Uitspraak
Rechtbank DEN HAAG
Strafrecht
Meervoudige strafkamer
Parketnummer: 09/767016-18
Datum uitspraak: 11 juni 2020
Tegenspraak
(Promisvonnis)
De rechtbank Den Haag heeft op de grondslag van de tenlastelegging en naar aanleiding van het onderzoek ter terechtzitting het navolgende vonnis gewezen in de zaak van de officier van justitie tegen de verdachte:
[verdachte],
[geboortedatum] 1991 [geboorteplaats] ,
[adres] .
1.Het onderzoek ter terechtzitting
Het onderzoek is gehouden ter terechtzitting 28 mei 2020.
De rechtbank heeft kennisgenomen van de vordering van de officier van justitie mr. K. Hermans en van hetgeen door de verdachte en zijn raadsvrouw mr. F.L.C. Schoolderman naar voren is gebracht.
2.De tenlastelegging
Aan de verdachte is ten laste gelegd dat:
hij op of omstreeks 25 augustus 2017 te 's-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [website] , is binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid, namelijk door gebruik te maken van één of meer software programma(s), te weten [naam] , welk programma gebruikt wordt om (databases van) websites te hacken door middel van [naam] en/of (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen, namelijk door (vertrouwelijke en/of gevoelige) informatie (onder andere big nummers, wachtwoorden, adresgegevens en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf en/of een ander te mailen en/of te exporteren.
3.Bewijsoverwegingen
3.1
Het standpunt van de officier van justitie
De officier van justitie heeft gerekwireerd tot bewezenverklaring van het ten laste gelegde.
3.2
Het standpunt van de verdediging
De raadsvrouw heeft vrijspraak bepleit van het ten laste gelegde.
3.3
De beoordeling van de tenlastelegging [1]
Bewijsmiddelen
Op 31 augustus 2017 heeft [ICT-manager] (hierna: [ICT-manager] ), ICT-manager bij [website] (hierna: [website] ), aangifte gedaan van computervredebreuk. [website] regelt de spoedeisende hulp van huisartsen buiten kantooruren. De website van [website] , [website] , is opgebouwd uit een internetgedeelte en een intranetgedeelte. Voor het intranetgedeelte maakt [website] gebruik van het bedrijf Raaf Technology te Den Haag. De website wordt gehost bij Denit Hosting Solutions te Amsterdam. Op de website kunnen medewerkers van [website] en aangesloten huisartsen inloggen om te zien op welke dagen zij piket- of opvangdienst hebben. Op 25 augustus 2017 is Raaf Technology, naar aanleiding van foutmeldingen (“critical server overload”) van de server waarop de website van [website] is gehost, een onderzoek gestart. Daaruit bleek dat iets aan de hand was op de pagina “wachtwoord vergeten”. Vervolgens is besloten om deze functionaliteit af te sluiten. Na verder onderzoek bleek er een lek in de website te zijn en bleek dat een voor [website] onbekend persoon roostergegevens van medewerkers van [website] en aangesloten huisartsen had ingezien. Niemand van [website] heeft ooit toestemming gegeven om de beveiliging van de website/server van [website] te testen of deze te hacken. [2]
In de woning van de verdachte is tijdens een doorzoeking op 31 januari 2017 een laptop aangetroffen. Hierop werd een [document] genaamd “ [bestandsnaam] ” aangetroffen. Dit bestand bevatte een database met onder andere de volgende ingevulde kolommen: “ [bestandsnaam] ”, “ [bestandsnaam] ”, “ [bestandsnaam] ”, “ [bestandsnaam] ”, “ [bestandsnaam] ”, “ [bestandsnaam] ” en “ [bestandsnaam] ”. Ook werd een [document] genaamd “ [bestandsnaam] ” aangetroffen. Dit bestand bevatte een database met onder andere de volgende ingevulde kolommen: “ [bestandsnaam] ”, “ [bestandsnaam] ”, “ [bestandsnaam] ” en “ [bestandsnaam] ”. [3]
[ICT-manager] heeft desgevraagd aan de politie verklaard dat deze [document] een één-op-één-kopie zijn van een deel van de database van [website] . [4]
In de woning van de verdachte is op 31 januari 2017 ook een iPhone aangetroffen. Hierop stond een WhatsApp-gesprek tussen ‘ [verdachte] ’ en ‘ [naam ] ’, waarin ‘ [verdachte] ’ op 24 augustus 2017 de volgende berichten heeft gestuurd: “Heb weer iemand gehackt”, “Den haag lil”, “Lol huisartsen post”. [5]
Beoordeling door de rechtbank
Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk of een deel daarvan. Van wederrechtelijk binnendringen in een geautomatiseerd werk is sprake als men zich de toegang verschaft tot dat werk tegen de onmiskenbare wil van de rechthebbende. Die wil kan blijken uit woorden en daden, maar in ieder geval moet die blijken uit enige beveiliging van dat werk. Daarbij gaat het er om dat degene die het werk binnendringt, doelbewust enige inspanning moet hebben verricht om de beveiliging te doorbreken.
Op grond van voornoemde bewijsmiddelen is gebleken dat de verdachte op 24 augustus 2017 aan zijn partner heeft geappt dat hij een huisartsenpost in Den Haag heeft gehackt, dat de volgende dag is geconstateerd dat een onbekend persoon zich – zonder toestemming – toegang heeft verschaft tot een beveiligd gedeelte van de website van een huisartsenpost in Den Haag, te weten: [website] , en dat vervolgens later een deel van de database van [website] op de laptop van de verdachte is aangetroffen. Gelet op deze bewijsmiddelen – in onderlinge samenhang bezien – stelt de rechtbank vast dat de verdachte zich omstreeks 25 augustus 2017, zonder toestemming, toegang tot gegevens van [website] heeft verschaft.
Naar het oordeel van de rechtbank is de verdachte wederrechtelijk binnengedrongen in de server van [website] door het doorbreken van een beveiliging. Het deel van de database van [website] dat op de laptop van de verdachte is aangetroffen, was slechts toegankelijk door in te loggen op de website en was aldus beveiligd. Om toegang te verkrijgen tot deze gegevens was het derhalve noodzakelijk om deze beveiliging te doorbreken. Bovendien spreekt de verdachte in zijn WhatsApp-bericht zelf van het “
hacken”van een huisartsenpost, een term die – naar algemeen spraakgebruik – het inbreken in een computersysteem betekent. Hieruit leidt de rechtbank af dat (ook) bij de verdachte het besef bestond dat hij enige beveiliging van de huisartsenpost had doorbroken en dat van een ‘vrije’ toegang tot de informatie in de database geen sprake is geweest.
hacken”van een huisartsenpost, een term die – naar algemeen spraakgebruik – het inbreken in een computersysteem betekent. Hieruit leidt de rechtbank af dat (ook) bij de verdachte het besef bestond dat hij enige beveiliging van de huisartsenpost had doorbroken en dat van een ‘vrije’ toegang tot de informatie in de database geen sprake is geweest.
Voorts acht de rechtbank bewezen dat de verdachte de gegevens van [website] heeft overgenomen voor zichzelf door deze vanaf de website van [website] te exporteren en – al dan niet via tussenstappen – op te slaan op zijn laptop. Deze gegevens zijn immers in een bestandsmap op de laptop van de verdachte aangetroffen. De rechtbank gaat ervan uit dat de verdachte ook het exporteren van de gegevens omstreeks 25 augustus 2017 heeft uitgevoerd, aangezien de rechtbank hiervoor heeft vastgesteld dat de verdachte omstreeks 25 augustus 2017 toegang heeft verkregen tot die gegevens en voorts is gebleken uit de aangifte dat het beveiligingslek op de website in de loop van diezelfde dag al is gedicht.
Op welke wijze de verdachte zich precies toegang heeft verschaft tot de server, kan de rechtbank op grond van het dossier niet vaststellen. De aangever vermoedt dat de website is binnengedrongen door middel van een SQL-injectie, maar weet dat niet zeker. Niet is gebleken dat de verdachte het op zijn laptop aangetroffen programma SQLmap daadwerkelijk heeft gebruikt om toegang te krijgen tot de server van [website] . Het zich in het dossier bevindende uiterst summiere deel van het serverlog van [website] biedt daarover evenmin uitsluitsel. Of sprake was van valse signalen, een valse sleutel of een technisch hulpmiddel kan dan ook – bij gebreke van nader onderzoek daarnaar – niet worden bewezen. Dit staat bewezenverklaring van computervredebreuk echter niet in de weg, nu wel vaststaat dat de verdachte enige vorm van beveiliging heeft doorbroken.
3.4
De bewezenverklaring
De rechtbank verklaart ten laste van de verdachte bewezen dat:
hij omstreeks 25 augustus 2017 in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk, te weten de website van [website] Haaglanden [website] is binnengedrongen door het doorbreken van een beveiliging en vervolgens gegevens die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen, namelijk door vertrouwelijke informatie (onder andere big nummers, wachtwoorden en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf te exporteren.
Voor zover in de tenlastelegging type- en taalfouten voorkomen, zijn deze in de bewezenverklaring verbeterd. Blijkens het verhandelde ter terechtzitting is de verdachte daardoor niet in de verdediging geschaad.
4.De strafbaarheid van het bewezen verklaarde
Voor zover de raadsvrouw een beroep heeft gedaan op een rechtvaardigingsgrond door te betogen dat de verdachte een zogeheten ethisch hacker was, overweegt de rechtbank dat de verdachte heeft ontkend dat hij heeft ingebroken op de server van [website] . De verdachte heeft dus ook niets verklaard over welke intenties hij had. De rechtbank kan derhalve niet vaststellen of is voldaan aan de vereisten van ‘ethisch hacken’. Het beroep kan reeds om die reden niet slagen.
Het bewezen verklaarde is volgens de wet strafbaar, omdat ook overigens geen feiten of omstandigheden aannemelijk zijn geworden die de strafbaarheid van het feit uitsluiten.
5.De strafbaarheid van de verdachte
De verdachte is eveneens strafbaar, omdat geen feiten of omstandigheden aannemelijk zijn geworden die zijn strafbaarheid uitsluiten.
6.De strafoplegging
6.1
De vordering van de officier van justitie
De officier van justitie heeft gevorderd dat de verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van twee maanden, waarvan één maand voorwaardelijk, met een proeftijd van twee jaren.
6.2
Het standpunt van de verdediging
De raadsvrouw heeft verzocht om bij bewezenverklaring van het feit aan de verdachte een taakstraf op te leggen.
6.3
Het oordeel van de rechtbank
Na te melden straf is in overeenstemming met de ernst van het gepleegde feit, de omstandigheden waaronder dit is begaan en gegrond op de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan tijdens het onderzoek ter terechtzitting is gebleken. De rechtbank neemt hierbij in het bijzonder het volgende in aanmerking.
De verdachte heeft zich schuldig gemaakt aan computervredebreuk door binnen te dringen in de server van een huisartsenpost en een groot aantal vertrouwelijke gegevens over te nemen van die server. Hiermee heeft de verdachte inbreuk gemaakt op het recht van de eigenaar op het ongestoorde gebruik van de server en op de privacy van de aangesloten huisartsen die vertrouwelijke gegevens aan de huisartsenpost hebben verstrekt. Vervolgens heeft de verdachte aan de huisartsenpost gemeld dat er een lek was op de website en tegen betaling van 16.000 tot 23.000 euro zijn diensten aangeboden om dat lek te dichten. Dit is een kwalijke en brutale handelwijze, die zich laat vergelijken met een woninginbreker die, na te hebben ingebroken, aan de bewoner aanbiedt tegen betaling diens sloten te vervangen. Het handelen van de verdachte heeft een element van chantage in zich, omdat de huisartsenpost bezorgd zal zijn geweest dat de informatie waarover verdachte als gevolg van het datalek zegde te beschikken verder zou worden verspreid.
De verdachte heeft zich aanvankelijk op zijn zwijgrecht beroepen, heeft niet willen meewerken aan het onderzoek – zo gaf hij onjuiste wachtwoorden op aan de politie – en heeft uiteindelijk ter zitting ontkend. Dat is natuurlijk zijn goed recht, maar daarmee heeft hij geen blijk gegeven het kwalijke van zijn handelen in te zien. Dit doet vrezen voor herhaling.
De rechtbank heeft acht geslagen op het strafblad van de verdachte van 29 april 2020, waaruit blijkt dat de verdachte niet eerder voor een soortgelijk strafbaar feit is veroordeeld.
Alles afwegende is de rechtbank van oordeel dat, gelet op de ernst van het feit en de omstandigheden waaronder dit is begaan, niet kan worden volstaan met een andere straf dan een gevangenisstraf. De rechtbank zal een deel daarvan voorwaardelijk opleggen, teneinde de verdachte ervan te weerhouden opnieuw een dergelijk strafbaar feit te plegen.
7.De in beslag genomen voorwerpen
7.1
De vordering van de officier van justitie
De officier van justitie heeft gevorderd dat de in beslag genomen computer Nzxt ([nummer 2] computer HP laptop voorzien van lader ([nummer 2]) zullen worden verbeurdverklaard en dat de in beslag genomen computer Apple iMac ([nummer 2]) en computer Apple MacBook Pro [nummer 2]) zullen worden teruggegeven aan de verdachte.
7.2
Het standpunt van de verdediging
De raadsvrouw heeft verzocht de in beslag genomen voorwerpen aan de verdachte terug te geven.
7.3
Het oordeel van de rechtbank
De rechtbank zal de voorwerpen computer Nzxt ([nummer 2]) en computer HP laptop voorzien van lader ([nummer 2]) verbeurdverklaren. Deze voorwerpen zijn voor verbeurdverklaring vatbaar, aangezien deze voorwerpen aan de verdachte toebehoren en met betrekking tot deze voorwerpen het bewezenverklaarde feit is begaan.
Nu het belang van strafvordering zich daartegen niet verzet, zal de rechtbank de teruggave aan de verdachte gelasten van de voorwerpen computer Apple iMac ([nummer 2]) en computer Apple MacBook Pro ([nummer 2]) .
8.De toepasselijke wetsartikelen
De op te leggen straf en bijkomende straf zijn gegrond op de artikelen 14a, 14b, 14c, 33, 33a en 138ab van het Wetboek van Strafrecht.
Deze voorschriften zijn toegepast zoals zij ten tijde van het bewezen verklaarde rechtens golden dan wel ten tijde van deze uitspraak rechtens gelden.
9.De beslissing
De rechtbank:
verklaart wettig en overtuigend bewezen, dat de verdachte het tenlastegelegde feit heeft begaan, zoals hierboven onder 3.4 bewezen is verklaard en dat het bewezenverklaarde uitmaakt:
computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt;
verklaart het bewezen verklaarde en de verdachte daarvoor strafbaar;
verklaart niet bewezen hetgeen aan de verdachte meer of anders is tenlastegelegd dan hierboven is bewezen verklaard en spreekt de verdachte daarvan vrij;
veroordeelt de verdachte tot:
een gevangenisstraf voor de duur van
2 (twee) maanden;
2 (twee) maanden;
bepaalt dat een gedeelte van die straf, groot
1 (één) maand, niet zal worden tenuitvoergelegd onder de algemene voorwaarde dat de veroordeelde zich voor het einde van de hierbij op twee jaren vastgestelde proeftijd niet schuldig maakt aan een strafbaar feit;
1 (één) maand, niet zal worden tenuitvoergelegd onder de algemene voorwaarde dat de veroordeelde zich voor het einde van de hierbij op twee jaren vastgestelde proeftijd niet schuldig maakt aan een strafbaar feit;
verklaart verbeurd de voorwerpen computer Nzxt ([nummer 2]) en computer HP laptop voorzien van lader ([nummer 2]) ;
gelast de teruggave aan de verdachte van de voorwerpen computer Apple iMac (goednummer 440403) en computer Apple MacBook Pro (goednummer 440408) .
Dit vonnis is gewezen door
mr. R. Wieringa, voorzitter,
mr. A.M. Boogers, rechter,
mr. M.M.F. Holtrop, rechter,
in tegenwoordigheid van mr. E.A. van Beelen, griffier,
en uitgesproken ter openbare terechtzitting van deze rechtbank van 11 juni 2020.