Tag stalking

Cybercrime jurisprudentieoverzicht juli 2025

jjoerlemans

Bron: deze afbeelding is door WordPress gegenereerd. (automatische) Prompt: “Create a detailed and high-resolution featured image for a blog post about a legal ruling by the Hoge Raad concerning the filtering of confidential communications related to cybercrime. The main subject should showcase a courtroom scene with a gavel and legal documents, symbolizing the judicial process. Include subtle elements like digital data imagery in the background to represent cybercrime context. Use dramatic lighting, casting shadows to evoke a serious tone, and incorporate a blend of modern and traditional styles to reflect the intersection of law and technology. Ensure the image is highly detailed with sharp focus on the gavel and documents, creating a strong visual impact.”

Hoge Raad arrest over filtering van geheimhouderscommunicatie

Op 15 april 2025 heeft de Hoge Raad een arrest (ECLI:NL:HR:2025:578) gewezen over het filteren van geheimhouderscommunicatie. n dit geval betrof het een beklag (ex art. 98.4 jo 552a Sv) op beslag op digitale gegevensdragers wegens verdenking van omkoping en andere delicten bij een ziekenhuis. De rechter-commissaris had beslist dat 1727 bestanden, die door de rechter-commissaris als geheimhoudersinformatie zijn aangemerkt, “uitgegrijsd”, en dat de overige bestanden aan het onderzoeksteam van de politie werden verstrekt.

De klager heeft aangevoerd dat de analyse met de analysetool ‘NUIX’ van 1328 bestanden een groot aantal hits opleverde. De klager had deze analysetool gebruikt in plaats van de hem bij de bestanden door de FIOD toegezonden analysetool ‘QView’. Onbewust en onbedoeld is, is door de gebruikmaking van een andere analysetool door de klager de toegang tot alle uitgegrijsde gegevens verkregen. Op deze wijze zouden ook de leden van het onderzoeksteam toch toegang tot de uitgegrijsde gegevens kunnen verkrijgen. Dit maakt dat, volgens de klager, het huidige filterproces niet voldoet aan daaraan door de Hoge Raad gestelde waarborgen, zoals die gelden voor verschoningsgerechtigde data. Deze verschoningsgerechtigde data dienen, naar de klager stelt, te worden vernietigd of zodanig uitgegrijsd dat zij daadwerkelijk ontoegankelijk zijn voor het onderzoeksteam.

De belangrijkste rechtsoverwegingen van de Hoge Raad worden hieronder genoemd.

Juridisch kader

De Hoge Raad overweegt in r.o. 3.2 over het juridisch kader het volgende. Artikel 98 Sv bevat een regeling die ertoe strekt dat bij inbeslagneming van voorwerpen het (professionele) verschoningsrecht wordt gerespecteerd. Het is de rechter-commissaris die beslist of inbeslagneming is toegestaan (artikel 98 leden 1 en 3 Sv). Deze beslissing legt de rechter-commissaris neer in een beschikking. Deze procedure geldt ook als een plaats wordt doorzocht met als doel de vastlegging van gegevens die op deze plaats zijn opgeslagen of vastgelegd (artikel 125i in samenhang met artikel 98 Sv). Tegen de beschikking van de rechter-commissaris staat beklag open voor de verschoningsgerechtigde. Dit beklag richt zich tegen de beslissing van de rechter-commissaris dat de inbeslagneming – of, als het gaat om de vastlegging van gegevens, de vastlegging en/of kennisneming van die gegevens – is toegestaan. Hiertoe moet een klaagschrift worden ingediend bij het gerecht in feitelijke aanleg waarvoor de zaak wordt vervolgd (artikel 98 lid 4 Sv). Op dit beklag is artikel 552a Sv van toepassing. Dit betekent dat op het beklag wordt beslist door de raadkamer van het betreffende gerecht (Vgl. HR 1 november 2024, ECLI:NL:HR:2024:1560, rechtsoverweging 3.3.1).

Selectie van gegevens

Het beklag als bedoeld in artikel 98 lid 4 in samenhang met artikel 552a Sv is in beginsel alleen gericht tegen de beschikking van de rechter-commissaris waarin is beslist dat de inbeslagneming dan wel de vastlegging en/of kennisneming is toegestaan. In het geval dat selectie van de (digitale) stukken en gegevens noodzakelijk is gebleken, kan ook de manier waarop de selectie heeft plaatsgevonden in de beoordeling van het beklag worden betrokken. Daarbij gaat het in het bijzonder om de vraag of bij de selectie onder leiding van de rechter-commissaris het verschoningsrecht van de klager voldoende is gewaarborgd. (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:314, rechtsoverweging 2.4 en HR 1 november 2024, ECLI:NL:HR:2024:1560, rechtsoverweging 3.4.4)

Als de inbeslagneming betrekking heeft op een grote hoeveelheid (digitale) stukken of gegevens, terwijl bijvoorbeeld volgens de beslagene bepaalde stukken of gegevens onder het verschoningsrecht van geheimhouders vallen, ligt het doorgaans in de rede dat onder leiding van de rechter-commissaris een selectie wordt gemaakt tussen (digitale) stukken of gegevens die wel en die niet onder het verschoningsrecht kunnen vallen (r.o. 3.3). Daarbij kan bijvoorbeeld gebruik worden gemaakt van een – al dan niet door de beslagene te verstrekken – lijst met zoektermen die betrekking hebben op het deel van het materiaal waarover het verschoningsrecht zich mogelijk uitstrekt, zoals namen en e-mailadressen of termen die specifiek kunnen duiden op het voorwerp van het ingeroepen verschoningsrecht (vgl. HR 16 juni 2020, ECLI:NL:HR:2020:1048).

Als – zoals in dit geval – sprake is van (een forensische kopie van) een gegevensdrager met daarop gegevens die deels wel en deels niet onder het verschoningsrecht vallen, kan de door of onder verantwoordelijkheid van de rechter-commissaris te verrichten filtering ertoe leiden dat de rechter-commissaris beslist dat de gegevens die onder het verschoningsrecht vallen worden vernietigd, waarna de gegevensdrager – nadat de beschikking van de rechter-commissaris onherroepelijk is geworden – kan worden overgedragen aan de politie.

Het openbaar ministerie draagt de verantwoordelijkheid voor de door de rechter-commissaris bevolen vernietiging van de gegevens (r.o. 3.4). Van zo’n vernietiging van gegevens is ook sprake als die gegevens niet meer kenbaar zijn door bewerking van de gegevensdrager of de digitale voorziening waarmee de gegevens raadpleegbaar zijn, waarbij de gekozen werkwijze zo moet zijn ingericht dat is verzekerd dat die gegevens geen deel uitmaken van de processtukken en dat daarop in het verdere verloop van het strafproces geen acht wordt geslagen (vgl., over de vernietiging als bedoeld in artikel 126aa lid 2 Sv, HR 20 september 2022, ECLI:NL:HR:2022:1257). Om in een voorkomend geval rechterlijke controle mogelijk te maken op de manier van vernietiging in het licht van het onder 3.4.1 vermelde vereiste, moet van de vernietiging voldoende nauwkeurig verslag worden gedaan in een proces-verbaal. In het bijzonder moet in het proces-verbaal inzicht worden gegeven in de manier waarop is gewaarborgd dat personen die op enigerlei wijze bij het opsporingsonderzoek betrokken (zullen) zijn op geen enkele wijze toegang kunnen krijgen tot de betreffende gegevens (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:375, rechtsoverweging 6.7.2). Als bij die vernietiging gebruik wordt gemaakt van technische voorzieningen, moeten deze zo zijn ingericht dat kan worden nagegaan of is voldaan aan het onder 3.4.1 bedoelde vereiste dat de gegevens niet meer kenbaar zijn, bijvoorbeeld door middel van een geautomatiseerde registratie waarbij wordt bijgehouden welke handelingen binnen het systeem hebben plaatsgevonden en door wie deze zijn verricht (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:375, rechtsoverweging 6.7.2).

Verzoek tot vernietiging van gegevens op grond van artikel 552a lid 2 Sv

Over de onderhavige zaak overweegt de Hoge Raad in r.o. 3.5 het volgende. In de betreffende procedure kan de rechter, naar aanleiding van concreet aangeduide bezwaren van de belanghebbende, beoordelen of is voldaan aan het onder 3.4.1. Dit vereiste zorgt ervoor dat gegevens die als vertrouwelijk zijn aangemerkt (‘uitgegrijsde’) geen deel uitmaken van de processtukken en verder in de strafzaak niet worden meegenomen (vergelijk, met betrekking tot gevorderde gegevens, HR 20 september 2022, ECLI:NL:HR:2022:1257). Gezien de belangen die door het verschoningsrecht worden beschermd, brengt redelijke wetstoepassing mee dat een vergelijkbare procedure kan worden gevolgd met betrekking tot gegevens die zijn ontleend aan inbeslaggenomen gegevensdragers. Daarvoor kan aansluiting worden gezocht bij de regeling van artikel 552a lid 2 Sv. Dat betekent dat een belanghebbende op grond van die bepaling kan verzoeken om de vernietiging van gegevens die zijn ontleend aan inbeslaggenomen gegevensdragers en die als geheimhoudersinformatie zijn aangemerkt, waarbij de rechter in geval van concreet aangeduide bezwaren van de belanghebbende kan beoordelen of is voldaan aan het onder 3.4.1 bedoelde vereiste.

Aan het verzoek als bedoeld in artikel 552a lid 2 Sv moeten concreet aangeduide feiten en omstandigheden ten grondslag worden gelegd die erop wijzen dat aan de bevolen vernietiging van de gegevens niet of in onvoldoende mate uitvoering is gegeven. Als aan die stelplicht is voldaan moet de rechter, mede aan de hand van het onder 3.4.2 bedoelde proces-verbaal, beoordelen of voldoende aannemelijk is dat de geheimhoudersgegevens waarvan de vernietiging is bevolen op een zodanige manier zijn vernietigd dat is verzekerd dat die gegevens geen deel uitmaken van de processtukken en dat daarop in het verdere verloop van het strafproces geen acht wordt geslagen. Met het oog op die beoordeling kan de rechter zo nodig nader onderzoek opdragen aan de rechter-commissaris. Als de rechter oordeelt dat niet voldoende aannemelijk is dat is voldaan aan het onder 3.4.1 bedoelde vereiste, geeft de rechter op grond van artikel 23 lid 1 Sv het openbaar ministerie een bevel om nadere maatregelen te treffen waarmee is verzekerd dat wel aan dat vereiste is voldaan en daarvan verslag te doen.

Gevangenisstraf voor simswappen

Op 18 april 2025 heeft de rechtbank Limburg een verdachte veroordeeld (ECLI:NL:RBLIM:2025:3650) wegens ‘grootschalige cybercriminaliteit’. Hij werd schuldig bevonden aan het medeplichtig zijn aan computervredebreuk (simswappen), diefstal van cryptovaluta en witwassen. De rechtbank legde een gevangenisstraf op van 24 maanden, waarvan 6 maanden voorwaardelijk met een proeftijd van twee jaar.

De verdachte pleegde computervredebreuk door het onbevoegd installeren en activeren van het programma ‘AnyDesk’ op computers van de T-Mobileshop te Heerlen, waardoor toegang werd verkregen tot servers waarop het klantenservicesysteem ‘Salesforce’ was geïnstalleerd. Vervolgens werden gegevens uit dit systeem overgenomen. Daarvoor werd gebruik gemaakt van een verkoopmedewerker van een T-mobileshop die via de chatapplicatie ‘Wickr’ contact hield met medeverdachten. Vervolgens zijn de inloggegevens van twee belwinkels verkregen om daarmee binnen te dringen in servers met het aanvraagsysteem (hierna: TAS) en de Klanten Management Tool (hierna: KMT) van T-Mobile. Ook heeft de verdachte in januari en begin februari 2021 simswaps uitgevoerd door ‘social engineering’ via de T-Mobile klantenservice (bellen en chat), met behulp van gelekte klantgegevens en overgenomen persoonsgegevens.

Door de simswaps zijn tijdens één weekend 160 telefoonnummers overgenomen en konden zij ook de e-mailaccounts van de eigenaren van die telefoonnummers overnemen, waardoor deze eigenaren geen toegang meer hadden tot hun e-mailadres. Onder andere door het laten verzenden van verificatiecodes voor e-mailadressen en cryptoaccounts naar de overgenomen telefoonnummers, konden inloggegevens van cryptoaccounts worden aangevraagd of gereset, dan wel herstelzinnen voor cryptowallets worden gevonden in diverse applicaties.

Vervolgens veranderden ze de wachtwoorden van de cryptowallets en verstuurden ze de cryptovaluta naar een eigen cryptoadres. De cryptovaluta werden omgezet/gewisseld naar Bitcoins, waarna een medeverdachte deze Bitcoins heeft verstuurd naar een “chipmixer”, om de herkomst van de cryptovaluta te verhullen. Vanuit de chipmixer zijn de Bitcoins naar de cryptowallets van de verdachte en een medeverdachte, evenals het Binance depositadres van de medeverdachte gestuurd. Daarbij werden acht personen slachtoffer en werd in totaal ongeveer 100.000 euro weggenomen.

Naast de financiële schade overweegt de rechtbank dat de inbreuk op de privacy van de slachtoffers enorm is. Door de overname van hun telefoonnummers en het ongeautoriseerd inzien van hun e-mailaccounts, werden zij ernstig geschaad in hun persoonlijke levenssfeer. Bovendien waren ze ontdaan van de mogelijkheid om hun eigen telefoonnummer te gebruiken, waardoor ze niet meer konden bellen, sms’en of internetten. In het digitale tijdperk is dat echter onmisbaar, onder andere voor cruciale zaken als het inloggen bij DigiD, internetbankieren en de twee-factor-authenticatie voor online diensten. Dit alles hebben de slachtoffers moeten herstellen, een langdurig proces dat onder meer uit een slachtofferverklaring op de zitting bleek.

Veroordeling voor stalking

Op 21 mei 2025 veroordeelde de rechtbank Oost-Brabant (ECLI:NL:RBOBR:2025:2882) een verdachte voor belaging (stalking) (art. 285b Sr) en het vervaardigen van afbeeldingen van seksuele aard (art. 254ba Sr). Hoewel twijfelachtig is of de delicten als ‘cybercriminaliteit’ kunnen worden bestempeld, bevat de uitspraak veel details over de wijze waarop de beelden zijn gemaakt en geeft deze daarmee een inkijkje in dit type zaken en digitale bewijsvoering.

Na melding van het slachtoffer op het politiebureau dat zij verborgen camera’s had aangetroffen in haar gehuurde kamerwoning, ontdekten verbalisanten het volgende. Achter de badkamerspiegel troffen zij een holle ruimte aan. In die ruimte hingen smartphones, aangesloten op voedingskabels. Ook achter de spiegel in de slaapkamer werden twee smartphones aangetroffen, eveneens aangesloten op kabels die door een gat in de muur werden gevoerd en uitkwamen in dezelfde ruimte achter de badkamerspiegel.

Later werd in de lamp boven het bed nog een vijfde telefoon aangetroffen. De ruimte achter de badkamerspiegel was bereikbaar via het terras van de kamerwoning, waar nog meer apparatuur werd gevonden die op de verborgen telefoons was aangesloten. In de bovenwoning, in gebruik bij de verhuurder, werd een plastic doos aangetroffen met daarin afzonderlijk verpakt damesondergoed, voorzien van namen. De mobiele telefoons, ingericht als IP-camera’s, konden op afstand worden bediend en bekeken. Tevens had de verdachte twee Raspberry Pi computers aangebracht in de ruimte achter de spiegels, die waren ingericht om te functioneren als bewegingsdetectoren.

Opsporingsambtenaren troffen ook de applicatie IP WEBCAM PRO aan op een in beslag genomen apparaat, met daarbij een omschrijving van de app en de termen ‘Levensstijl’ en ‘Spionagecamera’. Later blijkt uit de uitspraak dat via de aangetroffen URL’s op de tablet verbinding kon worden gemaakt met de IP-camera’s. Bij onderzoek aan de browsergeschiedenis bleek dat met enige regelmaat de URL’s van de IP-camera’s waren bezocht vanaf een Samsung tablet.

De rechtbank overweegt dat onderzoek aan de tablet heeft aangetoond dat de verdachte in de periode van 18 juni 2024 tot en met 21 augustus 2024 de mobiele telefoons in ieder geval 143 keer vanaf de tablet heeft benaderd. De verdachte heeft verklaard dat hij de webcam-app meestal benaderde via zijn computer thuis en soms ook via zijn eigen telefoon. Hoeveel keer dit is gebeurd, kon niet worden vastgesteld omdat er geen toegang is verkregen tot de computer en de mobiele telefoon van de verdachte. De inhoud van de computer kon niet worden bekeken omdat de verdachte zijn wachtwoord weigerde te geven en de mobiele telefoon van de verdachte op de dag van zijn aanhouding door hemzelf was teruggezet naar de fabrieksinstellingen. Hoewel vrijwel geen camera-opnamen zijn veiliggesteld, volgt uit de locatie van de camera’s en de verklaringen van zowel het slachtoffer als haar partner (in samenhang met het technisch bewijs) dat er opnames van seksuele aard moeten zijn gemaakt. Immers, het slachtoffer en haar partner verklaren over meerdere keren seksuele gemeenschap in de slaapkamer op het bed, en het is aannemelijk dat zij zich meerdere keren ontkleed hebben bevonden in de bad- en slaapkamer.

De gedragingen van de verdachte waren gericht op het slachtoffer te dwingen deze gedragingen te dulden. Door het slachtoffer heimelijk te filmen, heeft de verdachte bewerkstelligd dat zij zich niet tegen het filmen kon verzetten en dat zij in die zin gedwongen werd het filmen te dulden. De verklaring van de verdachte dat de apparatuur er al langer hing, dat hij de opnames nimmer heeft bekeken en dat hij ze enkel vanaf zijn computer/tablet/telefoon heeft benaderd om ze te wissen, acht de rechtbank ongeloofwaardig. Uit het dossier blijkt immers dat de webcam-app is aangeschaft op 26 mei 2024 en kort daarna op verschillende momenten op de verschillende telefoons is geïnstalleerd. Dit was kort na het tekenen van het huurcontract met het slachtoffer en kort voordat zij daadwerkelijk de woning betrok.

De professionele en doordachte mate van wegwerken en de locaties van de aangebrachte camera’s wijzen erop dat ze zijn geplaatst met het doel het bed (een plaats waar bij uitstek seksuele handelingen plaats kunnen vinden) en de badkamer (een plaats waar men zich bij uitstek ontkleed bevindt) ongezien te filmen. Het bed werd zelfs vanuit meerdere kanten gefilmd. Het tijdstip van installatie van de app duidt erop dat bedoeld was het bed en de badkamer, waar het slachtoffer gebruik van maakte, te filmen. De rechtbank gaat er dan ook van uit dat de verdachte de mobiele telefoons heeft aangebracht en de webcam-app hierop heeft geïnstalleerd met het doel de huurster van de woning heimelijk te filmen. Gelet hierop en gelet op de vele momenten dat de verdachte de camera’s heeft benaderd en het gebruik van bewegingsdetectoren die meldingen verstuurden naar zijn e-mailadressen, gaat de rechtbank er tevens van uit dat de verdachte de opnamen ook daadwerkelijk veelvuldig heeft bekeken.

De rechtbank concludeert dat de verdachte zich schuldig heeft gemaakt aan het stalken van de bewoonster van een door hem verhuurde woning door haar gedurende bijna drie maanden heimelijk te filmen, waarbij (ook) opnames van seksuele aard werden gemaakt. Het slachtoffer heeft zich onder behandeling moeten laten stellen voor PTSS en ondervindt tot op heden de gevolgen van het handelen van de verdachte. Zij krijgt een immateriële schadevergoeding van 4000 euro en een materiële schadevergoeding van €5569,82 toegewezen.

Overigens kon de rechtbank niet vaststellen dat het ondergoed door de verdachte is gestolen, zodat de verdachte daarvan wordt vrijgesproken.

Gevangenisstraf en tbs voor online kindermisbruik

De rechtbank Rotterdam heeft op 10 juni 2025 een oprichter van een website veroordeeld (ECLI:NL:RBROT:2025:6771) waarop seksueel materiaal van minderjarigen werd verspreid. De verdachte is veroordeeld wegens het maken, verspreiden en bezitten van seksueel materiaal van minderjarigen en deelname aan een criminele organisatie.

De verdachte heeft 15 jaar geleden een website opgezet en tot zijn aanhouding in 2024 beheerd waarop het materiaal werd gedeeld tussen duizenden leden, waarmee hij grote geldbedragen verdiende. Op drie gegevensdragers werden 15.611 afbeeldingen en 847 video’s met seksueel materiaal van minderjarigen aangetroffen. De inbeslaggenomen gegevensdragers zijn onttrokken aan het verkeer en de inbeslaggenomen valuta worden bewaard, ten behoeve van de rechthebbende in afwachting van de uitkomst van de aangekondigde ontnemingsprocedure. Hij krijgt een gevangenisstraf van zes jaar en tbs met dwangverpleging opgelegd. Daarnaast moet hij 14 slachtoffers tot € 4.000,00 immateriële schadevergoeding betalen.

De verdachte deed zich op websites zoals Omegle en Skype voor als een jonge vrouw en misleidde jongens in de leeftijd van 8 tot 18 jaar om seksuele handelingen bij zichzelf te verrichten. Sommige van die videogesprekken nam hij op en verspreidde hij op zijn website, waarvoor hij geld ontving. Hij hield een lijst bij van personen die lid waren van het (betaalde) VIP-gedeelte van de site. Ook kende de website verschillende rangen met bijbehorende bevoegdheden. De verdachte had samen met een medeverdachte als administrator de meest uitgebreide bevoegdheden. Moderators hadden weer meer bevoegdheden dan VIP-leden en geregistreerde leden, wat een zekere hiërarchie aantoont. Er waren verschillende kamers ingericht, zoals de VIP-kamer en Area51, waar alleen betalende leden toegang toe hadden. Deze leden betaalden € 25,- per maand, € 100,- per vijf maanden of € 250,- voor twaalf maanden. Verder werden er advertenties op de site geplaatst en bij speciale aangelegenheden (zoals Kerst of Valentijnsdag) werden tegen betaling zogenaamde “vidpacks” aangeboden. Ten tijde van het veiligstellen van [naam website] waren er 2.937 geregistreerde gebruikers en 143 VIP-leden. De opbrengsten van de website werden verdeeld tussen de verdachte en een medeverdachte. In de VIP-sectie en in Area51 zijn 10.390 unieke beelden (foto’s en video’s) aangetroffen, waarvan tussen 40% en 50% seksueel materiaal van minderjarigen betrof. Op het merendeel van de afbeeldingen waren jongens te zien met een geschatte leeftijd tussen de 10 en 14 jaar oud, die betrokken waren bij verregaande seksuele handelingen.

De rechtbank overweegt dat de verdachte met zijn handelen de geestelijke en fysieke integriteit van de slachtoffers in ernstige mate heeft geschonden, in een fase van hun leven waarin zij hun seksualiteit aan het ontdekken waren of daar in sommige gevallen nog helemaal niet mee bezig waren. De verdachte heeft de slachtoffers de mogelijkheid ontnomen dit in hun eigen tempo en op een manier die past bij hun leeftijd te doen. Het is een feit van algemene bekendheid dat slachtoffers van seksueel misbruik daar nog jarenlang last van kunnen hebben. Ook de impact op de ouders van de slachtoffers is groot. Zo beschrijven de ouders van een slachtoffer dat zij worstelen met de vraag hoe het kan dat zij niets hebben gemerkt en dat zij niet hebben kunnen ingrijpen. Ook rekent de rechtbank de verdachte aan dat hij gedurende ongeveer 13 jaar deelnam aan een criminele organisatie door de website te runnen en zelf ook een grote hoeveelheid seksueel materiaal van minderjarigen in bezit had.

De rechtbank is op grond van het advies van de deskundigen van oordeel dat het kader van tbs met voorwaarden onvoldoende waarborgen biedt om de behandeling van de verdachte op een zodanige manier vorm te geven dat het recidiverisico tot een aanvaardbaar niveau wordt teruggebracht. Dat maakt dat de rechtbank oplegging van de terbeschikkingstelling met verpleging van overheidswege noodzakelijk acht. Daar komt bij dat de duur van de gevangenisstraf die de rechtbank de verdachte zal opleggen niet verenigbaar is met oplegging van tbs met voorwaarden.

Cybercrime jurisprudentieoverzicht februari 2022

jjoerlemans Een reactie plaatsen

Hoge Raad wijst arrest over ddos-aanvallen

Op 24 december 2021 heeft de Hoge Raad een arrest (ECLI:NL:HR:2021:1944) gewezen over ddos-aanvallen. Het arrest gaat met name over het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr in de context van het delict voor ddos-aanvallen (artikel 138b Sr).

De raadsman had in de zaak in eerste aanleg aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op een bepaalde website en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Het Hof overwoog dat om van ‘het belemmeren van het gebruik van een geautomatiseerd werk’ te kunnen spreken, het is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd. Uit de bewijsmiddelen volgt naar het oordeel van het hof dat de website door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode ‘uit de lucht te halen’, doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt daarop het verweer.

In het oude begrip van ‘geautomatiseerd werk’ (art. 80sexies Sr (oud)) was vereist dat het werk drie functies vervult, te weten opslag, verwerking en overdracht van gegevens. Niet alleen zelfstandige apparaten die aan deze drievoudige eis voldoen, zijn geautomatiseerde werken, maar ook netwerken, bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken (HR 26 maart 2013, ECLI:NL:HR:2013:BY9718, NJ 2013/468, m.nt. Reijntjes en HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, NJ 2012/62, m.nt. Keijzer (opmerking JJO: ter zijde: waarom verwijst de HR alleen naar een NJ met annotatie, maar niet naar anderen en niet het ECLI-nummer?). Een belemmering van de werking van een computerprogramma waarmee een of meer van die functies, kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.

Het hof heeft vastgesteld dat de verdachte via een bepaalde website zestien ddos-aanvallen heeft laten uitvoeren op een andere website, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder r.o. 2.5 en r.o. 2.6 weergegeven wetsgeschiedenis en gelet op wat onder r.o. 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd. Om deze reden faalt het cassatiemiddel.

Opmerking JJO: mij ontgaat om eerlijk te zijn het nut van dit arrest. Het is vrij onduidelijk opgeschreven (zeker vergeleken met arresten van het Amerikaanse Hooggerechtshof). Het gedoe over het begrip geautomatiseerd werk vind ik ook wat vermoeiend. Het is toch niet zo lastig in een tenlastelegging op te schrijven waarin je opschrijft dat een ‘server’ is platgelegd in de zin van artikel 138b Sr? Uiteraard ben ik benieuwd als mensen de waarde van het arrest beter kunnen duiden :-).

== Update ==

In NJ 2022/124 legt prof. em. Reijntjes (ook in soms onduidelijk en ouderwets taalgebruik) uit dat hier het punt is dat de Hoge Raad in dit arrest door middel van een teleologische interpretatie van de wet het begrip ‘geautomatiseerd werk’ verruimt en van toepassing verklaart op websites:

“De rechtszekerheid (lex certa!) lijkt hierbij niet in het geding; voor een gewoon burger, die wist dat art. 138bis Sr specifiek tegen DDos-aanvallen gericht was, kan het niet als een verrassing zijn gekomen dat de Hoge Raad dat voorschrift dan ook werkelijk in die zin leest. Het zijn alleen de juristen, die schrikken van een teleologische interpretatie, die de letter van de wet opzij schuift.”

Het roept inderdaad wel de vraag op of dan ook kan worden volgehouden dat een ‘account’ niet als geautomatiseerd werk kwalificeert, zoals het Hof Den Haag in september 2020 nog in een arrest duidelijk maakte.

Veroordelingen voor ddos-aanvallen

In januari 2022 waren er een aantal opvallende veroordelingen voor ddos-aanvallen. De zaak van de rechtbank Den Haag (ECLI:NL:RBDHA:2022:22) liet lang op zich wachten, omdat de verdachte op 1 februari 2018 in verzekering was gesteld en pas op 22 februari 2022 eindvonnis wijst.

De verdachte heeft zich gedurende een periode van acht maanden schuldig gemaakt aan het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties. De rechtbank oordeelt dat er met de handelingen van de verdachte een gemeen gevaar voor goederen en voor de verlening van diensten te duchten was (zoals is vereist voor het delict in artikel 161sexies Sr). Zij verwijst daartoe naar het arrest van de Hoge Raad van 22 februari 2011, ECLI:NL:HR:BN9287, waarin is geoordeeld dat onder ‘gemeen gevaar’ mede wordt verstaan het gevaar voor een ongestoorde dienstverlening aan een onbestemd, doch aanmerkelijk aantal afnemers. Uit de bewijsmiddelen die zijn opgenomen in bijlage II blijkt dat er voor een (groot) aantal afnemers van diensten en goederen een verstoring is opgetreden, dan wel kon optreden tijdens de ddos-aanvallen van de verdachte.

Vanwege de forse overschrijding van de redelijk termijn krijgt de verdachte verder geen gevangenisstraf, maar een werkstraf van 200 uur. De forse vorderingen van materiele schade (oplopend tot ruim 8 ton) worden door de rechtbank niet toegewezen. Met betrekking tot de hoogte van de schade is de rechtbank met de officier van justitie en de verdediging van oordeel dat deze, mede gelet op de gemotiveerde betwisting daarvan, vooralsnog onvoldoende is onderbouwd. Nader onderzoek is noodzakelijk en dit levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op. Zij verklaart daarom de benadeelde partijen niet-ontvankelijk in de vordering. De vordering kan bij de burgerlijke rechter worden aangebracht.

De Rechtbank Den Haag veroordeelde verder op 4 januari 2022 (ECLI:NL:RBDHA:2022:22) een man van twintig voor DDoS aanvallen op mijnoverheid.nl en overheid.nl in maart 2020, als gevolg waarvan deze websites tijdelijk niet bereikbaar waren. Deze aanvallen zijn te kwalificeren als gericht tegen een geautomatiseerd werk behorende tot de vitale infrastructuur (artikel 138b Sr), waarbij ook een gemeen gevaar voor de verlening van diensten was te duchten (artikel 161sexies Sr). Ook wordt de verdachte veroordeeld voor bedreiging met de dood van politieagenten.

De raadsman had vrijspraak bepleit omdat uit het procesdossier niet blijkt dat de handelingen van de verdachte daadwerkelijk een stoornis in de gang of werking van de webserver van overheid.nl hebben veroorzaakt (feit 1) of de toegang tot en het gebruik van deze webserver hebben belemmerd (feit 2). Voor zover dit zou blijken uit het rapport van Solvinity van 26 maart 2020, dat als bijlage bij de vordering van de benadeelde partij is gevoegd, kan de rechtbank dit rapport volgens de raadsman niet gebruiken voor het bewijs. Het rapport is namelijk zeer kort voor de terechtzitting in het geding gebracht en niet geverifieerd door opsporingsambtenaren aan de hand van een ambtsedig opgemaakt proces-verbaal, aldus de verdediging.

In dit kader is het van belang op te merken dat het Hof Den Haag op 27 januari 2022 in twee arresten (ECLI:NL:GHDHA:2022:57, ECLI:NL:GHDHA:2022:58) zich heeft uitgesproken over de toelaatbaarheid van het verrichten van het voorbereid onderzoek door en in opdracht van een verzekeringsmaatschappij. De rechtbank heeft eerder de officier van justitie niet-ontvankelijk verklaard in twee zaken, omdat in deze zaken is het voorbereidend onderzoek verricht door en in opdracht van verzekeringsmaatschappijen. In dat geval vindt vervolging plaats, zonder dat van opsporing sprake is geweest. Volgens het hof wordt daarmee een fundamentele inbreuk gemaakt op het strafvorderlijk systeem, dat vereist dat vervolging plaatsvindt naar aanleiding van een opsporingsonderzoek. Opsporing gebeurt onder gezag van de officier van justitie door ambtenaren, die bij de wet zijn aangewezen (zie artikelen 132a, 141 en 167 van het wetboek van strafvordering). Deze bepalingen vormen het fundament voor een integere en onafhankelijke rechtspraak die de waarheidsvinding tot doel heeft. Door een inbreuk hierop te maken, is het wettelijk systeem in de kern geraakt, aldus het hof. Het gevolg daarvan is dat de officier van justitie in deze zaken niet ontvankelijk is verklaard. Het verdient de voorkeur als resultaten van onderzoek door een verzekeringsmaatschappij inhoudelijk worden getoetst en vervolgens worden ingebracht in het opsporingsonderzoek dat onder gezag van de officier van justitie staat, voor het dossier aan de rechter wordt aangeboden.   

In de onderhavige zaak is de rechtbank van oordeel dat het rapport van Solvinity wel degelijk kan worden gebruikt voor het bewijs. Het is een geschrift dat aan het dossier is toegevoegd en ter terechtzitting is besproken. Naar vaste rechtspraak van de Hoge Raad verzet geen rechtsregel zich in een dergelijk geval tegen het gebruik daarvan als bewijsmiddel. Geen rechtsregel gebiedt voorts dat een dergelijk rapport zou moeten worden geverifieerd door een opsporingsambtenaar. De inhoud van het rapport biedt voorts geen enkele aanleiding om de betrouwbaarheid of juistheid daarvan in twijfel te trekken.

Bij het bepalen van de straf in de ddos-zaak houdt de rechtbank onder meer rekening met de omstandigheid dat de DDoS zijn gepleegd in de beginfase van de coronapandemie, toen veel mensen behoefte hadden aan de informatie van de overheid over de verspreiding van het virus en de maatregelen ter bestrijding daarvan door de overheid. De rechtbank houdt bij de straftoemeting tevens rekening met ‘sterke aanwijzingen voor persoonlijkheidsproblematiek’, de jonge leeftijd van de verdachte, zijn houding tijdens de zitting en een blanco strafblad. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op van drie maanden, een onvoorwaardelijke taakstraf van 120 uur, een proeftijd van drie jaar, alsmede een schadevergoeding van € 9.213,75.

Veroordeling voor aankoop wapen via het darkweb van een undercoveragent

De rechtbank Noord-Nederland heeft op 17 februari 2022 een verdachte veroordeeld (ECLI:NL:RBNNE:2022:402) voor een poging tot het voorhanden krijgen van een vuurwapen op grond van de Wet wapens en munitie. De verdachte is op het darkweb op zoek gegaan naar een wapen en heeft vervolgens via Protonmail contact had gelegd met een undercoveragent (en niet met een wapenleverancier).

De bewijsoverwegingen zijn interessant om te lezen. Zo is te lezen dat de ‘blijkens door Google verstrekte gegevens’ het Gmailadres was aangemaakt middels een Sloveens IP-adres, door een gebruiker met een accountnaam van de verdachte. Het emailadres [emailadres] @gmail.com is gekoppeld aan een Skype-account met de username [verdachte] en de locatie Slov.Konjice, Slovenia. Blijkens onderzoek in politiesystemen verblijft op het adres [straatnaam] te [woonplaats], een man genaamd [verdachte], geboren op [geboortedatum] 1976 te [geboorteplaats] (voormalig Joegoslavië, nu Slovenië). De gesprekken tussen de undercoveragent en de verdachte zijn als proces-verbaal bijgevoegd en te lezen in te uitspraak. Na verloop van tijd ging de communicatie over naar protonmail en werd de prijs van 1500 euro voor een vuurwerpen van het merk Beretta, type 92 FS in het kaliber 9×19 millimeter.

De rechtbank oordeelt dat sprake is van het begin van een uitvoering, gericht op de aankoop en daarmee het voorhanden krijgen van het betreffende vuurwapen. Het feit dat de verkoop niet is doorgegaan is enkel gelegen in de omstandigheid dat de verkoper een infiltrant van de politie betrof en niet doordat verdachte de koop niet wilde doorzetten. Bovendien acht de rechtbank de verklaring van verdachte dat hij enkel nieuwsgierig was gelet op bovenstaande bewijsmiddelen, in het bijzonder de inhoud van de door hem verstuurde berichten, ongeloofwaardig.

De rechtbank overweegt dat het ongecontroleerde bezit van een vuurwapen roept een onaanvaardbaar gevaar voor de veiligheid van anderen in het leven. Het blijft de vraag wat de verdachte van plan was met het wapen, omdat hij daarover geen openheid van zaken heeft willen geven. De rechtbank rekent dit verdachte ernstig aan. De rechtbank veroordeelt verdachte tot een gevangenisstraf voor de duur van zes maanden waarvan drie maanden voorwaardelijk met een proeftijd van twee jaren. De rechtbank acht het geldbedrag van €1.500,- vatbaar voor verbeurdverklaring nu het geldbedrag aan verdachte toebehoort en het bestemd was voor het begaan van het bewezenverklaarde feit (het betrof immers het aankoopbedrag voor het wapen).

Veroordelingen voor wraakporno

Op 1 februari 2022 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2022:294) voor dwang, wraakporno en afdreiging.

De verdachte ontmoette het slachtoffer via ‘Yubo’, een soort dating app. De verdachte verspreidde een filmpje via Telegram van een meisje dat zichzelf bevredigd. Dit was niet het slachtoffer, maar de verdachte deed alsof zij dat was en verspreidde haar profiel van Instagram en Snapchat in hetzelfde kanaal, samen met (niet-naakt)foto’s die zij naar de verdachte had verstuurd. De tekst bij het bericht was: “[slachtoffer 2] uit [woonplaats], zit op school in [plaats] en hockeyt ook nog, deze vieze kk kebber ligt wekelijks met een andere boy in bed en vind dat nog leuk ook, maak de helemaal kapot deze kleine kanker hoer [telefoonnummer]”. De Telegramgroep had op dat moment 88.215 leden.

De rechtbank overweegt dat uit de verklaring van aangeefster en uit de app-gesprekken volgt dat de verdachte het slachtoffer dwong om contact met hem te houden en dreigde haar toekomst te verpesten en haar gegevens online te plaatsen als aangeefster hem niet zou deblokkeren. Het ten laste gelegde delict dwang ten opzichte van het eerste slachtoffer is daarmee wettig en overtuigend bewezen.

Ten opzichte van een tweede slachtoffer heeft de verdachte zich schuldig gemaakt aan afdreiging door haar te dwingen naaktfoto’s en -filmpjes van zichzelf aan hem te sturen, onder de bedreiging dat hij anders haar foto’s zou gaan lekken op Telegram. Het minderjarige slachtoffer heeft vervolgens onder die druk meerdere naaktfoto’s en -filmpjes van zichzelf aan verdachte gestuurd. Het openbaar maken van de video in de appgroep ziet de rechtbank als wraakporno, omdat de filmpjes van seksuele aard waarop een onbekend gebleven persoon te zien is en de daarbij geplaatste foto’s van het account van het slachtoffer, nadeel opleveren voor het tweede slachtoffer.

De verdachte wordt veroordeeld tot een jeugddetentie van 210 dagen (met aftrek van voorarrest) en een proeftijd van twee jaren. Ook krijgt de verdachte voor drie jaar een vrijheidsbeperkende maatregel (contactverbod) opgelegd.

De rechtbank Den Haag heeft op 26 januari 2022 een verdachte veroordeeld (ECLI:NL:RBDHA:2022:467) voor identiteitsfraude, belaging, ‘sextortion’ (afdreiging) en wraakporno. De verdachte heeft zich schuldig gemaakt aan identiteitsfraude door de gegevens van zijn ex-partner [slachtoffer] te misbruiken bij het afsluiten van een telefoonabonnement bij KPN, bij een bestelling van een iPhone 12 Pro en het aanmaken van een account op de website Werksters.nl. Door haar gegevens te gebruiken heeft hij haar overlast en nadeel bezorgd.

De verdachte dreigde een tweede slachtoffer dat zij toegangstickets voor Decibel aan hem moest sturen, omdat anders seksfilmpjes zouden worden verspreid. Hoewel het slachtoffer aan dit dreigement toegaf, heeft de verdachte die desbetreffende seksfilmpjes aan verscheidene vrienden van het slachtoffer gestuurd. De verdachte heeft aangevoerd dat het iemand anders moet zijn geweest die deze berichten heeft verstuurd, omdat zijn Instagram account gehackt is geweest. Deze bewering houdt naar het oordeel van de rechtbank geen stand. De rechtbank acht onaannemelijk dat een ander zich niet alleen heeft uitgegeven als de verdachte, maar ook toegang heeft gehad tot zijn telefoon, Instagramaccount en mailaccount. Dat deze persoon bovendien de beschikking heeft gehad over de betreffende seksfilmpjes die op de telefoon van verdachte stonden, acht de rechtbank volstrekt onaannemelijk.

De rechtbank overweegt ook of sprake is van belaging (zoals bedoeld in artikel 285d Sr). Bij de beoordeling van de vraag of sprake is van belaging als bedoeld in art. 285b, eerste lid, Sr zijn verschillende factoren van belang, te weten de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710; HR 4 november 2014, ECLI:NL:HR:2014:3095). Uit de verklaringen van het tweede slachtoffer blijkt duidelijk dat zij geen contact wilde met de verdachte en dat zij hem meerdere malen heeft verzocht om haar met rust te laten. Ook heeft zij hem op een bepaald moment op WhatsApp en Instagram geblokkeerd. De verdachte zelf wist ook dat zij geen contact met hem wilde, zo heeft hij bij de rechter-commissaris verklaard dat zij hem negeerde, maar dat hij toch contact bleef zoeken. De verdachte had zodoende moeten begrijpen dat hij geen contact meer moest opnemen met het slachtoffer. Het enkele feit dat slachtoffer in de tenlastegelegde periode eenmalig zelf contact heeft gezocht met de verdachte doet hier niet aan af. Het handelen van de verdachte heeft een grote impact gehad op het persoonlijk leven van slachtoffer.

De rechtbank is van oordeel dat de aard, duur, frequentie en intensiteit van de hiervoor vastgestelde gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer – naar objectieve maatstaven bezien – zodanig zijn geweest dat van een stelselmatige inbreuk op haar persoonlijke levenssfeer sprake is geweest. Deze inbreuk was bovendien wederrechtelijk.

De rechtbank acht daarmee bewezen dat de verdachte zich aan de ten laste gelegde belaging schuldig heeft gemaakt. De rechtbank legt aan de verdachte een gevangenisstraf op voor de duur van acht maanden, met als bijzondere voorwaarden een contactverbod en een locatieverbod.