Een lezer vroeg me:
Mijn buurman (op leeftijd) is al jaren klant bij Odido en maakt zich grote zorgen dat zijn gegevens buitgemaakt zijn bij die recente hack. Ik zou hem duidelijkheid kunnen geven door even op die Onion-site te kijken waar dat eerste lek is gepubliceerd. Maar ben ik dan strafbaar?
TLDR: ja, je bent strafbaar als je die dataset gaat downloaden. Ook als je daarvoor niet zelf hoefde in te breken bij Odido, en ook als je “alleen maar” op het Dark Web (de juristenterm voor wat je niet met Google vindt) hoeft te wezxen.
Het iets langere antwoord. Naast computervredebreuk is apart strafbaar wat wel “gegevensdiefstal” heet. Dit staat in artikel 138c Strafrecht:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Dit is primair bedoelt voor wie het uit een (rechtmatige) bron kopieert. Betrok je het uit een onrechtmatige bron, dan komen we eerder bij heling van gegevens, artikel 139g:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens (…) verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
In beide gevallen is nodig dat de gegevens “niet-openbaar” zijn. Maar wat is “niet-openbaar”? Ze staan immers vrijelijk toegankelijk op internet, zij het dat je even moet weten wat het Onion Router-project is en je een tijdje moet snuffelen voor je het 56 tekens tellende .onion adres te pakken hebt.
Uit de Memorie van Toelichting haal ik alleen het contrast tussen “je kreeg het van één persoon via een besloten kanaal” en “algemeen toegankelijk via internet”. In een zaak uit 2024 werd het overnemen van films (ook gegevens) van een obscure site van een ander als “openbaar toegankelijk” genoemd.
Het onderscheid tussen het “Surface web”, “Deep web” en “Dark web” wordt bij juristen regelmatig gemaakt. De achterliggende gedachte is dat iets dat gewoon direct via zoekmachines te vinden is, evident telt als openbaar. Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.
Dit past ook bij de achterliggende bedoeling van de wet: mensen kunnen tegenhouden die dingen verspreiden die door misdrijf zijn verkregen. Dat wordt pas ondoenlijk en onwenselijk als “iedereen” bij die gegevens kan. Daar zijn we nu nog niet, en in het belang van de slachtoffers moet dat zo blijven.
Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.
Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.
Arnoud
