Uitspraak
HOGE RAAD DER NEDERLANDEN
STRAFKAMER
Nummer22/03276
Datum19 maart 2024
ARREST
op het beroep in cassatie tegen een arrest van het gerechtshof Den Haag van 23 augustus 2022, nummer 22-001512-20, in de strafzaak
tegen
[verdachte],
geboren te [geboorteplaats] op [gebootedatum] 1991,
hierna: de verdachte.
1.Procesverloop in cassatie
Het beroep is ingesteld door het openbaar ministerie. Het heeft bij schriftuur een cassatiemiddel voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit.
De raadsman van de verdachte, S.J. van der Woude, advocaat te Amsterdam, heeft het beroep van het openbaar ministerie schriftelijk tegengesproken. Dit stuk is pas bij de griffie van de Hoge Raad ingekomen nadat de daartoe in het Procesreglement Hoge Raad der Nederlanden gestelde termijn was verlopen. De Hoge Raad zal daarom op dit stuk geen acht slaan.
De plaatsvervangend advocaat-generaal M.E. van Wees heeft geconcludeerd tot vernietiging van het bestreden arrest en tot terugwijzing van de zaak naar het hof, teneinde op het bestaande beroep opnieuw te worden berecht en afgedaan.
De raadsman van de verdachte heeft daarop schriftelijk gereageerd.
2.Beoordeling van het cassatiemiddel
2.1
Het cassatiemiddel klaagt over de door het hof gegeven vrijspraak van het tenlastegelegde feit voor zover de tenlastelegging inhoudt dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”.
2.2.1
Aan de verdachte is tenlastegelegd dat:
“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid, namelijk door gebruik te maken van één of meer software programma(s), te weten SQL map, welk programma gebruikt wordt om (databases van) websites te hacken door middel van SQL-injecties en/of (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen, namelijk door (vertrouwelijke en/of gevoelige) informatie (onder andere big nummers, wachtwoorden, adresgegevens en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf en/of een ander te mailen en/of te exporteren.”
2.2.2
Het hof heeft de verdachte vrijgesproken en daartoe overwogen:
“De verdachte is – zakelijk weergegeven – tenlastegelegd dat hij wederrechtelijk een geautomatiseerd werk zou zijn binnengedrongen, te weten de website van [A]. In het kader van deze uitspraak wordt aangenomen dat met een website een verzameling gegevens wordt bedoeld die als onderdeel van het World Wide Web via het internet toegankelijk is. Beoordeeld dient te worden of een dergelijke website als zodanig, nu het in de tenlastelegging ontbreekt aan enigerlei aanduiding van een inrichting in de zin van art. 80sexies van het Wetboek van Strafrecht (hierna: ‘Sr’) die ertoe dient deze website toegankelijk te maken (in het algemeen spraakgebruik doorgaans aangeduid als ‘hosting’), als een geautomatiseerd werk in de zin van dit artikel kan worden aangemerkt.
Onder ‘geautomatiseerd werk’ wordt blijkens art. 80sexies Sr – zoals geldend op de tenlastegelegde datum, te weten 25 augustus 2017 – verstaan ‘een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen’. Blijkens de wetsgeschiedenis heeft de wetgever in de begripsbepaling van ‘geautomatiseerd werk’ steeds het oog gehad op uitsluitend fysieke apparaten (vergelijk Kamerstukken II, 1991-1992, 21551, nr. 3, p. 5 en 6 en Kamerstukken II, 2018-2019, 34372, nr. 3, p. 85 e.v.).
Meer specifiek heeft de wetgever met betrekking tot de artikelen 138a (oud)/138ab (nieuw) Sr de opvatting tot uiting gebracht dat het daarbij gaat om de bescherming van het voorwerp waarin de gegevens zich bevinden, en niet om de gegevens zelf (zie onder meer Kamerstukken II 1990/91, 21551, nr. 6, p. 8-9 en Kamerstukken II 1998/99, 26671, nr. 3, p. 32-33).
Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account.
Het hof heeft zich nochtans de vraag gesteld of het nadien gewezen arrest van de Hoge Raad van 24 december 2021 (ECLI:NL:HR:2021:1944) tot een ander oordeel noopt. In dit arrest was de vraag aan de orde of sprake was van het belemmeren van toegang tot en/of het gebruik van een geautomatiseerd werk. De Hoge Raad overwoog omtrent het oordeel van het hof Amsterdam dat daarvan inderdaad sprake was:
“Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd.”
Het hof ziet hierin echter geen aanwijzing dat een website als zodanig wel als geautomatiseerd werk in de zin van art. 80sexies Sr aangemerkt dient te worden. Het hof begrijpt de aangehaalde overweging aldus dat daarin alleen de vraag wordt beantwoord of de vaststelling dat sprake is van een DDoS-aanval op een website met zich brengt dat de werking van een specifiek geautomatiseerd werk wordt belemmerd. Het hof vindt voor deze lezing steun in de conclusie van de Advocaat-Generaal bij dit arrest (ECLI:NL:PHR:2021:1050), waarin onder meer het volgende te lezen valt:
(na verwijzing naar jurisprudentie van de Hoge Raad)
“3.14 Uit het voorgaande kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, “ereader”, chip of wat dies meer zij, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma's, of – voor onderhavige casus relevant – websites. (...)”
en (na verwijzing naar de parlementaire geschiedenis)
“3.17. Uit deze overweging volgt dat ook na de wijziging van art. 80sexies Sr per 1 maart 2019 nog slechts gedacht wordt aan apparaten – aan stoffelijke objecten dus – en niet aan onstoffelijke zaken zoals websites. (...)”
“3.18. De conclusie van het voorgaande is dus dat een website ‘op zichzelf’ niet kan worden aangemerkt als “geautomatiseerd werk” in de zin van art. 80sexies Sr en/of art. 138b Sr.”
Al het vorengaande in aanmerking genomen komt het hof tot het oordeel dat niet wettig en overtuigend kan worden bewezen hetgeen aan de verdachte is tenlastegelegd, zodat de verdachte daarvan moet worden vrijgesproken.”
2.3
De volgende wettelijke bepalingen zijn van belang:
- artikel 80sexies (oud) van het Wetboek van Strafrecht (hierna: Sr) zoals dat luidde tijdens het tenlastegelegde feit:
“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”
- artikel 138ab leden 1 en 2 Sr:
“1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.”
2.4
De tenlastelegging is toegesneden op artikel 138ab in samenhang met artikel 80sexies (oud) Sr. Daarom moet worden aangenomen dat het in de tenlastelegging voorkomende begrip ‘geautomatiseerd werk’ is gebruikt in de betekenis die dat begrip heeft in die bepalingen.
2.5
Een inrichting kan alleen als een ‘geautomatiseerd werk’ in de zin van artikel 80sexies (oud) Sr worden aangemerkt als zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Het begrip ‘geautomatiseerd werk’ in de zin van artikel 80sexies (oud) Sr is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Ook netwerken die bestaan uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken. (Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718 en, over het in artikel 161sexies (oud) Sr voorkomende begrip ‘geautomatiseerd werk’, HR 22 februari 2011, ECLI:NL:HR:2011:BN9287.)
2.6.1
De tenlastelegging houdt in dat de verdachte “in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www.[website].nl), is binnengedrongen”. Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.
2.6.2
De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd. Voor zover het cassatiemiddel klaagt dat “de website van [A]” in de tenlastelegging moet worden begrepen als de inrichting die de functionaliteit van de website in stand houdt, of als aanduiding van “een gedeelte van” een geautomatiseerd werk, faalt het daarom.
2.7
De Hoge Raad heeft ook de verder in het cassatiemiddel aangevoerde klachten over de uitspraak van het hof beoordeeld. De uitkomst hiervan is dat ook deze klachten niet kunnen leiden tot vernietiging van die uitspraak. De Hoge Raad hoeft niet te motiveren waarom hij tot dit oordeel is gekomen. Bij de beoordeling van deze klachten is het namelijk niet nodig om antwoord te geven op vragen die van belang zijn voor de eenheid of de ontwikkeling van het recht (zie artikel 81 lid 1 van de Wet op de rechterlijke organisatie).
3.Beslissing
De Hoge Raad verwerpt het beroep.
Dit arrest is gewezen door de vice-president V. van den Brink als voorzitter, en de raadsheren T. Kooijmans en C.N. Dalebout, in bijzijn van de waarnemend griffier H.J.S. Kea, en uitgesproken ter openbare terechtzitting van
19 maart 2024.
19 maart 2024.