Mailgegevens pikken en verhandelen; de strafrechtelijke kant van Kamp's verlegenheid

Minister Kamp werd dezer dagen (12 mei) in verlegenheid gebracht doordat er nieuwsberichten verschenen over zijn email. Zijn privémailbox zou toegankelijk zijn voor outsiders doordat zijn gebruikersnaam en wachtwoord gestolen waren. Dat is in het bijzonder problematisch, omdat er ook zakelijke, en dus misschien vertrouwelijke of politiek gevoelige berichten naar die digitale postbus verstuurd zijn. Stelen, illegaal toegang tot een mailbox verschaffen, we zitten al snel in de sfeer van het strafrecht. Het Openbaar Ministerie doet nu onderzoek en dus loont het de moeite om vanuit strafrechtelijk perspectief bij dit nieuwsfeit stil te staan.

In deze column komt aan de orde of het inderdaad strafbaar is om iemands inloggegevens voor emailverkeer te pikken én hoe het zit met eventuele vervolghandelingen. Allereerst het pikken zelf: er zijn verschillende trucs in zwang om iemand ertoe te brengen deze gegevens zelf te versturen. Woorden als spoofing en phishing verwijzen naar meer of minder gerichte pogingen om gebruikers deze informatie te ontfutselen. De berichten of websites zien er heel echt uit, maar zijn slechts bedoeld om gebruikers te belazeren. Het op deze manier gegevens toe-eigenen is echter niet snel als diefstal te kwalificeren. Daaraan is het standpunt van de wetgever debet.

Bij de invoering van de eerste strafwetgeving op het gebied van computercriminaliteit in 1992 is de principiële keuze gemaakt om een duidelijk onderscheid aan te brengen tussen digitale data en stoffelijke goederen. Data kon je niet stelen en helen en daarom waren nieuwe delictsomschrijvingen nodig. De hoofdregel voor het strafrecht (en de strafvordering) was eenvoudig: data zijn geen goederen in de zin van de wet. Aan die keuze is sindsdien steeds vastgehouden. In die lijn gedacht zijn de dieven van Kamp's inloggegevens niet strafbaar als plegers van diefstal. Tevens wordt aangenomen dat de personen die later de beschikking krijgen over een bestand met dit soort gegevens geen risico lopen als helers strafbaar te zijn. Voor de phishers en spoofers was een aparte voorziening nodig in de delictsomschrijving van oplichting. Bewegen tot de afgifte van gegevens wordt apart genoemd in art. 326 Sr, net als bij afpersing (art. 317 Sr) en chantage (art. 318 Sr).

Inmiddels is in de rechtspraak de uitholling van de genoemde hoofdregel al redelijk ver gevorderd. Kort gezegd: ook onstoffelijke zaken die zelfstandig economisch waarde hebben en verhandelbaar zijn, kunnen object van diverse misdrijven zijn; dataconfiguraties niet uitgezonderd. Veel rechtenstudenten zullen zich het Elektriciteitsarrest uit 1921 kunnen herinneren. Er zijn actuele voorbeelden van virtuele objecten in een onlinegame en van beltegoed. De redenering is door de Hoge Raad nog niet omgedraaid in de zin van: alles wat economisch waarde heeft is als ‘een goed' te kwalificeren, dat altijd object kan zijn in de zin van de strafwet. Recent nog liet de Hoge Raad blijken dat oneerlijk gebruik van verlofdagen niet als ‘bewegen tot afgifte van een goed‘ onder oplichting gebracht kan worden. Eerder zag de Hoge Raad problemen bij een pincode (1995). Kennelijk moet er een onderscheid zijn tussen het overgaan van het digitale goed enerzijds en het naast de eigenaar beschikking krijgen over de data anderzijds. Als er geen exclusiviteit is, maar kopiëren, zou daar een bezwaar in liggen om digitaal en stoffelijk gelijk te stellen. Zodoende is de aanvulling van de oplichtingsbepaling nog niet overbodig te noemen. Maar hoe zit het met de heling?

In de zaak van Kamp is het aantreffen van een bestand met allerlei inloggegevens voor zover bekend niet de aanleiding geweest. In de praktijk van de digitale opsporing komt dat wel vaak voor. Dan is vrijwel altijd wel duidelijk dat er iets illegaals aan de hand is, maar wat precies juist weer niet. Je kunt aan de database niet zien of de gegevens wel of niet van strafbare handelingen afkomstig zijn. Ik zou er wel brood in zien om toch aan heling (art. 416 Sr) te denken. In dat artikel staat het object als ‘enig goed' aangeduid en dat is in de rechtspraak verruimd. De wetgever volgt echter een andere koers.

Bij het parlement is momenteel het voorstel voor de Wet Computercriminaliteit III in behandeling. Daarin worden voor de gevallen die ik hier op het oog heb aparte strafbepalingen voorgesteld. Ik doel op de voorgestelde artikelen 138c en 139g Sr. Om de twijfel weg te nemen en tevens het originele uitgangspunt van de wetgever (computergegevens zijn géén goed) te handhaven - zo zegt de memorie van toelichting - wordt de follow up van phishing en hacking in afzonderlijke delictsomschrijvingen gevat. Het eerstgenoemde artikel stelt strafbaar het opzettelijk en wederrechtelijk overnemen van niet openbare gegevens, die opgeslagen zijn door middel van een geautomatiseerd werk. Het tweede, art. 139g, volgt de hoofdlijn van de heling en criminaliseert de gedragingen zoals verwerven en overdragen van gegevens die van misdrijf afkomstig zijn. De formulering is niet op elk punt geslaagd te noemen, maar tot nu toe hebben de Kamerleden dat niet opgemerkt. Er ligt meer politieke gevoeligheid bij de mogelijke toepasselijkheid van de nieuwe misdrijven op journalisten, klokkenluiders en andere ‘leakers'. Voor deze column raken we dan een beetje van het spoor, maar het punt zou in de zaak van Kamp zo maar de kop op kunnen steken. Voor deze categorie daders voorziet het wetsvoorstel in een aparte strafuitsluitingsgrond.

Kortom: in het huidige strafrecht zit veel beweging, voortgestuwd door de digitalisering van zowat alles. Dat betekent echter niet dat de personen die de inloggegevens van minister Kamp in handen hebben, zonder meer een strafrechtelijke vervolging tegemoet zullen kunnen zien. Er is al veel gedigitaliseerd in het strafrecht, maar nog niet alles en voor de veilige weg moeten we nog even wachten op de invoering van de Wet Computercriminaliteit III.

* Prof. mr. Evert F. Stamhuis is hoogleraar straf(proces)recht OU en onder meer deelnemer in het Kennisprogramma Veilig Digitaal Betalingsverkeer KVDB.

Heerlen, 23 mei 2016