De stoffelijkheid van websites

Recente rechtspraak over computervredebreuk

Eerst is er een hal vol mensen die met de hand gaatjes in dingen boren. Dan komt de vooruitgang. In de hal staat voortaan een grote gaatjesboormachine die door een handvol mensen bediend wordt. Minder mensen maken meer dingen. Dat is wat ik mij voorstel bij ‘geautomatiseerd werk’. In het strafrecht betekent het iets heel anders. In art. 138ab Wetboek van Strafrecht is het ‘binnendringen in een geautomatiseerd werk’ als computervredebreuk strafbaar gesteld. Maar wat is een geautomatiseerd werk? In hoeverre passen geheel digitale fenomenen in die definitie?

Over die vraag ging het in een zaak waarover de Hoge Raad onlangs oordeelde. Het begon allemaal in 2017 toen een hacker binnendrong op een website voor de medewerkers van een huisartsenpost in Den Haag en daar toegang kreeg tot persoonsgevoelige gegevens. Er kwam een verdachte in beeld die bestanden van de huisartsenpost op zijn laptop had staan en die in een WhatsApp-gesprek de volgende berichten had verstuurd: ‘Heb weer iemand gehackt’, ‘Den Haag lil’ en ‘Lol huisartsen post’.

De man werd vervolgd voor computervredebreuk. Op de tenlastelegging stond dat hij een geautomatiseerd werk was binnengedrongen, ‘te weten de website van de huisartsenpost’. De rechtbank Den Haag achtte het strafbare feit bewezen en veroordeelde de man tot twee maanden gevangenisstraf, waarvan een voorwaardelijk.

De hacker ging in hoger beroep en daar kwam de vraag op of een website wel een geautomatiseerd werk is. Het gerechtshof vond dat dat niet het geval was. Het maakte uit de wetsgeschiedenis op dat de wetgever met ‘geautomatiseerd werk’ alleen fysieke apparaten voor ogen had gehad. De strafbaarstelling van computervredebreuk was gericht op bescherming van die apparaten, niet van een ‘samenstel van gegevens’, zoals een website. Verdachte werd daarom vrijgesproken.

Het OM ging tegen dat oordeel in cassatie. Het gaf toe dat een website als zodanig geen geautomatiseerd werk is, maar betoogde dat een website in werkelijkheid niet los bestaat, maar als een combinatie van hardware en software. Als in de tenlastelegging ‘website’ staat, moet men daarom eigenlijk ‘website en servers’ lezen. Zo is er dan toch sprake van een ‘geautomatiseerd werk’, zoals de wetgever dat ooit voor ogen had.

In zijn conclusie, een advies aan de Hoge Raad, toonde advocaat-generaal Van Wees zich gevoelig voor de argumentatie van  het OM. Hij vond dat de redenering van het gerechtshof miskende dat binnendringen in een website binnendringen in een geautomatiseerd werk tot gevolg heeft. Overigens merkte hij ook op dat het hier prima mogelijk was geweest om op de tenlastelegging te zetten dat de website en de servers waarop die werden gehost waren binnengedrongen. Dan was de hele discussie niet nodig geweest.

De Hoge Raad ging niet mee met de conclusie van de AG en dus ook niet met de pragmatische uitleg van het OM. De Raad vond dat het gerechtshof had kunnen concluderen dat een website alleen niet voldeed aan de wettelijke omschrijving van een geautomatiseerd werk. Nu er alleen ten laste was gelegd dat de hacker een ‘website’ binnen was gedrongen, bleef de vrijspraak in stand.

Een week na het arrest van de Hoge Raad deed een verdachte er een beroep op, op een zitting van de rechtbank Zeeland/ West-Brabant. De man werd onder meer vervolgd voor computervredebreuk door het via een web interface, Outlook Web Access, inloggen op een e-mailserver van een bedrijf. Volgens de verdediging moest er vrijspraak volgen omdat de in de tenlastelegging opgenomen term Outlook Web Access geen geautomatiseerd werk is. De rechtbank vond van wel. Zij vond dat met Outlook Web Access niet alleen gedoeld werd op de gebruikersinterface, maar op ‘de complete inrichting voor het versturen van e-mails.’ Verdachte werd veroordeeld voor computervredebreuk. Zo blijft strafrechtspraak maatwerk, zeker als het gaat om geautomatiseerd werk.