Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

Kantonrechtersrant over falend geautomatiseerd systeem van CJIB

| AE 5891 | Iusmentis | 29 reacties

Een rantende kantonrechter, altijd mooi om te zien. Maar eigenlijk is het om te huilen want het is bepaald stuitend om te zien hoe slecht een overheids-ICT-systeem in werkelijkheid functioneert. Het incassosysteem van het CJIB blijkt van een dusdanige simpelheid dat je er depressief van kunt raken. En niemand lijkt de behoefte te gevoelen daar wat aan te doen (via).

In deze zaak was een verzoek tot gijzeling ingediend van de houder van een motorvoertuig, omdat hij de boete voor het onverzekerd zijn van dat voertuig niet had betaald. Bij de incasso bleek er niets te halen, het rijbewijs innemen kon ook niet en de auto afvoeren was geen optie want meneer had geen auto. Eh wacht, wat?

Ja precies. In die situatie iemand gijzelen (insluiten) om te dwingen dat er alsnog betaald wordt, doet ahem ietwat gek aan. Maar dit is geen handmatig genomen beslissing van een officier na zorgvuldige bestudering van het dossier en de opties. Het blijkt simpel een onvermijdelijk gevolg te zijn van het geautomatiseerde proces bij het CJIB dat voor iedere boete dezelfde stappen afloopt, waar kennelijk geen mens inhoudelijk op toeziet of toetst of het nog wel redelijk is wat er gebeurt.

Het verbaast de kantonrechter met welk gemak deze vorderingen landelijk door de officier van justitie te Leeuwarden worden ingesteld en voorts verbaast het de kantonrechter met welk gemak deze vordering vervolgens landelijk -zonder noemenswaardige motivering- via een standaardformulier worden toegewezen.

Al in 2012 klaagde deze zelfde rechter over deze gekke situatie. in die zaak speelde vrijwel exact dezelfde feiten, tot en met de onverzekerde auto zonder auto. Uit die zaak blijkt dat het nogal een puinhoop is met het CJIB informatiesysteem: niemand kan meneer vertellen hoe veel boetes hij moet betalen en of er nog meer gijzelingsverzoeken gaan komen. Het systeem is verbazingwekkend simpel en ijzerenheinig:

Dit incasseren gebeurt via strikt gescheiden afzonderlijke trajecten, waarbij steeds opnieuw bij iedere (nieuwe) zaak de reeks: boete/sanctie, 1e en 2e verhoging, verhaal met of zonder dwangbevel, toepassing dwangmiddelen (inname rijbewijs/ buitengebruikstelling voertuig) en gijzeling wordt afgewerkt/afgelopen. In dat traject is kennelijk niemand in staat of bereid om een probleemgeval, bestaande uit een opeenstapeling van boetes bij één persoon, te onderkennen en op te lossen.

En zelfs maar een beslistak met “niets te halen met incasso, goto :jammerdan” zit er niet in. Waaróm is het toch zo moeilijk, overheid en ICT?

Arnoud