Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

16 reacties

  1. afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens

    Vallen bitcoins daar onder?

  2. Arnoud, kan je iets zeggen over het verschil met deze zaak waarbij ook sprake was van computervredebreuk en diefstal van gegevens, maar niet (eens) van chantage? Hij kreeg in december 2019 24 maanden cel opgelegd. Of gaat het om een andere tenlastelegging? Ik vind het maar vreemd…

    Mitchell van der K., de man die vlogster Laura Ponticorvo hackte en haar naaktbeelden stal, is vandaag veroordeeld tot een celstraf. Hij hackte op grote schaal de iClouds van vrouwen om hun naaktfoto’s en -video’s buit te maken.

    1. De tenlastenlegging was wezenlijk anders inderdaad. De insteek hier was afpersing: geld (bitcoins) eisen onder dreigement het slachtoffer iets aan te doen. Alleen was het ‘iets’ niet strafbaar hier.

      Ik weet niet waarom het OM hier koos voor deze insteek in plaats van puur de computervredebreuk. Misschien was moeilijker te bewijzen dat hij de inbraak had gepleegd? Als hij zegt dat dat een vage kennis was, dan ontstaat een bewijsprobleem zo te lezen in het vonnis. De afpersing staat vast, hij had het per telefoon gedaan en had dat ook bekend. Dus dan zou ik denk ik ook die kant op gaan.

  3. Iemand die door computervredebreuk persoonsgegevens bemachtigt is verwerkingsverantwoordelijke voor de verkregen persoonsgegevensset, lijkt mij. Dat er voor de verwerking geen rechtmatige grondslag is maakt dat nog niet onwaar toch? Met die gegevens dingen doen die AVG-technisch niet rechtmatig zijn, is dus wellicht op grond van de AVG-sanctioneerbaar door de Autoriteit Persoonsgegevens die aan natuurlijke personen een bestuursrechtelijke administratieve geldboete met een maximum van 10 miljoen euro kan opleggen wegens schending van artikel 83 AVG?

    1. Zelfs al zou de AP een boete kunnen opleggen, van een kale kikker is het lastig veren plukken. Ik denk dat de AP er beter aan doet om in dit geval het strafrechtelijk traject zijn werk te laten doen. (Verdachte is veroordeeld tot gevangenisstraf voor andere zaken.)

      In gevallen waar de OvJ geen strafbaar feit ziet zou de AP misschien iets kunnen betekenen; maar ik zie de AP liever de misstanden op Internet en bij datahandelaren reguleren.

  4. Zou A 273 SR 2e lid geen mogelijkheid geweest zijn?

    ‘Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft hij die opzettelijk

    gegevens die door misdrijf zijn verkregen uit een geautomatiseerd werk van een onderneming van handel, nijverheid of dienstverlening en die betrekking hebben op deze onderneming, bekend maakt of uit winstbejag gebruikt, indien deze gegevens ten tijde van de bekendmaking of het gebruik niet algemeen bekend waren en daaruit enig nadeel kan ontstaan.’

  5. Er zijn genoeg kikkers die niet kaal zijn. Vanwege de afschrikwekkende werking lijkt het mij dan ook zeer nuttig als de AP eens een forse boete zou opleggen aan iemand die gestolen data met daarin persoonsgegevens publiceert!

  6. Het lijkt mij vrij logisch dat dit al gauw om smaad (en dus afdreiging) gaat, in plaats van afpersing. Of is dat helemaal niet zo logisch?

    p.s. Ik hoorde gisteren toevallig op de radio (voormalig?) jurist Bram Moszkowicz over afdreiging. In dit geval de afdreiging van Nikkie de Jager (nikkietutorials): https://www.nporadio2.nl/gemist/audio/24137/we-bellen-met-bram-moszkowicz-over-de-chantage-van-nikkie-tutorials Het bijzondere aan de afdreiging van Nikkie de Jager (nikkietutorials) is dat de afdreigers nog steeds strafbaar zijn, ook al heeft Nikkie zelf het geheim openbaar gemaakt. Dan moet ze overigens wel zelf aangifte doen van afdreiging.

  7. Is het geen databank in de zin van de auteursrechtenwet/richtlijn. Zou het dan niet onder strafrechtelijk auteursrechteninbreuk vallen? Aan de andere kant is het artikel nogal duidelijk en is openbaarmaking niet in lid 2 opgenomen. Meer zie ik in Artikel 350b lid 1:

    Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

    Natuurlijk is 1 maand maximum straf wel heel beperkt. Maar wellicht is het hulpmiddel artikel (350d) wel toe te passen. Ook artikel 416 lid 1b (hij die opzettelijk uit winstbejag een door misdrijf verkregen goed voorhanden heeft of overdraagt, dan wel een persoonlijk recht op of zakelijk recht ten aanzien van een door misdrijf verkregen goed overdraagt.) lijkt van toepassing te kunnen zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.