image

Juridische vraag: Hoe wordt excessief gebruik van een dienst computervredebreuk?

woensdag 17 april 2019, 10:59 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik las dat een agent voor computervredebreuk is veroordeeld wegens het verkopen van politie-informatie. Maar hoe is dit strafbaar, hij was toch als agent bevoegd om in die systemen te zoeken? Dit moet toch gewoon schending van ambtsgeheim zijn of heling van informatie of zo?

Antwoord: In maart werd een politieagent veroordeeld wegens computervredebreuk omdat hij honderden keren onterecht informatie in politiesystemen opzocht en die met derden deelde. De man zocht over een periode van drie jaar 6.000 keer iets in de politiesystemen op. 2500 van deze bevragingen vonden plaats buiten diensttijd. Van 466 zoekopdrachten stond vast dat die 100 procent niets met zijn werkzaamheden te maken hadden.

Natuurlijk mag een agent geen privégebruik maken van de systemen van het werk. Een disciplinaire straf had me dan ook volkomen logisch geleken. Ook het gebruik van de privételefoon is vast tegen interne regels, dus daar een tik voor op de vingers lag ook wel in de lijn der verwachting. Maar de politie gooide het op computervredebreuk, nadat deze agent in beeld was gekomen bij een onderzoek naar een hennepkwekerij en daarbij was gebleken hóe vaak en hóe veel mensen hij in dat systeem onderzocht.

Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen in een computersysteem, terwijl je weet dat je daar niet hoort te zijn. Of je een beveiliging doorbreekt, is al vele jaren niet meer relevant. Als die agent mij dus zijn telefoon geeft, en ik pak die BVI-IB app en ik check de buurman, dan pleeg ik een strafbaar feit. Maar de agent zelf mág die basisvoorziening inzetten, dat is deel van zijn werk. Dus hoe wordt excessief een dienst gebruiken computervredebreuk?

De rechtbank ziet inderdaad een vorm van binnendringen in het opzoekgedrag van Jan:

De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. ... Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (...)

Het heeft me nooit lekker gezeten dat ergens mogen inloggen maar dan inhoudelijk te ver gaan, kan leiden tot een strafbaar feit. Want dat is waar dit op neerkomt. Ik snap het achterliggende argument echt wel, maar volgens mij wordt hier echt op een oneigenlijke manier dit misdrijf ingezet om een ernstig ambtsfalen aan te pakken.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
17-04-2019, 11:29 door Anoniem
Iemands huis binnen gaan omdat de deur open staat of omdat er een touwtje uit de brievenbus hangt is toch ook nog steeds insluiping? En is strafbaar omdat je weet dat je iets doet wat niet (zomaar) mag. Als je dat dan ook nog eens 466 keer doet dan is het helemaal terecht dat dan het wetboek van strafrecht uit de kast komt! Dat kun je toch niet meer als iets civielrechtelijks meer zien?

Als je dondersgoed weet dat je ergens bent waar je niet hoort te wezen en het toch blijft doen, strafrecht. Logisch.
17-04-2019, 11:29 door Anoniem
Als je als nachtwaker de sleutels van een pretpark hebt, en je laat 's avonds je buren in het pretpark, dan is dat toch ook "gebruik maken van aan jou toegekende autorisaties voor activiteiten waar je vanuit je werk geen toestemming voor hebt"?
Volgens mij zou je daar ook voor ontslagen kunnen worden.

Het is een farce te denken dat je toegang en rechten 100% kan inrichten, want er zijn altijd speciale gevallen cq. uitzonderingen. Daarom heb je de verplichting om verstandig om te gaan met rechten en kan je je als gebruiker niet verschuilen achter "ik heb de rechten gekregen dus ik mag ze overal voor gebruiken"

Q
17-04-2019, 11:36 door Anoniem
"Excessief" is een foute woordkeuze. vooral omdat het niet gaat over het aantal maar om het feit dat hij de privacy van mensen schond. Het aantal maakt het natuurlijk erger, maar van mijn part was hij al in fout bij de eerste paar mensen.
17-04-2019, 11:54 door Bitwiper
Door Arnoud Engelfriet: Het heeft me nooit lekker gezeten dat ergens mogen inloggen maar dan inhoudelijk te ver gaan, kan leiden tot een strafbaar feit.
Dat je een kassa-lade mag openen, wil niet zeggen dat je je eigen zakken mag vullen. Dat een systeembeheerder de e-mails van de baas kan inzien als hij dat zou willen, betekent niet dat dit is toegestaan. Dat je als ziekenhuismedewerker het patiëntendossier van Barbie kunt openen, wil niet zeggen dat jij dit mag. Als je een sleutel van een vakantiehuisje hebt, wil dat niet zeggen dat je de boel mag leegroven. En zo kan ik er nog wel meer verzinnen.

Je kunt niet alles met techniek afdwingen, en sterker, je moet dat ook niet willen. Want in onvoorziene (nood-) situaties verlies je tijd of loop je vast. Wel moet je heldere policies opstellen (bijv. achteraf kunnen verantwoorden van acties), zorgen dat mensen deze ter harte nemen en sanctioneren als ze de regels overtreden.

Deze specifieke uitspraak vind ik heel slecht. Opsporingsambtenaren moeten m.i. ook ogenschijnlijk irrelevante informatie kunnen opvragen, al was het maar om verbanden uit te sluiten. Maar ook de situatie dat een collega of zelfs een meerdere zich niet aan de regels houdt, moet kunnen worden onderzocht - zonder zelf te hoeven vrezen voor je baan en vervolging.
17-04-2019, 12:43 door NetGuardian
Zie dit security.nl artikel van 2015: https://www.security.nl/posting/449315/Politie+krijgt+app+voor+controleren+persoonsgegevens

Politiechef Miriam Barendse van de Nationale Politie verwacht niet dat agenten van de nieuwe mogelijkheden misbruik zullen maken. "Je kunt als agent inderdaad alle persoonlijke gegevens van een persoon binnen luttele seconden op je schermpje zien. Maar het is niet toegestaan om dat lukraak te doen. Er moet áltijd een goede reden voor zijn." Het opvragen van gegevens door agenten wordt vastgelegd, zodat in het geval van misbruik de overtreder kan worden achterhaald. Daarnaast worden agenten getraind in het omgaan met de data.[/b]
17-04-2019, 13:17 door Anoniem
Door Bitwiper:
Door Arnoud Engelfriet: Het heeft me nooit lekker gezeten dat ergens mogen inloggen maar dan inhoudelijk te ver gaan, kan leiden tot een strafbaar feit.
Dat je een kassa-lade mag openen, wil niet zeggen dat je je eigen zakken mag vullen. Dat een systeembeheerder de e-mails van de baas kan inzien als hij dat zou willen, betekent niet dat dit is toegestaan. Dat je als ziekenhuismedewerker het patiëntendossier van Barbie kunt openen, wil niet zeggen dat jij dit mag. Als je een sleutel van een vakantiehuisje hebt, wil dat niet zeggen dat je de boel mag leegroven. En zo kan ik er nog wel meer verzinnen.

Je kunt niet alles met techniek afdwingen, en sterker, je moet dat ook niet willen. Want in onvoorziene (nood-) situaties verlies je tijd of loop je vast. Wel moet je heldere policies opstellen (bijv. achteraf kunnen verantwoorden van acties), zorgen dat mensen deze ter harte nemen en sanctioneren als ze de regels overtreden.
Prima voorbeelden: "omdat het kan" wil niet zeggen dat het mag

Deze specifieke uitspraak vind ik heel slecht. Opsporingsambtenaren moeten m.i. ook ogenschijnlijk irrelevante informatie kunnen opvragen, al was het maar om verbanden uit te sluiten. Maar ook de situatie dat een collega of zelfs een meerdere zich niet aan de regels houdt, moet kunnen worden onderzocht - zonder zelf te hoeven vrezen voor je baan en vervolging.
Ik gebruik vaak het volgende voorbeeld bij ziekenhuizen: als een personeelslid meerdere "Janssen"'s op vraagt is dat verdacht, normaal weet je precies hoe de patient heet. Maar een eerste-hulp-verpleegster moet dat misschien wel kunnen, omdat iemand die binnengebracht is alleen vertelt dat die "Jansen" heet. Als bij navraag de persoon kan aangeven dat het zakelijk en ten behoeve van het uitvoeren van de toegewezen taak is, is ook zo'n brede opvraging geen enkel probleem.

Q
17-04-2019, 16:22 door Anoniem
Goed precedent.

Veel technokiddies denken nog te vaak: "Het werkt dus het mag". En dat is gewoon niet zo. Ook niet als een password "toevallig" werkt of een backdoor open staat.

Het kan civielrechtelijke consequenties hebben (economische schade of privacy schendingen), of stafrechelijke (insluiping of huisvredebreuk wat voor computers dan ook niet voor niets computervredebreuk is genoemd).

Of het moeilijk of makkelijk was om ergens binnen te komen maakt terecht niks uit (hooguit in de strafmaat). Het criterium dat je dondersgoed kon weten dat is belangrijk. Maar waha, als het werkt dan mag het, zulke types, als ze het echt bont maken, mogen best een tijdje naar Hotel de Houten Lepel. Het is zo stom als zeggen, ik heb een handtas op de grond gevonden waar niemand bij was en kon echt niet weten dat die mevrouw even naar de wc was. Dat is ook pikken namelijk. Die fiets heb ik eerlijk gevonden want er was niemand bij en dat slot was zo open. Ik heb je PC gerepareerd en gelijk even al je emails gelezen en mezelf vast betaald via je bank want ik zag dat je toch zat op je rekening had staan.

Wat dat alles mag de strafrechter nog wel wat meer precedentjes uitspreken. Als duidelijk genoeg is dat je in een systeem niks te schaften hebt, of in bepaalde data, dan is dat strafbaar en dat hoort het ook fijn te blijven.
17-04-2019, 16:44 door Anoniem
Door Anoniem: Iemands huis binnen gaan omdat de deur open staat of omdat er een touwtje uit de brievenbus hangt is toch ook nog steeds insluiping? En is strafbaar omdat je weet dat je iets doet wat niet (zomaar) mag. Als je dat dan ook nog eens 466 keer doet dan is het helemaal terecht dat dan het wetboek van strafrecht uit de kast komt! Dat kun je toch niet meer als iets civielrechtelijks meer zien?

Als je dondersgoed weet dat je ergens bent waar je niet hoort te wezen en het toch blijft doen, strafrecht. Logisch.


Het is juist niet zo logisch als je het hier doet voorkomen. Het gaat hier niet om een willekeurig persoon die daar nooit had mogen zijn, het gaat om de buurman die je een sleutel hebt gegeven en toestemming om binnen te komen om de planten water te geven. Als hij vervolgens wel erg vaak in je huis is wordt hij dan vervolgd voor insluiping of inbraak, terwijl dat zeer discutabel is. Daar gaat deze vraag juist over en dat is waar de schoen wringt. Als iemand geen toegang heeft, dan heeft hij dat niet en is het insluiping. Maar dat was hier juist expliciet wel het geval en wordt iemand toch gestraft alsof hij dat niet heeft.
17-04-2019, 17:04 door Anoniem
Door Anoniem:
Door Anoniem: Iemands huis binnen gaan omdat de deur open staat of omdat er een touwtje uit de brievenbus hangt is toch ook nog steeds insluiping? En is strafbaar omdat je weet dat je iets doet wat niet (zomaar) mag. Als je dat dan ook nog eens 466 keer doet dan is het helemaal terecht dat dan het wetboek van strafrecht uit de kast komt! Dat kun je toch niet meer als iets civielrechtelijks meer zien?

Als je dondersgoed weet dat je ergens bent waar je niet hoort te wezen en het toch blijft doen, strafrecht. Logisch.


Het is juist niet zo logisch als je het hier doet voorkomen. Het gaat hier niet om een willekeurig persoon die daar nooit had mogen zijn, het gaat om de buurman die je een sleutel hebt gegeven en toestemming om binnen te komen om de planten water te geven. Als hij vervolgens wel erg vaak in je huis is wordt hij dan vervolgd voor insluiping of inbraak, terwijl dat zeer discutabel is. Daar gaat deze vraag juist over en dat is waar de schoen wringt. Als iemand geen toegang heeft, dan heeft hij dat niet en is het insluiping. Maar dat was hier juist expliciet wel het geval en wordt iemand toch gestraft alsof hij dat niet heeft.
Als ik de buurman een sleutel geef om de planten water te geven, ben ik erg expliciet: van dan tot dan, en alleen om planten water te geven.
En zo is het ook voor agenten: je mag geen informatie opvragen die je niet voor je werk nodig hebt, zelfs als het kan. Dat is omdat het anders niet werkbaar is: dan zou je voor iedere opvraag toestemming moeten vragen aan je meerdere...
17-04-2019, 17:16 door Anoniem
Door Anoniem:Ik gebruik vaak het volgende voorbeeld bij ziekenhuizen: als een personeelslid meerdere "Janssen"'s op vraagt is dat verdacht, normaal weet je precies hoe de patient heet. Maar een eerste-hulp-verpleegster moet dat misschien wel kunnen, omdat iemand die binnengebracht is alleen vertelt dat die "Jansen" heet. Als bij navraag de persoon kan aangeven dat het zakelijk en ten behoeve van het uitvoeren van de toegewezen taak is, is ook zo'n brede opvraging geen enkel probleem.

Q

Ziekenhuis is een mooi voorbeeld. Laatst daar nog een presentatie over gekregen.
"Oeps, er kijken een paar honderd mensen in het dossier van X."
Blijkt dat bij een gemiddeld persoon die op de Eerste Hulp binnen wordt gebracht 100 tot 300 persoonen *legitiem* in dat dossier mogen kijken. Moet die persoon naar de traumaafdeling dan is dat aantal na een paar dagen aardig de 1000 aan het naderen.

En dan hebben we het nog niet over die verpleegster die de dossiers van alle jansen, janssen, jansens en janssens opvraagt.

Peter
17-04-2019, 17:46 door Anoniem
Door Anoniem:
Door Anoniem:Ik gebruik vaak het volgende voorbeeld bij ziekenhuizen: als een personeelslid meerdere "Janssen"'s op vraagt is dat verdacht, normaal weet je precies hoe de patient heet. Maar een eerste-hulp-verpleegster moet dat misschien wel kunnen, omdat iemand die binnengebracht is alleen vertelt dat die "Jansen" heet. Als bij navraag de persoon kan aangeven dat het zakelijk en ten behoeve van het uitvoeren van de toegewezen taak is, is ook zo'n brede opvraging geen enkel probleem.

Q

Ziekenhuis is een mooi voorbeeld. Laatst daar nog een presentatie over gekregen.
"Oeps, er kijken een paar honderd mensen in het dossier van X."
Blijkt dat bij een gemiddeld persoon die op de Eerste Hulp binnen wordt gebracht 100 tot 300 persoonen *legitiem* in dat dossier mogen kijken. Moet die persoon naar de traumaafdeling dan is dat aantal na een paar dagen aardig de 1000 aan het naderen.

En dan hebben we het nog niet over die verpleegster die de dossiers van alle jansen, janssen, jansens en janssens opvraagt.

Peter

Interessant - dat legitiem _in staat moeten zijn_ te kijken zal inderdaad snel oplopen - het gaat dan om volledige ploegen van allerlei betrokken diensten (verpleging, laboranten, betrokken specialisten teams en ondersteuning etc ).
De uitspraak was , lijkt me , over de aantal die het 'moeten kunnen' , en niet de aantallen die het ook _doen_ ?

Dat bv 'alle laboranten' een dossier kunnen zien en gegevens invullen is logisch, maar je verwacht dat alleen de laborant die met de het monster van Dhr Jansen bezig is, het 'dossier Jansen' bekijkt en de metingen invult. En dat zaalarts kijkt naar de dossiers die op zaal liggen tijdens z'n dienst.
Als je lang genoeg ligt zullen natuurlijk meer verschillende mensen een keer dienst hebben op moment dat er iets met jouw dossier langskomt.
17-04-2019, 17:48 door Anoniem
Door Anoniem:
Door Anoniem:Ik gebruik vaak het volgende voorbeeld bij ziekenhuizen: als een personeelslid meerdere "Janssen"'s op vraagt is dat verdacht, normaal weet je precies hoe de patient heet. Maar een eerste-hulp-verpleegster moet dat misschien wel kunnen, omdat iemand die binnengebracht is alleen vertelt dat die "Jansen" heet. Als bij navraag de persoon kan aangeven dat het zakelijk en ten behoeve van het uitvoeren van de toegewezen taak is, is ook zo'n brede opvraging geen enkel probleem.

Q

Ziekenhuis is een mooi voorbeeld. Laatst daar nog een presentatie over gekregen.
"Oeps, er kijken een paar honderd mensen in het dossier van X."
Blijkt dat bij een gemiddeld persoon die op de Eerste Hulp binnen wordt gebracht 100 tot 300 persoonen *legitiem* in dat dossier mogen kijken. Moet die persoon naar de traumaafdeling dan is dat aantal na een paar dagen aardig de 1000 aan het naderen.

En dan hebben we het nog niet over die verpleegster die de dossiers van alle jansen, janssen, jansens en janssens opvraagt.

Peter

Je zult maar Bekende Nederlander zijn die naar het ziekenhuis moet en heel het ziekenhuis blijkt meegekeken te hebben naar je klokkenspel op de CT scan. Maar ook als Onbekende Nederlander moet je er toch op kunnen vertrouwen dat zulke dingen niet gebeuren? Je kan dat afdekken met wachtwoorden en permissies in een systeem. Maar ook met dat je zoiets gewoon niet doet. Ook omdat dat strafbare computervredebreuk is. En het 2 weken parkjes schoffelen kan kosten plus een beroepsontzegging?
17-04-2019, 19:53 door Anoniem
Ik begreep dat ze meer detectie aan de bevragingen gaan hangen en dat vind ik een goed plan.
Als je de bevragingen van alle agenten middelt en er is er een die er ver bovenuitsteekt kwa aantal dan mag daar
best even naar gekeken worden. Misschien is het legitiem, dan blijkt dat al snel uit andere dingen zoals een werkverslag
ofzo (als je heel veel zaken onderzoekt dan heb je ook veel bevragingen).
Maar als er een bepaald patroon in zit wat niet klopt met je werk (veel bevragingen, veel in een bepaalde richting die
niet je werkgebied is, etc) dan mogen er best alarmbellen gaan rinkelen.
Dan sta je nog niet op straat maar kan er wel even gekeken worden waar je mee bezig bent, zonder dat dit 3 jaar
kan doorgaan.

Idem voor die ziekenhuissystemen. Als er ineens 50 mensen naar 1 dossier vragen (of 10) dan mag er best een
alarm afgaan. Want dan klopt er gewoon iets niet.

En ja, net zoals ieder alarm gaat het vast wel eens een keer ten onrechte af. Maar dat is beter dan dat zaken maar
door kunnen gaan zonder dat er iemand op let.
17-04-2019, 22:01 door Anoniem
Door Anoniem: Als je als nachtwaker de sleutels van een pretpark hebt, en je laat 's avonds je buren in het pretpark, dan is dat toch ook "gebruik maken van aan jou toegekende autorisaties voor activiteiten waar je vanuit je werk geen toestemming voor hebt"?
Volgens mij zou je daar ook voor ontslagen kunnen worden.

Het is een farce te denken dat je toegang en rechten 100% kan inrichten, want er zijn altijd speciale gevallen cq. uitzonderingen. Daarom heb je de verplichting om verstandig om te gaan met rechten en kan je je als gebruiker niet verschuilen achter "ik heb de rechten gekregen dus ik mag ze overal voor gebruiken"

Q

Dat klopt, en het mag ook niet, maar ik snap Arnoud's twijfels om in deze zaak 'computervredebreuk' zo op te rekken.

Het lijkt erop dat men een strafrechtelijke sactie wilde, maar een echt toepasselijke (heling van informatie, corruptie, medeplichtig aan drugs[hennep]handel ) niet voldoende kon ondersteunen. En een arbeidsrechtelijke sanctie (berisping, ontslag) waarschijnlijk te licht vond.

Het heeft iets weg van een lanterfantende werknemer niet slechts berispen of ontslaan, maar strafrechtelijk vervolgen voor diefstal van uurloon * aantal niet hard genoeg gewerkte uren + #collega's * uurloon * uren die collega's van het werk gehouden zijn.
18-04-2019, 13:30 door Anoniem
Het strafrecht biedt meer dan voldoende uitvluchten. Zwijgrecht. Je blijft onschuldig tot je overtuigend en publiekelijk gemotiveerd schuldig bevonden wordt. Je heb recht op beroep en herziening.

Maar pikken blijft pikken. En ergens bij herhaling binnentreden waarvan je weet dat je er niks te schaften hebt is net als pikken. Het blijft gewoon pikken. Het is niet de advocaat die bepaalt of strafrecht van toepassing is. Het is de wet.

Strafrecht advocaten hebben genoeg parachutes, ook om een in wezen schuldige uit de wind te houden. In de bovengenoemde zaak krijg ik niet de indruk dat de bewuste poltieman uit verveling maar wat zat te browsen door politiedossiers. Of uit belangstelling om er een betere plietsie van te worden. Allemaal argumenten die zijn advocaat had kunnen proberen aannemelijk te maken. Maar dat had blijkbaar geen zin.

Dan is het gewoon straf accepteren. En de rechter bedanken voor zijn onafhankelijk vonnis.

Als ik naast de pot schijt dan weet ik dat zelf ook.
18-04-2019, 20:18 door Anoniem
Arnoud, kijk eens naar valse sleutel arresten.
Deze uitspraak van computervredebreuk bevat parallellen. Een sleutel om de planten water te geven mag niet worden gebruikt voor diefstal of om de woning te gebruiken.

Voor de leken: het gaat er niet om of de sleutel echt of namaak is. Het gaat erom of het doel waarvoor de sleutel werd verstrekt nagestreefd werd of vals werd (mis)/(ge)bruikt.

Idem bij iemand die in een uniform van een geldloper de bank binnengaat en een geldcassette krijgt overhandigd omdat het bankpersoneel denkt met de echte geldloper te maken te hebben. Hij beroofd niemand. Hij overvalt niemand. Hij bedreigt niemand. Hij pleegt geen bedreiging. Etc.
En toch is hij strafbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.