Image Image Image Image Image
Scroll to Top

To Top

Juridisch advies

12

mei
2019

In Juridisch advies
Strafzaken
Veelgestelde vragen

By M. Berndsen

Welke straf staat er op hacken?

On 12, mei 2019 | In Juridisch advies, Strafzaken, Veelgestelde vragen | By M. Berndsen

Hacken kan op verschillende manieren plaatsvinden. Iemand die zich zonder toestemming toegang verschaft tot andermans computer, account of netwerk maakt zich in principe schuldig aan computervredebreuk (art. 138ab Sr). Dat geldt niet alleen voor het op ingewikkelde wijze kraken van andermans computer. Ook bijvoorbeeld het stiekem inloggen op een e-mailaccount of Instagram van een ander is een strafbaar feit. Daarnaast zijn er diverse andere strafbepalingen, bijvoorbeeld over het vernietigen van andermans gegevens, het plegen van verstikkingsaanvallen – (D)DoS-attacks – en heling van computergegevens.

In een eerdere blog is uiteengezet wanneer hacken niet strafbaar is. Dat kan – kort gezegd – het geval zijn wanneer iemand zich houdt aan de voorwaarden die de betreffende organisatie stelt, niet verder gaat dan strikt noodzakelijk is en de gevonden kwetsbaarheid direct bij de organisatie meldt.

Alle andere gevallen van hacken zijn in principe strafbaar. Dat was de uitdrukkelijke wens van de wetgever. Als een zaak over cybercrime voor de rechter komt, moet de rechtbank eerst bepalen of de verdachte schuldig is aan bijvoorbeeld computervredebreuk. Als dat het geval is, dient een passende straf te worden bepaald.

 

Straffen voor cybercrime

De maximumstraf voor computervredebreuk waarbij informatie is gekopieerd, is een gevangenisstraf van vier jaar of een geldboete van € 20.750,-. Als er geen gegevens zijn overgenomen, is de maximale straf twee jaar.

Een ander voorbeeld is het voorhanden hebben van een trojan horse of een wachtwoord om toegang te kunnen krijgen tot andermans computer of account. Wanneer de rechter vaststelt dat iemand van plan was om daarmee (illegaal) te gaan hacken, staat daar een maximale gevangenisstraf op van twee jaar (art. 139d lid 2 sub a en b Sr). Zo zijn er diverse maximumstraffen voor de verschillende strafbaar gestelde vormen van cybercrime.

Maar in de praktijk wordt de maximumstraf meestal niet opgelegd. De rechter weegt allerlei omstandigheden mee om tot passende straf te komen. Zo speelt de ernst van het feit een rol (is er schade? Hoe lang en hoe vaak is het gepleegd? Ging het om winst, of was het meer een onzorgvuldig uitgevoerde ethische hack?). Ook de persoonlijke omstandigheden van de verdachte zijn van belang. Is dit een eerste veroordeling? Ontkent de verdachte tegen de klippen op, of betuigt hij juist spijt? Welke gevolgen zou een bepaalde straf hebben voor deze verdachte? Et cetera.

Het Openbaar Ministerie heeft een richtlijn opgesteld over de straffen die kunnen worden geëist. Dit is slechts een startpunt bij de beoordeling, er kan onder omstandigheden altijd hoger of lager worden geëist. In deze richtlijn staan diverse delicten en verschillende omstandigheden opgesomd die samen leiden tot een uitgangspunt over de te eisen straf. Een aantal voorbeelden:

 

Binnen de relationele sfeer:

  • iemand herinnert zich het wachtwoord van een ex-partner en logt uit nieuwsgierigheid in op een social media account van die ex: taakstraf 20 – 80 uur;
  • hetzelfde, maar nu is deze persoon boos en verstuurt een schunnig bericht vanuit een account van de ex: taakstraf 120 uur.

 

Met winstoogmerk:

  • iemand is bezig met de voorbereiding van een hack om bitcoin buit te maken, en beschikt daarvoor over inloggegevens en malware: gevangenisstraf van twee weken;
  • het gebruik van crypto- of ransomware: gevangenisstraf van drie maanden.

 

Overnemen van gegevens:

  • een student hackt de server van de universiteit om zo alvast de antwoorden van een tentamen te kunnen inzien: gevangenisstraf van twee maanden.

 

Cybercrime met ideologisch motief:

  • een voetbalsupporter die de website van een rivaliserende club hackt en vervangt door boodschappen over de eigen club (defacing): taakstraf van 60 uur;
  • dezelfde supporter besluit de website tijdelijk uit de lucht te halen door middel van DDoS-aanval, waarbij de schade beperkt blijft: taakstraf van 60 uur.

 

Dit zijn, zoals gezegd, slechts richtlijnen voor een strafeis. Uiteindelijk beslist de rechter op basis van alle omstandigheden. Via rechtspraak.nl zijn zeer uiteenlopende straffen te vinden, afhankelijk van de ernst en omvang van de gepleegde feiten. Zo kan in een omvangrijke zaak waar bijvoorbeeld sprake is van phishing al snel sprake zijn van diverse misdrijven (oplichting, computervredebreuk, witwassen, et cetera). Zeker wanneer er meer slachtoffers zijn kan de strafmaat snel oplopen. Zo zijn in het verleden onder meer gevangenisstraffen opgelegd van 146 weken, 30 maanden en drie jaar. Maar ook bij een omvangrijke phishingzaak kan onder omstandigheden sprake zijn van een geheel voorwaardelijke gevangenisstraf en een taakstraf. Strafoplegging is maatwerk.

Voor een specifiekere inschatting van de te verwachten straf is kennis van het dossier en de persoonlijke omstandigheden vereist. Hiervoor kan desgewenst contact worden opgenomen via ons contactformulier.