Internetrecht door Arnoud Engelfriet

Gisteren diende de rechtszaak rond de Leidseschooldreiger: het 4chanbericht waarin werd gedreigd een leraar Nederlands en zo veel mogelijk scholieren in Leiden te vermoorden. Ik mocht als getuige-deskundige uitleggen wat een proxy is en aangeven hoe ik 4chan zou omschrijven. Hoe serieus moet je 4chan-dreigingen nemen?

In april 2013 verscheen op internetafvoerputje 4chan een dreigbericht dat leidde tot schoolsluiting en politiebewaking in Leiden. Oordeel zelf:

Tomorrow, I will shoot my Dutch teacher, and as many students as I can. It will be on the news tomorrow. It’s a school in a Dutch city called Leiden, and for more proof, I will be using a 9mm Colt Defender. I will be carrying a note with me when I go into the school which will explain why I did it. If he message of the note will not be published, a friend of mine will post here on 4chan a day later. Oh, and I’m using a proxy, the police is not gonna find me before tomorrow.

Vandaag stond de verdachte terecht die het bericht zou hebben geplaatst. Volgens hemzelf was dit een Amerikaan geweest die zijn laptop even had geleend in het internetcafé in Costa Rica waar hij toen was. De officier geloofde daar weinig van: Amerikanen kunnen ‘Leiden’ niet echt goed spellen, en bovendien waarom zou ‘ie. Terwijl deze jongen problemen had op zijn school in Leiden en eerder een spreekbeurt over school shootings zou hebben gehouden.

Ik mocht als getuige-deskundige uitleggen wat 4chan was, eigenlijk /b/ dus maar dat onderscheid is subtieler dan dat tussen hacker en cracker. Het afvoerputje van het internet noemde ik het, een shockblog (oké, shockforum) waar het doel is zo grof en hard mogelijk te zijn. Branie schoppen, reacties uitlokken. En met excuses aan alle meelezende /b/tards, normale mensen lezen daar niet.

Heel apart vond ik nog dat de politie het IP-adres onderzocht en daarbij binnendrong in de router die aan dat adres hing. Toegegeven, dat binnendringen was een kwestie van de algemeen bekende admin/admin combinatie intypen maar binnendringen blijft het. Dringende noodzaak onder de Politiewet of strafbaar feit door ambtenaar gepleegd in het buitenland?

De meeste discussie ging over de vraag hoe je het bericht moest opvatten. Dat het als grap bedoeld was, was wel duidelijk, maar als je gezien de achtergrond en andere recente gebeurtenissen serieus mag opvatten, dan kan zo’n grap tóch best eens strafbaar zijn. En nou ja, school shootings en internetdreigingen waren wel een actueel onderwerp. Dus vanuit dat standpunt begrijp ik de zorg wel over hoe serieus het bericht te nemen.

De rechter was bepaald ICT-cluevol. Op zeker moment kwam bijvoorbeeld de vraag langs, waarom heeft u het bericht niet zelf gewist. Had u een wachtwoord ingesteld, had u de cookies laten staan? En dat is nu net een punt waarop 4chan uniek is: het forum werkt niet met registratie en accounts, maar met een wachtwoord per bericht (dat eventueel in een cookie opgeslagen wordt) waarmee je herkend wordt als auteur.

In de 4chanzaak uit 2011 (die van de “een router is geen computer”-discussie) speelde ook deze vraag. Als je weet dat 4chan een onzinforum is en dat er een disclaimer staat met “only a fool would take anything seriously here”, is dan een bericht daar niet evident altijd een grap? Het Hof oordeelde toen (met instemming van de Hoge Raad):

Eerdere schoolshootings zijn immers ook op voorhand via internet aangekondigd en dit gebeurt meestal anoniem en via sites waarbij de maker van het bericht moeilijk te achterhalen is. Uit de voornoemde reactie, geplaatst binnen korte tijd na de posting van de verdachte, blijkt dat niet alle lezers het bericht als een geintje hebben beschouwd. Dat er mensen hebben gereageerd die het wel als een grap hebben gezien doet hier niets aan af.

De Officier kwam nog met de scherpe opmerking dat de ‘jongere’ generatie alles weet van elkaar: alles is publiek, en privacy komt pas om de hoek kijken als het achteraf niet meer leuk was. Jongeren denken niet na over hoe iets overkomt bij anderen, zo zegt ze. Tsja. Snap het standpunt maar daar kun je tegenover stellen dat je dan als ‘oudere’ generatie zou kunnen bedenken dát zo’n bericht afreageren is en niet bedoeld is anders dan shockeren, stoer doen.

Enigszins ergerlijk vond ik de redenering van de officier uit het requisitoir: de gevolgen konden ernstig zijn want kinderen lopen gevaar op zo’n school, dús is de dreiging serieus te nemen. En dús is de bedreiging strafbaar. Maar ze raakt wel aan het dilemma. School shootings zijn helaas serieuze realiteit. Je moet dus dreigingen serieus nemen, want je kunt het je niet veroorloven de fout in te gaan hiermee. Alleen, moet je dan elke bedreiging ook maar strafbaar verklaren?

De officier wilde eigenlijk een onvoorwaardelijke celstraf eisen, maar gezien de jurisprudentie maakt die geen kans. Ze eist dan ook 150 uur werkstraf met een voorwaardelijke celstraf van 1 maand.

Wat vinden jullie? Is een bedreiging gepost op een digitaal afvoerputje serieus te nemen?

Arnoud

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om inbreken op netwerken onder computervredebreuk te rangschikken.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard 4chan een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In het hoger beroep had het Gerechtshof bepaald dat dat meeliften bij dat netwerk niet strafbaar was (het dreigen zelf wel), want de wet (art. 80sexies Strafrecht) definieert een ‘geautomatiseerd werk’ als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteerde die “en” als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op. Derhalve is het onmogelijk computervredebreuk op een router te plegen.

De Hoge Raad raadpleegde de wetsgeschiedenis en ontdekte dat de wetgever toch echt bedóeld had om ook inbraak op netwerken onder computervredebreuk te rekenen:

Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.” (Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed. Daarmee was dat netwerk van de buren van de /b/tard wel degelijk een ‘geautomatiseerd werk’ waar hij op binnengedrongen was.

Een rechter is dus een DWIM compiler van het recht. Wetten moet je niet alleen letterlijk lezen, de bedoeling is soms belangrijker dan de tekst.

Arnoud

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.

Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.

Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.

Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.

Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!

Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:

een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)

Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt

Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.

In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:

any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data

Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.

Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.

Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.

Arnoud

OMGWTFBBQ. Ja sorry, maar weinig andere openingszinnen zijn gepast als je rechtspraak leest waarin iemand vrijgesproken wordt van bedreiging door een post op 4chan én het niet strafbaar wordt verklaard om op andermans draadloze netwerk mee te liften (via). Zeker als blijkt dat de rechter de disclaimer op de frontpage van 4chan de doorslag laat… Lees verder

Kwaadwillende hackers hebben op een internetforum voor epileptici berichten achtergelaten waarin middels Javascript en animated gifs allerlei felgekleurde, knipperende plaatjes waren verwerkt, meldt Tweakers. Zulke afbeeldingen kunnen een epileptische aanval oproepen bij mensen die daar gevoelig voor zijn. Een rotstreek, zeker. En strafbaar ook: dit is gewoon mishandeling, soms zelfs mishandeling met de dood tot… Lees verder

Een groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt. Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de… Lees verder