Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Raad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet is aangevoerd en ook uit de vaststellingen van het hof niet volgt dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van zodanige verwerking van persoonsgegevens.

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

• door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
• door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
• door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

Hoge Raad: Instagram-account is geen zaak of vermogensrecht

In een arrest (ECLI:NL:HR:2022:687) van 24 mei 2022 oordeelt de Hoge Raad dat een Instagram-account geen ‘voorwerp’ is dat vatbaar is voor verbeurdverklaring.

Uit de wetsgeschiedenis volgt dat slechts zaken en vermogensrechten als voor verbeurdverklaring vatbare ‘voorwerpen’ kunnen worden aangemerkt (r.o. 2.5). Het oordeel van de rechtbank dat een Instagram-account niet als een zaak of vermogensrecht kan worden aangemerkt vindt de Hoge Raad juridisch juist. Dat virtuele objecten die – kort gezegd – waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt, maakt dat niet anders. De met het aanmaken van een persoonsgebonden Instagram-account geopende mogelijkheid voor de gebruiker om via een site of app beelden of andere gegevens uit te wisselen, is niet met dergelijke objecten gelijk te stellen (r.o. 2.6).

In deze samenvatting ga ik nog iets uitgebreider in op de feitelijkheden en de conclusie van AG Harteveld.

Feitelijkheden en ‘accountovername’ door de Belastingdienst

De klaagster wordt ervan verdacht dat zij via deze Instagram-accounts (valse) merkkleding zou verkopen, dan wel deze accounts zou gebruiken om mensen naar Whatsapp-groepen en andere accounts te leiden waar deze goederen werden aangeboden. In de conclusie van AG Hartveld (ECLI:NL:PHR:2022:218) is overigens te lezen dat namens de Belastingdienst werd bevestigd dat de accounts waren “overgenomen”. In deze zaak is de telefoon van de klaagster doorzocht, waarbij onder meer is gezocht naar de aanwezigheid van foto’s en lijsten van vervalste merkkleding en Whatsapp-gesprekken met potentiële afnemers. Vervolgens was het eveneens mogelijk om – via deze telefoon – toegang tot het beheer van haar Instagram-accounts te verkrijgen. Ruim twee weken later is de inbeslagneming door het OM aan Facebook (thans: Meta) per e-mail toegelicht. In deze e-mail wordt als juridische basis gewezen op onder meer art. 94 Sv in verbinding met art. 125j Sv. Daarin wordt benadrukt dat geen sprake is geweest van ‘hacking’ maar van vrijwillige toestemming (‘voluntary consent’) van de rechthebbende. Na de inbeslagname wilde het OM de accounts verbeurdverklaren, omdat sprake is geweest van strafbare feiten die zijn gepleegd met behulp van deze accounts.

Een zaak?

In de conclusie beargumenteerd AG Harteveld waarom geen sprake is van een zaak of vermogensrecht. Zaken zijn volgens art. 3:2 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de AG is het ‘evident’ dat een gebruiksrecht op een Instagram-account geen voor menselijke beheersing vatbaar stoffelijk object is en dus geen zaak in de zin van art. 3:2 BW (r.o. 3.29).

Een vermogensrecht?

De AG gaat er ook uitgebreid op in waarom een Instagram-account geen vermogensrecht is (r.o. 3.28-3.41). Volgens art. 3:6 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR:2019:1909). De AG overweegt dat ‘aangezien een gebruiksrecht op een Instagram-account geen vorderingsrecht is (noch een beperkt recht), terwijl de wet evenmin iets bepaalt over de overdraagbaarheid van Instagram-accounts, zou zo’n recht slechts overdraagbaar zijn indien deze accounts vatbaar zijn voor eigendom. Omdat een Instagram-account geen zaak is, is eigendom evenwel niet mogelijk (zie art. 5:1 BW).

Het kan ook niet worden gekwalificeerd als een recht dat ertoe strekt de rechthebbende voordeel te verstrekken. Hoewel het op tal van manieren mogelijk is om geld te verdienen met behulp een Instagram-account vloeit dit voordeel niet, althans niet rechtstreeks, voort uit het gebruiksrecht. Hiervoor is het immers nodig dat de gebruiker aanvullende actie onderneemt die los staat van de verbintenis met Instagram, bijvoorbeeld door overeenkomsten met derden te sluiten. Voor zover dus gesproken kan worden van “voordeel” aan de zijde van de gebruiker, is volgens de AG doorgaans het gevolg van de nevenwerking van het gebruiksrecht. Dit is in het algemeen onvoldoende om van een vermogensrecht te kunnen spreken.

Het zijn volgens de AG ook geen ‘rechten die verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld voordeel’. Hij overweegt dat gebruikers Instagram niet betalen Instagram in ruil voor een Instagram account, maar zij verstrekken (in plaats daarvan) informatie over zichzelf. Zo krijgt Instagram de mogelijkheid om gericht te (laten) adverteren. Ten slotte over de vraag of het gebruiksrecht op een account ‘op geld waardeerbaar is’, overweegt de AG in r.o. 3.39 het volgende:

“Vóór de gedachte dat gebruiksrechten op Instagram-accounts op geld waardeerbaar zijn spreekt het argument dat de (aanzienlijke) hoeveelheid “volgers” dat aan een account kleeft een zekere waarde vertegenwoordigt omdat het van betekenis is voor de commerciële potentie van het account. Daar staat echter tegenover dat die volgers moeilijk los gezien kunnen worden van de rechthebbende op het account, degene die wordt “gevolgd”. Zonder die persoon (of in het geval van een professioneel account: de professionele entiteit) verliest een gebruiksrecht op een account naar het mij voorkomt in elk geval een groot deel van zijn waarde.

Voor zover het loutere verzamelen van (een aanzienlijke hoeveelheid) volgers al een zekere waarde zou vertegenwoordigen, die zou uitstijgen boven de waarde die samenhangt met de gebruiker van het account, vertoont die waarde een sterke gelijkenis met goodwill. Over goodwill bestaat in de literatuur consensus dat dit niet als vermogensrecht kan worden aangemerkt”

Virtuele objecten kunnen wel zaken zijn

De Hoge Raad sluit hierbij in het arrest op aan. Dat virtuele objecten die waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt (zie o.a. het Runescape-arrest (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251)), maakt dat niet anders (r.o. 2.6).

Alternatieven naast verbeurdverklaring

Ten slotte wijst de AG er in conclusie nog op de wet andere mogelijkheden biedt om accounts op sociale media – of daarop gedeelde informatie – ontoegankelijk te maken dan wel te laten vernietigen. Daarbij kan gedacht worden aan een beroep op de ‘Gedragscode notice-and-take-down’ en artikel 126o en 126p Sv. Voor deze laatste bevoegdheid tot een ontoegankelijkheidsmaking is ook een machtiging van een rechter-commissaris is vereist.

Wijzigen van saldo cadeaukaart is geen computervredebreuk

De rechtbank Noord-Holland heeft op 28 juni 2022 een verdachte vrijgesproken (ECLI:NL:RBNHO:2022:5561) van computervredebreuk, maar veroordeeld voor diefstal en oplichting. De verdachte krijgt een gevangenisstraf opgelegd van 30 dagen, waarvan 27 dagen voorwaardelijk en een proeftijd van 1 jaar. De overwegingen omtrent computervredebreuk en diefstal met de vraag of de voucher een ‘goed’ is, zijn lezenwaardig.  

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes die zij van Albert Heijn kregen te dupliceren waren. Dat was mogelijk door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De medeverdachte heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen.

Kort daarna ontdekten zij dat met een ‘brute force attack’ op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma ‘Burp Suite’. Na ontdekking is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP-adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en de medeverdachte zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. De verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP-adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. In totaal zijn 700 vouchers verzilverd ter waarde van ongeveer € 17.500,-.

De rechtbank overweegt of sprake is van computervredebreuk. Zij gaat er daarbij vanuit dat de ‘activiteiten op een actieve website’ activiteiten op de achterliggende server impliceren. Bij de overweging of sprake is van (wederrechtelijk) binnendringen, stelt de rechtbank allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Er zijn onvoldoende aanknopingspunten in het dossier die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens. Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in art. 138ab lid 1 Sr, maar de strafbepaling kan volgens de rechtbank niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in art. 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Ook behoorden de vouchers toe aan Ahold Delhaize of al aan diens werknemers. De rechtbank overweegt dat om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. De rechtbank concludeert dat sprake is van diefstal, omdat de verdachte en/of één van zijn medeverdachten actief een aantal handelingen heeft verricht, die ‘de grondtrekken hebben van winkelen in een virtuele winkel’. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.