Kan het geautoriseerd inloggen door de verdachte in de politiesystemen worden aangemerkt als wederrechtelijk binnendringen in een geautomatiseerd werk?
/Parket bij de Hoge Raad 31 augustus 2021, ECLI:NL:PHR:2021:777
Politiemol Mark M is onder meer veroordeeld voor schending van het ambtsgeheim en computervredebreuk door als politieambtenaar gegevens op te zoeken in computersystemen van de politie en te verstrekken aan onbevoegde derden. Daarnaast wordt hem witwassen verweten en het voorhanden hebben van valse reisdocumenten.
Middel
Het tweede middel komt op tegen de bewezenverklaring en kwalificatie van het onder feit 2 ten laste gelegde (meermalen) plegen van computervredebreuk en de verwerping van een daartoe strekkend dakdekkerverweer.
Het middel bevat twee klachten:
(i) In de eerste plaats wordt geklaagd dat het oordeel van het hof dat de verdachte onrechtmatig het beveiligde politiesysteem is binnengedrongen en zich daarbij bediend heeft van een valse sleutel en een valse hoedanigheid, van een onjuiste rechtsopvatting getuigt, althans onvoldoende met redenen is omkleed omdat de verdachte geautoriseerd was Blue View te raadplegen.
(ii) De tweede klacht – die enigszins samenhangt met de eerste klacht – gaat over het verweer van de verdediging dat er vanwege de autorisatie van de verdachte om Blue View te raadplegen, geen sprake is geweest van ‘hacken’ oftewel onrechtmatig binnendringen zoals strafbaar gesteld in art. 138ab Sr. Daarbij heeft de verdediging zijdelings gewezen op de op 1 maart 2019 ingevoerde aparte strafbaarstelling in art. 138c Sr, welke bepaling ná de tenlastegelegde feiten in werking is getreden en die geschreven is voor de gevallen waarin de dader rechtmatige toegang heeft tot een geautomatiseerd werk, maar daar vervolgens onrechtmatig gebruik van maakt. Nu wordt in cassatie door de stellers van het middel een beroep gedaan op het lex mitior-beginsel. Dit beginsel komt erop neer dat indien na het begaan van een feit, door een gewijzigd inzicht van de wetgever over de strafwaardigheid van dit feit, de delictsomschrijving in voor de verdachte gunstige zin is gewijzigd, art. 1 lid 2 Sr met zich brengt, dat de gunstigere nieuwe bepaling op de verdachte moet worden toegepast. Betoogd wordt dat het hof in de onderhavige zaak ten aanzien van de kwalificatiebeslissing en/of strafoplegging de voor verdachte gunstigere bepaling van artikel 138c Sr had moeten toepassen en dat nu het hof dat niet heeft gedaan de kwalificatiebeslissing/strafoplegging onvoldoende met redenen is omkleed.
Conclusie AG
Bij de eerste klacht draait het om de vraag of de verdachte, op het moment dat hij de litigieuze bevragingen in Blue View deed, dit systeem wederrechtelijk is binnengedrongen in de zin van art. 138ab Sr.
Het hof heeft geoordeeld dat dit het geval was, ondanks dat hij toegang had tot het beveiligde Blue View systeem en daartoe een gebruikersnaam en wachtwoord had gekregen en tevens de bevoegdheid had om de resultaten van bevragingen te exporteren en op te slaan. De reden dat het hof tot de conclusie komt dat hij desalniettemin het Blue View systeem opzettelijk en wederrechtelijk is binnengedrongen, is gelegen in de omstandigheid dat hij vanwege zijn specifieke werkzaamheden binnen de politie, die gegevens niet hoefde en niet behoorde in te zien
Deze omstandigheden zijn tevens aanleiding voor het hof om aan te nemen dat de verdachte zich heeft bediend van een valse sleutel omdat de autorisatie er niet toe strekte (buiten zijn specifieke werkzaamheden) informatie in te winnen en aan criminelen te verstrekken. Ook heeft het hof geoordeeld dat de verdachte daarbij een valse hoedanigheid heeft aangenomen omdat hij “onder de voorstelling van de hoedanigheid van een persoon die gerechtigd was om op grond van zijn werkzaamheden inzage in de betreffende gegevens te mogen verrichten, zich de toegang [heeft] verschaft tot het systeem Blue View, teneinde daarvan misbruik te maken”.
Volgens de stellers van het middel getuigt dit oordeel van het hof van een onjuiste uitleg van de termen “binnendringen”, “valse sleutel” en het aannemen van een “valse hoedanigheid” in de zin van art. 138ab Sr. Kort samengevat wordt hiertoe gesteld dat in art. 138ab Sr het zogenaamde “hacken” oftewel de computerinbraak strafbaar wordt gesteld en dat van binnendringen slechts sprake kan zijn als de beveiliging van een systeem wordt doorbroken en daartoe ook bewuste inspanningen zijn gedaan. Van binnendringen door gebruikmaking van een valse sleutel is volgens de stellers van het middel geen sprake omdat de verdachte rechtmatig beschikte over een accreditatie. Ook heeft de verdachte geen valse hoedanigheid aangenomen, omdat hij zich niet heeft voorgedaan als een ander maar onder zijn eigen gegevens heeft ingelogd en als zodanig herkenbaar was.
Centraal staat in deze klacht of in onderhavige zaak sprake is geweest van “binnendringen” in de zin van art. 138a Sr. Daarnaast speelt de kwestie of het hof bij de begrippen “valse sleutel” en “het aannemen van een vals hoedanigheid” het juiste toetsingskader heeft gehanteerd. Hoewel de drie betrokken bestanddelen met elkaar samenhangen, het gebruik van een valse sleutel of het aannemen van een valse hoedanigheid zijn als het ware middelen waarmee kan worden binnengedrongen, heb ik ervoor gekozen eerst te onderzoeken of het hof ten aanzien van de begrippen “valse sleutel” en “het aannemen van een “valse hoedanigheid” (art. 138ab, lid 1 onder c en d) van een juiste rechtsopvatting is uitgegaan. Daarna zal ik ingaan op de vraag of het hof terecht heeft geoordeeld dat in onderhavige zaak sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk. Daarbij zal ik aan de hand van de wetsgeschiedenis en de jurisprudentie ook aandacht besteden aan het karakter en de ratio van de strafbaarstelling van art. 138ab Sr.
Valse sleutel
Ten aanzien van het gebruik van een valse sleutel is tijdens de behandeling van het wetsvoorstel Wet computercriminaliteit in het artikelsgewijs commentaar in de Memorie van Antwoord bij het voorgestelde art. 138a (de voorloper van art. 138ab Sr) door de minister het volgende opgemerkt:
“Ik ga er daarbij vanuit dat een password een sleutel is die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Bij arrest van de Hoge Raad van 20 mei 1986 (NJ 1987, 130) is vastgesteld dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is. Niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen. Voldoende is dat de sleutel tegen de wil van de rechthebbende uit zijn macht is verloren gegaan. De kraker die een password van een bulletin–board haalt en daarmee een computer kraakt, is dus strafbaar zelfs indien de beheerder van de computer weet dat het password daar beschikbaar is en nalatig is geweest de beveiliging aan te passen.”
Van belang is ook de volgende passage uit die Memorie van Antwoord:
“Met de voorgestelde nota van wijziging wordt echter ook het zonder enige inspanning halen van een password van een bulletinboard en het vervolgens aanwenden bij het betrokken bedrijf strafbaar ingevolge deze bepaling. Deze drempel is zelfs lager dan wordt voorgesteld in de brief, daar ook de gemiddelde computerkraker in deze omstandigheden zonder enige inspanning kan binnendringen.”
Duidelijk is dus dat in de wet(sgeschiedenis) aansluiting wordt gezocht bij de definitie van valse sleutel zoals die bij niet-digitale delicten geldt en is gedefinieerd in art. 90 Sr. Deze bepaling wordt in de rechtspraak ruim uitgelegd. Zo is de huissleutel die uit een tas van de eigenaar is gestolen en gebruikt is voor de opening van de toegangsdeur voor het huis door de Hoge Raad aangemerkt als ‘valse sleutel’:
“Een huissleutel welke tot opening van het slot van de toegangsdeur van een woning wordt gebruikt door iemand die daartoe geen recht heeft, is ten aanzien van dat slot een valse sleutel.”
Datzelfde geldt voor een pinpas waarvan met de bijbehorende pincode wederrechtelijk geld is gepind.
Het hof, dat voormelde jurisprudentie in zijn arrest aanhaalt, is dan ook ten aanzien van het begrip “valse sleutel” van het juiste toetsingskader uitgegaan. Op de vraag of dit in onderhavige zaak er ook toe leidt dat er sprake is geweest van “binnendringen” in de zin van art. 138ab Sr, zoals het hof heeft geoordeeld, kom ik hierna nog terug.
Valse hoedanigheid
Over het aannemen van een valse hoedanigheid in de betekenis van art. 138a (oud) of 138ab Sr is in de wetsgeschiedenis niets te vinden. Aangenomen mag echter worden dat, net als ten aanzien van de valse sleutel, dient te worden aangesloten bij de uitleg daarvan bij niet-digitale delicten, in dit geval de valse hoedanigheid bij oplichting. Het hof heeft, meen ik, dan ook terecht de uitleg die de Hoge Raad daaraan geeft in zijn overzichtsarrest van 20 december 2016, tot uitgangspunt genomen. De Hoge Raad heeft daarin overwogen dat het bij het aannemen van een valse hoedanigheid er in de kern om gaat, dat het handelen van de verdachte ertoe kan leiden dat bij de ander een onjuiste voorstelling van zaken in het leven wordt geroepen met betrekking tot de 'persoon' van de verdachte wat betreft diens hoedanigheid, waarbij die onjuiste voorstelling van zaken in het leven wordt geroepen teneinde daarvan misbruik te maken. Daarbij heeft de Hoge Raad specifiek aangegeven dat de in de rechtspraak wel gebruikte formulering dat een verdachte zich als een 'bonafide' deelnemer aan het rechtsverkeer heeft gepresenteerd, met betrekking tot het aannemen van een valse hoedanigheid slechts relevant is als zo een presentatie als bonafide (potentiële) wederpartij berust op voldoende specifieke gedragingen die in de desbetreffende context erop zijn gericht bij het beoogde slachtoffer een onjuiste voorstelling van zaken in het leven te roepen teneinde daarvan misbruik te maken. Ook hier geldt dat ik van mening ben dat het hof het juiste toetsingskader heeft aangelegd en dat ik er nog op terugkom of het hof dit toetsingskader in onderhavige zaak op een juiste wijze heeft toegepast bij de vaststelling dat in casu sprake is geweest van “binnendringen” in de zin van art. 138ab Sr.
Binnendringen
Dan kom ik nu toe aan de aan de betekenis van de term “binnendringen”. Uit de wetsgeschiedenis komt naar voren dat het bij computervredebreuk, achtereenvolgens strafbaar gesteld in art. 138a (oud) Sr en in art. 138ab Sr, gaat om het wederrechtelijk binnendringen (hacken) van een geautomatiseerd werk. Daarbij is aansluiting gezocht bij de strafbepaling en systematiek van niet-digitale delicten, zoals huisvredebreuk (art. 138 Sr). Bij de strafbaarstelling van computervredebreuk staat de bescherming van het geautomatiseerd werk, ook wel aangeduid als ‘de huls’, voorop en niet zozeer de gegevens die daarin zijn opgeslagen. Het inzien of bekijken van bepaalde gegevens wordt pas strafbaar als de huls waarin die gegevens zijn opgeslagen, wederrechtelijk wordt binnengedrongen. Dat is het geval als de beheerder of de rechthebbende er nadrukkelijk voor gezorgd heeft dat gegevens die niet bestemd zijn voor ogen van vreemden zijn afgeschermd of beveiligd. In het oorspronkelijke wetsvoorstel Computercriminaliteit was dan ook een beveiligingseis voorgesteld. Bij binnendringen moest sprake zijn van enige beveiliging die moest worden doorbroken:
“Het [de strafbepaling, AG TS] beschermt degeen die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken. Het gaat hierbij om een uitwerking van het beginsel dat het medium wordt beveiligd.”
Aan die die feitelijke beveiliging hoefde overigens niet zwaar te worden getild:
“Het gaat er om dat de degeen die de computer binnendringt door het doorbreken van de beveiliging, heeft blijk gegeven de wetenschap te hebben gehad dat hij een beveiligd systeem binnendringt en doelbewust enige inspanning heeft gedaan de beveiliging te doorbreken. (…) Het kan voor bedrijven geen bezwaar zijn aan te tonen dat zij ten minste enige reële beveiliging hebben, al was het maar dat zij een systeem van autorisatie hebben wat betreft de verlening van toegang. Een dergelijk systeem is algemeen bekend.”
Volgens Knigge blijkt hieruit dat in het oorspronkelijke wetsvoorstel Computercriminaliteit "een systeem van autorisatie" in beginsel als een reële beveiliging werd beschouwd. Het onbevoegd gebruik van het juiste wachtwoord zou dan al als het binnendringen in een daartegen beveiligd werk moeten worden aangemerkt. Tijdens het wetgevingsproces werd echter kritiek geuit op de beveiligingseis en hoe deze in de memorie van toelichting werd uitgelegd. Het wetsvoorstel werd daarom gewijzigd. Daarbij werd de beveiligingseis afgezwakt omdat ook op andere manieren sprake kon zijn van binnendringen:
“Artikel 138a stelt in zijn nieuw voorgestelde vorm strafbaar elke vorm van binnendringen, zowel wanneer daartoe een beveiliging is doorbroken, als wanneer een valse sleutel, bij voorbeeld een password, een valse hoedanigheid of listige kunstgrepen zijn aangewend. De straffeloosheid wordt daardoor beperkt tot de gevallen dat geen enkele beveiliging op een geautomatiseerd werk is aangebracht.”
Bij de invoering van de Wet computercriminaliteit II in 2006 werd nog minder nadruk gelegd op de beveiligingseis en kwam die als algemene noodzakelijke voorwaarde te vervallen. Gekozen werd voor een niet-limitatieve omschrijving van verschillende wijzen van binnendringen die te vinden is in het huidige art. 138ab lid 1 onder a t/m d Sr. Van binnendringen is sprake als het gaat (a) om de doorbreking van een beveiliging, (b) door een technische ingreep, (c) het gebruik van valse signalen of een valse sleutel of (d) het aannemen van een valse hoedanigheid. De wetgever heeft het aan de rechtspraktijk overgelaten welke andere manieren van binnendringen binnen de delictsomschrijving kunnen vallen.
Omdat het in deze zaak gaat om een verdachte die weliswaar een autorisatie had maar volgens het oordeel van het hof onbevoegd was bepaalde gegevens te raadplegen binnen het geautomatiseerd werk, wijs ik nog op de volgende passage uit de wetsgeschiedenis. Hieruit kan worden afgeleid dat alleen al de overschrijding van een autorisatie die verleend is voor delen van een geautomatiseerd volgens de wetgever computervredebreuk kan opleveren. In de Memorie van Antwoord bij de Wet Computercriminaliteit I verwoordt de minister dit onder meer als volgt (p. 30):
“Ik wijs erop dat het voorgestelde artikel 138a ook ziet op onderdelen van een computer. Indien een gebruiker slechts is geautoriseerd tot kennisneming van bepaalde gegevens, en hij slaagt erin op één van de strafbaar gestelde wijzen toegang te krijgen tot een ander onderdeel van de computer, en daarmee tot andere gegevens, maakt hij zich schuldig aan overtreding van het voorgestelde artikel 138a. Heeft geen beveiliging plaatsgevonden – dit ligt in de vrijheid van de beheerder van een informatiesysteem – dan is dit toegestaan, althans niet strafbaar.”
Mede in het licht van de ontwikkelingen die de strafbepaling heeft doorgemaakt – waarbij de beveiligingseis op de achtergrond is geraakt – is de huidige betekenis die aan deze passage uit de wetsgeschiedenis moet worden toegekend betrekkelijk en bovendien voor tweeërlei uitleg vatbaar. Enerzijds wordt de suggestie gewekt dat indien een gebruiker, die autorisatie heeft tot kennisneming van bepaalde gegevens, zich toegang verschaft tot gegevens waartoe hij niet bevoegd is, strafbaar is. Anderzijds wordt gesteld dat deze gegevens wel beveiligd moeten zijn. Onduidelijk is of daarmee een algemene beveiliging wordt bedoeld, die na het passeren daarvan zowel toegang geeft tot gegevens waartoe de gebruiker bevoegd is als waartoe hij onbevoegd is, of dat het gaat om een aparte nadere beveiliging van het onderdeel van het geautomatiseerde systeem waarvoor de gebruiker niet bevoegd is. Daar komt nog bij dat, zoals gezegd, de beveiligingseis thans niet meer als noodzakelijke voorwaarde wordt gesteld, maar onder één van de in art. 138ab Sr genoemde wijzen van binnendringen, namelijk het in art. 138ab sub a genoemde doorbreken van de beveiliging, is ondergebracht. In zoverre lijkt de onder 5.19. geciteerde passage uit de wetsgeschiedenis (deels) achterhaald.
Wat naar mijn mening wel blijft staan, is, dat toegang moet worden verkregen tot dat andere onderdeel van de computer of tot die andere gegevens “op één van de strafbaar gestelde wijzen” alvorens sprake kan zijn van computervredebreuk als bedoeld in art. 138ab Sr. De volgende passage in de Memorie van Antwoord op pagina 32, hoewel ook weer multi-interpretabel, geeft mijns inziens steun aan deze opvatting:
“Het voorgestelde artikel 138a is, ook in zijn oorspronkelijke opzet, tevens van toepassing op het binnendringen in een gedeelte van een geautomatiseerd werk. Dit heeft niet alleen betrekking op bestanden met voor de mens leesbare informatie, maar ook op programma's. Iemand die is geautoriseerd tot de kennisneming van bepaalde bestanden, doch niet tot de wijziging daarvan, overtreedt dus de voorgestelde bepaling indien hij met overschrijding van zijn autorisatie binnendringt in de zin van dit artikel, in een gedeelte van het geautomatiseerd werk waar hij gebruik kan maken van de functie bestemd om de desbetreffende bestanden te wijzigen.”
Tot slot wijs ik op een passage uit de wetsgeschiedenis van de Wet Computercriminaliteit II, waarbij in de memorie van toelichting het volgende wordt gesteld:
“Artikel 138a Sr geeft primair bescherming aan (delen van) geautomatiseerde werken. De bescherming van de daarin aanwezige gegevens is daarvan een afgeleide. Daarbij maakt het niet uit om wat voor soort gegevens het gaat; (…). Onder «een deel» van een geautomatiseerd werk in de zin van artikel 138a Sr kan bijvoorbeeld worden verstaan de voor een bepaalde persoon gereserveerde ruimte op de harde schijf van een netwerkserver. Deze ruimte moet wel op een of andere wijze zijn afgeschermd (bijvoorbeeld door middel van een password), zodat onbevoegden haar niet zonder meer kunnen betreden. Hier wordt dus wel enige vorm van beveiliging van computergegevens (althans van de computer waarin zich die gegevens bevinden) geëist, in tegenstelling tot bijvoorbeeld de hiervoor besproken situatie dat gegevens over een telecommunicatienetwerk worden verzonden: (…).”
Mijn tussenconclusie is dat uit de wetsgeschiedenis niet eenduidig kan worden opgemaakt of ook een reglementaire toegang tot een computersysteem, zonder dat daarvoor een beveiliging moet worden doorbroken, kan worden aangemerkt als binnendringen. De wetgever lijkt niet te hebben gedacht aan het oneigenlijk gebruiken van een eigen wachtwoord of een verkregen autorisatie, zoals het hof heeft geoordeeld. Van de andere kant wordt in de wetsgeschiedenis wel gerept van de overschrijding van een autorisatie als het gaat om wederrechtelijk binnendringen. Op grond daarvan kan verdedigd worden dat onderhavige casus wel onder art. 138ab Sr valt te brengen. Alvorens ik deze vraag definitief beantwoord, ga ik eerst nader in op art. 138c Sr.
Blijkens de wetsgeschiedenis is art. 138c Sr ingevoerd om het wederrechtelijk overnemen van gegevens, in algemene zin strafbaar te stellen. Daarbij hield de wetgever er rekening mee dat veel gevallen reeds onder andere strafbepalingen, waaronder art. 138ab Sr en art. 272 (schending van het ambtsgeheim), vallen. Art. 138c Sr is zogezegd een vangnetbepaling om gevallen te kunnen vervolgen waarbij er geen sprake is van wederrechtelijk binnendringen. Het overnemen van gegevens is alleen strafbaar voor zover dit wederrechtelijk is. Die wederrechtelijkheid “ontbreekt in het geval dat aangenomen mag worden dat de gegevens met toestemming van de rechthebbende zijn overgenomen. Als een medewerker in het kader van het thuiswerken gegevens uit een computer van het werk mee naar huis neemt op een usb-stick, is dit niet wederrechtelijk en daarmee niet op grond van (…) art. 138c Sr strafbaar als dit gebeurt met toestemming van de werkgever en/of voldoet aan door de werkgever gestelde regels.” In de Memorie van Toelichting is als voorbeeld van het wederrechtelijk overnemen van gegevens het geval genoemd dat een overheidsmedewerker, die weliswaar rechtmatig toegang heeft tot bepaalde gegevens, deze vervolgens wederrechtelijk overneemt voor zichzelf of een ander. Op zichzelf zou het bewezenverklaarde in onderhavige zaak zonder twijfel zijn te brengen onder de strafbaarstelling van art. 138c Sr.
Dan kom ik nu toe aan de doorslaggevende vraag of het hof heeft kunnen concluderen dat de verdachte in onderhavige zaak het computersysteem wederrechtelijk is binnengedrongen in de zin van art.138ab Sr door overschrijding van zijn autorisatie. Het hof beantwoordt deze vraag bevestigend omdat het volgens het hof vast staat dat de verdachte gebruik heeft gemaakt van een valse sleutel en een valse hoedanigheid.
Daarvoor is het op zichzelf, zoals hiervoor besproken, niet per se nodig dat dit gepaard gaat met het doorbreken van een beveiliging.
Valse hoedanigheid?
Wat het aannemen van een valse hoedanigheid aangaat heb ik zo mijn twijfels. Hoewel het hof hierbij het juiste toetsingskader vooropstelt, vraag ik mij af of het hof voldoende inzichtelijk heeft gemaakt dat de verdachte daadwerkelijk een valse hoedanigheid heeft aangenomen bij het inloggen in Blue View. Volgens het door het hof aangehaalde arrest van de Hoge Raad van 20 december 2016 over de “bonafide wederpartij”, dienen in dat geval voldoende specifieke gedragingen te worden vastgesteld die in de desbetreffende context erop zijn gericht bij het beoogde slachtoffer (in casu de Politie) een onjuiste voorstelling van zaken in het leven te roepen teneinde daarvan misbruik te maken. Met de vaststelling dat de verdachte als politieambtenaar met zijn eigen accreditatie en inloggegevens inlogde op het systeem is het aannemen van een valse hoedanigheid nog niet gegeven. Onduidelijk blijft waarop het hof de aanname baseert dat de verdachte, door op deze wijze in te loggen, zich heeft voorgedaan als een onkreukbare politieambtenaar die (bevoegd) gegevens opvroeg in het kader van zijn politietaak. Uit welke specifieke gedragingen dit “voordoen” zou kunnen worden afgeleid, blijkt niet uit de bewijsmiddelen of de bewijsoverwegingen. Naar mijn mening is dan ook de bewezenverklaring dat de verdachte een valse hoedanigheid heeft aangenomen onvoldoende met redenen omkleed.
Valse sleutel?
Dat zie ik anders waar het gaat om de vaststelling van het hof dat de verdachte gebruik heeft gemaakt van een valse sleutel. Zoals hiervoor is besproken wordt het begrip ‘valse sleutel’ door de Hoge Raad ruim uitgelegd en kan een sleutel, door het onbevoegd gebruikmaken daarvan een valse sleutel worden.
In het onderhavige geval had de verdachte door middel van zijn accreditatie vrije toegang tot de gegevens. Hoewel het hof hier in zijn specifieke bewijsoverwegingen met betrekking tot feit 2 niet expliciet melding van heeft gemaakt, heeft het hof in zijn inleidende bewijsoverwegingen met betrekking tot feit 1, 2 en 3 (voorafgaand aan tussenconclusie 2) op het volgende gewezen:
“Op het eerste blad van elke export is een waarschuwing opgenomen voor de gebruiker:
‘Het oneigenlijk gebruik dan wel misbruik van deze gegevens is ten strengste verboden. Daarnaast is het verstrekken van deze gegevens aan derden welke niet de vereiste autorisatie bezitten eveneens ten strengste verboden’.
De gebruiker kan pas verder gaan met exporteren als hij aangeeft dat hij de bovenstaande waarschuwing heeft gelezen en op OK drukt.”
Ik meen dan ook dat in de bewijsoverwegingen – in samenhang met elkaar bezien – besloten ligt, dat het hof heeft aangenomen dat de verdachte, door deze waarschuwing opzettelijk te negeren, zijn autorisatie heeft overschreden en dat door dit wederrechtelijk gebruik zijn autorisatie, “de eigen sleutel”, als een valse sleutel kan worden aangemerkt. Voor dit oordeel van het hof is zowel in de hiervoor besproken jurisprudentie als in de wetsgeschiedenis van art. 138ab Sr steun te vinden. In de wetsgeschiedenis wordt immers gewag gemaakt van het ‘overschrijden van de autorisatie’ in welk geval er ook sprake kan zijn van binnendringen in (een gedeelte van) een geautomatiseerd werk. De eenvoud van de regel in de jurisprudentie dat (ook) het wederrechtelijk gebruik van een (eigen) sleutel, deze sleutel tot een valse sleutel maakt, spreekt in dat verband aan.
Ik realiseer mij dat met deze uitleg de reikwijdte van het wederrechtelijk binnendringen zoals strafbaar gesteld in art. 138ab lid 1 Sr potentieel erg groot wordt. Immers een werknemer die uit nieuwsgierigheid grasduint in de voor hem met wachtwoord toegankelijke systemen zal dat (op basis van interne regels) al snel onbevoegd kunnen doen, omdat dit niet altijd (strikt) noodzakelijk is voor de functie-uitoefening. Ook indien de gegevens alleen worden bekeken en niet overgenomen zal reeds sprake zijn van het overtreden van het bepaalde in art. 138ab lid 1 Sr (het binnendringen). Complicerende factor daarbij is dat niet voor alle gevallen, zoals ook hier, reeds op voorhand en zonder nadere bewijsmiddelen ondubbelzinnig blijkt wanneer volgens de rechthebbende (in dit geval de politie) precies wel en niet sprake is van bevoegd gebruik van de gegeven accreditatie. Het spreekt voor zich dat sprake is van onbevoegd gebruik wanneer het gebruik tot doel heeft vertrouwelijke gegevens te openbaren aan onbevoegde derden, maar dient art. 138ab Sr ook van toepassing te zijn indien de gegevens slechts ‘spontaan’ maar zonder noodzaak voor de functie worden ingezien? Aan deze overpeinzingen kunnen naar mijn mening in dit geval voorbij worden gegaan omdat er in deze zaak geen sprake is van een grijs gebied. Uit de bewijsmiddelen blijkt immers overduidelijk dat de verdachte ten aanzien van de daarin met name genoemde personen al voorafgaande aan het inloggen in Blue View de intentie heeft gehad, in strijd met de in Blue View opgenomen waarschuwing, het systeem oneigenlijk te gebruiken. Daarmee heeft hij zijn autorisatie misbruikt, en dus het geautomatiseerd werk wederrechtelijk binnengedrongen (lid 1), en vervolgens ook in strijd met deze waarschuwing de hieruit verkregen gegevens aan onbevoegde derden verstrekt (lid 2).
Ook al is naar mijn mening het aannemen van de valse hoedanigheid door de verdachte door het hof onvoldoende met redenen omkleed, heeft het hof mijns inziens wel kunnen aannemen dat de verdachte gebruik heeft gemaakt van een valse sleutel en door middel daarvan het geautomatiseerde systeem van Blue View wederrechtelijk is binnengedrongen. Ook met weglating van de passage die betrekking heeft op het aannemen van een valse hoedanigheid wordt de aard en de ernst van het bewezenverklaarde in zijn geheel beschouwd niet aangetast en ben ik van oordeel dat de bewezenverklaring voldoende conform de eis van de wet met redenen is omkleed.
Het tweede middel is vergeefs voorgesteld.
Lees hier de volledige conclusie.