Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

Ethisch en journalistiek verantwoord hacken

De strafwet geldt voor iedereen. Het kraken van beveiligingen, inbreken in gebouwen of het wegnemen van documenten is verboden, en daarbij maakt het beroep dat je uitoefent niet uit. Maar onder uitzonderlijke omstandigheden kan een journalist vrijuit gaan met een beroep op de persvrijheid.

Wanneer een publicatie een maatschappelijk belang dient en niet verder gaat dan noodzakelijk voor dat doel, dan kan het toegestaan zijn om in die publicatie bijvoorbeeld te onthullen dat een bepaald systeem onveilig of lek is. Ook zou je onder die omstandigheden geheime of 'gestolen' informatie kunnen publiceren. Maar of je met een beroep op de persvrijheid een systeem mag platleggen bij wijze van protest, is een open vraag.

Inhoudsopgave

De strafwet voor journalisten

De strafwet geldt voor journalisten net zo goed als voor ieder ander burger. Maar onder uitzonderlijke omstandigheden kan de persvrijheid het noodzakelijk maken dat een journalist de wet schendt.

Legaal hacken: waar ligt de grens?

Presentatie over ethisch en journalistiek hacken (30 minuten)

Inlichtingen en denkbeelden

De strafwet maakt geen onderscheid tussen journalisten en andere burgers. Iedereen moet zich aan de wet houden. Een journalist die fout parkeert, krijgt gewoon een boete - ook als hij daar moest parkeren omdat hij snel bij het nieuws moest zijn. Pas in heel bijzondere situaties kan een journalist zich beroepen op de persvrijheid (vrije meningsuiting) en zo een strafrechtelijke veroordeling ontlopen.

De vrijheid van meningsuiting geldt voor iedereen, want dit is een grondrecht (artikel 10 Europees Verdrag van de Rechten van de Mens). Dit recht omvat zowel het recht om "inlichtingen en denkbeelden" te vergaren als om deze te publiceren - wat ik dan maar even de persvrijheid noem. Die naam wekt misschien de indruk dat dit recht alleen geldt voor professionele journalisten die bij de massamedia werkt, maar dat is niet zo: iedereen kan journalistiek bezig zijn.

De persvrijheid gaat echter niet zover dat een journalist de strafwet mag negeren. Een camerawagen van de NOS mag bijvoorbeeld niet even snel over de vluchtstrook als ze anders te laat zou komen bij een nieuwsfeit. Maar in uitzonderlijke gevallen zou, afhankelijk van alle omstandigheden en het nieuwsbelang van de zaak, een journalist vrijgesproken kunnen worden.

Maatschappelijk relevante kwestie

Omdat de afweging tussen strafwet en persvrijheid sterk verweven is met de omstandigheden van het specifieke geval, is het erg moeilijk een vuistregel te geven. Heel algemeen is de vraag of de publicatie een publiek belang dient, oftewel een bijdrage aan het publieke debat levert over een maatschappelijk relevante kwestie. Als de publicatie in dat kader past, zou deze in principe niet tot een veroordeling mogen leiden. Wel moet de journalist terughoudend zijn, en met name niet verder gaan dan noodzakelijk voor het doel van de publicatie.

Niet verder dan noodzakelijk

Een journalist kan vrijuit gaan bij een strafbaar feit als zijn publicatie een maatschappelijk belang diende. Daarbij mag hij echter niet verder gaan dan noodzakelijk voor het doel van de publicatie.

Een belangrijke taak van de pers is het aan de kaak stellen van misstanden. Soms is het daarbij nodig om strafbare feiten te plegen, omdat anders de misstand niet kan worden aangetoond. In dergelijke gevallen kan de persvrijheid de strafwet opzij zetten. Vereist is dan dat sprake is van een bijdrage aan een maatschappelijk relevante kwestie waarbij niet verder wordt gegaan dan noodzakelijk voor het doel van die bijdrage.

Doel voorbij schieten

In 1995 werd een journalist vrijgesproken van het strafbare feit "vervalsen van rijbewijzen" omdat dit een journalistiek doel diende en de journalist niet meer had gedaan dan dit aan het licht brengen (HR 27 juni 1995, NJ 1995, 711). In een zaak over een 'gat' in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die betoogde dat hij wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij € 739.435,80 geïncasseerd en dat ging de Hoge Raad te ver. De Hoge Raad citeerde instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

De journalist had met name ook met een kleiner bedrag kunnen werken om zijn punt te maken. En dat het hier ging om geld dat bij willekeurige mensen werd afgeboekt en niet bij kennissen die hij had kunnen vragen om medewerking, woog ook zwaar mee.

Publiceren uit illegale bronnen

Die instemming van anderen speelde dan weer geen rol in de Nieuwe Revu-zaak, waarbij men de privémailbox van de staatssecretaris van Defensie kraakte. Daarbij werd een botnet van 14.000 computers ingezet, maar het journalistieke punt bij het raden van dat wachtwoord vond de rechter belangrijk genoeg om dit te negeren.

De Revu-journalisten werden weer wél veroordeeld voor het snuffelen in de mailbox nadat het wachtwoord was gekraakt. Dat ging namelijk weer wel te ver. Als je punt is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is het niet nodig om de mails te lezen (laat staan daaruit te citeren in je tijdschrift). Het overzicht van de inbox is bewijs dat je binnen bent.

Iets dergelijks werd ook geoordeeld bij perspublicaties over de gestolen camera van prins Willem-Alexander en prinses Máxima. Daarbij werden ook beelden uit die camera afgedrukt als bewijs, maar dat werd niet geaccepteerd door de rechter. Het tonen van beelden voegt aan zo'n artikel niet veel toe, en omdat het privébeelden zijn hebben ze een groot privacybelang. Daarom is dergelijke publicatie niet toegestaan.

Publiceren van gelekte geheimen

Het grote nieuws van 2010 was klokkenluidersite Wikileaks, dat beschikte over honderdduizenden gelekte staatgeheime berichten van de Amerikaanse overheid. Wikileaks is uniek, omdat het zó veel documenten heeft en daar regelmatig uit put om nieuwswaardige onthullingen doet.

Er is de nodige jurisprudentie die duidelijk maakt dat het aan de kaak stellen van misstanden bij overheden een grond kan zijn om geheime documenten te lekken. Zo mocht in de Guja vs. Moldavië-zaak (EHRM 12 februari 2008, zaanr. 14277/04) een krant interne stukken van het Moldavische Openbaar Ministerie publiceren om zo duidelijk te maken dat daar een corrupte officier actief was. Het Hof haalt daarbij haar eerdere zaken Thoma v. Luxembourg (no. 38432/97, ECHR 2001-III) en Jersild v. Denmark (23 September 1994, Series A no. 298) aan die deze lijn ook al volgden.

In Nederland bepaalde het Gerechtshof Amsterdam eind 2009 dat het publiceren van staatsgeheime documenten niet per se strafbaar is als dit gebeurt door journalisten die over een maatschappelijk belangrijke zaak publiceren. Het Hof bepaalde:

Aangezien een journalist, afhankelijk van de omstandigheden van het geval, aanspraak kan maken op de in artikel 10, eerste lid, EVRM gewaarborgde vrijheid van informatieverstrekking, ook indien hij weet, of redelijkerwijs moet vermoeden, dat zijn publicatie gegevens bevat die onder een wettelijke geheimhoudingsplicht vallen, kan uit diens publiceren van gegevens die (in enige gradatie) als .staatsgeheim. zijn bestempeld niet zonder meer het ernstige vermoeden worden afgeleid dat hij een gevaar vormt voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat.

Publiceren over beveiligingslekken

Het publiceren over beveiligingslekken of zwakheden is toegestaan. De publicatie mag echter niet een eenvoudige handleiding zijn waarmee iedereen het lek kan misbruiken.

Stappenplan

Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan. Wel moet je daarbij uitkijken dat je publicatie niet neerkomt op een eenvoudige handleiding over hoe die lek of zwakheid kan worden misbruikt. Het tijdschrift Computer idee werd ooit veroordeeld omdat ze een eenvoudig stappenplan gaven waarmee gratis Canal+ betaaltelevisie kon worden gekeken zonder te betalen.

De doorslag bij dat arrest lijkt te zijn geweest dat een dergelijke publicatie niet of nauwelijks gericht was op het doel "melden dat Canal+ onveilig is". Wie alleen een stappen plan beschrijft, stelt niets aan de kaak.

Geen praktische handleiding

In 2008 stonden onderzoekers van de Universiteit Nijmegen bij de rechter vanwege een publicatie over fundamentele zwakheden in de OV-chipkaart. Hun publicatie werd niet verboden, ondanks de schade die volgens chipfabrikant NXP dreigde als het publiek deze informatie te weten zou komen. Volgens de rechter bevatte het artikel

een in hoge mate theoretische beschrijving, maar bevat het artikel in ieder geval zeker niet een praktische handleiding voor het kraken en klonen van de chip.

Een beschrijving op hoog niveau is dus niet verboden. Maar hoe praktischer je de beschrijving maakt, hoe riskanter de publicatie wordt. Als journalist zul je moeten zoeken naar een compromis dat niet nodeloos schade aanricht bij anderen maar nog wel je journalistieke punt maakt. Als praktische vuistregel zou je kunnen hanteren dat als je een daadwerkelijke exploit of handleiding publiceert, je een paar details zo verandert dat deze niet direct bruikbaar is voor iedereen, of dat de handleiding alleen op relatief onschuldige wijze laat zien dat het lek bestaat.

De DDoS-aanval als meningsuiting

Een (distributed) denial of service- of (D)DoS-aanval is een strafbaar feit. Soms wordt dit middel ingezet om te protesteren tegen bepaald gedrag van een bedrijf of instelling. Of dat de aanval legaal maakt, is onduidelijk.

Verstikken van een server

Bij een denial of service-aanval of in het Nederlands een verstikkingsaanval wordt een server of netwerk met zó veel verkeer bestookt dat deze niet of veel minder goed kan functioneren. Voorbeelden zijn het massaal sturen van nepverzoeken naar Websites, iemands mailbox volstoppen met tienduizenden e-mailberichten (of juist met een paar hele grote berichten - een e-mailbom), of het zo vaak opvragen van een webpagina dat de server dit niet meer aankan. Vaak wordt zo'n aanval door een groot aantal over internet gedistribueerde computers uitgevoerd, vandaar de naam distributed denial of service oftewel DDoS-aanval.

Het uitvoeren van een (D)DoS-aanval is strafbaar (art. 138b Wetboak van Strafrecht). Als bij een dergelijke aanval de goede werking van internet wordt gehinderd, kan de aanval ook gerekend worden onder het verhinderen of bemoeilijken van een openbare telecommunicatiedienst (art. 161sexies). Wanneer dat leidt tot "gemeen gevaar voor de verlening van diensten" kan de aanvaller tot maximaal zes (in plaats van één) jaar cel veroordeeld worden. Zo vond de rechtbank dat een denial-of-service aanval tegen de sites van overheid.nl en geenstijl.nl onder bemoeilijken van een openbare telecommunicatiedienst viel.

DDoS-aanval als vorm van protest?

DDoS-aanvallen worden echter niet altijd voor criminele doeleinden uitgevoerd. Met een DDoS-aanval willen mensen soms ook juist een signaal afgeven dat ze het oneens zijn met een bedrijf of instelling. Zo werden de servers van Mastercard en Visa aangevallen nadat deze bedrijven betalingen aan klokkenluidersite Wikileaks weigerden te faciliteren. Diverse mensen zijn hiervoor gearresteerd, en in minstens één geval heeft de verdachte daarbij expliciet zich op de vrijheid van meningsuiting beroepen.

Het is niet duidelijk of dat zal lukken, maar uitgesloten is het niet: als je bij een protest de weg mag blokkeren met traktoren of bij een staking de ingang van het bedrijf mag barricaderen, waarom dan niet een webserver?

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
16 december 2016