Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ik begreep dat het niet illegaal is om een router te hacken en daarmee internet op te gaan. Nu vroeg ik me af, geldt dat ook bij betaalde diensten zoals internet in een hotel?

In maart heeft het gerechtshof Den Haag geoordeeld dat meesurfen met de buren geen computervredebreuk is. Het argument was dat een router/modem niet voldoet aan de definitie van ‘geautomatiseerd werk’ van de strafwet, zodat inbreken op zo’n apparaat niet strafbaar is. Bij het strafrecht worden definities streng toegepast, om te voorkomen dat je gestraft wordt voor iets dat niet duidelijk in de wet staat.

Velen vinden dit te streng (ik ook) en er is cassatie bij de Hoge Raad ingesteld. Ik zou dus niet heel hard op deze uitspraak durven vertrouwen.

Bij betaalde toegang tot internet is computervredebreuk niet het enige artikel dat je zou kunnen overtreden. Het kraken van een betáálinterface is echter apart strafbaar gesteld. Artikel 326c Strafrecht verbiedt het gebruik maken van een dienst die via telecommunicatie aan het publiek wordt aangeboden, als je dat doet met het oogmerk daarvoor niet volledig te betalen en wel door een technische ingreep of met behulp van valse signalen.

Dit artikel gaat primair over betaaltelevisie en dergelijke diensten, maar het lijkt me ook prima op te gaan voor betaalde internettoegang in hotels, restaurants etcetera. Ik zou dus niet aanraden een betaalde hotspotdienst te kraken, ook niet met deze uitspraak.

En dan nog een persoonlijke frustratie: wáárom is internet altijd zo kneiterduur in hotels? En dan met name in de duurdere hotels: ik heb kamers van 80 euro mét gratis internet gehad en kamers van 250 euro waar internet 7,95 per uur was.

Arnoud
Foto: Jacek Becela, Flickr, CC-BY-SA.

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (”I’ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.

Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.

Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.

Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.

Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!

Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:

een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)

Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt

Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.

In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:

any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data

Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.

Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.

Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.

Arnoud

Ook journalisten moeten zich aan de wet houden. Maar als publicatie een maatschappelijk belang dient, kan het zijn dat de strafwet daarvoor moet wijken. Dit gegeven speelt een belangrijke rol bij publiceren over veiligheidslekken en ICT-problemen. Over dit onderwerp schreef ik een nieuw artikel op Ius mentis, mede gebaseerd op mijn presentatie over legaal hacken uit december vorig jaar.

De strafwet geldt voor iedereen. Het kraken van beveiligingen, inbreken in gebouwen of het wegnemen van documenten is verboden, en daarbij maakt het beroep dat je uitoefent niet uit. Maar onder uitzonderlijke omstandigheden kan een journalist vrijuit gaan met een beroep op de persvrijheid.

Wanneer een publicatie een maatschappelijk belang dient en niet verder gaat dan noodzakelijk voor dat doel, dan kan het toegestaan zijn om in die publicatie bijvoorbeeld te onthullen dat een bepaald systeem onveilig of lek is. Ook zou je onder die omstandigheden geheime of ‘gestolen’ informatie kunnen publiceren. Maar of je met een beroep op de persvrijheid een systeem mag platleggen bij wijze van protest, is een open vraag.

Lees verder in Ethisch en journalistiek verantwoord hacken op Ius mentis. En dan hoor ik graag wat er nog mist

Arnoud

RTL Nederland beschuldigt een student, die een iPhone-applicatie met RTL Gemist-programma’s heeft ontwikkeld, van auteursrechtschending. Dat meldde, gisteren, Nu.nl (met irritante komma’s). Met deze applicatie kunnen de iPad-programmastreams worden opgevraagd vanaf RTL Gemist. Wie vanaf een mobiele telefoon RTL-programma’s wil bekijken, moet (soms) betalen per kijk.

Het is me niet helemaal duidelijk wie er nu voor het eerst “auteursrechtschending” heeft gezegd. De woordvoerder van RTL wordt geciteerd dat men dit “oneigenlijk gebruik” vindt, en dat kan ik ergens wel volgen, maar of het dan ook een schending van de Auteurswet oplevert, is vraag 2.

De streams worden niet gekopieerd of opnieuw uitgezonden. Gebruikers van de app vragen de stream op vanaf hun iPhone, maar deze komt nog steeds direct vanaf de originele plek (de server van RTL). In feite is dit dus niets anders dan een variant op embedded linken - en daarvan is zeer de vraag of het inbreuk op auteursrechten is.

Bovendien is er nóg een wezenlijk verschil: een webpagina met embedded viewer kan door meerdere mensen tegelijk worden bekeken, terwijl de stream op die app maar door één persoon wordt bekeken. Om van auteursrechtinbreuk te spreken, moet sprake zijn van “aanbieden aan een nieuw publiek” en niet van vertonen binnen de privésfeer. Het schermpje van een iPhone lijkt me evident een privéomgeving.

Wel kun je - in analogie met de ZoekMP3, Mininova, Pirate Bay en FTD-zaken - betogen dat dit onrechtmatig is: RTL loopt geld mis, en dat is niet netjes, daarom mag het niet. Maar ik moet zeggen dat ik dat een beetje een zwaktebod vind. Immers zo is alles wel krom te praten: als het concurreert met een “officiële” dienst en de officiële dienst is betaald, dan handelt de concurrent maatschappelijk onzorgvuldig door dat gratis te doen. Nee, dat gaat me te makkelijk.

Arnoud

Afgelopen zaterdag was ik bij hackercommunity Revspace waar ik een half uur mocht praten over computercriminaliteit, hacken en waar de juridische grenzen liggen. Wat is het verschil tussen de TNT-staking en de DDoS?-aanvallen op Paypal? Mag je je eigen bank hacken om te zien of ze wel veilig genoeg zijn voor je geld? En als je de ov-chipkaart gekraakt hebt, mag je dan als proof of concept ermee gaan reizen? De wet stelt grenzen aan ethisch hacken, maar is niet zwart-wit. Dezelfde handeling kan legaal of illegaal zijn afhankelijk van je intentie en de omstandigheden waaronder je deze begaat.

Kijk en luister een half uur lang:

Ik vind mezelf wel steeds meer klinken als Koos Spee :O

Arnoud

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart.

De rechter spreekt van “binnendringen in de chip” van de OV-kaart. Omdat deze eigendom is van Trans Link Systems, wordt daarmee in andermans computersysteem binnengedrongen en dat is strafbaar. Ik vind dat een hoogst merkwaardige uitleg. Zo is dit wetsartikel niet bedoeld. En het zou betekenen dat simlocks verwijderen óók illegaal is, wanneer de telecomboer je de SIM maar in bruikleen geeft in plaats van verkoopt. De rechter had in 2002 al geoordeeld dat dat niet opgaat.

Wel terecht is de beschuldiging van het valselijk opmaken van een betaalkaart (art. 232 Strafrecht). Met de OV-chipkaart kun je immers betalen voor een dienst, en het namaken van zulke betaalmiddelen is (terecht) strafbaar.

Het verweer van de man dat hij alleen de zwakheden wilde blootleggen in de kaart gaat niet op.

Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen.

Op zich kan het legaal zijn om dingen te kraken om daarmee te laten zien dat we een probleem hebben, maar dan moet je het wel houden bij het kraken en daarna het bedrijf inlichten en/of naar de pers stappen (responsible disclosure). Maar deze man is gewoon gaan reizen met de kaart, en dat is zeer zeker niet de bedoeling bij responsible disclosure.

Arnoud

Een speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd.

Bij Tweakers laat men weten dat men de komende tijd gebruikers wil gaan waarschuwen dat hun pc geïnfecteerd is. En daar is men al mee bezig: klik maar op het plaatje om te zien wat je dan in beeld krijgt (dank aan Com-connect). Je krijgt dus als slachtoffer van dit botnet een redirect naar de server van de nationale recherche, en bent daardoor min of meer verplicht om je PC te gaan opschonen.

Ik vraag me af of dit kan. Het lijkt me niet echt de bedoeling dat de politie bij mensen gaat inbreken immers. Tegelijkertijd lijkt het wel netjes dat de politie je waarschuwt als er iets mis is met je beveiliging en je daardoor slachtoffer van een misdadiger bent geworden. Vroegah kreeg je ook wel eens briefjes door de deur “Tijdens uw afwezigheid stond het keukenraam open” of “Er liggen waardevolle zaken in deze auto, doe dat nou niet”. Zou er daarmee een parallel te trekken zijn?

We kennen in het recht de figuur ‘zaakwaarneming‘. Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming. Het lijkt me dat als dat mag, je ook virtueel naar binnen mag om te zeggen “hoi u heeft een botnet, doe er wat aan”.

Wie trouwens kan uitleggen waarom dit botnet a) 143 servers had en b) al haar servers bij 1 resellertje had staan, mag het zeggen.

Arnoud

Een lezer vroeg me:

Voor een massive multiplayer online strategy game heb ik een nieuwe userinterface ontwikkeld die inlogt (met je normale naam en wachtwoord) op de officiele servers en bepaalde taken in het spel automatiseert. Ik heb deze gemaakt door het netwerkverkeer te observeren, en heb geen code uit de officiële client gebruikt. Nu zie ik dat in de EULA van deze game staat dat je geen bots mag gebruiken, maar is het ook verboden voor mij om bots te verspreiden?

Ik denk niet dat het strafbaar is in de zin dat de politie je arresteert en je de cel in gaat. Wel zou het kunnen zijn dat de dienstaanbieder zegt dat je hen schade berokkent en dat jij die moet vergoeden.

Op zich is het niet verboden software te maken die samenwerkt met andermans software, zolang je geen code overneemt (copypaste of door reverse engineering). Je mag een protocol reverse engineeren en daar dan je eigen client of server voor schrijven, maar niet de client reverse engineeren en klonen. (In de Amerikaanse Glider-zaak ging het erom dat de bot de clientsoftware aanpaste als die in RAM geladen was. Ik vind dat hoogst dubieus als juridisch argument, maar goed dat geldt voor wel meer Amerikaanse zaken.)

Als je software beveiligingsmaatregelen omzeilt, met name als mensen gratis iets kunnen doen dat normaal geld kost, dan ben je mogelijk wel strafbaar. Er zijn regels in de Auteurswet over het omzeilen van kopieerbeveiligingen en ook strafwetten over het omzeilen van een beveiliging voor een betaaldienst.

De aanbieder zou kunnen zeggen dat jouw UI in feite een bot is waarmee mensen valsspelen. Dan kunnen ze je bot bannen. Als dat moeilijk blijkt (omdat jij cloakingtechnieken gaat inbouwen) dan zouden ze kunnen zeggen dat ze nu op kosten gejaagd worden om jouw bot te blokkeren en dat ze die op jou verhalen. Dat kan onrechtmatig zijn immers.

In de praktijk denk ik dat het in Nederland wel meevalt; men blokkeert de bot en gaat over tot de orde van de dag.

Arnoud

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites, www.turkishplace.nl en www.turkplace.nl, in 2009. Die aanvallen waren zo groot dat ook andere klanten van de hostingproviders daar last van ondervonden. Hierdoor kon de rechter een zwaarder artikel uit de kast halen: het veroorzaken van “gemeen gevaar voor goederen of voor de verlening van diensten”, waar tot zes jaar cel op staat.

Uit het vonnis blijkt dat de aanvallen werden ondernomen “omdat hij het niet eens was met de wijze waarop hij door de eigenaren van deze websites werd bejegend.” Nu.nl meldt dat hij stoorde zich aan de inhoud van de Turkse sites, wat niet helemaal hetzelfde is maar het was in ieder geval een flinke forumruzie.

De aanvallen waren zo zwaar dat de (toch relatief grote) providers er grote last van hadden. En daarvoor hebben we artikel 161sexies Strafrecht over het verstoren van de werking van de telecommunicatieinfrastructuur.

De providers [provider 2] en [provider 1] faciliteren het internetverkeer van ruim 50.000 klanten. De infrastructuur van deze providers kan derhalve worden gezien als een vitale infrastructuur. Het is een feit van algemene bekendheid dat het uitvoeren van een (d)dos aanval op een dergelijke vitale infrastructuur vergaande financieel-economische schade tot gevolg kan hebben en een groot aantal klanten kan treffen dat van de diensten van voornoemde providers gebruik maakt. Het is niet voorstelbaar dat de verdachte, gezien zijn kennis en expertise op computergebied, niet heeft onderkend dat de door hem uitgevoerde (d)dos aanvallen gemeen gevaar voor de verlening van diensten teweeg konden brengen.

Tot eenzelfde conclusie kwam de rechtbank in de DoS-kabouterzaak uit 2005.

Naast de denial-of-serviceaanval had de verdachte via een SQL-injectie-exploit logingegevens achterhaald, waarna hij hij een lijst met 1.000 creditcardgegevens had weten te verkrijgen. Dit wordt gezien als overdragen van gegevens “die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking” (art. 139e Strafrecht) zijn verkregen. Het vonnis heeft het over binnenkomen in de “live help” middels een SQL-injectie, wat zomaar deze attack zou kunnen zijn.

Het is me niet duidelijk of die lijst van dezelfde server kwam als waar hij was binnengedrongen. Ik vermoed dat daarom niet is gekozen voor 138a lid 2 Strafrecht, dat een strafverzwaring biedt als je na computervredebreuk gegevens ontvreemdt van het systeem waar je op binnengedrongen bent. Hoewel hij voor het overnemen van gegevens uit de systemen van Fok! weer wel voor overtreding van dit lid 2 wordt veroordeeld.

Eén van die creditcards had de verdachte volgens eigen zeggen gebruikt om een PlayStation mee te kopen. Daar wordt hij echter niet voor veroordeeld, omdat een enkele bekentenis niet genoeg is voor een veroordeling. En dat is wat anders dan “de politie heeft het bewijs niet wettig in handen gekregen” in het Nu.nl artikel.

Wat mij betreft een prima vonnis, waar men toch vrij snel mee is gekomen gezien de technische complexiteit. Een pluimpje voor het Team High Tech Crime lijkt me op zijn plaats dus.

(Ik was trouwens even verrast toen ik op Nu.nl las welke sites het waren, gezien de tijd en de aard van de aanvallen dacht ik dat het de aanvallers op Geenstijl/Dumpert/Spitsnieuws/Tweakers/Fok waren. Ook daar was rond die tijd een zware DoS aanval gaande en werd een SQL database gehackt. Weet iemand wat daarvan terechtgekomen is eigenlijk?)

Arnoud

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud
Foto: Paul Wiegmans.