Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)
Even wat achtergrond uit het vonnis:
Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten.In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees:
Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed.In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel.
Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?
Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.
De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat
computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .;Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.
Arnoud
Ben het met je eens er zijn meerdere punten die je aankaart waar de rechter mis zit. De documenten voor de bewijsvoering lijkt me een gerechtvaardigd iets.
Ik meen mij een casus (of het een zaak was of een casus op de politieacademie weet ik even niet meer) over een schoonmaakster die een sleutel had van een woning, maar deze later gebruikte om binnen te treden en zaken te stelen uit de woning. De conclusie was toen dat het wel een gekwalificeerde diefstal betrof vanwege de “valse sleutel” omdat hij werd gebruikt voor een ander doel dan dat zij die onder zich had.
Dat zou ik merkwaardig vinden.
De sleutel heeft toch helemaal niets met diefstal te maken?
Ik neem aan dat het gaat om het verschil tussen diefstal en diefstal door middel van braak/gebruik valse sleutel.
Als de rechter daar geoordeeld heeft dat er een verzwaring was wegen gebruik valse sleutels dan is dat wat mij betreft zeer zorgelijk.
Dan kan ik namelijk mij niet aan de conclusie onttrekken dat de rechters blijkbaar het verschil niet weten tussen oneigenlijk gebruik van een echte sleutel en vervaardigen en gebruiken van een valse sleutel.
Er bekruipen mij langzaam weer de gevoelens die ik jaren geleden had met rechters die geen snars van IT snapten en de meest idiote uitleg in hun vonnis gebruikten. Zijn ze daar in de loop van de tijd kundiger geworden, krijg je dit soort onzin. Ze kunnen blijkbaar niet zonder hun juridische ficties.
Het is al héél lang vaste jurisprudentie dat oneigenlijk gebruik van een echte sleutel net zo wordt behandeld als een stiekem nagemaakte sleutel, de term ‘valse sleutel’ wordt dan ook zo uitgelegd. Het idee is dat het niet uitmaakt hoe die sleutel tot stand kwam en wat de status is, maar dat je hem niet had mogen gebruiken.
Met andere woorden, zo’n walgelijke ‘juridische fictie’ waardoor een normaal mens dat de taal beheers, nog steeds niet weet waar hij aan toe is.
Als iets niet goed gedefinieerd is, dan moet je de wet aanpassen en niet als rechter op de stoel; van de wetgever gaan zitten en verzinnen dat iets toch anders is als dat het normaal ABN betekent.
Wat mij betreft is dat een ‘fijn’ voorbeeld van activistische rechters die op de stoel van de wetgever zijn gaan zitten. In plaats van wat ze hadden moeten doen: normaal Nederlands gebruiken en de wetgever aanspreken dat ze de wet moeten verduidelijken.
Dit zijn de dingen waardoor mijn vertrouwen is Justitie al jaren geleden een nulpunt heeft bereikt.
Het zit voor mij op de voorwaarde onder a) van art. 138ab lid 1 Sr: Het doorbreken van enige beveiliging. Ik begrijp uit de casus dat de ex-medewerker heeft ingelogd met behulp van zijn nog steeds geldige credentials. Het lijkt me duidelijk dat hij geen recht meer heeft op gebruikmaking van die credentials omdat die verbonden zijn met het verbroken dienstverband. Als ik als voormalig medewerker nog een sleutel heb van kantoor mag ik daar toch ook het kantoor niet meer mee betreden? Maar als ik dat doe is dat natuurlijk geen inbraak, en niet eens het gebruik van een valse sleutel. Als je gebruik maakt van die nog geldige credentials dan ben de de beveiliging gepasseerd, maar heb je die dan ook doorbroken? Ik denk van niet. Wellicht kan het worden opgelost via de voorwaarde onder b: Het aannemen van een valse hoedanigheid. De ex-werknemer deed zich voor als werknemer. Het is wat ver gezocht, ik geef het toe…
Er zal zeker geen sprake zijn van inbraak, maar als het niet gebruikelijk of zelfs toegestaan is dat werknemers zich ’s avonds op kantoor bevinden, kan ik me wel voorstellen dat er sprake van lokaalvredebreuk zou kunnen zijn.
Als mijn interieurverzorg(st)er een sleutel heeft van mijn woning om op maandagochtend tussen 09.00 en 11.00 te komen schoonmaken, is het voor hem/haar ook niet toegestaan om op andere momenten in de week mijn woning binnen te komen, ook al heeft hij/zij een geldige sleutel.
Deze specifieke zaak ligt natuurlijk wat ingewikkelder, maar an sich lijkt het concept “je hebt een geldige sleutel gebruikt voor ongeautoriseerde toegang” me ook niet automatisch een foute redenering.
Oké terechte opmerking. Andere poging: je mag op het werk bij het kopieerapparaat in het hok achterin. Jij gaat het hok in en kopieert het clubblaadje van de voetbalclub, dat scheelt weer een rondje copyshop. Was dat nu lokaalvredebreuk? Jij was absoluut onbevoegd dat clubblad daar te kopiëren.
Nee, daar heb je zeker een punt.
Maar ik denk dat de omstandigheden niet geheel irrelevant zijn. Sta jij daar op vrijdagochtend na je teamvergadering in dat hok het clubblad even illegaal dertig keer te kopiëren, heb je toch een situatie die anders aanvoelt dan wanneer je op zondagnacht om half vier wordt aangetroffen in dat donkere hok met je zaklamp bij het kopieerapparaat en diezelfde kopietjes.
In het ene geval is het een “Ja, dat is dus niet de bedoeling”, in het andere geval minimaal een “Ben je helemaal gek geworden.”
Ik denk dat dat best strafbaar kan zijn gelet op deze uitspraak: ECLI:NL:HR:2011:BT1660