Conclusie
PROCUREUR-GENERAAL
BIJ DE
HOGE RAAD DER NEDERLANDEN
Nummer24/02740
Zitting6 januari 2026
CONCLUSIE
P.H.P.H.M.C. van Kempen
In de zaak
[verdachte] ,
geboren in [geboorteplaats] op [geboortedatum] 1981,
hierna: de verdachte
1.Inleiding
1.1
De verdachte is door het gerechtshof Amsterdam bij arrest van 2 juli 2024 (parketnr. 23-003330-22) in zaak A onder 1 wegens “computervredebreuk” en onder 2 wegens “opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk en/of door middel van telecommunicatie zijn opgeslagen, worden verwerkt en/of worden overgedragen, wissen, onbruikbaar maken en/of ontoegankelijk maken”, in zaak B wegens “smaadschrift” en in zaak C wegens “valsheid in geschrift en opzettelijk gebruik maken van een vals geschrift, als bedoeld in artikel 225, eerste lid, van het Wetboek van Strafrecht, als ware het echt en onvervalst”, veroordeeld tot een taakstraf voor de duur van 180 uren te vervangen door 90 dagen hechtenis, waarvan 90 uren voorwaardelijk te vervangen door 45 dagen hechtenis met een proeftijd van 2 jaren. Daarnaast heeft het hof in zaak B en C de vordering van de benadeelde partij gedeeltelijk toegewezen en voor het toegewezen bedrag een schadevergoedingsmaatregel opgelegd.
1.2
Het cassatieberoep is ingesteld namens de verdachte. P. van Dongen, advocaat in Amsterdam, heeft één middel van cassatie voorgesteld.
2.Waar het in cassatie om gaat
2.1
De verdachte was met haar 4 jarige dochter op vakantie in Valencia. De aangever, zijnde haar ex-man en tevens vader van het kind, had zijn laptop meegegeven zodat hun dochter daar filmpjes op kon kijken. Tijdens deze vakantie in Valencia heeft de verdachte via de laptop van de aangever toegang verschaft tot zijn e-mailaccount en diens bestanden. Zij heeft e-mails verzonden naar zichzelf en anderen, en heeft e-mails en bestanden gewist, onbruikbaar en/of ontoegankelijk gemaakt. Het hof heeft bewezenverklaard dat de verdachte door het onbevoegd gebruikmaken van het e-mailadres van de aangever met behulp van een valse sleutel opzettelijk en wederrechtelijk is binnengedrongen in de server waarop dat e-mailadres werd gehost en dat zij één of meerdere vertrouwelijke teksten en/of bijlagen heeft overgenomen. Het cassatiemiddel klaagt over het oordeel van het hof dat het onbevoegd gebruikmaken van het e-mailadres binnendringen “met behulp van een valse sleutel” behelst als bedoeld in art. 138ab lid 1 onder c Sr.
2.2
Deze conclusie houdt in dat het middel niet tot cassatie leidt.
3.Het middel
3.1
Het middel bevat de klacht dat het oordeel van het hof dat de verdachte door het onbevoegd gebruikmaken van het e-mailadres van de aangever met behulp van een valse sleutel is binnengedrongen in een geautomatiseerd werk, van een onjuiste rechtsopvatting getuigt, althans dat dit oordeel onbegrijpelijk is.
3.2
Ten laste van de verdachte is in zaak A onder 1 bewezenverklaard dat:
“zij op 3 augustus 2018 te Valencia opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk, te weten een server waarop het e-mailaccount [e-mailadres 1] werd gehost met behulp van een valse sleutel, te weten het onbevoegd gebruikmaken van het voorgenoemde e-mailadres, terwijl zij vervolgens de gegevens te weten een of meerdere vertrouwelijke teksten en bijlagen die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk, waarin zij zich wederrechtelijk bevond, voor zichzelf en een ander heeft overgenomen”
3.3
De bewezenverklaring steunt mede op de Aanvulling op het verkort arrest van 2 juli 2024 die het volgende inhoudt (met weglating van verwijzingen en bijlagen) (zie voor de bijlage II waarnaar het hof verwijst hierna onder 3.4):
“
Bewijsmiddelen
Bewijsmiddelen
Ten aanzien van zaak A - feiten 1 en 2
1. Het hof neemt over de bewijsmiddelen zoals vermeld in bijlage II bij het vonnis waarvan beroep onder de nummers 1 en 2 en 3, met dien verstande dat de bijlagen bij bewijsmiddel 1 beschouwd worden als andere geschriften.
2. Een proces-verbaal van verhoor van 28 september 2018 in de wettelijke vorm opgemaakt door de bevoegde opsporingsambtenaren […].
Dit proces-verbaal houdt in, voor zover van belang en zakelijk weergegeven, als de op 28 september 2018 tegenover de verbalisanten afgelegde verklaring van de
verdachte:
verdachte:
Op 31 juli 2018 ben ik met mijn dochter naar Valencia gegaan. Wij kwamen 7 augustus 2018 weer terug. Mijn dochter had een laptop meegekregen. Mijn ex-man had wat filmpjes op de laptop gezet. De laptop had een veiligheidscode. Op 1 augustus (het hof begrijpt: 2018) heeft mijn dochter via een videogesprek de code gevraagd om toegang te krijgen tot de laptop.
Op 2 augustus (het hof begrijpt: 2018) heb ik rond 24:00 filmpjes voor mijn dochter aangezet. Zij was in slaap gevallen en rond 01:30 uur (het hof begrijpt: op 3 augustus 2018) heb ik in de mailbox gekeken of deze nog open stond. Ik heb op de laptop van mijn ex gezocht. Ik heb een mail naar mijzelf toegestuurd en daarna naar een vriend. Ik heb ook nog in de bestanden gezocht.
3. Een proces-verbaal van verhoor van 19 december 2018 in de wettelijke vorm opgemaakt door de bevoegde opsporingsambtenaren […].
Dit proces-verbaal houdt in, voor zover van belang en zakelijk weergegeven, als de op 19 december 2018 tegenover de verbalisanten afgelegde verklaring van de
verdachte:
verdachte:
Mijn dochter had de laptop meegekregen van mijn ex op vakantie in Valencia. In de nacht van 3 augustus 2018 ben ik rond half drie ’s nachts gaan slapen. Ik klapte de laptop dicht en legde die onder het bed waar ik en mijn dochter in sliepen.
4. De verklaring van de
verdachte, zoals afgelegd ter terechtzitting in hoger beroep op 18 juni 2024.
verdachte, zoals afgelegd ter terechtzitting in hoger beroep op 18 juni 2024.
Deze verklaring houdt in, voor zover van belang en zakelijk weergegeven:
Ik heb op 2 augustus 2024 de laptop van [aangever] doorzocht. Ik heb drie mappen geopend die op de beginpagina stonden. Ik heb de laptop onder het bed gelegd. Ik had zeker gemerkt als iemand anders de laptop gepakt zou hebben.”
3.4
De bijlage II waarnaar wordt verwezen in de Aanvulling op het verkort arrest van 2 juli 2024 (zie daarvoor onder 3.3) houdt het volgende in:
“
Bijlage II - de bewijsmiddelen
Bijlage II - de bewijsmiddelen
De rechtbank baseert haar beslissing dat verdachte
[verdachte]de bewezen geachte feiten heeft gepleegd op de volgende bewijsmiddelen.
[verdachte]de bewezen geachte feiten heeft gepleegd op de volgende bewijsmiddelen.
Zaak A
Ten aanzien van feiten 1 en 2:
1.
Een proces-verbaal van aangifte, […] in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar […].
Een proces-verbaal van aangifte, […] in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar […].
Dit proces-verbaal houdt onder meer in als verklaring van [aangever] , zakelijk weergegeven:
[betrokkene 1] stuurde mij een mail door met een bijlage die zij van [verdachte] vanuit haar e-mailadres [e-mailadres 2] heeft ontvangen (bijlage 5). Ik heb vervolgens gezien dat er in mijn e-mail ( [e-mailadres 1] ) en documenten was ingelogd (bijlage 15). Als laatste was de inlog te zien in Valencia (bijlage 25 en 26). Er bleek uit mijn browsergeschiedenis dat er diverse documenten zijn bekeken op 3 augustus 2018 (bijlage 19, 20 en 21). Vervolgens heb ik van diverse mensen vragen gekregen waarom ik ze vertrouwelijke informatie had gemaild (bijlage 4, 6, 7, 8,9 en 10). Dit is in de nacht van 3 augustus 2018 gebeurd. Ik heb toen niemand gemaild. In mijn verzonden items staan geen verzonden mails van dat tijdstip (bijlage 1), die zijn verwijderd. Er bevinden zich echter geen verzonden items in die map (de rechtbank begrijpt de map: verwijderde items), deze zijn ook verwijderd (bijlage 3). Ook heb ik zijn al mijn concepten op 3 augustus 2018 omstreeks 02:00 uur geopend (bijlage 2 en 11). Daarnaast zijn diverse documenten verwijderd, ook uit de prullenbak (bijlage 18). Ik kan specifieke bestanden niet meer terughalen (bijlage 12 en 16). In mijn mail staan vertrouwelijke gegevens. [verdachte] , geboren op [geboortedatum] 1981 te [geboorteplaats] , bevond zich op het moment dat bovenstaande plaatsvond in Valencia (bijlagen 23 en 24). Ik heb geconstateerd dat zij, door het gebruiken van deze computer, zichzelf toegang verleend heeft tot mijn documenten en correspondentie. Ik heb [verdachte] nooit toestemming gegeven om mijn hotmail account noch mijn OneDrive documenten te raadplegen, lezen, door te sturen of te verwijderen.
[…] [weergave van bijlagen 1 t/m 26,
PHvK]
PHvK]
Ten aanzien van feit 1:
2.
De verklaring die getuige [aangever] ter terechtzitting van 12 november 2021 heeft afgelegd, voor zover inhoudende, zakelijk weergegeven:
De verklaring die getuige [aangever] ter terechtzitting van 12 november 2021 heeft afgelegd, voor zover inhoudende, zakelijk weergegeven:
Je logt in op Windows en niet apart in het e-mailprogramma. Het e-mailprogramma is een onderdeel van Windows. Ik had toegang tot de e-mail als ik de computer open doe. Zodra je de laptop open doet, staat dat daar. De code is de toegang.
3.
De verklaring die verdachte ter terechtzitting van 22 november 2022 heeft afgelegd, voor zover inhoudende, zakelijk weergegeven:
De verklaring die verdachte ter terechtzitting van 22 november 2022 heeft afgelegd, voor zover inhoudende, zakelijk weergegeven:
Het meisje belde met de vader om de code te ontvangen. Ik heb de code gehoord.”
3.5
Uit het proces-verbaal van de terechtzitting in hoger beroep van 18 juni 2024 blijkt dat de verdachte de volgende verklaring heeft afgelegd:
“Mijn dochter van vier jaar had de laptop van haar vader [aangever] , mijn ex, in haar reiskoffer. Zij heeft mij zelf de laptop laten zien en er stond een e-mail open. Het is dus niet dat ik de laptop of het mailprogramma ben binnengedrongen. De bewijzen die [aangever] heeft geleverd, kunnen gemanipuleerd zijn. Hij is immers handig met de computer en een informaticaspecialist. Alles met betrekking tot het IP-adres kan hij ook gemanipuleerd hebben, temeer omdat hij de laptop niet direct heeft overhandigd aan de politie maar eerst zelf onder zich heeft gehad.
Het klopt dat ik op 3 augustus 2024 in Valencia was met mijn dochter. We waren op vakantie en op bezoek bij mijn neefje. Blijkens het dossier zijn er midden in de nacht berichten verzonden vanuit het emailaccount van [aangever] naar andere mensen, maar dit ben ik niet geweest. Dit heeft hij zelf gedaan. Mijn dochter kwam naar mij toe met de laptop en vroeg mij om een tekenfilm op te zetten. Ik zag dat een e-mailbericht openstond waarin stond dat [aangever] mij beschuldigde van woonfraude. Dit bericht wilde ik doorsturen naar een vriend, zodat hij mij dit bericht kon voorlezen. Ik deed dit, maar ik kon daarna het bericht niet meer vinden. Ik heb het mailprogramma afgesloten en ik heb geen verdere e-mailberichten geopend. Het klopt dat ik heb gezegd dat ik de laptop wilde checken omdat ik dacht dat hij misschien kinderporno op zijn laptop had staan. Ik heb zijn laptop doorzocht en dit heeft mij maximaal tien minuten gekost. Ik heb met [aangever] samengewoond en dit is echt waar; hij had soms porno op zijn computer staan. Ik heb drie mappen geopend die op de beginpagina stonden. In één map zaten videofilmpjes voor mijn dochter en in de andere mappen stonden documenten waarvan ik niet weet wat het was. Ik heb vervolgens een film voor mijn dochter gestart en haar de laptop teruggeven. Het is mijn plicht als moeder om toezicht te houden om er voor te zorgen dat mijn dochter geen dingen ziet die zij niet mag zien. Dit was op 2 augustus 2018 aan het eind van de middag. Ik was op dat moment aan het koken voor mijn dochter omdat ik uit eten zou gaan met mijn neef. Mijn dochter wist zelf ook de code van de laptop en zij kon zelf ook filmpjes opstarten.
Ik kwam rond middernacht thuis, ben gaan douchen en ik ben vervolgens naar bed gegaan. Wij hadden de volgende dag een boeking om een bepaalde plek te bezoeken. Ik zou om 09.00 uur in de ochtend opgehaald worden. Ik heb dus niet in de nacht van 2 op 3 augustus 2018 in de laptop gezeten.
U houdt mij voor mijn verklaring bij de politie (pagina 5) waarin gezegd zou hebben dat ik om half drie ‘s nachts ben gaan slapen en toen de laptop heb afgesloten. Ik kan mij herinneren dat mijn dochter nog op de laptop zat toen ik thuiskwam van het eten. Dit is hoe ik het mij nu herinner. Ik weet niet hoe het kan dat er e-mails zijn verzonden naar bekenden van [aangever] . Niemand daar heeft de laptop gepakt. De vriendin van mijn neefje heeft een kind van 12 jaren oud en er was nog een kind van ongeveer 7 of 8 jaar. U houdt mij bijlage 5 van de aangifte voor waaruit blijkt dat een e-mailbericht is verzonden vanuit het adres [e-mailadres 2] en dat anderhalf minuten later dit naar [betrokkene 1] is verzonden. Ik weet niet hoe dit kan.
[…]
Ik weet zeker dat ik om rond middernacht de laptop heb afgepakt. Ik ben om 02:30 uur gaan slapen en om 08:30 uur in de ochtend ben ik weer wakker geworden. Ik heb de laptop onder het bed gelegd toen ik ging slapen. Ik had zeker gemerkt als iemand anders de laptop gepakt zou hebben. Ik kan niet verklaren hoe het kan dat er berichten zijn verzonden die nacht. Niemand kan mij, garanderen dat meneer, die hacker is (
[aangever] ), dit niet zelf heeft gedaan. U houdt mij voor dat blijkens de logbestanden de berichten zijn verzonden vanuit Valencia. Ik weet niet hoe dit werkt, maar ik was het niet.
[aangever] ), dit niet zelf heeft gedaan. U houdt mij voor dat blijkens de logbestanden de berichten zijn verzonden vanuit Valencia. Ik weet niet hoe dit werkt, maar ik was het niet.
[…]
De verdachte voert het laatste woord als volgt:
Ik ben zeven dagen in Valencia geweest. Op één van die zeven dagen is de computer ingelogd geweest. Ik heb nadien gezien dat de aangever op de laptop aan het werk was en een vriend was bezig om de laptop te programmeren. Welke garantie heb ik dan dat hij de laptop niet gemanipuleerd heeft? In de tijd dat ik met de aangever samenwoonde is hij in mijn mail geweest en heeft hij ook berichten gewist. Hij heeft de laptop nooit aan de politie gegeven en daar is nooit onderzoek naar gedaan. Ik beschouw mijzelf als onschuldig. Ik heb de laptop gezien waar mijn dochter mee aankwam. Deze stond open en ik heb alleen gekeken of er niets geks op stond voor haar welzijn.”
3.6
Uit het proces-verbaal van de terechtzitting in hoger beroep van 18 juni 2024 blijkt omtrent hetgeen de raadsman – voor zover relevant – heeft aangevoerd het volgende:
“De raadsman voert het woord tot verdediging aan de hand van het op schrift gestelde pleidooi. Deze wordt aan het gerechtshof overgelegd, in het dossier gevoegd en de inhoud geldt als hier ingevoegd. In aanvulling voert de raadsman aan:
- voor punt 1: uit bijlage 25 zou blijken dat met de laptop vanuit Valencia is ingelogd op het emailadres van mijn cliënte. Dit is pertinent onjuist. Er kan niet worden vastgesteld dat dit zo was. De laptop is niet onderzocht en wij zijn geen deskundigen. Niet wordt betwist dat de laptop in Valencia was. Mijn cliënte heeft al naar voren gebracht dat [aangever] mogelijk gegevens gemanipuleerd kan hebben om haar de schuld te geven en dat de aangever ICT-kennis heeft;
[…]
De raadsman voert het woord in dupliek als volgt:
De advocaat-generaal maakt een denkfout. Aan de bijlagen, die bij de aangifte zijn gevoegd, kun je niet zien dat er is ingelogd op Microsoft. Bovendien staat die inlog los van de inlog in een mailprogramma. Er is onvoldoende steunbewijs voor de stelling van [aangever] .”
3.7
De pleitnota waarnaar wordt verwezen in het proces-verbaal van de terechtzitting in hoger beroep van 18 juni 2024 (zie hiervoor onder 3.6) houdt – voor zover relevant – in:
“13. Als er echter zorgvuldig en technisch wordt gekeken naar het bewijs dat voorhanden is, dan kan onmogelijk, een voldoende ontwikkelde geest, tot de conclusie komen dat er voldoende bewijs
voorhanden is, om tot een bewezenverklaring te komen van hetgeen ten laste is gelegd en de rechtbank bewezen heeft verklaard.
14. Uit de door aangever aangeleverde bijlagen kan niet eens met voldoende zekerheid worden vastgesteld dat hetgeen hij stelt dat allemaal is gebeurd, daadwerkelijk heeft plaatsgevonden. Dus het doorsturen, verwijderen en verwerken van e-mails en bestanden. Een ook al zou hiervan iets kunnen worden vastgesteld, dan kan niet met voldoende zekerheid worden vastgesteld dat het cliënte is geweest, die dat heeft gedaan.”
3.8
Het hof heeft in het bestreden arrest het volgende overwogen:
“Bewijsoverweging zaak A en zaak B
Zaak A: computervredebreuk en vernieling van computergegevens
Ten aanzien van de tenlastegelegde computervredebreuk en de vernieling van computergegevens heeft de raadsman primair bepleit dat niet voldaan is aan het bewijsminimum omdat onvoldoende objectief betrouwbaar steunbewijs voorhanden is op grond waarvan de overtuiging kan worden bekomen dat de verdachte het feit heeft begaan. De aangifte en de daarbij aangeleverde bijlagen moeten worden gekwalificeerd als één bewijsmiddel en de bijlagen zijn onvoldoende bruikbaar en betrouwbaar om op basis daarvan met voldoende zekerheid vast te stellen dat hetgeen de aangever stelt daadwerkelijk is gebeurd en dat het de verdachte is geweest die dat heeft gedaan. Niet valt uit te sluiten dat de e-mails zijn verzonden en de bestanden zijn bekeken door derden vanaf een andere computer of door de aangever zelf. Ook is het mogelijk dat de minderjarige dochter van de verdachte de e-mails en bestanden spelenderwijs heeft doorgestuurd, bewerkt, verplaatst en/of verwijderd zonder te weten wat ze aan het doen was.
Subsidiair heeft de raadsman verzocht om aanhouding van de strafzaak teneinde een deskundige te benoemen die de overgelegde bijlagen kan beoordelen op bruikbaarheid en betrouwbaarheid.
[…]
De verklaringen van de aangever
De aangever heeft verklaard dat hij heeft gezien dat erin zijn e-mail en bestanden was ingelogd, als laatste in Valencia. Uit de browsergeschiedenis bleek dat op 3 augustus 2018 diverse documenten zijn bekeken. Vanaf zijn e-mailaccount zijn in de nacht van 3 augustus 2018 e-mails verzonden, terwijl de aangever toen niet heeft gemaild. In de map verzonden items stonden geen verzonden items van dat tijdstip, die zijn verwijderd. Er bevonden zich echter geen verzonden items in die map (het hof begrijpt: de map verwijderde items), deze zijn volgens de aangever ook verwijderd. Ook zijn al zijn concepten op 3 augustus 2018 omstreeks 02:00 uur geopend. Daarnaast zijn diverse documenten verwijderd, ook uit de prullenbak. Hij kon specifieke bestanden niet meer terughalen. Volgens de aangever bevond de verdachte zich op dat moment in Valencia, met hun dochter. De aangever had aan de verdachte een laptop meegegeven met filmpjes voor zijn dochter. Hij heeft geconstateerd dat de verdachte door het gebruiken van deze computer zichzelf toegang heeft verleend tot zijn documenten en correspondentie. De aangever heeft de verdachte nooit toestemming gegeven om zijn hotmailaccount noch zijn OneDrive documenten te raadplegen, te lezen, door te sturen of te verwijderen.
Tevens heeft de aangever ter terechtzitting in eerste aanleg verklaard dat door het invoeren van de code van zijn laptop de gebruiker onmiddellijk toegang tot zijn laptop en zijn e-mailadres heeft.
Bij zijn aangifte heeft de aangever schermafdrukken als bijlage overgelegd. Daaruit blijkt meer specifiek dat op voornoemde datum tussen 1:49 en 5:56 uur zeven e-mailconcepten, drie Excel bestanden en één Excel bestand in OneDrive zijn geopend. Ook zijn er zeven e-mails met vertrouwelijke en persoonlijke informatie van de aangever vanuit het e-mailadres van de aangever aan de verdachte en kennissen van de aangever (door)gestuurd. Eén van voornoemde e-mails is op 3 augustus 2018 om 05:23 uur vanuit het e-mailadres van de verdachte naar dat van de aangever gestuurd. Dit bericht is vervolgens twee minuten later, namelijk om 05:25 uur, vanuit het e-mailadres van de aangever doorgestuurd.
Daarnaast bevat de map ‘verzonden items’ één verzonden e-mail van 3 augustus 2018, terwijI uit het voorgaande is gebleken, dat er zeven e-mails in die nacht zijn verstuurd. De overige e-mails moeten dus uit de map ‘verzonden items’ zijn verwijderd. Behoudens één e-mail zijn in de map ‘verwijderde items’ geen e-mails van 3 augustus 2018 terug te vinden. Bovendien kan de aangever twee van de op 3 augustus 2018 geopende bestanden niet meer terughalen. Deze documenten zijn ook niet terug te vinden in de map ‘prullenbak’, omdat deze leeg is.
De verklaringen van de verdachte
De verdachte heeft verklaard dat zij op 3 augustus 2018 met haar dochter in Valencia was. Zij had op dat moment de laptop van de aangever in haar bezit, de aangever had de laptop meegegeven zodat hun dochter van 4 jaar, filmpjes daarop kon kijken. Tevens heeft de verdachte verklaard dat zij de toegangscode van die laptop op enig moment had gehoord en dat zij had gezien dat de mailbox van aangever openstond toen haar dochter een filmpje aan het kijken was. Zij heeft ‘s nacht rond 01.30 uur op de laptop van de aangever gekeken of zijn mailbox nog openstond. Zij heeft tevens verklaard dat zij in die mailbox heeft gekeken en op die laptop in bestanden heeft gezocht. Ook heeft zij verklaard een mail naar haar zelf te hebben verzonden. De verdachte heeft ontkend dat zij op 3 augustus 2018 om 04:21 uur een mail over de levensloop van de aangever via zijn mailaccount heeft gestuurd omdat zij naar eigen zeggen op dat tijdstip lag te slapen. Zij is om 02:30 uur gaan slapen en heeft de laptop dichtgeklapt en onder haar bed gelegd waarin zij met haar dochter sliep. Op vragen van het hof heeft de verdachte verklaard dat niemand ongemerkt de laptop heeft kunnen pakken.
Gelet op het voorgaande, in onderlinge samenhang bezien met de overige bewijsmiddelen, is het hof, anders dan de raadsman van oordeel dat de verklaringen van de aangever in voldoende mate steun vinden in de bij de aangifte overgelegde bijlagen maar ook in de verklaringen van de verdachte zelf. Immers het was de verdachte die volgens haar eigen verklaring die nacht de laptop in haar bezit had, de code van die laptop had gehoord, een e-mail vanaf het e-mailaccount van de aangever heeft verzonden en bestanden heeft bekeken. Daarbij betrekt het hof dat uit bijlage 25 bij de aangifte volgt dat de laptop op 3 augustus 2018 Om 05:56:07 in Valencia is bekeken. Dat niet is vastgesteld dat die e-mail daadwerkelijk door haar is verzonden, zoals de raadsman heeft betoogd, laat onverlet dat de verdachte in ieder geval hiermee heeft erkend dat zij opzettelijk en wederrechtelijk is binnengedrongen in het e-mailaccount en de documenten van de aangever. Het hof acht het alternatieve scenario van de verdediging, inhoudende dat de aangever misschien zelfde mails vanaf een andere computer heeft verstuurd of dat de dochter al spelenderwijs die nacht de mails heeft verstuurd, gewist en de bestanden heeft bekeken niet aannemelijk. Deze worden dan ook terzijde geschoven.
Naar het oordeel van het hof kan het niet anders zijn dan dat het de verdachte is geweest die in die nacht de mails heeft verzonden, de documenten op die laptop heeft bekeken en (deels) die mails en bestanden heeft gewist en vernietigd.”
3.9
In de toelichting op het middel wordt ingegaan op het bestanddeel ‘valse sleutel’ zoals opgenomen in art. 138ab Sr. Omdat in onderhavige zaak geen gebruikersnaam en wachtwoord was vereist om toegang te krijgen tot het e-mailaccount − zodra immers toegang was gekregen tot de laptop stond het mailadres feitelijk open − was geen sprake van een ‘valse sleutel’, aldus de steller van het middel. Bij een valse sleutel moet sprake zijn van enige manier van omzeilen van een beveiliging, maar van enige beveiliging was geen sprake. Het oordeel van het hof zou daarmee getuigen van een onjuiste rechtsopvatting dan wel onbegrijpelijk zijn.
3.1
Art. 138ab Sr luidde ten tijde van het bewezenverklaarde:
“1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.”
3.11
Computervredebreuk is in Nederland voor het eerst strafbaar gesteld in 1993 bij de eerste Wet Computercriminaliteit. [1] Strafbaar is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan. De wet geeft geen definitie van binnendringen maar een omschrijving van wanneer in ieder geval sprake is van binnendringen, namelijk indien toegang tot het werk wordt verworven op de wijzen genoemd in sub a t/m d van art. 138ab lid 1 Sr. Uit de formulering “in ieder geval” valt af te leiden dat het gaat om een niet-limitatieve opsomming van mogelijkheden waarop kan worden binnengedrongen.
3.12
Volgens de memorie van toelichting gaat het bij de strafbaarstelling van computervredebreuk om een uitwerking van het beginsel dat het medium wordt beveiligd. [2] De verdachte die zich schuldig maakt aan computervredebreuk, verwerft toegang tot een geautomatiseerd werk zonder dat hij daartoe is gerechtigd. Doorgaans doet de verdachte dat om afgeschermde gegevens in te zien. Voor een bewezenverklaring van computervredebreuk is echter niet vereist dat daadwerkelijk toegang is genomen tot gegevens, voldoende is dat toegang is verworven tot het medium. [3] Uit de bewijsmiddelen moet het binnendringen kunnen worden afgeleid. [4] Wederrechtelijk houdt in: tegen de onmiskenbare wil van de rechthebbende. Doorgaans zal deze wil blijken uit beveiligingsmaatregelen die zijn getroffen door de rechthebbende. Voor een bewezenverklaring van binnendringen is evenwel niet (meer) vereist dat een beveiliging is doorbroken of omzeild. [5] Van enige beveiliging zal echter meestal wel sprake zijn, omdat bij onbelemmerde toegang moeilijk sprake kan zijn van wederrechtelijk binnendringen.
3.13
Het begrip ‘valse sleutel’ komt op verschillende plaatsen in het Wetboek van Strafrecht voor, bijvoorbeeld in de strafbaarstelling van de huis- en lokaalvredebreuk (art. 138 en 139 Sr) en de diefstalbepalingen (art. 311 en 312 Sr). In art. 90 Sr wordt het begrip toegelicht: “Onder valse sleutels worden begrepen alle tot opening van het slot niet bestemde werktuigen.” Het begrip moet volgens de Hoge Raad ruim worden uitgelegd, niet alleen de ‘nep-sleutel’, zoals bijvoorbeeld een ijzerdraadje dat wordt gebruikt om een fiets te stelen, is een valse sleutel, ook de huissleutel die is ontvreemd uit de tas van de eigenaar en vervolgens wordt gebruikt om het slot van de woning te openen, geldt – ondanks dat het de juiste sleutel is – door het onbevoegd gebruik daarvan als een valse sleutel. [6] Het gebruikmaken van een bankpas en bijbehorende pincode, leverde eveneens diefstal met een valse sleutel op, omdat de verdachte geldopnames had verricht waarvoor zij niet gerechtigd was. [7] Het gebruik van een gestolen bankpas in een pinautomaat door iemand die onbekend was met de bijbehorende pincode kon eveneens worden aangemerkt als een valse sleutel bij de ten laste gelegde poging diefstal met valse sleutel. [8]
3.14
Over het begrip ‘valse sleutel’ in de context van computervredebreuk merkt de minister in de memorie van antwoord bij de Wet Computercriminaliteit II op dat:
“een password een sleutel is die de gebruiker toegang geeft tot het systeem of een deel daarvan. […] Niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen. Voldoende is dat de sleutel tegen de wil van de rechthebbende uit zijn macht verloren is gegaan. De kraker die een password van een bulletinboard haalt en daarmee een computer kraakt, is dus strafbaar zelfs indien de beheerder van de computer weet dat het password daar beschikbaar is en nalatig is geweest de beveiliging aan te passen.” [9]
3.15
De ruime uitleg die de Hoge Raad aan het begrip valse sleutels geeft bij niet-digitale delicten is ook terug te zien bij de strafbaarstelling van computervredebreuk. In HR 30 november 2021, ECLI:NL:HR:2021:1691,
NJ2022/54 m.nt. Ten Voorde, waarin de verdachte als politieambtenaar was geautoriseerd om toegang te krijgen tot het beveiligde politiesysteem Blue View, oordeelde de Hoge Raad dat sprake was van opzettelijk en wederrechtelijk binnendringen met een valse sleutel in een deel van een geautomatiseerd werk nu de verdachte naspeuringen verrichte in het systeem zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Het gebruikmaken van de sleutel voor een ander doel dan waarvoor de verdachte erover mocht beschikken, gold dus als binnendringen met een valse sleutel. In HR 18 april 2023, ECLI:HR:2023:610,
NJ2023/354 bestond de computervredebreuk in het toegang verschaffen met eigen inloggegevens voor andere werkzaamheden dan was toegestaan.
NJ2022/54 m.nt. Ten Voorde, waarin de verdachte als politieambtenaar was geautoriseerd om toegang te krijgen tot het beveiligde politiesysteem Blue View, oordeelde de Hoge Raad dat sprake was van opzettelijk en wederrechtelijk binnendringen met een valse sleutel in een deel van een geautomatiseerd werk nu de verdachte naspeuringen verrichte in het systeem zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Het gebruikmaken van de sleutel voor een ander doel dan waarvoor de verdachte erover mocht beschikken, gold dus als binnendringen met een valse sleutel. In HR 18 april 2023, ECLI:HR:2023:610,
NJ2023/354 bestond de computervredebreuk in het toegang verschaffen met eigen inloggegevens voor andere werkzaamheden dan was toegestaan.
3.16
Dan nu de zaak die voorligt.
3.17
De tenlastelegging en bewezenverklaring zijn toegesneden op art. 138ab lid 1 sub c en lid 2 Sr. Daarom moet de in de tenlastelegging en bewezenverklaring voorkomende term ‘valse sleutel’ geacht worden daar te zijn gebezigd in dezelfde betekenis als toekomt aan de term ‘valse sleutel’ in dat artikel. Verdachte wordt verweten dat zij is binnengedrongen op het e-mailaccount door middel van een valse sleutel, namelijk het onbevoegd gebruikmaken van het e-mailadres. Bovendien wordt haar verweten dat zij na het binnendringen met de valse sleutel gegevens voor zichzelf en/of een ander heeft overgenomen (de in lid 2 geformuleerde gekwalificeerde vorm van computervredebreuk). Uit de formulering van “vervolgens” in lid 2 blijkt dat de strafbaarstelling daarin pas in beeld kan komen wanneer éérst sprake is van computervredebreuk in de zin van lid 1, dus het opzettelijk en wederrechtelijk binnendringen in het geautomatiseerde werk of in een deel daarvan. Anders gezegd: in art. 138ab Sr wordt onderscheiden tussen computervredebreuk en het overnemen, aftappen of opnemen van gegevens in het geautomatiseerd werk waarin is binnengedrongen.
3.18
Het hof behandelt de computervredebreuk (zaak A onder 1) en de vernieling van computergegevens (zaak A onder 2) in één bewijsoverweging. De vaststellingen over het opzettelijk en wederrechtelijk binnendringen in het e-mailaccount en het overnemen van gegevens (de computervredebreuk) en de vaststellingen over het veranderen, wissen, onbruikbaar en/of toegankelijk maken van gegevens (de vernieling van computergegevens) lopen in elkaar over. Het hof komt onder meer tot de volgende vaststellingen. De verdachte was met haar dochter op vakantie in Valencia. Aangever had zijn laptop meegegeven zodat de 4 jarige dochter filmpjes kon kijken. De aangever heeft de verdachte nooit toestemming gegeven om zijn hotmailaccount noch zijn OneDrive documenten te raadplegen, te lezen, door te sturen of te verwijderen. De verdachte heeft de toegangscode gehoord en heeft gezien dat de mailbox openstond toen haar dochter een filmpje aan het kijken was. Zij heeft later, midden in de nacht, in die mailbox gekeken en op die laptop in bestanden gezocht. Zij heeft ook verklaard dat zij een e-mail heeft verzonden. Het hof vervolgt dat niet is vastgesteld dat de e-mail daadwerkelijk door de verdachte is verzonden, maar dat dit onverlet laat dat de verdachte heeft erkend dat zij opzettelijk en wederrechtelijk is binnengedrongen in het e-mailaccount en de documenten van de aangever. Het door de verdediging aangedragen alternatief scenario dat de aangever zelf de mails heeft verstuurd of dat de dochter de mails heeft verstuurd, gewist en de bestanden heeft bekeken schuift het hof als niet aannemelijk terzijde. Het hof concludeert dat het niet anders kan zijn dan dat het de verdachte is geweest die in die nacht de mails heeft verzonden, de documenten op die laptop heeft bekeken en (deels) die mails en bestanden heeft gewist en vernietigd.
3.19
De vraag is uit welk bewijsmiddel volgt dat de verdachte is binnengedrongen in het e-mailaccount en dit bovendien heeft gedaan met het e-mailadres zijnde een valste sleutel.
3.2
Allereerst over het wederrechtelijk binnendringen. Uit de vaststelling door het hof dat de verdachte de toegangscode had gehoord en had gezien dat de mailbox openstond toen haar dochter een filmpje aan het kijken was, blijkt op zichzelf niet dat de verdachte bij het onder meer kijken naar bestanden in de laptop van die code gebruik heeft gemaakt om in de laptop te komen. De bewijsmiddelen laten de mogelijkheid open dat de verdachte slechts in de laptop heeft gekeken toen deze al ‘openstond’ (dus dat in werking was met op het beeldscherm zichtbare functionerende software) en omdat de dochter van de verdachte daarop net daarvoor filmpjes had gekeken. Ter onderbouwing van de bewezenverklaring dat de verdachte “wederrechtelijk is binnengedrongen in een geautomatiseerd werk, te weten een server waarop het e-mailaccount [e-mailadres 1] werd gehost”, is in het bestreden arrest niet geëxpliciteerd of het hof ervan uit is gegaan dat de verdachte de code heeft gebruikt dan wel of het hof het toegang nemen tot een nog ‘openstaande’ laptop voor zover men daarin zonder bevoegdheid kijkt als wederrechtelijk binnendringen heeft aangemerkt.
3.21
De omstandigheid dat dat het hof er uitdrukkelijk op wijst dat de verdachte de toegangscode heeft gehoord, lijkt erop te duiden dat het hof heeft aangenomen dat zij die code heeft gebruikt om de laptop in te gaan. Mocht dit inderdaad het oordeel van het hof zijn dan is niet duidelijk waarop dat kennelijke oordeel is gebaseerd. Weliswaar heeft het hof het deel van de verklaring van de verdachte waarin zij – nadat zij opmerkte dat zij de code had gehoord – te kennen geeft dat haar dochter de code heeft gebruikt en dat zijzelf de code niet heeft onthouden, niet voor het bewijs gebruikt, maar daaruit volgt nog niet dat zij die code wel heeft gebruikt. [10] Niettemin is ook wanneer de verdachte geen gebruik zou hebben gemaakt van de code maar de ‘openstaande’ laptop is binnengegaan, mijns inziens sprake van wederrechtelijk binnendringen nu de verdachte geen toestemming had om de laptop binnen te gaan en dit voor haar ook duidelijk moet zijn geweest. Daarvoor telt dat de aangever de laptop niet aan de verdachte had meegegeven maar aan hun dochter, dat hij dit slechts had gedaan opdat de dochter daarop filmpjes kon kijken en dat de verdachte dit wist, dat de laptop was beveiligd met een code die alleen aan hun dochter was verstrekt en dat ook dit bij de verdachte bekend was, en dat de verdachte en de aangever in een conflict waren verwikkeld. Het onder die omstandigheden binnengaan van een ‘openstaande’ laptop, valt mijns inziens aan te merken als een omzeiling van de beveiliging. Zelfs indien dit anders zou zijn, is meen ik nog sprake van wederrechtelijk binnendringen. Voor een bewezenverklaring van wederrechtelijk binnendringen is immers niet vereist dat een beveiliging is doorbroken of omzeild (zie onder 3.12), terwijl uit de rechtspraak blijkt dat bepalend kan zijn of men toegang neemt tot een geautomatiseerd werk met een ander doel dan waarvoor men bevoegd is (zie onder 3.15). Mogelijk was de verdachte bevoegd om filmpjes op de laptop op te zetten, maar zeker niet om de laptop met een ander doel binnen te gaan of te gebruiken. Verder wijs ik er nog op dat voor de strafbaarstelling van computervredebreuk nauw aansluiting is gezocht bij huisvredebreuk [11] en dat daarbij sprake kan zijn van wederrechtelijk binnendringen door simpelweg ergens binnen te gaan wanneer dit tegen de onmiskenbare wil van de rechthebbende ingaat. [12] Ongeacht of de verdachte de code wel of niet heeft gebruikt blijkt mijns inziens in voldoende mate uit de bewijsvoering dat de verdachte wederrechtelijk is binnengedrongen in de laptop en daarmee uiteindelijk ook in “een geautomatiseerd werk, te weten een server waarop het e-mailaccount [e-mailadres 1] werd gehost”.
3.22
Anders ligt het voor zover de bewezenverklaring ook inhoudt dat het binnendringen plaatsvond “met behulp van een valse sleutel, te weten het onbevoegd gebruikmaken van het voorgenoemde e-mailadres”. De aangever heeft verklaard dat door in te loggen op Windows meteen toegang werd verkregen tot het e-mailprogramma: “Je logt in op Windows en niet apart in het e-mailprogramma. Het e-mailprogramma is een onderdeel van Windows. Ik had toegang tot de e-mail als ik de computer open doe. Zodra je de laptop open doet, staat dat daar. De code is de toegang” (bewijsmiddel 2 vonnis rechtbank). De verdachte heeft verklaard dat de laptop een veiligheidscode had en dat de dochter “via een videogesprek de code [heeft] gevraagd om toegang te krijgen tot de laptop” (bewijsmiddel 2 arrest hof). Niet wordt betwist dat om de laptop te ontgrendelen men een toegangscode nodig had en dat daarmee het e-mailprogramma toegankelijk werd. Het onbevoegd gebruik van de toegangscode van de laptop is echter niet ten laste gelegd als valse sleutel. Nog los van de vraag of de verdachte de code heeft gebruikt (zie hiervoor onder 3.21) blijkt in elk geval onvoldoende uit de bewijsvoering – waaronder de gebruikte bewijsmiddelen – dat de verdachte een handeling met het e-mailadres heeft verricht of heeft moeten verrichten om in het e-mailaccount te komen.
3.23
In zoverre slaagt de klacht. Bij gebrek aan belang hoeft dit mijns inziens echter niet tot cassatie te leiden. Het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk is ook zonder de in art. 138ab lid 1 Sr onder a t/m d genoemde omstandigheden strafbaar, terwijl door het wegvallen van de omstandigheid van gebruikmaking van een valse sleutel uit de bewezenverklaring ook de aard en de ernst van wat verder is bewezenverklaard niet worden aangetast aangezien die onder a t/m d genoemde omstandigheden slechts gelden als voorbeelden waarbij sprake is van wederrechtelijk binnendringen. Bovendien blijkt uit de strafmotivering van het hof niet dat de veronderstelde gebruikmaking van een valse sleutel in strafverzwarende zin bij de strafoplegging is betrokken.
4.Afronding
4.1
Het middel is tevergeefs voorgesteld en kan worden afgedaan met toepassing van art. 81 lid 1 RO.
4.2
Ambtshalve heb ik geen gronden aangetroffen die tot vernietiging van de bestreden uitspraak aanleiding behoren te geven.
4.3
Deze conclusie strekt tot verwerping van het beroep.
De Procureur-Generaal
bij de Hoge Raad der Nederlanden
AG