Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De zoekmachine We Leak Info is volgens het Openbaar Ministerie (OM) opgezet om criminelen eenvoudig toegang te geven tot e-mailadressen en wachtwoorden, maar de betrokken Nederlandse verdachte beweert dat de website goede bedoelingen had. Dat las ik bij Nu.nl vorige week. Maar hoe is dat illegaal, we hebben toch ook Have I Been Pwned van Troy Hunt waar je dat mee kunt doen. Wat is juridisch nou het verschil?

Antwoord: Even beginnen bij de wet. Artikel 139d Wetboek van Strafrecht zegt dat het een strafbaar feit is als je

een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden hebt

De beperking is dat je dat doet "met het oogmerk dat daarmee [computervredebreuk of gegevensdiefstal] wordt gepleegd". En daar zit hem dus de crux: mensen adviseren "ja je wachtwoord is gelekt" is natuurlijk heel wat anders dan "het wachtwoord van Wim is BruineHoed123" verkopen aan criminelen.

Eh, wacht, verkopen? Ja, aldus het OM: meneer adverteerde op bekende criminelenforums dus kennelijk wil je dan misdadigers die gegevens verkopen, precies wat we hier strafbaar stellen. Maar nee:

Hen proberen te bereiken zou ook de reden zijn geweest dat We Leak Info op hackforums adverteerde, al leverde dat volgens de Nederlander ook "verkeerde klanten" op.

Mij lijkt dat als je in zo’n situatie weet dat een klant "verkeerd" is, dat je dan niet moet gaan handelen want dan val je – via voorwaardelijke opzet – onder dat oogmerk.

Verder vergeten heel veel mensen die deze vergelijking maken, dat Hunt buitengewoon veel moeite steekt in het niet daadwerkelijk lekken van wachtwoorden. Standaard kun je alleen zoeken op e-mailadres of telefoonnummer en dan zegt hij welke dienst het datalek had waar dat adres of nummer in zat. Het wachtwoord krijg je niet te zien. Daarmee is er hoe dan ook geen sprake van een strafbaar feit. Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.