Stelen en helen van data kan straffeloos

Het strafbaar stellen van heling van handel in digitale gegevens zal juridisch gezien een moeizame klus worden. Minister Opstelten wil dergelijke heling strafbaar stellen.

In de discussie rond de voornemens van minister Opstelten van Veiligheid en Justitie om opsporingsdiensten meer bevoegdheden te geven in de bestrijding van cybercrime is een vierde speerpunt, het strafbaar stellen van heling van digitale goederen, zoals de handel in creditcardgegevens, onderbelicht gebleven. De controverse tussen voor- en tegenstanders van Opsteltens plannen wat betreft het terughacken van cybercriminelen sneeuwde de extra strafrechtelijke maatregelen tegen dergelijke handel van persoonsgegevens onder.

Maar juist de heling van digitale goederen is juridisch gezien zeer moeilijk af te bakenen binnen het wetboek van strafrecht, laten juristen weten aan Webwereld. Dat komt doordat het ten eerste moeilijk zo niet onmogelijk is digitale goederen gelijk te stellen aan stoffelijke goederen zoals nu in de wet is opgenomen. Daarnaast is ontvreemding en heling van dergelijke goederen moeilijk vast te stellen.

Twee belangrijke wetsartikelen
Het wetboek van strafrecht kent twee artikelen die belangrijk zijn in de bestrijding van heling van goederen. Het meest specifiek is artikel 4.16 WvS, dat kort geparafraseerd zegt dat heling is 'het verwerven, voor handen hebben of overdragen van een goed, in de wetenschap dat het een door een misdrijf verkregen goed betrof'. Het door misdrijf verkrijgen van een goed kan door het plegen van diefstal. Het artikel 3.10 WvS zegt daarover: "Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal bestraft (...)."

De crux zit hem in de definitie van 'goed', zowel in het helingsartikel als in het diefstalartikel. "Een aanpak die me in elk geval niet wenselijk lijkt, is een waarbij het begrip helen letterlijk wordt gebruikt en gegevens dus opeens 'goederen' in strafrechtelijke zin zouden worden", zegt Matthijs van Bergen, jurist bij ICTRecht. "'Goed' simpelweg vervangen door 'gegevens' is geen goede oplossing. Het toepassingsgebied is dan te breed en niet goed te overzien. Maar ik weet ook niet of Opstelten wel zoiets voor ogen ziet. Ik hoop het niet."

Is het wel diefstal?
Menno Weij, jurist bij SOLV, wijst daarbij eerst naar het 'diefstalartikel' 3.10 WvS. "Het criterium waarbij gesproken kan worden over diefstal is dat het goed uit de macht van de eigenaar moet worden weggenomen." En dat is dus van digitale bestanden niet te zeggen. "De Hoge Raad heeft eerder al in een uitspraak gezegd dat het overnemen van broncode van een ander geen diefstal is in de zin van artikel 3.10. De eigenaar behoudt immers zelf ook de code en dus is het geen ontneming." Heling kan ook met goederen die afkomstig zijn uit andere bronnen van criminaliteit, zoals computervredebreuk, vult Van Bergen aan.

Probleem blijft dus: hoe gaat de minister dit oplossen? Volgens Weij kan worden gekozen uit het schrijven van een nieuwe bepaling of het uitbreiden van de bestaande diefstal- en helingartikelen. In dat laatste geval zou de vorm van de heling specifiek moeten worden benoemd, zoals heling van creditcardgegevens, maar dat verdient volgens Weij niet de voorkeur. "Je gaat dan te veel specifiek in op de aard en techniek. Je loopt telkens achter de ontwikkelingen aan en zal je artikel dan steeds weer moet aanpassen aan nieuwe vormen van criminaliteit of onderwerpen van diefstal. Een dergelijk wetsartikel wordt dan erg tijdsspecifiek. Dergelijke technische toevoegingen aan wetsartikelen worden in de regel sterk afgeraden."

Liever een nieuw artikel
Van Bergen valt hem bij, ook hij kiest liever voor een nieuw artikel. "Ik zou me wel voor kunnen stellen dat een nieuwe bepaling iets zou kunnen luiden als "Hij die persoonsgegevens die betrekking hebben op een ander persoon, bewaart of verhandelt zonder toestemming van die persoon en met het oogmerk om frauduleuze handelingen mogelijk te maken waarbij die persoon wordt benadeeld, wordt gestraft met....", zo formuleert hij naar eigen zeggen "ietwat uit de losse pols".

"Op deze manier staan de elementen waar het mijns inziens om moet gaan, duidelijk opgesomd", vervolgt Van Bergen. "Het moet gaan om persoonsgegevens (zoals creditcard- of bankgegevens) die betrekking hebben op een andere persoon. Er moet een oogmerk zijn op frauduleuze handelingen; als er creditcardgegevens of andere gegevens op iemands computer staan die gebruikt kunnen worden voor frauduleuze handelingen, is dat niet genoeg. Ook moet het datasubject worden benadeeld, om het toepassingsgebied zou nauw en specifiek mogelijk te houden."

Terugvorderen van gegevens ook moeilijk
"Wat moeilijk blijft is de definitie van ontneming van bezit", zegt Weij. "En dat wordt moeilijk bewijsbaar als je je gegevens niet kwijt bent." Hij zegt dat ook in het civielrecht ermee wordt geworsteld. Zo staat bijvoorbeeld in het Burgerlijk Wetboek een artikel over revindicatie, het terugeisen van eigendommen door de rechtmatige eigenaar, maar het Hof Arnhem heeft in een zaak gesteld dat revindicatie niet ontvankelijk is omdat het hier niet gaat om 'zaken'.

Het ministerie van Justitie kan nog niet inhoudelijk reageren op de plannen van minister Opstelten, Woordvoerder Jean Fransman: "In de brief staat dit (creditcardgegevens) als een voorbeeld genoemd (pagina 6). De exacte reikwijdte van het voorstel wordt de komende tijd uitgewerkt in een wetsvoorstel. Ofwel, het wordt de komende maanden duidelijk aan welke soort gegevens je moet denken. In ieder geval worden meegenomen: creditcardfraude en persoonsgegevens uit databases die gekraakt zijn en gebruikt worden voor het aankopen van goederen. Bij heling op het internet wordt overigens expliciet niet gedacht aan strafrechtelijke vervolging op basis van verkregen digitale gegevens van journalisten en klokkenluiders."