De politieman die op de diensttelefoon de ‘opsporingsapp’ raadpleegt, moet iedere klik kunnen verantwoorden. Dat las ik in NRC Handelsblad. Ene agent Jan kon dat niet. Hij klikte maar raak: meer dan 6.000 bevragingen in het ‘Basisvoorziening informatie – Integrale bevraging’ (BVI-IB) systeem van de politie, en nog vanaf zijn privételefoon ook. Voor een deel werkgerelateerd – het natrekken van dure auto’s die hij op vakantie langs zag komen – maar ook echt privé, zoals het natrekken van een vriend van zijn zoon en de auto van zijn zwager. En dat werd een zaak wegens, wat krijgen we nou: computervredebreuk. Nee, die moest ik ook drie keer lezen.
Dat je als agent niet zomaar Jan (haha) en alleman gaat bevragen in het informatiesysteem, dat snap ik zeker nog wel. Een disciplinaire straf had me dan ook volkomen logisch geleken. Ook het gebruik van de privételefoon is vast tegen interne regels, dus daar een tik voor op de vingers lag ook wel in de lijn der verwachting. Maar de politie gooide het op computervredebreuk, nadat Jan in beeld was gekomen bij een onderzoek naar een hennepkwekerij en daarbij was gebleken hóe vaak en hóe veel mensen hij in dat systeem onderzocht.
Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen in een computersysteem, terwijl je weet dat je daar niet hoort te zijn. Of je een beveiliging doorbreekt, is al vele jaren niet meer relevant. Als Jan mij dus zijn telefoon geeft, en ik pak die BVI-IB app en ik check de buurman, dan pleeg ik een strafbaar feit. Maar Jan zelf mág die basisvoorziening inzetten, dat is deel van zijn werk. Dus hoe wordt excessief een dienst gebruiken computervredebreuik?
De rechtbank ziet inderdaad een vorm van binnendringen in het opzoekgedrag van Jan:
De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. … Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (…)
Het heeft me nooit lekker gezeten dat ergens mogen inloggen maar dan inhoudelijk te ver gaan, kan leiden tot een strafbaar feit. Want dat is waar dit op neerkomt. Ik snap het achterliggende argument echt wel, maar volgens mij wordt hier echt op een oneigenlijke manier dit misdrijf ingezet om een ernstig ambtsfalen aan te pakken. Want wat is nu “ver te buiten” gaan?
Arnoud
Hoewel hij voor zijn normale werk ‘in principe’ zou mogen inloggen, had hij in dit geval niet eens mogen inloggen voor het doel wat hem nu voor ogen stond (privé gebruik), laat staan gegevens opvragen en dan is computervredebreuk op zich niet zo gek. Analogie: een buschauffeur mag in een bus van de werkgever rijden, maar als hij na werktijd zomaar een bus meeneemt om daarmee privé een weekeindje uit te gaan wordt dat toch een gevalletje joyriding/diefstal net als voor ieder ander die zomaar een bus meeneemt.
Misschien is het een gevalletje joy-riding/diefstal. Maar het is geen gevalletje inbraak.
En daarmee moet je het in dit geval vergelijken (vind ik). Het is net alsof jij je netflix login deelt met al je vrienden. Dan maak je misbruik van de dienst, maar dat is iets tussen jou en netflix, niet tussen jou en het openbaar ministerie.
Om computervredebreuk vast te stellen is de vraag simpel: “Had je jezelf toegang tot het systeem mogen verschaffen.” In dit geval, voor privé gebruik, is het antwoord duidelijk ‘nee’ dus kan computervredebreuk worden geconcludeerd.
Bij Netflix betaal je voor een dienst waarop een contract (of AV) van toepassing is, de schade bij misbruik gaat alleen Netflix aan in de vorm van misgelopen inkomsten. In het besproken geval ligt dit heel anders omdat er a) sprake is van een betaald dienstverband waarbij je een forse verantwoordelijkheid draagt voor gebruik van het ter beschikking gestelde systeem, b) de schade niet alleen de overheid aangaat (imago-schade: kunnen we de politie nog vertrouwen…) maar ook alle personen die in het systeem zijn opgeslagen (of tenminste diegenen waarvan data is opgevraagd). Ik vind dat niet vergelijkbaar met Netflix.
Mijn twijfel is dus of je “voor privégebruik” als kwalificatie voor “toegang” mag lezen. Als ik onder werktijd pauze neem op de binnenplaats (terwijl ik eigenlijk moet werken), ben ik dan wederrechtelijk daar? Steelt de chauffeur de bus als hij er mee naar huis rijdt ipv naar de remise?
Ik ben het eens dat het gaat om een forse verantwoordelijkheid die misbruikt is en zeer gevoelige gegevens. Maar het wetsartikel computervredebreuk kent dat niet als criterium. Iets is cvb als je binnendringt waar je niet mag zijn. Dat kan mijn brakke router zijn of dit informatiesysteem van de politie. Onderscheid tussen die systemen bestaat niet.
Ik zou die bus buiten werktijd meenemen denk ik ook geen “diefstal” noemen. Maar denk ik wel verduistering? Niettemin dan toch wel strafbaar.
Verduistering is (dacht ik) als je het goed al onder je beheer hebt, dus dat zou van toepassing kunnen zijn als je na de dienst met de bus naar huis rijdt terwijl je hem eigenlijk in de remise had moeten zetten. Maar met de sleutels in je bezit een bus uit de remise ophalen terwijl dat niet de bedoeling was en er een weekeindje mee weg gaan lijkt me eerder op diefstal lijken, mogelijk alleen joyriding als je van plan was de bus weer terug te zetten. We dwalen af…
Net als jij, Arnoud, (denk ik), deel ik de twijfel of de intenties, en het al dan niet respecteren van de grenzen mbt gebruik die contractueel bepaald zijn, voldoende zijn om een, op zich niet strafbare toegang, strafbaar te maken.
Ik vind het vaag, en het strafrecht zou dat niet mogen zijn.
Deze Jan de politieman heeft niets heimelijks gedaan, hij kwam gewoon door de voordeur naar binnen, en zijn toegang werd ongetwijfeld registreerd in logbestanden.
Ik denk dat je dit geval zou moeten vergelijken met iemand die printpapier meeneemt van het werk om thuis te gebruiken. Dat is diefstal van printpapier, maar niet wederrechtelijke toegang tot de papiervoorraad. En zeker niet als je ( bij wijze van spreke) nog zegt ‘chef, ik neem een pak paier mee voor thuis’ en de chef reageert niet.
Zo ook in dit geval. Ik kan leven met misbruik van vertrouwelijke gegevens, misbruik van voor het werk ter beschikking gestelde middelen, en dat soort dingen, maar moeten we computervredebreuk nu echt zover oprekken dat dat ‘inloggen om een niet contractueel toegestane reden’ daar ook onder valt?
Toch denk ik dat er voldoende andere analogieën zijn te bedenken. Als eigenaar van een woning heb je een sleutel van de voordeur (vergelijk met kunnen inloggen) en kan je dus makkelijk naar binnen. Maar als je de boel hebt verhuurd kan dat zomaar huisvredebreuk zijn. Je mag er normaal gesproken in, je kan er normaal gesproken in, maar de omstandigheden van het geval maken het opeens toch strafbaar. Op zich zie ik dergelijke parallellen wel met het ICT systeem, maar waarschijnlijk zal een panel van louter juristen het ook nooit helemaal eens worden over de twijfels.
Een huiseigenaar mag zich met zijn sleutel toegang verschaffen tot zijn verhuurde woning, bijvoorbeeld om reparaties te plegen…
Misschien moeten we een analogie maken met een archiefkast. Normaal is de kast op slot, zodat onbevoegden geen toegang hebben. Agent Jan is bevoegd om van materiaal in de kast kennis te nemen en heeft daarom een sleutel van de kast ontvangen. Hij leest dossiers waar hij van af had horen te blijven.
Ik zie daar tal van overtredingen, maar geen inbraak of doorbreken of omzeilen van een beveiliging. Dat een OvJ aan agent Jan “computervredebreuk” ten laste legt lijkt me het schoonvegen van het eigen straatje.
In principe alleen met toestemming van de bewoner, de verhuurder mag verder niets meer dan elke andere toevallige voorbijganger.
Voor wat betreft de archiefkast: jezelf onrechtmatig toegang verschaffen tot de inhoud van een archiefkast is nergens in de wet omschreven wat de analogie lastig maakt. Huisvredebreuk en computervredebreuk zijn beide wel duidelijk omschreven en daarom biedt de laatste het kapstokje aan waarvan de rechter hier nu gebruik van heeft gemaakt.
Dan zou ik eerder de buurvrouw met een reservesleutel als analogie nemen. Ze heeft toestemming jouw huis binnen te komen, om de planten water te geven als jij met vakantie bent. Ze heeft een sleutel, niet alleen hier voor, maar ook voor als jij je sleutel binnen laat liggen en de deur dicht trekt of je sleutel domweg kwijtraakt.
Maar dat wil niet zeggen dat zij (om maar eens iets te verzinnen) naar binnen mag als jij overdag naar je werk bent, om de wc te gebruiken zodat de hare niet vies wordt. Of om, als zij toch al binnen is om de planten water te geven, gelijk even mag proberen hoe jouw matras ligt.
Dat alles maakt het echter nog geen inbraak. Het voelt alsof het strafbaar zou moeten zijn, maar inbraak is het niet.
Hetzelfde geldt voor Jan. Het voelt alsof het strafbaar zou moeten zijn, maar computervredebreuk? Dat klinkt voor mij meer als de digitale variant van inbraak.
Maar wel huisvredebreuk, vergelijkbaar met computervredebreuk (het heet dan ook geen Computerinbraak of zoiets).
Ik dacht met de huisvredebreuk als je een sleutel op zak hebt (dus niet gelijk aan inbraak) op zich een werkbare analogie te hebben, maar als je er weer op doorborduurt vertroebelt het weer. Want:
Dus we kunnen met voorbeelden komen tot we een ons wegen, maar computervredebreuk mag blijkbaar zo strikt uitgelegd worden en de rechter heeft dus (volgens mij) een niet zo heel vreemd vonnis gewezen: geen beveiliging doorbroken, maar voor het doel (eigen gebruik dus als privé-persoon en niet als agent) mocht Jan daar helemaal niet zijn dus computervredebreuk mag worden geconstateerd.Dit snap ik ook niet, waarom is dit verhaal niet gewoon een klassiek gevalletje misbruik van bevoegdheid? Als de voorwaarden van een bevoegdheidsverlening worden geschonden dan kan dit toch niet met terugwerkende kracht de verlening ongedaan maken? Zo wel dan komt aan dit begrip haast geen enkele betekenis meer toe, nu je niet kunt misbruiken wat je nooit geacht wordt te hebben gehad.
Ik dacht dat misbruik van bevoegdheid alleen naar derden toe geldt: een bestuursorgaan weigert een vergunning omdat de behandelend ambtenaar ruzie met je heeft. Dat is misbruik, dat mag die ambtenaar niet doen. Maar intern zeggen, Jan je was bevoegd hier te zijn maar dít kan niet, misbruik van bevoegdheid, zo ken ik die niet.
Hij heeft de gegevens voor privé-doeleinden geraadpleegd. Als privé-persoon had hij geen autorisatie; als privépersoon mocht hij daar niet zijn. Is er dan sprake van een valse hoedanigheid? Hij heeft zich voorgedaan als Jan Politieman terwijl hij daar (eigenlijk) als privépersoon was.
Helemaal eens. Enerzijds is er de technische mogelijkheid tot toegang, en anderzijds is er de toestemming om in te loggen/gegevens uit te lezen
Het onterecht maken van een technische toegang is strafbaar, het uitlezen van gegevens (als je de technische toegang eerlijk verkregen hebt) is een contractuele zaak tussen partijen.
“Maar Jan zelf mág die basisvoorziening inzetten” – voor zijn werk, ja.
Als Jan echter voor privézaken inlogt, waarom zou dat dan niet voldoen aan “opzettelijk en wederrechtelijk binnendringen in een computersysteem, terwijl je weet dat je daar niet hoort te zijn”.
Hij logt m.i. niet onbewust in (want na het inloggen voert hij zoekopdrachten uit) én het is m.i. wederrechtelijk (want geen toestemming voor privégebruik).
Wat ik zelf mis, is hoe het zover heeft kunnen komen. Is dit hoge aantal bevragingen door een ongelofelijk toeval niet opgevallen, of schiet het toezicht ernstig tekort?
Is er niet al voldoende jurisprudentie die dit tackelt? Neem nou de hele Ryanair debacle. Het overmatig bevragen (scrapen) van hun servers is uiteindelijk in strijd met hun algemene voorwaarden. Maar geen computervredebreuk, toch?
Ik vraag me af of de politie nu wel netjes het vrij massale datalek heeft gemeld bij de AP – en ook bij alle betrokkenen omdat het vanwege de aard vast een hoog risico kan inhouden voor de rechten en vrijheden van hen..
Ook deze rechtspraak bevreemd mij ten zeerste. Is een agent immers niet 24 uur per dag eigenlijk in dienst? Natuurlijk zal er een einde van werktijd zijn, maar dat neemt niet weg dat een agent niet als een gewone burger is.
Want als een agent een misdrijf ziet na zijn werktijd, dan zal hij dan toch moeten optreden. De betreffende agent kan niet ( en verwacht de maatschappij niet) zeggen: “Sorry, einde werktijd. Kom morgen maar terug.”
Dus vraag ik mij af of er überhaupt wel sprake kan zijn van computervredebreuk. Zo men niet eerder moeten spreken van een disciplinaire straf of oneervol ontslag? Gezien de berichtgevingen in de media de laatste tijd omtrent de politie, kan men beter afvragen wat er daar eigenlijk gaande is.
Dat maakt de bevragingen over zijn privérelaties inderdaad logisch…
Iets anders: beetje raar aan het eind van het NRC-artikel, die correctie van de rechternamen in precies hetzelfde als wat er al stond (ernaast, niet “hierboven”), terwijl in werkelijkheid uit het vonnis blijkt dat de officier van justitie NIET dezelfde achternaam had als een van de rechters.
En dan die spelfout, “recherche onderzoek”, brrr.