zo'n juridische verklaring doorprikt, met onderbouwing van argumenten, dan zie je vaak dat hogere rechters dat ofwel negeren (in hun uitspraak doen ze dan alsof dat niet gezegd is), ofwel naarstig gaan zoeken naar nieuwe argumenten om toch tot dezelfde uitkomst te kunnen komen. In de loop der tijd ben ik Nederlandse rechtspraak steeds meer gaan zien als een retorisch spel dat wordt gespeeld door regenten die ten behoeve daarvan de rol van "rechter" hebben aangenomen.

De wet is in zo'n spel niet primair een leidraad meer, maar vooral een instrument dat door rechters gebruikt wordt om bestuurlijk-regentesk gewenste uitkomsten met woorden te rechtvaardigen, om zo het volk rustig en gehoorzaam te houden.

Inmiddels krijgen steeds meer mensen door hoe dat spel ongeveer wordt gespeeld. Vandaar een toenemende volkswoede over wat dan "D66-rechters" wordt genoemd.

M.J.

Hoi M.J.. er blijft maar onzin uit je komen. Zal nog een keer proberen om dat door te laten dringen bij jou. Als je punten kloppen niet een daarnaast mis je ook nog het punt. Ik zal alleen jouw a verbeteren, want als je het dan nog niet doorhebt, ben je toch niet te helpen.
Als je onder valse voorwendselen iemand zijn geboortedatum ontfutseld, is dat wel degelijk strafbaar. In juridische termen het dat een valse hoedanigheid aannemen om iemand te bewegen gegevens af te staan. Zie 326 strafrecht (met je "tuurlijk niet"). In de cybercrime wordt dat ook wel phishing genoemd. 100% strafbaar.
Dat is vergelijkbaar met iemand op basis van leugens en bedrog zijn huissleutel af te laten geven. Natuurlijk heb je nog niet ingebroken, maar je bent weldegelijk strafbaar. Pas als je de sleutel gebruikt bel je in. Ja, intrekken ja. Door gebruik te maken van een valse sleutel. Ja, vals. Want niet rechtmatig in jouw bezit.
Bij computers kan je ook op afstand inbreken. Ik dacht dat iedereen dat wist, naar jij wist dat dus ook niet, gezien je onzin.

Maar voor helemaal speciaal voor jou: als je dan jouw op strafbare wijze verkregen gegevens gebruikt om binnen te dringen, dan toets de software of jouw gegevens overeenkomen met het wachtwoord (extra speciaal voor jou: of de sleutel past), maar die software kan dat niet zonder hardware. Net als bij een slot kan je niet kijken of de sleutel past zonder dat te proberen. Je kan dus ook niet weten of de op strafbare wijze verkregen gegevens te gebruiken zijn als wachtwoord zonder dat in te vullen. Allemaal van begin tot einde een (poging tot een) misdrijf.

Het punt was dus: geen software zonder hardware of, weer in topic, geen website zonder server en dus geen website zonder elektronisch werk.