Deze notitie, geschreven in opdracht van SURFnet, geeft een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. De meeste anti-botnetacties die verder gaan dan pure beveiliging van de eigen systemen, maken inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen. Deze acties zijn daarom snel te kwalificeren als aftappen en opnemen van communicatie, computervredebreuk, gegevensaantasting, computersabotage en heling van gegevens – gedragingen die in het Wetboek van Strafrecht strafbaar zijn gesteld wanneer ze opzettelijk en wederrechtelijk worden uitgevoerd. De kernvraag daarbij is wanneer een actie wederrechtelijk is.

Er valt niet in het algemeen te zeggen wanneer een anti-botnetactie wederrechtelijk is. Dat hangt af van veel factoren, zoals de contracten en gedragscodes die binnen SURFnet gelden, de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, (on)mogelijkheden van diverse actoren om in te grijpen, en hoe de maatschappij aankijkt tegen ingrijpen door private actoren in het kader van misdaadbestrijding in een Internetomgeving. Leidende beginselen zijn subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Voor elk type actie, en in elke context, moet worden bekeken of het nodig is dat SURFnet of een aangesloten instelling deze actie uitvoert (in plaats van het over te laten aan politie, antivirusaanbieders of eindgebruikers), en of de bedreiging – de mogelijke of aangerichte schade – van het botnet de mate van ingrijpen in computers en gegevensstromen van anderen rechtvaardigt.

Omdat de maatschappelijke normen voor de aanvaarbaarheid van anti-botnetacties (dat wil zeggen of deze rechtmatig of wederrechtelijk zijn) nog sterk in ontwikkeling zijn, verdient het aanbeveling dat SURFnet richtlijnen opstelt voor anti-botnetacties, bij voorkeur na overleg met andere belanghebbende actoren. In elk geval kan SURFnet als netwerkaanbieder in de contracten met instellingen, en als dienstaanbieder in het opstellen van model-gedragscodes en integriteitscodes, tot op zekere hoogte zelf bepalen welke anti-botnetacties onder welke omstandigheden uitgevoerd kunnen worden binnen het SURFnet-netwerk. Voor acties die effect hebben op computers en gegevensstromen buiten het SURFnet-netwerk kan SURFnet, liefst samen met vergelijkbare private partijen, een gedragscode opstellen voor anti-botnetacties, die weliswaar geen bindende werking heeft maar wel de beoordeling door de rechter van de rechtmatigheid van de acties kan inkleuren.

Het Nederlandse strafrecht stelt daarbij wel grenzen aan anti-botnetacties, maar die grenzen zijn contextafhankelijk. Zorgvuldig overdachte, proportionele acties ter bestrijding van botnets hoeven niet strafbaar te zijn, en voor zover ze dat op papier wel zijn zullen ze in de praktijk vermoedelijk niet snel worden vervolgd.

Lees verder: