Een Amerikaans Hof van Beroep heeft geoordeeld dat een werknemer die met kwade bedoelingen toegang zoekt tot een bedrijfscomputer, hierdoor nog niet automatisch schuldig is aan overtreding van de anti-hackwet. Dat meldde Tweakers afgelopen zondag. (En ja, Tweakers kwam met het woord “hackers” dus de discussie over cracker versus hacker mag u daar voeren.) Belangrijk ook voor de Nederlandse praktijk; ik ken een paar gevallen waar Nederlandse werkgevers dezelfde claim legden.
Wat was er precies gebeurd? Een werknemer van het bedrijf LVRC had op zijn laatste werkdag allerlei bestanden met bedrijfsinformatie naar zichzelf gemaild. Volgens Ars Technica wilde hij die gegevens hebben omdat hij LVRC wilde opkopen, en dan zijn gegevens zoals de jaarcijfers wel erg handig in de onderhandelingen.
Niet netjes, en waarschijnlijk wel strafbaar onder diverse wetten (diefstal van bedrijfsgeheimen bijvoorbeeld), maar het bedrijf vond dit een overtreding van de federale Computer Fraud and Abuse Act, zeg maar de Wet Computercriminaliteit, en eiste schadevergoeding in een civiele procedure omdat zij hierdoor benadeeld werd. Het argument daarbij was dat de werknemer niet geautoriseerd was om die gegevens naar zichzelf te mailen (ook al kon hij erbij) zodat hij “without authorization” handelde.
De CFAA stelt strafbaar om “without authorization” oftewel “zonder toestemming” binnen te dringen in een computersysteem, waar bij ons “wederrechtelijk” in de wet staat. Ons begrip is daarmee iets breder, maar voor deze discussie maakt dat niet uit. Want het argument van dit Amerikaanse Hof gaat bij ons ook prima op: een werkgever geeft zijn werknemers toestemming om de werk-PC te gebruiken en op het netwerk te gaan om daar bestanden in te zien. Daarmee heeft die werknemer een recht om daar te zijn. Mooie analogie op Tweakers: als je de sleutel hebt dan kun je niet bestraft worden voor inbreken.
Hier maakte de werknemer oneigenlijk gebruik van het recht, maar daarmee is dat recht nog niet vervallen. Hij mag bestanden inzien, en daarmee is de toestemming gegeven. Pas als je je toestemming te buiten gaat, oftewel ergens komt waar je niet mag zijn, is sprake van “without authorization”. Dus bijvoorbeeld als je het wachtwoord van je secretaresse gebruikt om bij haar bestanden te komen, of een netwerkshare opent die de naam van een andere afdeling draagt. Daar hoor je niet te zijn, en dat moet je weten gezien de omstandigheden.
In hun arrest schreven de rechters:
we hold that a person uses a computer “without authorization” under §§ 1030(a)(2) and (4) when the person has not received per- mission to use the computer for any purpose (such as when a hacker accesses someone’s computer without any permis- sion), or when the employer has rescinded permission to access the computer and the defendant uses the computer any- way.
Mijns inziens zou dit in Nederland ook op moeten gaan. Werknemers die gegevens naar zichzelf mailen of andere ongewenste zaken daarmee uithalen, kun je dus niet via de Wet Computercriminaliteit aanpakken. Het is ongetwijfeld grond voor ontslag op staande voet (slecht werknemerschap, overtreding ICT-reglement) en afhankelijk van wat hij doet met de gegevens kan het ook een schending van geheimhouding (art. 273 Strafrecht) zijn. Maar computervredebreuk? Nee.
Arnoud
“als je de sleutel hebt dan kun je niet bestraft worden voor inbreken”.
Dat is niet geheel correct. artikel 138a lid 1 Sr. Lid 1 luidt:
Hij die (1) opzettelijk en (2) wederrechtelijk (3) binnendringt (4) in een geautomatiseerd werk of in een deel daarvan. Van (3) binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
(…) met behulp van valse signalen of een valse sleutel (…).
Als jij niet de rechthebbende bent op de sleutel, dan wordt dit ook aangemerkt als een “valse sleutel”. Een dief die gebruik maakt van een echte sleutel, of een echte log-in code of wachtwoord, pleegt nog steeds computervredebreuk. Dus zelfs als je de sleutel hebt, kun je nog steeds gestraft worden voor inbreken.
Ik had het over ouderwets inbreken in een huis 🙂 Daarvan kan geen sprake zijn als jij de sleutel hebt gekregen van de eigenaar. Bv. de schoonmaakster of een onderhoudsmonteur. Die mag naar binnen, en het wordt geen inbraak als de CV-monteur in de slaapkamer gaat rondsnuffelen.
Werknemers die gegevens naar zichzelf mailen of andere ongewenste zaken daarmee uithalen, kun je dus niet via de Wet Computercriminaliteit aanpakken. Ik hik tegen het woord ?gegevens?. Zou je stelling ook opgaan als er staat bestanden? (achtegrond: voor mij is gegevens iets statisch. Bij bestanden denk ik ook aan executables)
Ik zou niet weten waarom “bestanden” of “gegevens” verschillende uitkomsten zou geven. Waar het om gaat, is dat een werknemer in principe bepaalde zaken en bepaalde gegevens/data/informatie/bestanden mag inzien en daarmee geen computervredebreuk pleegt als hij ze inzien.
Het is verstandig om met argumenten van buitenlandse rechter voorzichtig te zijn. Zelfs als de wet exact het zelfde in elkaar steekt kunnen rechter toch heel anders denken over de uitvoering daarvan.
Als de schoonmaakster met haar (jouw) sleutel bij je binnenkomt voor iets heel anders dan schoonmaken (en zonder toestemming e.d.) kan ik me wel voorstellen dat er sprake is van “binnendringen” in de zin van art. 138 Sr.
De CV-monteur die binnenkomt om de CV te repareren en daarbij wat meer rondsnuffelt dan nodig is lijkt me inderdaad niet te zijn “binnengedrongen”.
Ah, volgens mij is dit precies wat je bedoelt met de toestemming te buiten gaan. De CV-monteur gaat bij het gebruikmaken van de sleutel de hem gegeven toestemming niet te buiten. De schoonmaakster doet dat in mijn voorbeeld wel.