Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las laatst dat de Nederlandse beveiligingsonderzoeker Jeroen van der Ham een gebruiker van een Flipper Extreme betrapte toen die in de trein mensen lastigviel. Hoe strafbaar was dit?

Antwoord: De kern van het probleem was dat de meneer met die Flipper Zero een berg Bluetooth-verbindverzoeken stuurde naar alle iPhones in de wijde omgeving, zo veel dat de telefoons er van crashen. En dat gaat natuurlijk gewoon door na de reboot.

Nou is een Bluetooth-verbindverzoek op zich natuurlijk legaal om te versturen. Alleen hier gaat het niet om een enthousiaste high tech koppelaar of een foute configuratie maar om een bewuste poging apparaten omver te krijgen: de Flipper Extreme firmware op dat apparaatje komt met een knopje “iOS 17 attack”, en dat is wel een duidelijke aanwijzing dat je iets ongewenst gaat doen.

We komen dan in het strafrecht direct uit bij de verstikkingsaanval (art. 138b):

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.

Het maakt bij dit artikel niet uit of je de gegevens op zich mócht versturen (Bluetooth is immers een open protocol op een vrije band), waar het om gaat is of je daarmee een ander het gebruik van een computer belemmert. Als je dat opzettelijk doet en geen bevoegdheid tot dat belemmeren hebt, dan ben je dus strafbaar.

De maximale strafmaat is 2 jaar. Er is echter ook nog een zwaarder artikel, namelijk 161sexies:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:

In de praktijk wordt dit artikel gebruikt om DDoS-aanvallers te vervolgen, omdat de strafmaat begint bij zes jaar (gemeen gevaar) tot vijftien jaar (dood als gevolg). Wel zit je dan met het extra criterium van “gemeen gevaar”, oftewel iets waardoor de veiligheid van personen of goederen in het algemeen in gevaar wordt gebracht. Anders gezegd: gevaar, maar niet op voorhand specifiek af te bakenen.

Hier lijkt me dat zeker wel op te gaan: de aard van dit handelen is dat je alle iPhones in de buurt plat wilt gooien, oftewel stoornis daarin wilt veroorzaken. Dus dat dit strafbaar is, staat voor mij wel vast.

Of je een agent de trein in krijgt die dit kan en wil constateren en vervolgens verbaliserend wil optreden, is natuurlijk de volgende vraag. Dus ik zou meer in alternatieve oplossingen zoeken als je met uitpeilen of goed rondkijken de dader aantreft. Een goed gesprek kan natuurlijk ook zeer helpen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.