ECLI:NL:PHR:2021:1050

• Datum uitspraak: 9 november 2021
• Publicatiedatum: 9 november 2021
• Zaaknummer: 20/02313
• Instantie: Parket bij de Hoge Raad
• Type: Conclusie
• Rechtsgebied: Strafrecht
• Rechters: A.E. Harteveld
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Belemmering van toegang tot een geautomatiseerd werk door DDoS-aanvallen

In deze zaak gaat het om de verdachte die is veroordeeld voor het opzettelijk en wederrechtelijk belemmeren van de toegang tot een geautomatiseerd werk door middel van DDoS-aanvallen. De verdachte heeft in de periode van 23 tot en met 25 oktober 2017 via een zogenaamde 'bootersite' verschillende DDoS-aanvallen uitgevoerd op een andere website, wat leidde tot tijdelijke onbereikbaarheid van die website. Het gerechtshof Amsterdam heeft de verdachte hiervoor veroordeeld tot een voorwaardelijke taakstraf van 40 uren en de onttrekking aan het verkeer van zijn computer bevolen. De verdachte heeft cassatie ingesteld, waarbij hij aanvoert dat het hof een onjuiste betekenis heeft gegeven aan het begrip 'geautomatiseerd werk', door een website als zodanig aan te merken. De Procureur-Generaal heeft in zijn conclusie gesteld dat de tenlastelegging correct is en dat de website niet als een geautomatiseerd werk kan worden aangemerkt. De Hoge Raad heeft de zaak uiteindelijk verworpen, waarbij het hof de juiste lezing van de tenlastelegging heeft gevolgd en de onttrekking aan het verkeer van de computer heeft gemotiveerd.

Conclusie

PROCUREUR-GENERAAL

BIJ DE

HOGE RAAD DER NEDERLANDEN

Nummer20/02313

Zitting 9 november 2021

CONCLUSIE

A.E. Harteveld

In de zaak

[verdachte] ,

geboren te [geboorteplaats] op [geboortedatum] 1989,

hierna: de verdachte.

De verdachte is bij arrest van 22 juli 2020 door het gerechtshof Amsterdam wegens het “opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens toe te zenden.”, veroordeeld tot een geheel voorwaardelijke taakstraf voor de duur van 40 uren, met een proeftijd van één jaar. Daarnaast heeft het hof de onttrekking aan het verkeer bevolen van een computer en de teruggave gelast van een gsm, een en ander als nader in het arrest bepaald. Bij herstelarrest van 23 juli 2020 is het dictum aangevuld met een vervangende hechtenis van 20 dagen hechtenis voor het geval de taakstraf niet naar behoren zal worden verricht.

Het cassatieberoep is ingesteld namens de verdachte en mr. H.M.W. Daamen, advocaat te Maastricht, heeft twee middelen van cassatie voorgesteld.

Het
eerste middel klaagt dat het hof een onjuiste betekenis heeft toegekend aan het bestanddeel “geautomatiseerd werk” aangezien daaronder niet een website kan worden begrepen.

3.1.

Ten laste van de verdachte is bewezenverklaard dat:

“Hij in de periode van 23 oktober 2017 tot en met 25 oktober 2017 in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens toe te zenden, immers heeft verdachte door middel van de site " [internetsite 1] " gegevens toegezonden naar de website " [internetsite 2] " waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd.

3.2.

Met betrekking tot het bewijs heeft het hof in de aanvulling van het verkorte arrest het volgende overwogen:

“Redengevende feiten en omstandigheden

Het hof stelt de volgende feiten en omstandigheden vast. In 2017 voelde de verdachte zich opgelicht door de website ' [internetsite 2] ’ De verdachte zocht daarom een manier om de eigenaar van deze website te "treffen“ en kwam terecht bij de website ‘ [internetsite 1] ’[1] Dit betrof een zogeheten ‘bootersite’ die tegen betaling diensten leverde om (onder meer) Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) uit te laten voeren op andere websites, door die websites te testen op hun bestendigheid tegen dergelijke aanvallen.[2] DDoS-aanvallen zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten, waarbij meerdere computers tegelijk de aanval op hun doelwit uitvoeren.[3] De verdachte registreerde zich op de website ‘ [internetsite 1] ’ als gebruiker en betaalde daartoe op 23 oktober 2017 via zijn PayPal-account een bedrag aan die website.[4] Vanuit zijn woning in [plaats] (Nederland) liet de verdachte via ‘ [internetsite 1] ' verschillende DDoS-aanvallen uitvoeren op de website ‘ [internetsite 2] ’[5]. Meer specifiek ging het om in totaal 16 DDoS-aanvallen in de periode van 23 oktober 2017 tot en met 25 oktober 2017.[6] De eigenaar van de aangevallen website, [betrokkene 1] . deed op 28 maart 2018 aangifte: hij verklaarde dat op zijn website ‘ [internetsite 2] ' in de periode van 22 lot en met 26 oktober 2017 enkele DDoS-aanvallen waren uitgevoerd, dat daardoor schade was ontstaan, dat hij hiervan melding had gedaan bij de lokale (het hof begrijpt: Zuid-Afrikaanse) politie en dat hij hierover contact had gehad met de politie Amsterdam.[7] Hij vermoedde namelijk dat de DDoS-aanval uit Nederland kwam. Voorts ontving de aangever enkele e-mails van het e-mailadres [e-mailadres] ,[8] in gebruik bij de verdachte.[9] Op 23 respectievelijk 24 oktober 2017 ontving de aangever onder meer de volgende berichten vanaf dit e-mailadres: "You fucking scammer. We have taken down your website amd we will continue taking clown your website untill you slop scamming people and refund people'' en: 'Im gonna take down your website again .... watch now hahahaha fuckign scamming bitch. We are on you man”[10] Op 24 oktober 201 7 stuurde de verdachte aan ' [internetsite 1] ' onder meer hel volgende bericht: “I upgraded to the paid plan but I wanna lake down this website https:// [internetsite 2] but it’s not going down. Only temporary. How can I shut it down for long?".[11]

Standpunt van de verdediging

Ofschoon de verdachte heeft bekend dat hij via ‘ [internetsite 1] ' DDoS-aanvallen heeft uitgevoerd op de website ‘ [internetsite 2] '. heeft de raadsman zich op het standpunt gesteld dat de verdachte van het primair tenlastegelegde moet worden vrijgesproken. Daartoe is aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op de website ‘ [internetsite 2] '-en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Overwegingen van het hof

Om te kunnen spreken van het belemmeren van het gebruik van een geautomatiseerd werk als bedoeld in artikel 138b, eerste lid, Wetboek van Strafrecht is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd (vgl. Kamerstukken II. 2004-2005 26671. nr. 10. p. 28 en 29). Noch de tekst van de wet, noch de wetsgeschiedenis biedt aanknopingspunten voor de gedachte dat aan de in de wetsbepaling voorkomende term 'belemmert' een andere betekenis dient te worden toegekend dan daaraan volgens normaal spraakgebruik pleegt te worden gedaan, te weten: bemoeilijken, hinderen. Uit de bewijsmiddelen volgt naar het oordeel van het hof dal de website ‘ [internetsite 2] ' door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat laatste leidt het hof (meer specifiek) af uit de inhoud van de aangifte, de inhoud van de door de verdachte aan de aangever op 23 en 24 oktober 2017 verzonden e-mails en het bericht dat hij op 24 oktober 2017 aan ‘ [internetsite 1] ' heeft verzonden. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode 'uit de lucht te halen', doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt het verweer dan ook.”

“[1] De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep.

[2] Proces-verbaal van bevindingen van 16 maart 2018 (documentcode 9407681), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar [verbalisant 1] . dossierpagina's 22 tot en met 25.

[3] Informatie die ieder van de rechtstreeks bij dit geding betrokkenen geacht moet worden te kennen en die men zonder noemenswaardige moeite op internet kan achterhalen uit algemeen toegankelijke bronnen, zoals https://nl.wikipedia.org/wiki/Distribiited_denial_of_service.

[4] Proces-verbaal van verdenking van 16 maart 2018 (documentcode 9409266), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar [verbalisant 1] , dossierpagina 26 tot en met 29.

[5] De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep.

[6] Een schriftelijk bescheid, te weten een "analyserapport gebruiker [verdachte] van [internetsite 1] " (dossierpagina's 13 tot en met 20), dat als bijlage is gevoegd bij een proces-verbaal van verdenking en overdracht brondata van 30 maart 2018 (met proces-verbaalnummer LERDB17012-378), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar [verbalisant 2] .

[7] Een geschrift, te weten een niet ondertekend proces-verbaal van aangifte van 28 maart 2018 (met nummer PL 1300-2018048487-1), opgemaakt door de daartoe bevoegde opsporingsambtenaar aangeduid als AML13292.

[8] Proces-verbaal van onderzoek laptop van 17 mei 2018 (met nummer 201 8048487), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar [verbalisant 1] , dossierpagina’s 49 en 50.

[9] De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep. [10] Een geschrift, te weten een niet ondertekend proces-verbaal van aangifte van 28 maart 2018 (met nummer PL 1300-2018048487-1), opgemaakt door de daartoe bevoegde opsporingsambtenaar aangeduid als AML13292.

[11] Een schriftelijk bescheid, te weten een "analyserapport gebruiker [verdachte] van [internetsite 1] " (dossierpagina's 13 tot en met 20), dat als bijlage is gevoegd bij een proces-verbaal van verdenking en overdracht brondata van 30 maart 2018 (met proces-verbaalnummer LERDB17012-378), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar [verbalisant 2] .”

3.3.

Het gaat in deze zaak om een zogenaamde DDOS-aanval. De term ‘DDOS’ is een afkorting voor
Distributed Denial Of Service. De DDOS-aanval is de bekendste vorm van ‘verstikkingsaanvallen’ via het internet. Zo’n aanval bestaat uit het – typisch met behulp van een botnet – aansturen van een grote hoeveelheid computers (‘distributed’), zodat dat zij allemaal tegelijk een website te bezoeken. Het (beoogde) gevolg hiervan is dat de server van de aangevallen website de grote hoeveelheid verkeer niet meer aankan, ten gevolge waarvan de website die van deze server gebruik maakt niet meer toegankelijk is (‘denial of service’). ^[1] Het betreft een vorm van criminaliteit die de laatste jaren in opkomst zou zijn. ^[2]

3.4.

In deze zaak is de tenlastelegging toegesneden op art. 138b Sr, eerste lid. In het navolgende bespreek ik de klacht eerst inhoudelijk. Daartoe ga ik eerst kort in op de achtergrond en doelstellingen van dit artikel (3.4 - 3.09). Hieruit zal blijken dat er geen reden is om aan te nemen dat aan het bestanddeel “geautomatiseerd werk” in dit artikel een andere betekenis toekomt dan de betekenis die gegeven wordt in art. 80sexies Sr. Daarna (3.10 - 3.17) ga ik daarom in op de betekenis die volgt uit dat artikel. Daarna volgt een toepassing op de onderhavige casus (3.24).

Achtergrond artikel 138b Sr

3.5.

Art. 138b Sr is een vrucht van de Wet Computercriminaliteit II en van kracht sinds 1 september 2006. ^[3] Het doel van dit artikel dat de minister ten tijde van het oorspronkelijke voorstel van wet voor ogen stond was, blijkens de Memorie van Toelichting, het strafbaar stellen van bepaalde vormen van “Spam” of “Bombing” (gedefinieerd als “het toezenden van een grote hoeveelheid e-mail (…) aan één persoon met als doel dat diens e-mailbox verstopt raakt waardoor hij geen e-mails meer kan ontvangen” ^[4] ). Deze vormen van cybercriminaliteit lijken alweer iets uit vervlogen tijden; door de sterk toegenomen opslagcapaciteit van de meeste mailservers mist deze toepassing van art. 138b Sr tegenwoordig relevantie. ^[5] De oorspronkelijke redactie van het voorgestelde eerste lid van art. 138b Sr was niettemin slechts op deze vormen van cybercriminaliteit van toepassing en luidde als volgt:

“Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk, door tussenkomst van een openbaar telecommunicatie-netwerk of een openbare telecommunicatiedienst, aan een ander gegevens toezendt die zijn bestemd om diens toegang tot dat netwerk of die dienst te belemmeren.” ^[6]

3.6.

Deze redactie maakte het nog niet mogelijk om met dit artikel(lid) ook DDOS-aanvallen strafrechtelijk te sanctioneren. Door opname van het woord “diens” had het voorgestelde artikel immers geen betrekking op het belemmeren van toegang van derden tot een netwerk of dienst. ^[7] De tekst die bij Tweede nota van wijziging kwam voor te liggen opende deze mogelijkheid wel. ^[8] Deze tekst is gelijk aan de tekst die nu geldt (en ten tijde van het bewezenverklaarde gold):

“Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.”

3.7.

In de bij de Tweede nota van wijziging opgenomen toelichting wordt het fenomeen DDOS-aanval niet met zoveel woorden genoemd. Wel wordt al gesproken over de opkomst van
Denial of service- aanvallen (dus: DOS-aanvallen). In de toelichting staat dat beoogd wordt dat dit type aanvallen onder het bereik van art. 138b Sr komen te vallen. Dit wordt in de toelichting als volgt verwoord:

“het toezenden van gegevens aan een computer(systeem) in een zodanige vorm of omvang of met een zodanige frequentie dat dit een significant nadelig effect heeft op de mogelijkheid van de eigenaar of gebruiker om de computer (of het computersysteem) te gebruiken of te communiceren met andere systemen.” ^[9]

3.8.

Uit de parlementaire behandeling kan vervolgens worden afgeleid dat het parlement en de minister er, althans gaandeweg het wetgevingstraject, vanuit zijn gegaan dat art. 138b Sr ook geschikt is voor de strafrechtelijke aanpak van DDOS-aanvallen (dus met de tweede ‘D’ van distributed). ^[10] De redactie van het artikel staat hier ook niet aan in de weg.

3.9.

In de praktijk is art. 138b Sr inmiddels uitgegroeid tot het belangrijkste artikel voor de vervolging van DDOS-aanvallen. Zo kan althans worden opgemaakt uit de Richtlijn voor strafvordering cybercrime van het Openbaar Ministerie, waarin deze strafbepaling wordt gekoppeld aan DDos-aanvallen. ^[11] Helemaal vanzelfsprekend is dat overigens niet. DDOS-aanvallen kunnen onder omstandigheden ook binnen het bereik van andere strafbepalingen vallen. ^[12]

3.10.

Hoewel uit het voorgaande volgt dat art. 138b Sr bedoeld en geschikt is voor de strafrechtelijke aanpak van DDOS-aanvallen, kan hieruit niet volgen dat de wetgever bij de toepassing van dit artikel een andere of ruimere betekenis voor ogen heeft gestaan van het bestanddeel “geautomatiseerd werk” dan dit begrip elders in de wet heeft. ^[13] Als enige voorbeeld van dit bestanddeel wordt gesproken over “computer(systemen)” (zie hiervoor onder 3.7). Dit is een begrip dat valt binnen het bereik van de begripsbepaling van art. 80sexies Sr.

Art. 80sexies Sr.

3.11.

Art. 80sexies Sr luidde ten tijde van het bewezenverklaarde als volgt:

“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

3.12.

Deze begripsbepaling is in de rechtspraak van de Hoge Raad tweemaal inhoudelijk aan de orde geweest. In het arrest van 26 maart 2013 (ECLI:NL:HR:BY9718,
NJ 2013, 468, m.nt. Reijntjes) vernietigde de Hoge Raad een vrijspraak ter zake van art. 138a omdat het hof onterecht had overwogen dat een router geen geautomatiseerd werk betrof. In zijn arrest ging de Hoge Raad nader in op de wetsgeschiedenis:

“2.4.2.
Art. 138a, eerste lid, (oud) Sr en art. 80sexies Sr zijn gewijzigd bij de Wet van 1 juni 2006 tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en enige andere wetten in verband met nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II, Stb. 2006, 300), voor zover thans van belang in werking getreden op 1 september 2006.

Aan de parlementaire behandeling van die wet kan het volgende worden ontleend.

(i) "Artikel 138a Sr geeft primair bescherming aan (delen van) geautomatiseerde werken. De bescherming van de daarin aanwezige gegevens is daarvan een afgeleide. (...) Onder <> van een geautomatiseerd werk in de zin van artikel 138a Sr kan bijvoorbeeld worden verstaan de voor een bepaalde persoon gereserveerde ruimte op de harde schijf van een netwerkserver."

(Kamerstukken II, 1998-1999, 26 671, nr. 3, p. 32-33)

(ii) "Dit onderdeel beoogt aan de definitie van een geautomatiseerd werk de overdrachtsfunctie toe te voegen. Deze functie is een wezenskenmerk van een geautomatiseerd werk, dat immers met name bestemd is om daarin opgeslagen of verwerkte gegevens aan de gebruiker terug te geven of aan een ander (computer-)systeem over te dragen. De definitie spreekt van opslag, verwerking èn overdracht van gegevens. Het gaat hier om cumulatieve voorwaarden. Een inrichting die enkel bestemd is om gegevens over te dragen (een eenvoudig telefoontoestel, bepaalde zend- en ontvanginrichtingen) of op te slaan valt dus buiten de begripsomschrijving."

(Kamerstukken II, 1998-1999, 26 671, nr. 3, blz. 44)

(iii)"De leden van de D66-fractie vroegen te verduidelijken wat onder een geautomatiseerd werk dient te worden verstaan. Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen."

(Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

2.5. Uit de zo-even weergegeven wetsgeschiedenis volgt dat een inrichting alleen als geautomatiseerd werk in de zin van de hier besproken wettelijke bepalingen kan worden aangemerkt indien zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Uit die wetsgeschiedenis volgt evenwel ook dat het begrip geautomatiseerd werk niet beperkt is tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen heeft de wetgever onder het begrip 'geautomatiseerd werk' willen brengen, terwijl art. 138a (oud) Sr ook toepasselijk is op delen van zulke geautomatiseerde werken.

2.6. Het laatste heeft het Hof miskend door bepalend te achten dat de verdachte zich geen toegang heeft verschaft tot beveiligde gegevens in de computer van [betrokkene 1]. Die omstandigheid sluit immers niet uit dat de verdachte, handelend zoals in de tenlastelegging omschreven, zich met één of meer van de in art. 138a, eerste lid, (oud) Sr omschreven middelen opzettelijk en wederrechtelijk toegang heeft verschaft tot een geautomatiseerd werk, of tot een deel van een geautomatiseerd werk, bestaande uit de aan [betrokkene 1] toebehorende computer, de door haar gebruikte - met een wachtwoord beveiligde - router, en de internetverbinding die met gebruik van deze apparaten tot stand kon worden gebracht.

2.7. Daarover klaagt het middel terecht.

3.13.

Onder aanhaling van het hierboven geciteerde arrest bepaalde de Hoge Raad in zijn arrest van 17 december 2019 (ECLI:NL:HR:2019:1973,
NJ 2021, 152) verder nog dat ook identificatiekaartlezers voor internetbankieren kunnen worden aangemerkt als een geautomatiseerd werk. In de feitenrechtspraak en literatuur is daarnaast nog aangenomen dat ook chips (in een praktische toepassing bijvoorbeeld een OV-chipkaart) een geautomatiseerd werk in de zin van art. 80sexies Sr zijn. ^[14]

3.14.

Uit het voorgaande kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, “ereader”, chip of wat dies meer zij, maar in elk geval zogenaamde
hardware. Het gaat in alle gevallen niet om
software, zoals computerprogramma’s, of – voor onderhavige casus relevant – websites. Dit onderscheid lijkt in de gepubliceerde feitenrechtspraak ook, op een enkele uitzondering na, te worden volgehouden. ^[15]

3.15.

Enigszins ten overvloede kan er nog op gewezen worden dat deze afbakening van het begrip “geautomatiseerd werk” tot
hardware ook naar voren komt in de wijziging van art. 80sexies per 1 maart 2019. Dit artikel luidt per 1 maart 2019:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken” ^[16]

3.16.

Deze wijziging – die op zichzelf voor de onderhavige casus geen betekenis heeft omdat zij plaatsvond na de bewezenverklaarde gedragingen – wordt in de Memorie van Toelichting aangeduid als een “verruiming” van de begripsbepaling ^[17] . Als argument voor die verruiming wordt gegeven dat de Hoge Raad weliswaar heeft geoordeeld dat “het begrip geautomatiseerd werk niet is beperkt tot apparaten die zelfstandig voldoen aan de cumulatie van functies” (zoals een router, verwezen wordt naar het arrest uit 2013), maar niettemin aanleiding bestaat “tot aanpassing van het begrip vanwege de technologische ontwikkelingen, die ertoe leiden dat apparaten zelfstandig op basis van een programma automatisch gegevens verwerken, zonder dat deze onderdeel vormen van een netwerk.” ^[18] Het type “apparaten” waaraan wordt gedacht blijkt met name uit de volgende overweging:

“Deze definitie omvat computers, servers, modems, routers, smartphones en tablets. In het advies van Bof wordt erop gewezen dat in het conceptwetsvoorstel voorgestelde de begripsomschrijving van het conceptwetsvoorstel dat in consultatie is gegeven ook technische apparaten omvat die in verbinding staan met een netwerk, zoals de SCADA-systemen die worden gebruikt bij industriële productiesystemen, navigatiesystemen, televisies, een digitaal fototoestel met Wifi-compatibiliteit of een pacemaker. Deze apparaten vallen ook onder de thans voorgestelde begripsomschrijving. Dit is echter niet zozeer een gevolg van de wens tot verruiming van de omschrijving van het geautomatiseerd werk als wel van de ontwikkeling van de techniek, die ertoe leidt dat steeds meer apparaten beschikken over functies die voorheen waren voorbehouden aan de computer.” ^[19]

3.17.

Uit deze overweging volgt dat ook na de wijziging van art. 80sexies Sr per 1 maart 2019 nog slechts gedacht wordt aan apparaten – aan stoffelijke objecten dus – en niet aan onstoffelijke zaken zoals websites. Een website is ‘in wezen’ een stuk software en geen hardware. Wel is het zo dat een website, om zijn functie op het internet ^[20] te kunnen vervullen, moet zijn ondergebracht (worden ‘gehost’) op een geautomatiseerd werk (een server), dat met dat internet is verbonden. In die zin bestaat er wel een duidelijk functioneel verband van een website met een geautomatiseerd werk. Als de server waarop de website wordt gehost op een of andere manier in een storing raakt is de website doorgaans niet meer benaderbaar via het internet en kan de website - hoewel hij nog wel bestaat in de vorm van de software – hetgeen waarvoor hij is bedoeld ook niet meer verrichten.

3.18.

De conclusie van het voorgaande is dus dat een website ‘op zichzelf’ niet kan worden aangemerkt als “geautomatiseerd werk” in de zin van art. 80sexies Sr en/of art. 138b Sr.

Toepassing op de onderhavige zaak

3.19.

De vraag is of het hof het voorgaande kader heeft miskend. Anders dan de steller van het middel, lijkt mij dit op basis van de tenlastelegging in de onderhavige zaak geen gelopen koers te zijn.

3.20.

Tenlastegelegd (als het primaire feit) is dat:
“primair

hij in of omstreeks de periode van 23 oktober 2017 tot en met 25 oktober 2017 te Amsterdam, in elk geval in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens aan te bieden en/of toe te zenden, immers heeft verdachte door middel van de site " [internetsite 1] " gegevens aangeboden en/of toegezonden naar de website " [internetsite 2] " waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd;”

3.21.

Zou men, zoals de steller van het middel kennelijk als uitgangspunt neemt, het gedeelte van de tenlastelegging dat voorafgaat aan het woordje “immers” als een louter kwalificatief gedeelte aanmerken, en dat dus voor de feitelijke omschrijving van hetgeen de verdachte verweten wordt niet meetellen, dan kan men wellicht tot de conclusie komen dat het hof miskend heeft dat een website niet als een geautomatiseerd werk kan worden aangemerkt. In die lezing zou het in het laatste zinsdeel genoemde “geautomatiseerde werk” terugslaan op de website " [internetsite 2] " waarvan de toegang is belemmerd. Het lijkt mij echter aannemelijker dat het hof ook het eerste deel van de tenlastelegging, voorafgaand aan “immers” als onderdeel van de feitsomschrijving heeft aangemerkt. Dan kan het in het laatste zinsdeel genoemde “geautomatiseerde werk” heel goed worden gelezen als terugslaand op het eerstgenoemde, zelfde begrip. Kennelijk heeft het hof dit ook zo gezien en dat is niet in strijd met de bewoordingen van de tenlastelegging. Vervolgens heeft het hof klaarblijkelijk bij zijn bewezenverklaring de in de tenlastelegging gegeven omschrijving gevolgd van de wijze van belemmeren van de toegang tot het geautomatiseerde werk, namelijk dat dit is geschied door het toezenden van gegevens aan de website " [internetsite 2] ". Dat lijkt mij niet getuigen van een onjuiste rechtsopvatting en ook niet onbegrijpelijk. Naar hedendaags spraakgebruik is die gang van zaken ook volstrekt duidelijk. Technisch ligt het wat ingewikkelder, maar uit de bewijsoverwegingen van het hof kan wel worden afgeleid dat de betreffende website benaderbaar was via het internet en derhalve werd ‘gehost’ op een geautomatiseerd werk, dat, om zichtbaar te kunnen zijn op het internet, was voorzien van een ip-adres dat via een DNS-server aan de naam " [internetsite 2] " was gekoppeld, naar welk adres de uiteindelijk verstorende gegevens werden gezonden. Het geven van een volledige technische omschrijving van de handelingen van de verdachte zou in de context van de tenlastelegging echter wel erg ver voeren en naar ik meen een overspanning van de aan dat processtuk te stellen eisen meebrengen. Daar voeg ik aan toe dat blijkens de processtukken – zowel in eerste aanleg als in hoger beroep - door de procesdeelnemers nimmer blijk is gegeven van enige onduidelijkheid over wat de verdachte nu werd verweten.

3.22.

Het hof heeft dus naar ik meen een andere lezing aan de tenlastelegging gegeven – en kunnen geven – dan de steller van het middel voor ogen staat. Daarmee mist het middel feitelijke grondslag en faalt het.

4. Het
tweede middel klaagt dat het hof op onjuiste gronden de onttrekking aan het verkeer heeft bevolen van de computer van de verdachte, althans dat het onvoldoende gemotiveerd is afgeweken van een verweer van de raadsman van de verdachte over dit punt.

4.1.

Het hof heeft de oplegging van de maatregel onttrekking aan het verkeer als volgt gemotiveerd:

“Het bewezenverklaarde is begaan met behulp van een in beslag genomen en nog niet teruggegeven computer. Op deze computer staat DDoS-simulatie software (p. 53). Om die reden is het ongecontroleerde bezit van de computer in strijd met hel algemeen belang en is het apparaat dus vatbaar voor onttrekking aan het verkeer (vgl. HR 4 december 2018. ECU :NL:HR:2018:2244). Hetgeen de raadsman naar voren heeft gebracht geeft het hof geen aanleiding om tot een andere beslissing te komen. Het hof heeft echter wel nota genomen van de toezegging van de advocaat-generaal om, alvorens tot executie van dit arrest over te gaan, te bezien of het tot de mogelijkheden behoord om de verdachte een kopie te verstrekken van door hem (concreet) te benoemen bedrijfsinformatie (zoals administratie) of persoonlijke informatie (zoals foto's).”

4.2.

Door de raadsman van de verdachte is ter zitting het volgende naar voren gebracht:

“Ik verzoek u daarnaast over te gaan tot teruggave van de inbeslaggenomen computer aan mijn cliënt. De software kan gemakkelijk van de computer worden verwijderd. Mijn cliënt kan ook niets meer doen met de software. ‘ [internetsite 1] ' bestaat niet meer en is foetsie. Voor het geval er toch wordt onttrokken merk ik op dat er op de computer bedrijfsinformatie staat, waarvan mijn cliënt graag een kopie ontvangt. Die bestanden zijn er gemakkelijk af te halen. Ik vraag het OM daarover dan met ons in contact te treden.”

4.3.

In de cassatieschriftuur wordt voorts nog gewezen op hetgeen de advocaat-generaal ter zitting over ‘ [internetsite 1] ’ heeft opgemerkt:

“In het dossier zit ook de verklaring van de verdachte waaruit blijkt dat het doel van de aanvallen het platleggen van de website was. Om dit doel te bereiken heeft hij betaald voor de diensten van [internetsite 1] . hetgeen een zeer deugdelijk middel oplevert voor het uitvoeren van DDoS-aanvallen. ‘ [internetsite 1] ' was zelfs zo succesvol dat de site door justitie uit de lucht is gehaald.”

4.4.

Dat het ongecontroleerd bezit een computer waarop zich software voor het uitvoeren van DDOS-aanvallen bevindt, in strijd is met het algemeen belang en aldus grond oplevert voor de maatregel van onttrekking aan het verkeer, zoals het hof heeft geoordeeld, lijkt mij – zacht gezegd – niet onbegrijpelijk. De klacht in cassatie komt er op neer dat dit in dit geval anders zou moeten zijn, omdat deze software onbruikbaar – en daarmee onschuldig – was geworden doordat de website ‘ [internetsite 1] ’ niet meer operationeel was. Het is naar het mij voorkomt echter maar de vraag of dat enkele feit de schadelijkheid van de software an sich wegneemt. Het hof is daarvan kennelijk niet overtuigd geraakt en dat lijkt mij, gelet op wat door de verdediging in dit verband is aangevoerd – te weten dat de verdachte “niets meer [kon] doen” met de software omdat de website ‘ [internetsite 1] ’ “foetsie” is – ook weer niet onbegrijpelijk, alleen al omdat bijvoorbeeld een andere (malafide) website nog wel actief zou kunnen zijn op dit gebied.

4.5.

Ook het tweede middel faalt

5. Beide middelen falen. Het tweede middel kan worden afgedaan met een aan art. 81, eerste lid RO ontleende motivering.

6. Ambtshalve heb ik geen gronden aangetroffen die tot vernietiging van de bestreden uitspraak aanleiding behoren te geven.

7. Deze conclusie strekt tot verwerping van het beroep.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG

Voetnoten

1. Zie E.J. Koops en J.J. Oerlemans,

2. Aldus J.J. Oerlemans en W. van der Wagen, ‘Verschijningsvormen van cybercriminaliteit’

3.

4.

5. Vgl. in die zin ook het advies van de NOVA bij de wijziging van art. 138b Sr van 1 mei jl. (

6.

7. Vgl. Koops en Oerlemans, a.w., p. 58.

8.

9.

10. In dit verband kan onder meer gewezen worden op het uiteindelijk ingetrokken amendement van het lid Van Dam (

11.

12. Koops en Oerlemans, a.w., p. 59, wijzen in dit verband op het wederrechtelijk toevoegen van gegevens (art.350a Sr) en computervredebreuk (artikel 138ab Sr). Gedacht kan ook worden aan art. 161sexies Sr (vgl.

13. Vgl.

14. Zie het rapport van de Commissie modernisering opsporingsonderzoek in het digitale tijdperk (“Commissie Koops”),

15. In de gepubliceerde feitenrechtspraak heb ik zowel een voorbeeld aangetroffen van een zaak waarin software wel als een geautomatiseerd werk werd aangemerkt als een zaak waarin dit juist niet gebeurde. Het hof Den Haag oordeelde in zijn arrest van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) dat een “Facebook-account” geen geautomatiseerd werk is. Het hof Den Bosch oordeelde op 4 mei 2020 (ECLI:NL:GHSHE:2020:1514) echter dat het bij de politie in gebruik zijnde “Blue View systeem” wel een geautomatiseerd werk is. Het hof duidt dit “Blue View systeem” aan als “applicatie” waarmee de verdachte zich toegang wist te verschaffen “tot (delen van de) servers van de politie”. De door het hof als geautomatiseerd werk aangemerkte applicatie (software) gaf dus toegang tot de servers (de hardware).

16.

17.

18.

19.

20. Het onderdeel ‘web’ in het woord website verwijst uiteraard naar het ‘worldwide web’ oftewel het internet.