ECLI:NL:PHR:2024:97 - Parket bij de Hoge Raad - 29 januari 2024
Arrest
Genoemde wetsartikelen
Arrest inhoud
PROCUREUR-GENERAAL
BIJ DE
HOGE RAAD DER NEDERLANDEN
Nummer22/03276
Zitting 30 januari 2024
CONCLUSIE
M.E. van Wees
In de zaak
[verdachte] , geboren te [geboorteplaats] op [geboortedatum] 1991, hierna: de verdachte.
Inleiding
1.1 Het gerechtshof Den Haag heeft de verdachte bij arrest van 23 augustus 2022 vrijgesproken van computervredebreuk (art. 138ab Sr). Daarnaast heeft het hof de teruggave gelast aan de verdachte van vier in beslag genomen voorwerpen, te weten computers.
1.2 Namens het Openbaar Ministerie heeft H.H.J. Knol, advocaat-generaal bij het ressortsparket, één middel van cassatie voorgesteld.
Het middel
2.1 Het middel bevat de klachten dat de uitleg die het hof heeft gegeven aan het begrip ‘geautomatiseerd werk’ getuigt van een onjuiste rechtsopvatting dan wel dat het hof een onjuiste en voor de betrokken partijen onverwachte uitleg heeft gegeven aan de tenlastelegging.
2.2 Aan de verdachte was in deze zaak ten laste gelegd - en is in eerste aanleg ten laste van hem bewezenverklaard - het, kort gezegd, binnendringen van de website van een huisartsenpost. Zodoende zou hij toegang hebben gekregen tot vertrouwelijke informatie. Vervolgens zou de verdachte - volgens hemzelf een ‘ethisch hacker’
2.3 De volledige tekst van de tenlastelegging luidde, zowel in eerste aanleg als in hoger beroep, dat de verdachte werd verweten dat:
“hij op of omstreeks 25 augustus 2017 te ’s-Gravenhage en/of te [plaats] , althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] (http://www. [website] .nl), is binnengedrongen door het doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid, namelijk door gebruik te maken van één of meer software programma(s), te weten SQL map, welk programma gebruikt wordt om (databases van) websites te hacken door middel van SQL-injecties en/of (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen, namelijk door (vertrouwelijke en/of gevoelige) informatie (onder andere big nummers, wachtwoorden, adresgegevens en bankrekeningnummers van aangesloten huisartsen) van die website naar zichzelf en/of een ander te mailen en/of te exporteren.”
2.4 In het arrest wordt de vrijspraak als volgt gemotiveerd
“Vrijspraak
De verdachte is - zakelijk weergegeven - tenlastegelegd dat hij wederrechtelijk een geautomatiseerd werk zou zijn binnengedrongen, te weten de website van [A] . In het kader van deze uitspraak wordt aangenomen dat met een website een verzameling gegevens wordt bedoeld die als onderdeel van het World Wide Web via het internet toegankelijk is. Beoordeeld dient te worden of een dergelijke website als zodanig, nu het in de tenlastelegging ontbreekt aan enigerlei aanduiding van een inrichting in de zin van art. 80sexies van het Wetboek van Strafrecht (hierna: ‘Sr’) die ertoe dient deze website toegankelijk te maken (in het algemeen spraakgebruik doorgaans aangeduid als ‘hosting’), als een geautomatiseerd werk in de zin van dit artikel kan worden aangemerkt.
Onder 'geautomatiseerd werk' wordt blijkens art. 80sexies Sr - zoals geldend op de tenlastegelegde datum, te weten 25 augustus 2017 - verstaan 'een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen'. Blijkens de wetsgeschiedenis heeft de wetgever in de begripsbepaling van 'geautomatiseerd werk' steeds het oog gehad op uitsluitend fysieke apparaten (vergelijk Kamerstukken II, 1991-1992, 21551, nr. 3, p. 5 en 6 en Kamerstukken II, 2018-2019, 34372, nr. 3, p. 85 e.v.).
Meer specifiek heeft de wetgever met betrekking tot de artikelen 138a (oud)/138ab (nieuw) Sr de opvatting tot uiting gebracht dat het daarbij gaat om de bescherming van het voorwerp waarin de gegevens zich bevinden, en niet om de gegevens zelf (zie onder meer Kamerstukken II 1990/91, 21551, nr. 6, p. 8-9 en Kamerstukken II 1998/99, 26671, nr. 3, p. 32-33).
Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van 'inrichting' ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 - (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account.
Het hof heeft zich nochtans de vraag gesteld of het nadien gewezen arrest van de Hoge Raad van 24 december 2021 (ECLI:NL:HR:2021:1944) tot een ander oordeel noopt. In dit arrest was de vraag aan de orde of sprake was van het belemmeren van toegang tot en/of het gebruik van een geautomatiseerd werk. De Hoge Raad overwoog omtrent het oordeel van het hof Amsterdam dat daarvan inderdaad sprake was:
"Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd."
Het hof ziet hierin echter geen aanwijzing dat een website als zodanig wel als geautomatiseerd werk in de zin van art. 80sexies Sr aangemerkt dient te worden. Het hof begrijpt de aangehaalde overweging aldus dat daarin alleen de vraag wordt beantwoord of de vaststelling dat sprake is van een DDoS-aanval op een website met zich brengt dat de werking van een specifiek geautomatiseerd werk wordt belemmerd. Het hof vindt voor deze lezing steun in de conclusie van de Advocaat-Generaal bij dit arrest (ECLI:NL:PHR:2021:1050), waarin onder meer het volgende te lezen valt: (na verwijzing naar jurisprudentie van de Hoge Raad)
"3.14 Uit het voorgaande kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, “ereader”, chip of wat dies meer zij, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma's, of - voor onderhavige casus relevant - websites. (...)"
en (na verwijzing naar de parlementaire geschiedenis)
"3.17. Uit deze overweging volgt dat ook na de wijziging van art. 80sexies Sr per 1 maart 2019 nog slechts gedacht wordt aan apparaten - aan stoffelijke objecten dus - en niet aan onstoffelijke zaken zoals websites. (...)"
"3.18. De conclusie van het voorgaande is dus dat een website 'op zichzelf' niet kan worden aangemerkt als "geautomatiseerd werk" in de zin van art. 80sexies Sr en/of art. 138b Sr."
Al het vorengaande, in aanmerking genomen komt het hof tot het oordeel dat niet wettig en overtuigend kan worden bewezen hetgeen aan de verdachte is tenlastegelegd, zodat de verdachte daarvan moet worden vrijgesproken.”
2.5 Het cassatiemiddel keert zich tegen deze uitspraak van het hof en houdt daartoe in dat het binnendringen in “een (gedeelte van) een geautomatiseerd werk, te weten de website van [A] ” zoals opgenomen in de tenlastelegging “niet anders [kan] worden begrepen dan dat (tevens) is tenlastegelegd dat sprake was van het binnendringen in een geautomatiseerd werk, bestaande uit niet alleen die website, maar tevens uit een apparaat, netwerk of deel daarvan dat, door tussenkomst van die website, de functies van opslag, verwerking en overdracht van gegevens vervulde.”
2.6 In mijn bespreking van dit middel zal ik voortborduren op het genoemde arrest van 24 december 2021 en de daaraan voorafgaande conclusie van AG Harteveld. De relevante delen daarvan zal ik daarom eerst weergeven (2.7-2.12). Om echter onnodige herhaling te voorkomen, volsta ik hier voor wat betreft de relevante wetsgeschiedenis en eerdere rechtspraak
Het arrest van 24 december 2021
2.7 De feiten die ten grondslag lagen aan het arrest van 24 december 2021 behelsden een zogenoemde DDOS-aanval.
2.8 In het arrest van 24 december 2021 ging het net als in de onderhavige zaak om feiten die zich (zouden) hebben afgespeeld vóór 1 maart 2019. Daarom was in die zaak - en is in de onderhavige zaak eveneens - in de eerste plaats de voordien geldende tekst van art. 80sexies Sr (oud) leidend:
“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Omdat het onderscheid met ‘gegevens’ hier aan de orde is, haal ik ook de definitie aan van dit begrip in art. 80quinquies Sr:
“Onder gegevens wordt verstaan iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken.”
2.9 AG Harteveld kwam, na een analyse van de wetsgeschiedenis en eerdere rechtspraak, tot de slotsom dat het begrip ‘geautomatiseerd werk’ naar de kern bezien inhoudt dat sprake moet zijn van hardware en niet van software. Dat oordeel wordt door het hof in de hierboven weergegeven motivering van de vrijspraak aangehaald en in die opvatting lijkt het hof steun te vinden voor zijn oordeel dat een website geen geautomatiseerd werk is.
2.10 Harteveld tekende bij die slotsom evenwel aan - zo begrijp ik althans - dat een hard onderscheid tussen die twee begrippen in technische zin niet zonder meer zinvol is, omdat zij in een noodzakelijk functioneel verband tot elkaar staan. Dit onderdeel van zijn conclusie is door het hof niet geciteerd in de hierboven weergegeven overweging. Zonder die weglating luidt de overweging van Harteveld als volgt:
“3.17. Uit deze overweging volgt dat ook na de wijziging van art. 80sexies Sr per 1 maart 2019 nog slechts gedacht wordt aan apparaten – aan stoffelijke objecten dus – en niet aan onstoffelijke zaken zoals websites. Een website is ‘in wezen’ een stuk software en geen hardware. Wel is het zo dat een website, om zijn functie op het internet te kunnen vervullen, moet zijn ondergebracht (worden ‘gehost’) op een geautomatiseerd werk (een server), dat met dat internet is verbonden. In die zin bestaat er wel een duidelijk functioneel verband van een website met een geautomatiseerd werk. Als de server waarop de website wordt gehost op een of andere manier in een storing raakt is de website doorgaans niet meer benaderbaar via het internet en kan de website – hoewel hij nog wel bestaat in de vorm van de software – hetgeen waarvoor hij is bedoeld ook niet meer verrichten.
3.18. De conclusie van het voorgaande is dus dat een website ‘op zichzelf’ niet kan worden aangemerkt als “geautomatiseerd werk” in de zin van art. 80sexies Sr en/of art. 138b Sr.”
2.11 Deze overwegingen brachten Harteveld niet ertoe tot vernietiging te concluderen. Argumenten hiervoor ontleende hij aan de redactie van de tenlastelegging. Deze kon volgens hem zo worden gelezen (en was volgens hem kennelijk door het hof zo gelezen) dat de website niet als ‘het’ belemmerde geautomatiseerde werk werd aangewezen. In plaats daarvan zou het hof hebben bewezenverklaard dat de toegang tot een in de tenlastelegging niet nader gespecificeerd geautomatiseerd werk was belemmerd.
2.12 De Hoge Raad oordeelde net als AG Harteveld dat het cassatiemiddel moest falen (rov. 2.9). Het arrest bevat naast de door het hof weergegeven zin uit de toetsing van de beslissing van het hof (voluit in rov. 2.8) ook een, deels op eerdere rechtspraak voortbouwende vooropstelling (rov. 2.7). Ik citeer de hier relevante onderdelen uit het arrest:
“2.7. Een inrichting kan alleen als een “geautomatiseerd werk” in de zin van artikel 80sexies (oud) Sr worden aangemerkt als zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Het begrip “geautomatiseerd werk” in de zin van artikel 80sexies (oud) Sr is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Ook netwerken bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken. (Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718 en, over het in artikel 161sexies (oud) Sr voorkomende begrip “geautomatiseerd werk”, HR 22 februari 2011, ECLI:NL:HR:2011:BN9287.) Dat zo een apparaat, netwerk of deel daarvan slechts met behulp van een of meer computerprogramma’s die functies van opslag, verwerking en overdracht van gegevens kan vervullen, brengt mee dat een belemmering van de werking van een computerprogramma waarmee een of meer van die functies worden vervuld ook kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.
2.8 Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd.
2.9. Het cassatiemiddel faalt.
2.10. Aantekening verdient dat wat hiervoor onder 2.7 is overwogen over een geautomatiseerd werk in de zin van artikel 80sexies (oud) Sr, in het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis ook van toepassing is op het huidige artikel 80sexies Sr, dat volgens de wetsgeschiedenis immers een verruiming vormt ten opzichte van artikel 80sexies (oud) Sr.” ‘Geautomatiseerd werk’ en ‘gegevens’
2.13 Op dit arrest is in de literatuur kritiek geweest.
2.14 Ik zou dit nog als volgt nader willen uitwerken.
2.15 Om te beginnen zou ik willen wijzen op de in de definitie van art. 80quinquies Sr begrepen verschillende groepen gegevens. Dit kunnen onder andere zijn gegevens (zoals instructies) die slechts bedoeld zijn om een computer te sturen, oftewel computerprogramma’s. Daarnaast zijn er ook gegevens die bedoeld zijn om de mens informatie ter beschikking te stellen.
2.16 Verder valt op dat volgens de twee aangehaalde wettelijke definities gegevens wel kunnen bestaan zonder een geautomatiseerd werk, maar een geautomatiseerd werk niet zonder gegevens. Van een gegeven is immers ook sprake als het alleen geschikt is voor overdracht, interpretatie en overdracht door personen en niet (ook) door een geautomatiseerd werk. In het Wetboek van Strafrecht komen dan ook bepalingen voor waarin een gegeven een bestanddeel is, maar een geautomatiseerd werk niet, zoals bij het schenden van staatsgeheimen (art. 98-98c Sr).
2.17 Van een geautomatiseerd werk kan echter alleen worden gesproken in relatie tot gegevens en wel op twee wijzen. Ten eerste moet de inrichting zijn bestemd om gegevens op te slaan, te verwerken en over te dragen. Ten tweede gaat het om een geautomatiseerd werk, dat dus voor een deel onafhankelijk van menselijk ingrijpen functioneert.
“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”
2.18 Met deze laatste definitie is aangesloten
2.19 In een annotatie onder het hier bestreden arrest van het gerechtshof Den Haag, zet N. Folsche nog eens uiteen wat het functionele verband is tussen een geautomatiseerd werk en gegevens als het gaat om een website (met weglating van een voetnoot):
“10. Een aantal begrippen zijn belangrijk om te verduidelijken: website en webserver. Een website bestaat uit software die ervoor zorgt dat er een pagina kan worden weergegeven in de webbrowser van een computer. Een webserver is een computer die is geprogrammeerd om een website te hosten (benaderbaar te maken) op het internet. Een webserver bestaat uit een hardwarecomponent en een software-component. Het hardwarecomponent van de webserver is een computer die verbonden is met het internet. Het software*-*component van een webserver bestaat uit een programma dat zorgt voor het geautomatiseerd verwerken van verzoeken van clients. Dit houdt in dat de software zorgt voor het verwerken van een binnengekomen verzoek van een clientdat vraagt om de website te zien. Vervolgens verstuurt de webserver de website. Hardware heeft uiteindelijk software nodig om automatisch bepaalde handelingen uit te voeren. Op zijn beurt kan software niet functioneren zonder hardware.
11. Een website bestaat uit software die bepaalt hoe de website eruit komt te zien en welke functionaliteiten de website heeft. Een website kan bijvoorbeeld gebruikmaken van een database voor het weergeven van bepaalde gegevens op de website. Door misbruik te maken van bepaalde kwetsbaarheden in de software van de website kan het voor kwaadwillenden mogelijk zijn om gegevens op te vragen uit een database op een webserver (…)”
2.20 De voorgaande nuancering van het onderscheid tussen geautomatiseerde werken en gegevens zou in overeenstemming kunnen zijn met de overwegingen van de Hoge Raad in het arrest van 24 december 2021 “dat een apparaat, netwerk of deel daarvan slechts met behulp van een of meer computerprogramma’s die functies van opslag, verwerking en overdracht van gegevens kan vervullen” en “dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk (…) in werking is”. Dit zou zo kunnen worden begrepen dat het in de definities van ‘geautomatiseerd werk’ en ‘gegevens’ gelegen onderscheid tussen beide begrippen niet is losgelaten, maar dat is erkend dat het functionele verband tussen beide, dat mede in deze definities is begrepen, van belang is voor de vaststelling of de in een tenlastelegging beschreven handeling is verricht.
2.21 Dat lijkt ook de analyse te zijn die het gerechtshof Den Haag maakt in de bestreden uitspraak, waar het overweegt: “Het hof begrijpt de aangehaalde overweging aldus dat daarin alleen de vraag wordt beantwoord of de vaststelling dat sprake is van een DDoS-aanval op een website met zich brengt dat de werking van een specifiek geautomatiseerd werk wordt belemmerd.” et bofHet hof bespreekt in zijn arrest echter niet de mogelijkheid dat voor het in de tenlastelegging en in art. 138ab Sr opgenomen ‘binnendringen’ een zelfde soort verband zou kunnen bestaan tussen een geautomatiseerd werk en gegevens als voor het ‘belemmeren’ in de zin van art. 138b Sr.
2.22 Op zich is een dergelijk verband goed denkbaar. In de parlementaire geschiedenis bij de Wet computercriminaliteit III wordt genoemd dat juist een kwetsbaarheid in de (beveiligings)software het mogelijk kan maken een geautomatiseerd werk binnen te dringen.
2.23 Dit laat onverlet dat uiteindelijk moet zijn binnengedrongen in een geautomatiseerd werk. Van ‘binnendringen’ als bedoeld in art. 138ab lid 1 Sr is sprake wanneer de toegang tot (een deel van) een geautomatiseerd werk wordt verschaft tegen de onmiskenbare wil van de rechthebbende.
2.24 Voor ik toekom aan de beoordeling van het middel, eerst nog enkele algemene opmerkingen over de rol die de tenlastelegging speelt in deze problematiek. In de praktijk lijkt een aantal verschillende wijzen van ten laste leggen te worden gebruikt. In de DDOS-zaak die ten grondslag lag aan het arrest van 24 december 2021 was de tenlastelegging als volgt geformuleerd (onderstrepingen en cursiveringen mijnerzijds):
‘[dat de verdachte] in of omstreeks de periode van 23 oktober 2017 tot en met 25 oktober 2017 te Amsterdam, in elk geval in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens aan te bieden en/of toe te zenden,immers heeft verdachte door middel van de site "[website 1]" gegevens aangeboden en/of toegezonden naar de website "[website 2]" waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd’
2.25 Bij deze wijze van ten laste leggen wordt op het eerste oog de website “[website 2]” als het “geautomatiseerde werk” aangemerkt. De door mij onderstreepte woorden “dit geautomatiseerde werk” slaan zo gelezen terug op “[website 2]”. Met AG Harteveld zou echter de stelling kunnen worden betrokken dat het ook mogelijk is de tenlastelegging zo te lezen dat de woorden “dit geautomatiseerde werk” terugslaan op de ook onderstreepte woorden “een geautomatiseerd werk” en dus nietop “[website 2]”. Het door mij gecursiveerde zinsdeel beschrijft dan de feitelijke gedraging, terwijl de niet gecursiveerde gedeelten in wezen niet meer doen dan de delictsomschrijving tot uitdrukking brengen (het kwalificatieve gedeelte).
2.26 Een voorwaarde voor het accepteren van deze lezing is dat men het begrip ‘een geautomatiseerd werk’ als voldoende feitelijk wil aanmerken. Een nadere specificatie geeft de tenlastelegging dan immers niet. In wezen wordt gedoeld op de server(s) waarop de website die wordt belemmerd, draait/draaien, zo volgt onmiskenbaar uit de omschreven feitelijke gedraging, maar dat staat er niet met zoveel woorden. Dat onbekend is gebleven om welke servers dit gaat (volstaan wordt ook met het onbepaalde “een” geautomatiseerd werk) - en dienaangaande dus ook niets hoeft te worden bewezen - wordt dan voor lief genomen.
2.27 Een kenmerk van deze manier van ten laste leggen, of in elk geval van de interpretatie die door Harteveld werd voorgestaan, is dat het mogelijk blijft om de begrippen ‘geautomatiseerd werk’ en ‘website’ van elkaar te splitsen. Met beide begrippen wordt op iets anders gedoeld: met het begrip website op de gegevens, met het begrip geautomatiseerd werk op de servers. Bewijstechnisch wordt dan uit de vaststelling dat de website is belemmerd (of indien de tenlastelegging is toegesneden op art. 138ab Sr: is binnengedrongen) afgeleid dat het geautomatiseerd werk is belemmerd (of binnengedrongen), in die zin dat het bewijs van het eerste als voldoende redengevend wordt beschouwd voor het tweede.
2.28 Er is echter nog een (andere) oplossing voor de in de onderhavige zaak aan de orde zijnde thematiek door een andere wijze van tenlastelegging. Tegen een tenlastelegging waarin wordt gekozen voor een formulering in de trant van “een geautomatiseerd werk, te weten de server(s) waarop de website wordt gehost”, bestaan naar het mij voorkomt geen grote bezwaren.
2.29 De vraag is of dat erg is. Juist vanwege dit laatste argument - het aanwijzen van één of meer concrete servers is doorgaans niet mogelijk en ook weinig zinvol - zou naar mijn mening volstaan kunnen worden met de globale aanduiding dat het moet gaan om de server(s) waarop de website wordt gehost. Het aanwijzen van een concrete server is dan niet nodig. Tot bewijsproblemen hoeft dit naar het mij voorkomt evenmin te leiden, omdat het als een feit van algemene bekendheid kan worden aangemerkt dat websites worden gehost op servers en uit het binnendringen dan wel belemmeren van een website het binnendringen of belemmeren van die server kan worden afgeleid.
2.30 Het komt mij dus voor dat deze vorm van ten laste leggen de problemen die spelen in de onderhavige zaak zou kunnen ondervangen. Dit neemt niet weg dat de stelling die door het OM aan het cassatiemiddel is ten grondslag gelegd, inhoudt dat ook bij de in deze zaak gevolgde wijze van ten laste leggen een veroordeling moet kunnen volgen. Dat brengt me terug bij het middel. De beoordeling van het middel
2.31 In het cassatiemiddel onderschrijft het OM dat een website “op zichzelf” niet kan worden aangemerkt als geautomatiseerd werk. Daarmee lijkt het cassatiemiddel - voor zover het inhoudt dat het hof van een onjuiste rechtsopvatting is uitgegaan - zichzelf reeds te loochenen.
2.32 Dit is evenwel niet het hele verhaal. De steller van het middel vervolgt immers dat, nu de notie van een ‘website op zichzelf’ een niet in praktische zin te realiseren fictie is, indien in een tenlastelegging het begrip ‘website’ voorkomt, hieronder telkens begrepen moet worden een samenstel van hardware en software en dus (een onderdeel van) een geautomatiseerd werk. Deze stelling komt erop neer dat het fysieke substraat van een website - het geautomatiseerd werk (oftewel de server(s)) - als het ware moet worden ‘ingelezen’ in de tenlastelegging, in die zin dat indien in een tenlastelegging het begrip ‘website’ staat, hier (telkens) ‘website en servers’ zal moeten worden gelezen.
2.33 Het hof heeft daarentegen geoordeeld dat een website “slechts bestaat uit een samenstel van gegevens” en “het in de tenlastelegging ontbreekt aan enigerlei aanduiding van een inrichting in de zin van art. 80sexies” Sr. Het hof oordeelt derhalve dat de website wel zonder meer los gezien kan worden van de hardware. Dit brengt, wat het hof betreft, mee dat het begrip ‘website’ in een tenlastelegging - telkens - niet geacht kan worden betrekking te hebben op een geautomatiseerd werk. Het hof is aldus van oordeel dat het ‘inlezen’ van de fysiek aanwezige servers een te extensieve lezing van de tenlastelegging zou inhouden.
2.34 Samengevat lijkt mij de rechtsopvatting van het hof en het OM dus niet uiteen te lopen - beide zijn het er immers over eens dat een website geen geautomatiseerd werk *is -*maar zij verschillen wel van mening over de vraag of het begrip website zo extensief moet worden gelezen, dat langs die weg alsnog de geautomatiseerde werken waarop een website draait (de servers) binnenboord van de tenlastelegging worden gehaald.
2.35 Volgens vaste rechtspraak van de Hoge Raad is de uitleg van de tenlastelegging voorbehouden aan de feitenrechter, zolang deze uitleg niet onverenigbaar is met de bewoordingen daarvan.
2.36 Voor een antwoord op de vraag wat naar mijn oordeel de juiste wijze van het ‘lezen’ van het begrip website zou moeten zijn, bestaan verschillende opties, die samenhangen met interpretaties van het arrest van de Hoge Raad van 24 december 2021. De eerste interpretatie komt erop neer dat de Hoge Raad in dit arrest heeft bedoeld dat indien in een tenlastelegging het begrip ‘website’ staat, dit steeds extensief moet worden gelezen, in die zin dat hieronder telkens ook het fysieke substraat zonder welke de website niet zou kunnen functioneren - de server(s) - moet worden begrepen.
2.37 De tweede interpretatie komt neer op de route die AG Harteveld had voorgesteld en hangt ten nauwste samen met de bewoordingen van de tenlastelegging die in die specifieke zaak aan de orde was. Het komt erop neer dat in die zaak de tenlastelegging zo viel te lezen dat met het begrip ‘geautomatiseerd werk’ niet werd gedoeld op een website (vgl. hiervoor onder 2.27). Deze interpretatie van het arrest van 24 december 2021 valt te verenigen met het uitgangspunt van het hof in de onderhavige zaak, inhoudende dat het begrip website woordelijk moet worden gelezen c.q. uitgelegd en dat hieronder dus - telkens - niet moet worden begrepen enig fysiek geautomatiseerd werk.
2.38 Een derde interpretatie die mij denkbaar lijkt, ten slotte, zou zijn dat de betekenis van het arrest beperkt is tot het delict bedoeld in art. 138b Sr. De interpretatie is dan dat binnen de context van het belemmeren van een geautomatiseerd werk - al dan niet vanwege het functionele verband tussen hardware en software dat bij een DDOS-aanval een rol speelt - onder website óók begrepen wordt het geautomatiseerd werk dat de website in stand houdt. Hoewel bij die lezing het bereik van de uitspraak wordt beperkt tot het delict van art. 138b Sr, laat zij onverlet dat bij een vergelijkbaar functioneel verband in een situatie waarin men een andere strafbaarstelling op het oog heeft - bijvoorbeeld art. 138ab Sr - hetzelfde aan de orde kan komen (vgl. hiervoor onder 2.21).
2.39 Met het voorgaande houdt verband dat ik voor de vraag wat (in de onderhavige zaak) de juiste lezing van het begrip ‘website’ moet zijn drie mogelijkheden zie.
2.40 De eerste - en meest extensieve - correspondeert met de eerste interpretatie van het arrest van 24 december 2021 en dat is de interpretatie die het OM in het cassatiemiddel voorstaat. Die optie komt erop neer dat de Hoge Raad in deze zaak zal bepalen (voor zover het dat al niet in het arrest van 24 december heeft bepaald c.q. heeft bedoeld te bepalen) dat het begrip website telkens moet worden gelezen als een website met inbegrip van het geautomatiseerd werk dat de website in leven houdt. Het verkiezen van deze optie zou met zich brengen dat het cassatiemiddel moet slagen, omdat het hof dan een uitleg heeft gegeven aan de tenlastelegging die onverenigbaar is met haar bewoordingen.
2.41 Daartegenover staat de optie waarin het begrip website op minst extensieve wijze wordt gelezen. Deze lezing komt erop neer dat een website niet alleen geen geautomatiseerd werk is, maar het woord ‘website’ ook - telkens - niet moet worden gelezen als een begrip waarmee mede een geautomatiseerd werk kan worden geïmpliceerd. Deze optie valt te verzoenen met het feit dat de Hoge Raad in het arrest van 24 december 2021 het cassatieberoep heeft verworpen, bijvoorbeeld op grond van de tweede interpretatie van dat arrest die ik hiervoor heb genoemd. Indien de Hoge Raad in de onderhavige zaak die optie zou verkiezen, zal het cassatiemiddel moeten falen.
2.42 De derde optie die ik voor me zie, bevindt zich ergens in het midden van het geschetste continuüm en houdt in dat een website weliswaar geen geautomatiseerd werk is, maar het wel mogelijk is - maar niet noodzakelijk - het begrip website zo te lezen dat hiermee ook het fysieke substraat (de geautomatiseerde werken) wordt aangeduid. Voor de vraag wat de juiste lezing van het begrip ‘website’ is, moet dan worden gekeken naar de context waarin het begrip wordt gebruikt; de betekenis hiervan dus moet worden bezien in samenhang met de overige bewoordingen van de tenlastelegging. Indien sprake is van een sterk ‘functioneel verband’ tussen website en een - in de tenlastelegging niet geëxpliciteerd - geautomatiseerd werk, zal de juiste lezing dan al snel inhouden dat het wel in de tenlastelegging opgenomen begrip website mede de relevante servers omvat. Concreet: indien het belemmeren dan wel het binnendringen van een website is ten laste gelegd, moet dit dan zo worden gelezen dat óók het belemmeren onderscheidenlijk het binnendringen van de relevante servers is tenlastegelegd.
2.43 Alles afwegende meen ik dat de laatste optie de beste kaarten heeft. De eerste optie lijkt mij weliswaar een erkenning in te houden van de werkelijke verhouding tussen een website en de bijbehorende server, maar zou op te gespannen voet staan met de wettelijke definities. Voor de gedachte dat de Hoge Raad met het arrest van 24 december 2021 de hiervoor genoemde tweede interpretatie tot uitdrukking heeft willen brengen zie ik (te) weinig aanknopingspunten in de tekst van het arrest. De derde interpretatie lijkt mij hiermee wel goed in lijn en sluit aan op hetgeen ik hiervoor onder 2.13 tot en met 2.23 het betoogd. Deze interpretatie geeft uitdrukking aan de idee dat het bij het bepalen van de (exacte) portee van een begrip ook aankomt op de strekking en ratio van de in het geding zijnde strafbepaling. Voor een mogelijk bezwaar dat ik tegen deze optie zie - variërende implicaties van het bezigen van de woorden ‘website’ in een tenlastelegging afhankelijk van de strafbaarstelling waarop deze is geënt - vrees ik, gelet op de thans in het wetboek opgenomen bepalingen, niet. Gelet op de onlosmakelijke samenhang tussen een website en een server kan evenmin als bezwaar worden geformuleerd dat deze interpretatie een uitbreiding van de strafbaarheid inhoudt.
2.44 Wanneer ik de uitspraak van het hof langs deze meetlat leg, kom ik tot de volgende slotsom. Het hof heeft terecht tot uitgangspunt genomen dat een website op zichzelf geen geautomatiseerd werk is. Het hof heeft vervolgens echter ook geoordeeld dat op de wijze waarop het begrip website in de tenlastelegging in de onderhavige zaak werd gebruikt, niet mede kon worden begrepen de website met inbegrip van de geautomatiseerde werken. Aldus heeft het hof geen rekening gehouden met de door mij voorgestane nuancering dat - ook indien toepassing wordt gegeven aan dan wel een tenlastelegging is toegesneden op art. 138ab Sr - een functioneel verband tussen geautomatiseerd werk en gegevens kan bestaan, dat tot uitdrukking komt in het bestanddeel ‘binnendringen’, namelijk dat binnendringen in een website binnendringen in een geautomatiseerd werk tot gevolg heeft.
2.45 Hoewel de tenlastelegging op dit punt duidelijker had kunnen zijn, meen ik al met al toch dat de uitleg die het hof heeft gegeven aan het samenstel van de termen ‘geautomatiseerd werk’, ‘website’ en ‘binnendringen’, niet verenigbaar is met de bewoordingen van die tenlastelegging, die is toegesneden op art. 138ab Sr. Hieruit volgt dat ik van mening ben dat het hof aldus met verlating van de grondslag van de tenlastelegging heeft vrijgesproken van iets anders dan was tenlastegelegd.
Slotsom
3.1 Het middel slaagt.
3.2 Ambtshalve heb ik geen gronden aangetroffen die tot vernietiging van de bestreden uitspraak aanleiding behoren te geven.
3.3 Deze conclusie strekt tot vernietiging van het bestreden arrest en tot terugwijzing van de zaak naar het hof, teneinde op het bestaande beroep opnieuw te worden berecht en afgedaan. De Procureur-Generaal bij de Hoge Raad der Nederlanden
plv. AG
Namens de verdachte is door S.J. van der Woude, advocaat te Amsterdam, een schriftuur houdende tegenspraak ingediend. Deze - op 2 oktober gedateerde - schriftuur is abusievelijk op 1 november, dus één dag na de rolzitting en derhalve te laat (zie art. 4.3.9.6 jo. 4.3.9.2 Procesreglement HR) in het portaal geplaatst, waardoor hier geen rekening mee kan worden gehouden.
Vgl. in dit verband het ter zitting gevoerde verweer (pleitnota in hoger beroep, p. 5-6, onder 30-42), alsmede de uitspraak van de rechtbank in eerste aanleg (zie volgende voetnoot).
Rb Den Haag 11 juni 2020, ECLI:NL:RBDHA:2020:5654__.__
Hof Den Haag, 23 augustus 2022, ECLI:NL:GHDHA:2022:1551.
Wat betreft de eerdere rechtspraak is van belang is het zogenoemde router-arrest(HR 26 maart 2013 ECLI:NL:HR:2013:BY9718, eveneens een OM-cassatie) en het identificatiekaartlezersarrest (HR 17 december 2019 ECLI:NL:HR:2019:1973).
Zie met name onder 3.5-3.15 van de conclusie van AG Harteveld van 9 november 2021 (ECLI:NL:PHR:2021:1050) en onder 2.4-2.6 van het arrest van 24 december 2021 (ECLI:NL:HR:2021:1944).
Zie over de betekenis van dat woord de conclusie van AG Harteveld, onder 3.3.
Vgl. Hof Amsterdam 22 juli 2020, ECLI:NL:GHAMS:2020:4033.
Zie hiervoor onder 3.19-3.22 van de conclusie.
De kritiek zag ook op het door de wetgever gemaakte onderscheid tussen ‘geautomatiseerd werk’ en ‘gegevens’. Ik wijs op de noot van Reijntjes onder het arrest NJ2022/124__,__ J.W. van den Hurk, ‘Geautomatiseerde werken en gegevensdragers, tijd voor vernieuwing’, AA2022, p. 363-378, p. 370 en de noot van Folsche onder het hier bestreden arrest van het gerechtshof Den Haag in Computerrecht2023/119.
Kamerstukken II1989/90, 21551, nr. 3, p. 5.
Kamerstukken II1989/90, 21551, nr. 3, p. 6.
Wet van 27 juni 2018 tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III) (Stb. 2018, 322).
Kamerstukken II2015/16, 34372, nr. 3, p. 86.
Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, gesloten in Boedapest op 23 november 2001 (Trb. 2002, 18, vertaling in Trb. 2004, 290).
Zie www.coe.int/en/web/cybercrime/home.
Na opmerkingen van de Afdeling advisering van de Raad van State heeft de minister besloten niet de definitie van ‘informatiesysteem’ over te nemen van art. 2 onder a Richtlijn 2013/40/EU van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/122/JBZ van de Raad (PbEU L 2018/8). Volgens deze definitie waren ‘computergegevens’ onderdeel van het ‘informatiesysteem’. Zie Kamerstukken II 2015/16, 34372, nr. 4, p. 36-38.
Wet van 1 juni 2006 tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en enige andere wetten in verband met nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II) (Stb. 2006, 300).
Kamerstukken II 2004/05, 26671, nr. 7, p. 26.
Computerrecht2023/119.
Kamerstukken II 2016/17, 34372, G, p. 4.
HR 18 april 2023, ECLI:NL:HR:2023:610, rov. 3.2.3.
Zie Hof Amsterdam 22 juli 2020, ECLI:NL:GHAMS:2020:4033.
Vgl. M. Berndsen, ‘Vrijspraak voor een hacker: een website is geen geautomatiseerd werk’, *Tijdschrift voor internetrecht,*nr. 6, p. 233-235.
Van den Hurk 2022, a.w., p. 369.
Vgl. Van den Hurk 2022, a.w., p. 368.
Vgl. Van den Hurk 2022, a.w., p. 370.
Onder andere HR 22 maart 2011, ECLI:NL:HR:2011:BO2958 en HR 8 november 2016, ECLI:NL:HR:2015:2521.
Zie ook de voorbeelden genoemd door Van den Hurk 2022, a.w., p. 367.
Waarbij ik aanteken dat ik ervan uitga dat de Hoge Raad niet zal willen breken met de consensus dat een website ‘op zichzelf’ geen geautomatiseerd werk is.