Achtergrond

Juridische vraag: Is het gebruik van gelekte data op zichzelf eigenlijk strafbaar?

woensdag 1 oktober 2025, 11:16 door Arnoud Engelfriet, 4 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Steeds vaker merk ik dat telefoontjes binnenkomen op telefoonnummers die alleen gevonden kunnen zijn door het gebruik van informatie uit datalekken. Bijvoorbeeld een verkoper die je op je niet publieke privénummer belt of mailt op je privé mailadres, omdat je werkt bij een bepaald bedrijf. Is het gebruik van gelekte informatie op zichzelf eigenlijk strafbaar?

Antwoord: Sinds de Wet Computercriminaliteit III in 2019 is apart strafbaar gesteld het verwerven, voorhanden hebben, aan een ander bekend maakt of geeft, of uit winstbejag hebben of gebruiken van niet-openbare gegevens. Het criterium daarbij is of je "weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft."

Voor de zekerheid is nog als uitzondering toegevoegd dat je niet strafbaar bent wanneer je te goeder trouw mocht aannemen dat het in het algemeen belang was om dit te doen. Dit is met name bedoeld om klokkenluiders en journalisten te beschermen. Een simpel voorbeeld is een stukje uit een datalek publiceren als de organisatie ontkent dat het datalek zich überhaupt had voorgedaan, want dat is technisch het bekend maken van door misdrijf verkregen gegevens. Maar dat is hier dan nodig voor het nieuwsbelang.

Mensen gaan bellen voor verkoopgesprekken op uit datalekken verkregen telefoonnummers dient natuurlijk niet het algemeen belang. Ik zou dat wel het "uit winstbejag gebruiken" noemen, zodat aan dat element van het artikel is voldaan.

De lastiger vraag is of de organisatie wist of moest vermoeden dat de telefoonnummers uit misdrijf verkregen waren. De meeste salesorganisaties schuimen niet zelf internet af op zoek naar willekeurige telefoonnummers, maar kopen die als bestand ergens in. En als de verkoper van die gegevens in het contract verklaart alles legaal verkregen te hebben, dan denk ik dat bewijs van "wist of moest vermoeden" bij de koper heel lastig te leveren wordt.

Natuurlijk kunnen we dan naar die verkoper gaan kijken, want ergens was er iemand die de data uit het lek schraapte en ging bundelen. Dat is niet onmogelijk, maar vooral veel werk. Met de AVG in de hand kun je van de bellende organisatie eisen dat men meldt waar de data vandaan komt (art. 14 lid 2 onder f AVG), al is mijn ervaring dat het gedoe is om meer te krijgen dan "van diverse hoog aangeschreven leveranciers en uit openbare bronnen".

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Bij onze Oosterburen speelt al jaren een rechtszaak of adblockers advertenties mogen blokkeren. Kun je vertellen waar we nu staan?

Reacties (4)

Reageer met quote

01-10-2025, 11:47 door Valheru

Ik probeer zo vaak onder het mom van de AVG op te vragen waar ze mijn data vandaan hebben en krijg altijd het zelfde kul verhaal: U heeft ooit een enquête ingevuld op het internet.
Al sinds 1998 weet ik dat je nooit je adres of telefoonnummer moet afgeven bij dit soort dingen en mijn huidige nummer heb ik pas iets van 10 jaar na 1998 gekregen maar toch komen ze met deze flauwekul aan elke keer. Een bedrijf zover krijgen dat ze eerlijk zeggen hoe ze aan je data komen is vrijwel onmogelijk zonder dat je een advocaat een brief laat sturen volgens mij.

Reageer met quote

01-10-2025, 14:50 door Anoniem

De Wet Computercriminaliteit III is ook de nagel in de doodskist van organisaties die gelekte wachtwoorden verzamelen en verkopen. Het feit dat we in Nederland commerciële bedrijven hebben die hier in handelen geeft aan dat wetsovertredingen weinig voortvarend opgepakt worden. Voorlopig verwacht ik dus niet dat telefoon database handelaren hier wel voor aangepakt zouden worden.

Reageer met quote

Gisteren, 16:36 door Anoniem

Is het lekken uit dossiers die de overheidsdiensten vullen en bijhouden strafbaar?

Reageer met quote

Gisteren, 17:10 door Anoniem

Hoe zit dit dan met diensten als HIBP?
In principe verkrijgen die data die door een misdrijf verkregen is, en ze bieden diensten aan om daar geld mee te verdienen. Dat kan dan toch ook niet?

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Camera's bij afvalcontainers:

Vacature

IT Security Officer

3 redenen waarom dit jouw baan is

Adviseren op verschillende niveaus over informatiebeveiliging en cyberweerbaarheid is jouw specialisatie.
Zoeken naar verbetering in je vak en samenwerken met je collega's om dit te realiseren past je goed.
Versterking van de beveiliging van gevoelige data is wat je het liefst doet.

Lees meer

Vacature

Cybersecurity Trainer / Full Stack Developer

Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.