Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Aangezien Arnoud het vertikte om tweede Paasdag op een woonboulevard door te brengen en als excuus de grote hoeveelheid juridische vragen van de Security.nl lezers gaf, deze week niet één, maar zeven vragen en antwoorden. Tevens kroop Neerlands bekendste ICT-jurist eens op de stoel van rechter en verklaarde hij de vraag "Ben ik strafbaar als mijn modem is gehackt?" tot winnaar van zijn boek De wet op internet. Zoals gezegd, elk kwartaal is er een nieuwe winnaar.

Vraag over hack programma's: Ik ben benieuwd of het hebben van hack programma's op je computer illegaal is. Veel mensen zeggen dat het wel mag zolang je ze maar niet gebruikt is dit waar?

Antwoord: Nee, ook het bezitten zonder te gebruiken is strafbaar. Art. 139d lid 2(a) Wetboek van Strafrecht stelt naast het maken, verspreiden en nog een paar dingen ook het "voorhanden hebben" van computerinbraaksoftware, DoS-tools en dergelijke strafbaar. Ook als je er niets mee doet. Wel moet de tool hoofdzakelijk ontworpen of geschikt zijn voor criminele activiteiten. Een wachtwoord-kraakprogramma is dat niet, want daarmee kun je ook je eigen wachtwoorden op sterkte controleren.

Vraag over poortscanning: Is het illegaal om poorten te scannen van computers waar jij niet de eigenaar van bent?

Antwoord: Het is strafbaar om binnen te dringen in een computersysteem, ongeacht of dat beveiligd is. De vraag is dus of je bij een poortscan al binnen bent in het systeem dat je scant. Die lezing gaat me erg ver. Bij een poortscan zet je alleen een verbinding op, en die sluit je daarna meteen weer. Daarbij maak je op zich een normaal gebruik van de service.

Juridisch is een poortscan waarschijnlijk wel te zien als een poging tot computervredebreuk, mits vaststaat dat de scannende persoon de intentie had om na de scan in te gaan breken in kwetsbare systemen. Zie ook deze pagina.

Vraag over DirBuster: Met de Tool DirBuster kun je kijken of een site informatie online hebt die eigenlijk niet vrij beschikbaar had mogen zijn. De tool doet een brute-force op basis van lijsten met veelgebruikte directorynamen en bestandsnamen. Mag ik die tool gebruiken, gewoon uit nieuwsgierigheid?

Antwoord: Dit lijkt een beetje op een portscan maar dan binnen het HTTP-protocol. Het gaat wel een stapje verder: je vraagt niet alleen welke service er draait maar je vraagt ook informatie op, die wellicht nog niet openbaar had moeten zijn. Voor computervredebreuk moet je binnendringen op een plek waarvan je weet dat die "verboden terrein" voor je is. Een niet-publieke maar wel werkende URL lijkt me nog niet automatisch verboden terrein.

Ik vermoed dat hier de intentie nog veel zwaarder gaat wegen. Waarom deed je dit? Wat verwachtte je te vinden? Als dat vertrouwelijke informatie is, dan zou het toch wel eens als computervredebreuk gezien kunnen worden. Bij deze tool zou ik trouwens nog bang zijn dat je het ontvangende systeem overbelast. Dat zou dan een DoS-aanval worden en dat is apart strafbaar gesteld (art. 138b Strafrecht).

Vraag over login procedure: In vervolg op deze vraag, is het strafbaar om een login procedure te omzeilen van je eigen gebruikersaccount, bijvoorbeeld met behulp van SQL injectie op een website van iemand anders?

Antwoord: Als je probeert met een truc je eigen account binnen te dringen, lijkt me dat niet strafbaar. Het gaat er bij computervredebreuk om dat je toegang verkrijgt tot iets dat eigenlijk verboden terrein voor je is. Ik denk dus niet dat dit strafbaar is. Als die truc per (opzettelijk of per toevalig) ook leidt tot bv. privilege escalation, dan handel je wel strafbaar.

Vraag over Open WiFi: Na lezing van het antwoord op deze vraag, vroeg ik me af of het toegestaan is om zelf opzettelijk je eigen draadloze access point beschikbaar te maken voor iedereen? Bijvoorbeeld zoals FON het doet, of gewoon de SSID veranderen in "Gratis WIFI komt u binnen" en verder geen beveiliging of wat dan ook.

Antwoord: Als iemand zijn access point zelf beschikbaar stelt voor iedereen, dan is er geen sprake van strafbaar binnendringen in dat access point of netwerk. De provider heeft het waarschijnlijk contractueel verboden om je internet-abonnement te delen met anderen, maar contractbreuk is niet strafbaar. In theorie zou je de OPTA langs kunnen krijgen omdat je een openbaar telecommunicatienetwerk aanbiedt zonder ingeschreven te zijn, maar dat lijkt me
sterk bij 1 draadloos modem vanuit je huiskamer.

Vraag over security audits: Stel een klant schakelt mij als beveiligingsexpert in om zijn netwerk of computersystemen dicht te timmeren. Achteraf blijkt dat er toch nog ergens een gat in de beveiliging zit, en de klant lijdt daardoor schade. Kan hij die dan op mij verhalen, en waar hangt dat eventueel vanaf?

Antwoord: Eigenlijk gaat deze vraag meer over "wanneer levert een dienstverlener wanprestatie". Een dienstverlener (opdrachtnemer) heeft een inspanningsplicht (art. 7:401 BW): hij moet als een "goed opdrachtnemer" zijn werk doen. Doet hij dat niet, dan kan de opdrachtgever hem aansprakelijk stellen voor de schade die daaruit voortvloeit. Dat betekent niet dat een beveiliger een perfect, onkraakbaar systeem moet opleveren. Hij moet alleen kunnen aantonen voldoende zijn best gedaan te hebben.

Veel dienstverleners hebben algemene voorwaarden waarin zij elke aansprakelijkheid uitsluiten. Dat is lang niet altijd rechtsgeldig. Zo mag je naar consumenten toe je aansprakelijkheid eigenlijk helemaal niet uitsluiten (art. 6:237 sub f BW) tenzij je daar een hele goede reden voor hebt. Bij zakelijke klanten kan er meer, maar de ondergrens blijft toch je zorgplicht. En bij schade door opzet of grove nalatigheid kun je nooit een beroep doen op je uitsluitingsclausule.

Ook moet je goed uitkijken met het klakkeloos doen wat de klant wil. Onderdeel van de zorgplicht is dat je zulke zaken onderzoekt. Je wordt als deskundige ingehuurd, dus jij moet protesteren als de klant iets wil dat onverstandig is. Sterker nog, je hebt het recht de overeenkomst te ontbinden (7:402 BW) als de klant voet bij stuk blijft houden. Doe je dat niet, dan is het mogelijk dat de klant jou aanspreekt voor schade dankzij zijn eigen koppigheid!

Vraag over linken naar malware: Afgelopen zaterdag haalde GeenStijl weer eens een oud "geintje" uit: oproepen om met zijn allen iemands gastenboek te gaan vervuilen. Maar deze site-eigenaar vocht terug: hij redirectte de pagina's waarnaar GS linkte naar een pagina met allerlei virussen en andere ongein. Mag dat zomaar?

Antwoord: Op zich is er juridisch weinig mis mee om als 'terugpakactie' een link door te leiden naar bv. Goatse of een andere shocksite. Wie kaatst moet de bal verwachten. Anders wordt dat wanneer je linkt naar malware. Het verspreiden van software "die zijn bestemd om schade aan te richten in een geautomatiseerd werk" is strafbaar (art. 350a Sr). Het opzettelijk linken naar een pagina met zulke malware kan worden gezien als medeplichtigheid daaraan.

In deze zaak werd het linken naar een "opruiend" geschrift (strafbaar, art. 132a Strafrecht) als medeplichtigheid aan de verspreiding daarvan gezien. Wel speelde daarbij zwaar mee dat de verdachte precies wist waar ze naar linkte en ook achter die inhoud stond. De rechter verklaarde expliciet dat niet elke hyperlink naar strafbare inhoud ook strafbaar is. Maar wie opzettelijk bezoekers doorleidt naar strafbare inhoud, neemt een groot risico op vervolging.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".