De wet van 28 november 2000 inzake informaticacriminaliteit: aspecten van materieel strafrecht. (Stefan Polakiewiez)

De wet van 28 november 2000
inzake informaticacriminaliteit:
aspecten van materieel strafrecht

5.5 De sanctionering van voorbereidingshandelingen tot hacking (art. 550bis, § 5, Sw.)

1. De Belgische wet van 28 november 2000 inzake informaticacriminaliteit[1] is op 13 februari 2001 in werking getreden.[2] Het gevolg van deze recente ontwikkeling is dat de rechtspraak zich voorlopig in een primitief stadium bevindt. Naast een handvol vonnissen en arresten op het niveau van de correctionale rechtbanken heeft het Arbitragehof zich uitgesproken over een controversieel onderscheid dat de wetgever heeft ingevoerd tussen de strafbaarstelling van interne en externe hacking. De uiteenzetting zal echter aantonen dat de geringe dosis rechtspraak de praktizijnen en rechtswetenschappers er niet van heeft kunnen weerhouden om (soms) verassende kritiek te leveren.

2. Het uitgangspunt van de verhandeling betreft een artikelsgewijze analyse van vier nieuwe strafbepalingen: valsheid in informatica[3], informaticabedrog[4], hacking[5] en informaticasabatoge[6]. De verhandeling vangt aan met een fundamentele inleiding in de WIC. Vervolgens zal per artikel aandacht worden besteed aan de huidige stand van de Belgische rechtspraak en rechtsleer. Wanneer (thematisch) relevant zal verwezen worden naar de mate waarin de Belgische wetgeving in overeenstemming is met het Cybercrime-verdrag van de Raad van Europa.

3. In samenhang met de betrokken wetsbepalingen wordt voor ieder van de vier vermelde incriminaties een algemeen overzicht voorzien. De constitutieve bestanddelen worden systematisch behandeld en de bespreking sluit per artikel telkens af met enkele voorbeelden uit theorie en praktijk. Gezien de uitgebreide wettelijke regeling voor hacking is voor dit misdrijf in de verhandeling een aangepaste structuur voorzien.

4. De stormachtige evolutie in de informatica- en communicatietechnologie heeft het bewustzijn van de juridische implicaties doen toenemen. De Belgische wetgever heeft zich in 1999 dan ook herbezonnen[7] over de vraag of de klassieke juridische begrippen in staat zijn om de nieuwe ICT-vraagstukken op te vangen.[8] In vergelijking met de ons omringende landen kan de WIC als legislatief project op z’n minst een tardieve reactie worden genoemd. België is namelijk het laatste West-Europees land dat een specifieke regeling heeft uitgevaardigd met het oog op het sanctioneren van informaticamisdrijven.[9]

5. Het voordeel van een jonge WIC is dat inspiratie kon worden gezocht in de bestaande internationale ontwikkelingen.[10] In 1997 werd door de Raad van Europa een comité van experts ingesteld onder leiding van de Nederlandse hoogleraar H. Kaspersen.[11] De opdracht bestond er in om een tekst over cybercrime op te stellen dat juridisch bindend is voor de verdragspartijen.[12] Op 23 november 2001 werd het Cybercrime-verdrag in Budapest voor ondertekening openengesteld.[13] De doelstellingen van het verdrag zijn drievoudig: bevordering van de internationale rechtshulp, harmonisatie van het materieel strafrecht m.b.t computergerelateerde delicten, en de harmonisatie van de opsporingsbevoegdheden inzake IT systemen.[14] De auteurs van het Cybercrime-verdrag hebben op hun beurt ideeën gerecipieerd uit vroegere initiatieven. Reeds vanaf de jaren 1980 onderzocht de OESO de harmonisatiemogelijkheden van strafwetgeving omtrent computercriminaliteit.[15] Daarnaast kan de conventie van de Verenigde Naties over “Transnational Organized Crime”[16] worden vermeld en de vele initiatieven in de schoot van de G8[17].

6. Traditioneel wordt een onderscheid gemaakt tussen enerzijds informatica als middel voor de criminaliteit, en anderdeels informatica als doel van de criminaliteit.[18] Hoewel de grenzen van beide domeinen in de praktijk vaak zullen convergeren is het onderscheid vanuit conceptueel oogpunt nuttig. Informaticavervalsing en informaticabedrog kunnen als de niet-specifieke informaticamisdrijven van de WIC worden omschreven (informatica als middel). Specifieke misdrijven (informatica als doel) zijn de ongeoorloofde toegang en de informaticasabotage.

7. De strafwetgever heeft de WIC in drie aparte delen opgesteld en beoogt de opsporing en bestraffing van misdrijven aan te passen aan de technologische evolutie.[19] In de eerste plaats werden in het Strafwetboek vier nieuwe incriminaties ingevoerd (zie supra nr. 2). In het Wetboek van Strafvordering werden eveneens enkele aanpassingen doorgevoerd.[20] Netwerkzoeking (art. 88ter. Sv) en databeslag (art. 39bis Sv.) moeten de problemen op het vlak van opsporing en bewijsvoering aanpakken en een persoon die geen deel uitmaakt van het gerechtelijk apparaat kan verplicht worden om mee te werken aan de bewijsgaring (art. 88quater Sv., bv. voor complexe opdrachten zoals cryptografie). Het derde onderdeel van de WIC bevat een aanvulling op de Telecomwet[21]. Zo worden in de telecomsector bepaalde identificatie- en bewaringsverplichtingen opgelegd (zie art. 109ter, E, Telecomwet).[22]

8. De strafwetgever heeft in het voorontwerp bewust én terecht voor neutrale bewoordingen gekozen. Definities zijn in de wetsartikelen niet opgenomen omdat dit niet de gewoonte is in onze penale traditie. Aldus wordt het risico vermeden dat de concepten al te snel achterhaald worden door de evolutie van de informatietechnologie.[23]

9. Op terminologisch vlak heeft de wetgever zich duidelijk laten inspireren door het Cybercrime-verdrag.[24] Twee centrale begrippen worden in de memorie van toelichting uitdrukkelijk gedefinieerd:[25]

* Informaticasysteem: “Hiermee wordt gedoeld op alle systemen voor de opslag, verwerking of overdracht van data. Hierbij wordt vooral gedacht aan computers, chipkaarten en dergelijke, maar ook aan netwerken en delen daarvan, evenals aan telecommunicatiesystemen of onderdelen daarvan die een beroep doen op IT.”[26]

* Gegevens: “Hiermee wordt gedoeld op voorstellingen van informatie die geschikt zijn voor opslag, verwerking en overdracht via een informaticasysteem. De materiële vormgeving van deze gegevens - electromagnetisch, optisch of anderszins - is irrelevant voor het wetsontwerp.”[27]

10. Art. 6 van de WIC heeft titel IXbis in boek II van Strafwetboek ingevoegd: “Misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen.”.[28] Onder deze titel ressorteren de artikelen 550bis en 550ter Sw. (zie hfd. 5 en 6 van de verhandeling). Opmerkelijk is dat in de voorbereidende werken van noch het voorontwerp noch het Cybercrime-verdrag de begrippen “vertrouwelijkheid, integriteit en beschikbaarheid” worden toegelicht. Deze termen zijn in het vakgebied van de informaticabeheersing nochtans een gemeengoed en hebben een welbepaalde betekenis. Voor de concrete invulling zullen wij een beroep doen op de definities van zowel een Nederlandstalige[29] als Engelstalige[30] organisatie.

* Vetrouwelijkheid (confidentiality) heeft betrekking op de mate waarin uitsluitend geautoriseerde personen, toepassingen of apparatuur toegang hebben tot een informaticasysteem of gegevens.

* Integriteit (integrity) heeft betrekking op de mate waarin informaticasystemen en gegevens betrouwbaar, accuraat, compleet en in overeenstemming zijn met de afgebeelde werkelijkheid.

* Beschikbaarheid (availability) heeft betrekking op de mate waarin informaticasystemen en gegevens beschikbaar zijn onafgezien van het feit dat deze tijdens de duur van de onbeschikbaarheid niet gebruikt worden of vereist zijn.[31]

11. Voor zover geïnformatiseerde gegevens over een juridische draagwijdte beschikken, wordt vervalsing krachtens art. 210bis, § 1, Sw. bestraft met gevangenisstraf van zes maanden tot vijf jaar en met een geldboete van 26 euro tot 100.000 euro of met een van die straffen alleen. In de tweede paragraaf van het artikel wordt hij die weet dat de gegevens vals zijn en er gebruik van maakt, gestraft alsof hij de dader van de valsheid was. Deze bepaling is analoog met de regeling van de andere valheidsdelicten (cf. valsheid in geschriften art. 193 Sw.). Paragraaf drie straft de poging tot valsheid in informatica met een gevangenisstraf van zes maanden tot drie jaar en met geldboete van 26 euro tot 50.000 euro of met een van die straffen alleen. Ten slotte bepaalt de vierde paragraaf de sanctie bij herhaling: verdubbeling van straf indien een overtreding wordt begaan binnen de vijf jaar na uitspraak van de veroordeling. De strengere bestraffing van recidive wordt verklaard doordat informaticadelicten op een vrij eenvoudige wijze kunnen worden gerealiseerd, terwijl de economische gevolgen aanzienlijk groot kunnen zijn.[32]

12. Inzake het vervalsen van computergegevens stemmen art. 210bis Sw. en art. 7 (Computer-related forgery) van het Cybercrime-verdrag overeen[33]: “ […] when committed intentionally and without right, the input, alteration, deletion, or suppression of computer data, resulting in inauthentic data with the intent that it be considered or acted upon for legal purposes as if it were authentic, regardless whether or not the data is directly readable and intelligible.”.

13. In het oorspronkelijk wetsontwerp volstond algemeen opzet als moreel element om valsheid in informatica te bestraffen (d.i. het wetens en willens stellen van de materieel omschreven gedraging).[34] Deze regeling is in tegenstelling met het vereiste van bijzonder opzet voor valsheid in geschriften (art. 193 Sw.). De wetgever beoogde de bewijslast van de vervolginstanties te verzachten en de rechter kan in die optiek bij de straftoemeting rekening houden met het feit dat het misdrijf slechts met algemeen opzet werd begaan.

14. De Raad van State, afdeling Wetgeving, formuleerde enkele bezwaren.[35] (i) Vergissingen zijn legio wanneer gegevens worden gemanipuleerd en deze worden niet noodzakelijk met opzet gepleegd, bv. door nalatigheid of onoplettendheid. (ii) Er is volgens de Raad van State geen klare reden waarom het opzetvereiste van art. 210 Sw. zou afwijken van het gemeenrechtelijk uitgangspunt in art. 193 Sw.

15. Tijdens de besprekingen in de senaatscommissie heeft de toenmalige Minister van Justitie bevestigd dat de constitutieve elementen van schriftvervalsing ook van toepassing zijn op valsheid in informatica. Bijzonder opzet is dus vereist: er moet sprake zijn van een bedrieglijk opzet of het oogmerk om te schaden.[36] Desondanks blijft de verwarring over de graad van het opzet bestaan. Volgens een omzendbrief van het College van de Procureurs-generaal zou algemeen opzet volstaan.[37] Hoe dan ook, o.i. is het niet opportuun om een kloof te scheppen tussen de opzetvereisten van beide valsheidsdelicten. Rechtszekerheid gaat immers gepaard met rechtseenheid

16. De materiële bestanddelen betreffen enerzijds het invoeren, wijzigen of wissen van gegevens in een informaticasysteem, en anderzijds een wijziging van de juridische draagwijdte van de gegevens. De vervalsing van de waarheid is net zoals bij valsheid in geschriften een grondvoorwaarde.[38] Zonder dit element kan er geen sprake zijn van een misdrijf. Niet elke wijziging op zich houdt een strafbare gedraging in. Vereist wordt dat de geïnformatiseerde gegegevens juridisch relevant zijn en er kan maar sprake zijn van vervalsing indien de jurdische draagwijdte wordt gewijzigd.[39] Met andere woorden, de overheid of particulieren die kennis nemen van de gegevens worden overtuigd van het vastgelegde juridische feit of zijn gerechtigd om daar geloof aan te hechten.[40] Of de litigieuze gegevens een juridische draagwijdte hebben is een feitenkwestie en zal door de rechter moeten worden beoordeeld.[41] Daarnaast moet het begrip “informaticasysteem” ruim worden geïnterpreteerd. Elk systeem dat het opslagen, verwerken of overdragen van gegevens toelaat, komt in aanmerking (bv. PC, GSM, electronische zakagenda, mp3-speler, domotica-apparatuur, GPS in auto, USB memory-stick, radar, luchtafweersysteem).[42] De materiële vormgeving van de gegevens is dus irrelevant (bv. optisch, electromagnetisch).[43]

17. In de BISTEL-zaak van 1990 oordeelde de correctionele rechtbank van Brussel in eerste aanleg dat het invoeren van een vals paswoord als valsheid in geschriften kan worden gekwalificeerd.[44] Deze overweging werd door de beroepsrechter hervormd: het onrechtmatig gebruik van een toegangscode is geen grafisch tekensysteem in de zin van art. 193-197 Sw.[45] De beklaagden werden uiteindelijk veroordeeld op basis van een overtreding van de RTT-wet[46] van 1930 (in casu het onderscheppen van berichten die getransporteerd worden op het openbaar telefoonnetwerk). Ter zijde, ook spraak en beeld zijn in een informaticasysteem vatbaar voor vervalsing en kunnen evenmin als een geschrift worden beschouwd.[47]

18. Uit de memorie van toelichting blijkt dat art. 210bis in het Strafwetboek werd ingevoegd om in de eerste plaats duidelijkheid te scheppen of electronische gegevens al dan niet onder de bescherming van de traditionele valsheidsdelicten vallen.[48] De overheid had reeds een plan in het achterhoofd om een communicatieplatform te ontwikkelen waardoor inkomende en uitgaande poststromen op een geautomatiseerde en beveiligde wijze kunnen worden gestroomlijnd.[49] Het vervalsen van digitale certificaten en electronische handtekeningen moet in een geavanceerd systeem dan ook op adequate wijze kunnen worden gesanctioneerd.

19. Valsheid in informatica is een wanbedrijf en verschilt als dusdanig van valsheid in geschriften dat een misdrijf is. Wat het sanctioneringsregime van schriftvervalsing betreft wordt een onderscheid gemaakt naargelang de aard van het vervalste geschrift (bv. authentieke akte, privaat geschrift) en de hoedanigheid van de dader (particulieren, ambtenaren). Deze verschillen werden voor de valsheid in informatica niet overgenomen omdat de wetgever bewust afstand heeft willen nemen van deze “achterhaalde complexiteit”.[50] Hier wordt dus onmiskenbaar afbreuk gedaan aan een opmerkelijk uitgangspunt van de wet, met name dat wat off-line geldt ook voor on-line moet gelden.[51]

20. Valste kredietkaartnummers kunnen worden gegenereerd aan de hand van een zgn. “creditcard key generator”. [52] De handel op internet steunt voor een groot deel op het gebruik van kredietkaarten en door de sterke stijging van B2C-toepassingen stijgt het aantal vals ingevoerde gegevens.[53]

21. Een ander interessant voorbeeld betreft het digitaal opnemen en archiveren van bedrijfsvergaderingen door topmanagers wanneer partijen overeenkomen dat de gesprekken afspraken bevatten waaraan juridische gevolgen kunnen worden vastgeknoopt. Technisch is het mogelijk dat bepaalde delen van de gesprekken op een later tijdstip uit de spraakbestanden worden gewist omdat een partij zonder toestemming van de andere wenst te ontsnappen aan bepaalde afspraken. Vervalsing van gedigitaliseerde spraak kan dan worden gesanctioneerd op basis van art. 210bis Sw.

22. Informaticabedrog is het wanbedrijf dat op de manipulatie van data slaat om een bedrieglijk vermogensvoordeel te verkrijgen.[54] Deze incriminatie werd door art. 5 WIC toegevoegd aan de bestaande bepalingen inzake de misdaden en wanbedrijven tegen de eigendommen (Hoofdstuk II - Titel IX – Boek II van het Strafwetboek). Blijkens art. 504quater, §1 Sw., zijn de voorwaarden en de straffen gelijklopend met de valsheid in informatica (een gevangenisstraf van 6 maanden tot vijf jaar en/of geldboetes van 26 tot 100.000 euro). In de tweede paragraaf wordt de poging tot informaticabedrog bestraft met een gevangenisstraf van zes maanden tot drie jaar en/of met een geldboete van 26 tot 5000 euro. De derde paragraaf behandelt de recidive: een verdubbeling van de straf is voorzien ingeval van herhaling binnen een termijn van vijf jaar.

23. Art. 504quater Sw. is een toepassing van art. 8 van het Cybercrime-verdrag (Computer-related fraud): “[…] with fraudulent or dishonest intent of procuring, without right, an economic benefit for oneself or for another.”.

24. Voor de toerekening van het misdrijf aan de dader wordt bijzonder opzet vereist met als doel de realisatie van een bedrieglijk vermogensvoordeel. Het is irrelevant of dit vermogensvoordeel voor zichzelf of voor een derde werd verkregen.[55] Een belangrijk verschil met de valsheid in informatica is dat voor informaticabedrog het volstaat dat men de bedoeling heeft een vermogensvoordeel te verkrijgen waar men geen recht op heeft. Of de juridische draagwijdte van de gegevens al dan niet wijzigt speelt hier geen rol.[56]

25. Vanzelfsprekend is de realisatie van vermogensvoordelen door het gebruik van informatica an sich niet strafbaar. Wat de materiële gedraging betreft, beoogt art. 504quater Sw. de bestraffing van het verkrijgen van een bedrieglijk vermogensvoordeel d.m.v. datamanipulatie.[57] De bepaling staat los van artikel 496 Sw. (oplichting), dat in essentie bedrieglijke manoeuvres viseert die het vertrouwen van personen schenden. Informaticabedrog betreft ongeoorloofde manipulaties van data ten aanzien van een “machine”, en is in dat opzicht wezenlijk verschillend.[58] Omwille van de terminologische coherentie had de wetgever beter het omschreven begrip “informaticasysteem” gebruikt (zie supra nr. 9) i.p.v. het archaïsche woord “machine”.

26. Opmerkelijk is dat art. 504quater, § 1, Sw. over een “bedrieglijk vermogensvoordeel” spreekt en niet over “het bedrieglijk oogmerk een vermogensvoordeel te realiseren”. Ondanks het feit dat de voorbereidende werkzaamheden hierover geen duidelijkheid verschaffen, merkt T. LAUREYS vindingrijk op dat de notie “bedrieglijk vermogensvoordeel” het misdrijf veel nauwkeuriger afbakent. [59] Een “bedrieglijk oogmerk een vermogensvoordeel te realiseren” zou volgens de auteur ook de gevallen strafbaar stellen waarbij iemand bedrieglijk tracht een vermogensvoordeel te realiseren waarop hij recht heeft, enkel en alleen omdat hij tracht dit op een bedrieglijke wijze te realiseren. Door de termen “bedrieglijk vermogensvoordeel” valt volgens de auteur uitsluitend wie via datamanipulatie een vermogensvoordeel bekomt (of tracht te bekomen), waarop hij of zij geen recht heeft, onder de toepassing van art. 504quater Sw.

27. Enkele bedenkingen inzake de stelling van T. LAUREYS dringen zich op. (i) Is het niet zo dat het bedrieglijk manipuleren van gegevens om een vermogensvoordeel te realiseren waarop men recht heeft een schending inhoudt van het principieel verbod op eigenrichting? (ii) Het Hof van Cassatie heeft in een arrest van 6 mei 2003 duidelijk gesteld dat “het bedrieglijk verwerven van een vermogensvoordeel voor zichzelf of voor een ander door middel van de gegevensmanipulatie nader omschreven in dit artikel [504quater Sw., nvdr.] een wanbedrijf is, en valt aldus niet meer onder de toepassing van art. 467, eerste lid, Sw.”.[60] Men bemerke dat ons hoogste rechtscollege de termen “bedrieglijk verwerven” gebruikt en niet “verwerven van een bedrieglijk vermogensvoordeel”. (iii) Bepaalde auteurs menen dat een vermogensvoordeel op zichtzelf niet bedrieglijk kan zijn: “[...] De wetgever heeft dan wellicht bedoeld dat de wijze waarop het het vermogensvoordeel verworden wordt bedrieglijk moet zijn.”.[61]

28. Het Hof van Beroep te Antwerpen heeft zich onbevoegd verklaard in een zaak waarbij dieselbrandstof onrechtmatig werd toegeëigend middels een gestolen tankkaart en een niet aan de beklaagden toebehorende code. De beroepsrechter oordeelde dat het litigieuze feit op grond van art. 467, eerste lid, Sw. als diefstel met valse sleutels moest worden gekwalifieerd (d.i. een misdaad waarvoor het hof niet bevoegd is). De Raadkamer van de Rechtbank van Eerste Aanleg te Hasselt had de verdachten nochtans verwezen uit hoofde van het wanbedrijf informaticabedrog (art. 504quater ,§ 1, Sw.). In het reeds vermelde arrest van 6 mei 2003 heeft het Hof van Cassatie de beslissing van het hof van beroep verbroken en bevestigd dat de kwalificatie van het gepleegde feit een wederrechtelijk verkregen voordeel uitmaakt in de zin van art. 504quater. Sw.[62]

29. Interessant is de fraudezaak met pre-pay kaarten van de mobiele telecom-operator Orange.[63] Op het internet werd een code met “handleiding” verspreid waardoor via het gsm-netwerk van Orange gratis kon worden getelefoneerd. Deze malifide praktijk zou het bedrijf een miljoenenverlies hebben gekost (uitgedrukt in BEF). De invoer van die code in het informaticasysteem met als resultaat een bedrieglijk vermogensvoordeel valt onder het toepassingsgebied van art. 504quater Sw. Wie de code enkel maar heeft verspreid zonder er effectief gebruik van te maken kan eveneens op basis van hetzelfde artikel worden gestraft (cf. vermogensvoordeel voor derden).

30. In de reedse vermelde BISTEL-zaak (zie supra nr. 17) werd de computerinbraak door de bodemrechter te Brussel gesanctioneerd op basis van valsheid in geschriften, diefstal van computerenergie[64] en verduistering van een aan de regie toevertrouwde mededeling. Het volstaat te vermelden dat de interpretatie van de rechter mogelijk al te zeer bij analogie is gebeurd, een methode die in het strafrecht verboden is.[65] De beroepsrechter heeft de diefstal echter niet weerhouden (in casu oordeelde het hof dat het vereiste intentioneel element niet aanwezig was).[66]

31. Op 11 december 2000 werd J. door de correctionele rechtbank van Gent veroordeeld wegens hacking bij de N.V. Skynet en de Generale Bank (de zgn. RedaTtacK-zaak).[67] Voor de strafbaarstelling werd in hoofdzaak art. 109ter, D, al. 1, 3° en 4° van de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven[68] weerhouden. Ook hier komt een schending van het legaliteitsbeginsel dicht in de buurt: de beklaagde werd verweten met opzet kennis te hebben genomen van gegevens inzake telecommunicatie terwijl bankgegevens (zoals bv. de pincode) helemaal geen gegevens inzake telecommunicatieverkeer zijn.[69]
Beide rechtszaken geven aan dat een wetgevend optreden niet kon uitblijven. De lacune in het strafrecht bestond er in dat geen precieze omschrijving van het misdrijf hacking voor handen was.

32. Aan het fenomeen hacking en de daaraan gerelateerde misdrijven zijn in artikel 550bis van het Strafwetboek acht paragrafen gewijd. In de eerste paragraaf wordt de (externe) hacking door buitenstaanders gestraft: hij die, terwijl hij weet dat hij daar toe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met een gevangenisstraf van drie maanden tot een jaar en met een geldboete van 26 euro tot 25.000 euro of met een van die straffen alleen. Wanneer dit misdrijf met bedrieglijk opzet wordt gepleegd, bedraagt de gevangenisstraf zes maanden tot twee jaar.

33. In de tweede paragraaf wordt de (interne) hacking door insiders gesanctioneerd (interne hackers onderscheiden zich van externe doordat ze reeds over een beperkte toegang tot het netwerk beschikken).[70] Hij die, met bedrieglijk opzet of met het oogmerk te schaden, zijn toegangsbevoegdheid overschrijdt, wordt gestraft met een gevangenisstraf van zes maanden tot twee jaar en met een geldboete van 26 euro tot 25.000 euro of met een van die straffen alleen.

34. In de derde paragraaf worden de verzwarende omstandigheden nader toegelicht. Het overnemen van gegevens, het gebruik maken van een informaticasysteem van een derde (de zgn. tijdsdiefstal), of het veroorzaken van schade (zelfs onopzettelijk) wordt gestraft met een gevangenisstraf van een jaar tot drie jaar en een geldboete van 26 euro tot 50.000 euro of met een van die straffen alleen.

35. In paragraaf vier wordt de poging tot een van de misdrijven bedoeld in de paragrafen één en twee gestraft met dezelfde straffen.

36. Op voorwaarde dat er sprake is van bijzonder opzet, sanctioneert paragraaf vijf de voorbereidende handelingen waarmee de misdrijven bedoeld in de paragrafen één tot en met vier worden gepleegd. De gedraging wordt bestraft met een gevangenisstraf van een jaar tot drie jaar en een geldboete van 26 euro tot 50.000 euro of met een van die straffen alleen.

37. Krachtens paragraaf zes wordt de aanzetter tot hacking zwaar gestraft: een gevangenisstraf van zes maanden tot vijf jaar en met een geldboete van 100 euro tot 200.000 euro of met een van die straffen alleen.

38. Paragraaf zeven bestraft de heling van gehackte informaticagegevens met een gevangenisstraf van zes maanden tot drie jaar en een geldboete van 26 euro tot 100.000 euro of met een van die straffen alleen.

39. Tenslotte bevat paragraaf acht de sancties voor recidivisten: herhaling binnen de vijf jaar geeft aanleiding tot verdubbeling van de straffen.

40. Hacking wordt door de wetgever in de memorie van toelichting omschreven als “de ongeoorloofde toegang tot een informaticasysteem”, en verder, “[…] Centraal hierbij is de bestraffing van het wederrechtelijk toegang bekomen tot een informaticasysteem of een deel daarvan waartoe men niet is gerechtigd.”.[71] Externe hacking situeert zich volgens de wetgever in de sfeer van “transgressie”[72] en interne hacking is een kwestie van “bevoegdheidsoverschrijding”.[73]

41. In het Nederlandse strafrecht wordt de “computervredebreuk” gedefinieerd als het wederrechtelijk binnendringen “in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan” (art. 138a Sr.).[74] Art. 2 van het Cybercrime-verdrag viseert illegal access: “Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right” (eigen cursivering). De Amerikaanse Computer Fraud and Abuse Act van 1986 spreekt over “intentionally accesses a computer without authorization or exceeds authorized access”.[75] Opgemerkt wordt dat de vermelde definities telkens een notie over ongeoorloofde toegang bevatten zonder gebruik te maken van het woord hacking zelf.

42. In de §§ 1 en 2 van art. 550bis Sw. wordt een discriminatie ingevoerd tussen externe hackers en interne hackers. Voor de externe hacking (§ 1) volstaat een algemeen opzet en geldt het bijzonder opzet als strafverzwaring. Interne hacking (§ 2) - of de overschrijding van toegangsbevoegdheden - vereist een bijzonder opzet (namelijk onrechtmatig winstbejag of kwaadwillige bedoelingen).[76]
De rechtspraak heeft bevestigd dat het wetens en willens wederrechtelijk binnendringen en zich handhaven in een informaticasysteem voldoende is om strafbaar te zijn krachtens art. 550bis § 1 Sw. Bijzonder opzet is dus niet vereist bij externe hacking.[77] Blijkens het vonnis van 12 januari 2004 van de rechtbank van Hasselt had de betrokken hacker geen kwade bedoelingen, temeer hij reeds voor zijn arrestatie de systeembeheerder van zijn slachtoffer op de hoogte had gesteld (in casu Dexia Bank). Daardoor kon de getroffen financiële instelling de nodige maatregelen treffen om toekomstige inbraken te vermijden. De lovenswaardige houding van de hacker brengt geen zoden aan de dijk want de drempel tot vervolging houdt geen rekening met oprechte beweegredenen.[78]

43. Centraal staat de vraag of het verschil in opzetvereiste tussen interne en externe hacking zinvol en rechtmatig is. De strafwetgever heeft het verschil als volgt verantwoord: “Buitenstaanders zijn strafbaar, indien ze weten dat zij onbevoegd in het systeem komen of blijven. In dat geval wordt een zwaardere straf voorzien, wanneer de inbreuk plaatsvindt met bedrieglijk opzet. Voor insiders word de strafbaarheidsdrempel hoger gelegd: het overschrijden van het verleende autorisatieniveau moet plaatsvinden met een bijzonder opzet, namelijk onrechtmatig winstbejag of kwaadwillige bedoelingen. Het louter onrechtmatig betreden van delen van het systeem moet via minder ingrijpende mechanismen worden aangepakt (interne sancties, arbeidsrechtbank, burgerlijk recht, …)”.[79]
De logica van deze opstelling situeert zich in het feit dat interne ongeoorloofde toegang frequenter voorkomt dan externe. Interne controlemechanismen zouden dan moeten volstaan voor de minder ingrijpende gevallen (i.e. interne bevoegheidsoverschreiding).[80]

44. De Raad van State, afdeling Wetgeving, formuleerde in haar advies enkele bedenkingen. Volgens de eerste paragraaf van art. 550bis Sw. (externe hacking) kan loutere nieuwschierigheid reeds een strafbaar feit opleveren.[81] Op basis van een rapport van het Europees Comité voor strafrechtelijke vraagstukken merkt de Raad van State op: “Bepaalde staten hebben ongeoorloofd binnendringen in een computersysteem bestraft wanneer dit interceptie van persoonsgegevens tot gevolg heeft of schade veroorzaakt aan het computersysteem of de gegevens die het bevat. Andere landen, zoals Frankrijk, hebben subjectieve criteria opgelegd in verband met het gedrag van de delinquent.”.
De Raad van State struikelde verder over het feit dat in het geval van interne hacking bedrieglijk opzet of het oogmerk te schaden vereist is, “terwijl het louter ongeoorloofd binnendringen in een computersysteem reeds een strafbaar feit oplevert overeenkomstig paragraaf 1, eerste lid, van het ontworpen artikel 550 bis. Eenieder die toegang heeft tot het computersysteem en uit loutere nieuwsgierigheid misbruik maakt van zijn recht op toegang, zou niet strafbaar zijn, terwijl degene die er geen toegang toe heeft strafbaar is… Hier wordt « met twee maten gemeten », wat de wetgever objectief moet kunnen wettigen.”.[82]

45. In een vonnis van 22 april 2003 stelde de rechtbank van eerste aanleg te Gent de volgende prejudiciële vraag aan het Arbitragehof: “Schendt artikel 550bis van het Strafwetboek de artikelen 10 en 11 van de Grondwet door de interne hacker slechts strafbaar te stellen wanneer een bijzonder opzet (nl. een bedrieglijk opzet of het oogmerk om te schaden) aanwezig is (artikel 550bis, § 2, Sw.) , terwijl de externe hacker reeds strafbaar is zodra een algemeen opzet aanwezig is (artikel 550bis, § 1, Sw.) ?”.[83] Het Arbitragehof besliste dat het onderscheid tussen de in de prejudiciële vraag bedoelde categorieën van hackers op een objectief criterium berust: “het al dan niet bezitten van een in het kader van een juridische verhouding verleende toegangsbevoegdheid tot een informaticasysteem.”.[84] Het Hof redeneerde vervolgens: “de wetgever heeft daarbij bovendien rekening willen houden met het feit dat het loutere overschrijden van de verleende toegangsbevoegdheid, vanwege allerhande factoren, eigen aan de organisatie waarbinnen een informaticasysteem functioneert, niet steeds de integriteit van het informaticasysteem in het gedrang brengt […]”.[85]

46. Merkwaardig is de stelling van de wetgever dat de transgressie van derden die buiten het netwerk zitten, “opzichzelf de veiligheid van het interne netwerk” in gevaar brengt.[86] Het is namelijk niet noodzakelijk altijd het geval dat de veiligheid van het netwerk door transgressie in gevaar wordt gebracht. Te denken valt aan de situatie waarin een externe hacker inbreekt in de “honeypot” van een onderneming. Een honeypot is een computersysteem dat er interessant uitziet voor een hacker, maar waar hij weinig kwaad kan doen omdat het afgescheiden wordt van het interne netwerk en hem juist afleidt van de bedrijfskritische systemen.[87]

47. Ten tweede wordt geen enkel empirisch argument geformuleerd om aan te tonen dat een interne bevoegdheidsoverschrijding opzichzelf niet de integriteit (zie supra vn. 87) van het interne netwerk in gevaar brengt. Hier dringt een terminologische kanttekening zich op. Het was beter geweest om te spreken over “[…] niet steeds de vetrouwelijkheid […]”. Interne bevoegdheidsoverschrijding is in de eerste plaats steeds een kwestie van vertrouwelijkheid, en naar de gevolgen toe kan de integriteit van de gegevens mogelijk in het gedrang komen. Het enige aanknopingspunt van de wetgever om zijn standpunt te verdedigen vormt de overweging dat interne controlemechanismen kunnen verhinderen dat een interne bevoegdheidsoverschrijding de integriteit van het netwerk in gevaar brengt.[88] Er zijn inderdaad beveiligingmaatregelen die de technische integriteit beschermen, maar dit interne afweersysteem is natuurlijk ook werkzaam ten aanzien van de externe hacker die toegang heeft gekregen tot het interne gedeelte van het netwerk. De beschermende werking van controlemaatregelen zijn dus niet exclusief van toepassing op interne bevoegdheidsoverschreidingen. Het gevolg is dat bepaalde overwegingen van de wetgever ,die door het Arbitragehof werden overgenomen om het onderscheid tussen interne en externe hacking te rechtvaardigen, bezwaarlijk kunnen worden opgeworpen om de discriminatie tussen externe en interne hacking te verantwoorden. Dit betekent niet dat het niet mogelijk is om een onderscheid te formuleren tussen externe en interne hacking. Het decisieve onderscheid is dat deze laatste categorie, in tegenstelling tot de eerste, reeds over een beperkte toegangsbevoegdheid beschikt.

5.5 De sanctionering van voorbereidingshandelingen tot hacking (art. 550bis, § 5, Sw.)

48. Het opsporen, verzamelen, ter beschikking stellen, verspreiden of verhandelen van gegevens om te hacken wordt gesanctioneerd op voorwaarde dat er sprake is van bedrieglijk opzet of het oogmerk om te schaden (art. 550bis, § 5, Sw.). Door het vereiste van bijzonder opzet wordt vermeden dat de verspreiding van algemene informatie over beveiligingstechnieken een strafbaar feit inhoudt.[89] Bijvoorbeeld: wanneer in een hoorcollege op een universiteit of hogeschool de verschillende methodes om een e-mail systeem te hacken worden toegelicht, valt dit wegens het educatieve karakter niet onder art. 550bis, § 5, Sw.

49. Uit de voorbereidende werkzaamheden blijkt dat § 5 van art. 550bis Sw. “in de eerste plaats de handel in hackertools (sic) en de toegangscodezwendel” viseert.[90] Het gratis aanbod van hacker tools op internet is zeer groot en de wetgever had in de memorie van toelichting de notie “handel in” dan ook beter weggelaten. Hiermee is nog niet gezegd wat wij onder hacker tools moeten verstaan (in de voorbereidende documenten wordt het toepassingsgebied onbesproken gelaten). Enigszins lapidair gesteld zijn hacker tools de middelen - in het bijzonder softwareprogramma’s - om tot hacking te kunnen overgaan. Opgemerkt wordt dat tal van “reguliere” toepassingen bijzonder nuttig kunnen zijn voor malifide gebruikers.[91] Maar ook hier geldt het vereiste van bijzonder opzet: strafvervolging is bv. niet aan de orde indien deze programma’s voor educatieve doeleinden worden besproken of ter beschikking worden gesteld.

50. Op het internet zijn ellenlange lijsten beschikbaar met wachtwoorden om wederrechtelijk toegang te krijgen tot pornosites.[92] Dit typevoorbeeld slaat op een voorbereidingshandeling van externe hacking. In casu het faciliteren van de ongeoorloofde toegang voor een derde in een informaticasysteem. Indien voor de (rechtmatige) toegang tot de betrokken website eeen vergoeding wordt gevraagd, zal naast de voorbereidingshandeling tot hacking ook het informaticabedrog van toepassing zijn (het bedrieglijk vermogensvoordeel is dan bv. het gratis verkrijgen van pornofilms).

51. Volgens sommige rechtsleer kan het verspreiden van serial- en licentiecodes van softwareprogramma’s ook als toegangscodezwendel worden gekwalificeerd in de zin van art. 550bis, § 5, Sw.[93] Dit is niet zo vanzelfsprekend aangezien de bepalingen van art. 550bis Sw. gedragingen sanctioneren die verband houden met de ongeoorloofde toegang tot een informaticasysteem en niet zo zeer de softwarepiraterij viseren.[94] Art. 550bis Sw. spreekt trouwens over een “informaticasysteem” [95] en het is lang niet zeker of we dit boudweg mogen assimileren met een softwareprogramma. De wetgever heeft het begrip “softwareprogramma” trouwens omschreven als “een bijzondere configuratie van gegevens”.[96]

52. Omwille van de coherentie in het strafrecht is het aangewezen om hacking en softwarepiraterij niet door elkaar te haspelen. Laten we een hypothetisch voorbeeld nemen uit het klassieke off-line strafrecht. Stel dat de wetgever de voorbereidingshandelingen tot diefstal strafbaar stelt door middel van het sanctioneringsapparaat voor inbraak. In deze (fictieve) situatie zou een handleiding voor diefstal van een kledingstuk uit een grootwarenhuis gesanctioneerd worden op basis van de bepalingen die deel uit maken van de inbraak? Opgemerkt wordt dat de illustratie niet zijdelings wordt aangewend om diefstal en softwarepiraterij met elkaar gelijk te stellen.[97]

53. Samenvattend gezegd komt het er op neer dat hacking niet hetzelfde is als het kraken c.q. onrechtmatig activeren van een softwareprogramma.[98] Het bestrijden van de toegangscodezwendel in verband met licentiecodes situeert zich in de sfeer van de strafrechtelijke reglementeringen met betrekking tot inbreuken op intellectuele rechten.[99] Het had dan ook opportuun geweest om de bestraffing van voorbereidingshandelingen voor informaticabedrog aan art. 504quater Sw. toe te voegen. Is het namelijk niet zo dat de zwendel in serial- en licentiecodes eigenlijk het verwerven van een bedrieglijk vermogensvoordeel voor iemand anders beoogt?

54. Wat de gevolghandelingen betreft, gaat het om de volgende gedragingen die in de vorm van verzwarende omstandigheden worden bestraft[100]: het naar aanleiding van het hacken kennisnemen of overnemen van gegevens (art. 550bis, § 3, 1° Sw.)[101], het gebruik maken van een informaticasysteem van derde of zich bedienen van een informaticasysteem om toegang te verkrijgen tot een informaticasysteem van een derde (art. 550bis, § 3, 2° Sw.)[102], het veroorzaken van schade – zelfs onopzettelijk – (art. 550bis, § 3, 2° Sw.).

55. De rechtsleer heeft zich kritisch uitgelaten over de reikwijdte van de gevolghandelingen van § 3.[103] Zo werd opgeworpen dat het basismisdrijf hacking nooit op zichzelf kan worden opgelegd, “maar steeds in combinatie met een van de verzwarende omstandigheden geformuleerd in de derde paragraaf, met strafverhoging als gevolg”. Deze eigenaardigheid zou te wijten zijn aan de bewoordingen van de tweede gevolghandeling: “hetzij enig gebruik maakt van een informaticasysteem van een derde of zich bedient van het informaticasysteem om toegang te verkrijgen tot een informaticasysteem van een derde”. Bij elke vorm van hacking zou er dan sprake zijn van deze gevoglhandeling.

O.i. is deze stelling te wijten aan een foutieve lezing van art. 550bis, § 3, 2° Sw. De tweede gevolghandeling en de daaraan gekoppelde verzwarende omstandigheid dient natuurlijk begrepen te worden in die zin dat een hacker het systeem van een derde gebruikt – en niet zijn eigen computersysteem - om toegang te verkrijgen tot een informaticasysteem. Bijvoorbeeld: wanneer een hacker gebruikt maakt van zijn eigen PC om het systeem van X te hacken zal de tweede gevolghandeling niet van toepassing zijn. De verzwarende omstandigheid is daarentegen in ons voorbeeld wel van toepassing indien de hacker gebruik zou maken van een PC in een openbare bibliotheek om het informaticasysteem van X te hacken. Deze oplossing is eigenlijk heel logisch, omdat het veel moeilijker is om een (anonieme) hacker te traceren die gebruikt maakt van het computersysteem van een derde dan een thuisgebruiker.

56. Paragraaf zeven van art. 550bis Sw. bestraft de heling van gehackte gegevens als een aparte gevolghandeling (d.w.z. los van de drie genoemde gevolghandelingen van § 3). Niet-materiële gegevens komen dus in aanmerking op voorwaarde dat ze zijn bekomen door hacking. De wetgever beoogt deze vorm van heling in de context van spionagebestrijding te onderscheppen.[104] De formulering is gelijklopend met een soortgelijke bepaling inzake het onderscheppen van communicatie (zie met name art. 314 bis, § 2, Sw.).

57. De poging om zich onrechtmatig toegang te verschaffen tot een informaticasysteem of een deel daarvan wordt naast de basisgedraging en de gevolghandelingen eveneens strafbaar gesteld (§ 4).[105] De wetgever vindt deze gedraging voldoende ernstig om dezelfde strafmaat te hanteren als voor het voltooide misdrijf. Het voorbeeld bij uitstek is het geautomatiseerd uitproberen van lange listings van mogelijke paswoorden.

58. Uit de zesde paragraaf van art. 550bis Sw. blijkt dat de aanzetter tot hacking zwaarder kan worden gestraft dan de hacker zelf (een gevangenisstraf tot vijf jaar). Volgens de wetgever was hacking in veel gevallen een tijdverdrijf voor jonge computerfreaks, maar dat thans professionele criminelen dergelijke personen inschakelen om hun plannen uit te voeren.[106] In België zijn vrijwel geen empirische gegevens beschikbaar over het dadersprofiel van hackers. Volgens een hoofdinspecteur van de Federal Computer Crime Unit (FCCU) van de Federale Politie gebeurt het overigens weinig dat minderjarigen hacken.[107]

59. Het nieuwe artikel 550ter van het Strafwetboek heeft betrekking op data- en informaticasabotage. De wetgever beoogde tegemoet te komen aan een lacune in het strafrecht: “Vernielingen en beschadigingen worden traditioneel in het strafrecht enkel in aanmerking genomen wanneer ze betrekking hebben op tastbare voorwerpen.[108] Dit is het geval wanneer het schade betreft aan een informaticasysteem zelf, maar het is duidelijk dat het beschadigen van data as such niet rechtstreeks wordt geviseerd door de bepalingen van het Strafwetboek.”.[109]

60. In § 1 van art. 550ter Sw. wordt de dader gestraft die met het oogmerk te schaden informaticagegevens rechtstreeks of onrechtstreeks manipuleert, of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert. De sanctie varieert met een gevangenisstraf van zes maanden tot drie jaar en met een geldboete van 26 euro tot 25.000 euro of met een van die straffen alleen.

61. Paragrafen 2 en 3 bestraffen de gevolgen van de gedraging in § 1. Schade aan gegevens wordt met bestraft met een gevangenisstraf van zes maanden tot vijf jaar en met een geldboete van 26 euro tot 75.000 euro of met een van die straffen alleen. De straf is zwaarder als schade aan een informaticasysteem wordt toegebracht: een gevangenisstraf van een jaar tot vijf jaar en een geldboete van 26 euro tot 100.000 euro of met een van die straffen alleen.

62. Paragraaf 4 viseert de voorbereidende handelingen. Hij die met bedrieglijk opzet of met het oogmerk om te schaden, gegevens ontwerpt, ter beschikking stelt, verspreidt of verhandelt, terwijl hij weet dat deze kunnen worden aangewend om schade te berokkenen, wordt gestraft met een gevangenisstraf van zes maanden tot drie jaar en met een geldboete van 26 euro tot 100.000 euro of met een van die straffen alleen.

63. Tenslotte wordt in § 5 de regeling voor recidivisme uitgewerkt. Strafverdubbeling indien een overtreding wordt begaan binnen de vijf jaar na uitspraak houdende veroordeling wegens een strafbaar feit in de §§ 1 t.e.m. 4 of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550bis Sw.

64. De bepalingen sluiten aan bij de artikelen 4 (data interference) en 5 (system interference) van het Cybercrime-verdrag. Art. 4 biedt bescherming aan virtuele gegevens zoals het klassieke strafrecht “corporele objecten” beschermt.[110] In lijn met aanbeveling nr. (89) 9 is het bestraffen van computersabotage voorzien in art. 5.[111] Dit artikel maakt gewag van “[…] serious hindering without right of the functioning of a computer system […]”. Het begrip “hindering” moet dan begrepen worden als “ […] interfere with the proper functioning of the computer system. Such hindering must take place by inputting, transmitting, damaging, deleting, altering or suppressing computer data.”.[112]

65. Voor art. 550ter Sw. is een bijzonder opzet vereist. De wetgever wil vermijden dat de commercialisering van data of programma’s waarvan een legitieme aanwending mogelijk is, maar die evenwel ook misbruikt kunnen worden, in het algemeen zou worden verboden.[113] Frequent in de praktijk zijn de ongelukkige handelingen van programmeurs en netwerkbeheerders die veel schade kunnen toebrengen. Maar ook het bewust vernielen van gegevens is soms noodzakelijk (bv. het verwijderen van oude bestanden om plaats te maken op de harde schijf). Dergelijke manipulaties zijn vanzelfsprekend niet strafbaar krachtens art. 550ter Sw.

66. Blijkens § 1 van art. 550ter Sw. is datasabotage het rechtstreeks of onrechtstreeks invoeren, wijzigen, of wissen van gegevens in een informaticasysteem, of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem veranderen. Gezien het belang dat informaticasystemen in onze samenleving innemen, wordt het belemmeren van de correcte werking van een informaticasysteem (§ 3) zwaarder bestraft dan het louter berokkenen van schade aan de data (§ 2).[114] Een opmerkelijk gevolg is dat het saboteren van het informaticasysteem met tijdelijke onbeschikbaarheid tot gevolg zwaarder zou worden bestraft dan het permanent verwijderen van data. Terecht is de kritiek dat de wetgever een onderscheid had moeten maken tussen tijdelijke en permanente schade.[115]

67. In het verslag over de werkzaamheden van de kamercommissie wordt het onderscheid tussen de eerste drie paragrafen van art. 550ter Sw. iets duidelijker afgelijnd[116]: poging tot datasabotage (§ 1, bv. het inbrengen van virussen), voltooide datasabotage (§ 2, bv.: vernietigde bestanden), voltooide systeemsabotage (§ 3, bv. onbruikbare harddisk).

68. Naast kwaadwillige manipulaties en de gevolgen die daaruit voortspruiten, worden ook bepaalde voorbereidingshandelingen strafbaar gesteld (§ 4). De wetgever viseert o.m. de ontwikkeling en verspreiding van virussen of programma’s om dergelijke virussen te genereren.[117]

69. Er wordt geleerd dat ook minder gesofisticeerde sabotagedaden in aanmerking komen, bv. het doorknippen van de netwerkkabel.[118] In de VSA heeft zich een zaak voorgedaan waarin een informaticus met een klein metalen voorwerp het computersysteem van zijn werkgever 56 maal op twee jaar tijd deed kortsluiten. Het motief was een “overheersende aandrang de computer tot stilstand te brengen”.[119] Het aankopingspunt van art. 550ter Sw. om dergelijke misdrijven te bestraffen ligt echter niet voor de hand. De eerste zinsnede van § 1 vereist het invoeren, wijzigen of wissen van gegevens. Het is niet noodzakelijk dat het doorknippen van een netwerkkabel gepaard gaat met het manipuleren van gegevens. De tweede zinsnede van dezelfde paragraaf vereist een “technologisch middel” om de mogelijke aanwending[120] van gegevens in een informaticasysteem te veranderen. Kan bijvoorbeeld het doorbijten van een netwerkkabel met de tanden beschouwd worden als een “technologisch middel”? Quid wanneer met opzet een rietje in de ventilator van een computersysteem wordt gebracht?

70. In de strijd tegen het gebruik van illegale kopieën stellen softwarebedrijven zich alsmaar actiever op. Door de internettoegang via kabel zijn veel PC’s vrijwel permanent online. Een softwareprogramma zou beveiligd kunnen worden door middel van een routine die automatisch controleert of de installatie rechtmatig is verlopen.[121] Bij een negatieve test zou het programma zichzelf automatisch kunnen vernietigen. Los van de problemen die zich stellen inzake de privacy van de eindgebruiker kunnen wij de vraag stellen of in deze hypothese het bewust vernietigen van vermoedelijk[122] onrechtmatig geïnstalleerde software gekwalificeerd kan worden als een strafbaar oogmerk om te schaden.

71. De valsheid in informatica (art. 210bis Sw.) heeft de discussie beslecht over de verschillen en de overeenkomsten tussen electronische gegevens en een klassiek geschrift. Nieuwe juridische problemen zijn blijkbaar onvermijdelijk. Het apart strenger incrimineren van schriftvervalsing door ambtenaren werd voor de informaticavervalsing niet weerhouden. Of deze regeling in overeenstemming is met het gelijkheidsbeginsel is voorlopig een openstaande vraag.[123] Wij kijken dan ook reikhalsend uit naar een eerste grondwettigheidstoets door het Arbitragehof.

72. Voor de bestraffing van informaticabedrog (art. 504quater Sw.) is niet vereist dat de juridische draagwijdte van de gegevens wordt gewijzigd. Het volstaat dat men data manipuleert met de intentie om een bedrieglijk vermogensvoordeel te realiseren. Verschillende auteurs argumenteren terecht dat hierdoor een zeer ruime strafbaarstelling werd ingevoerd.[124] Een treffende illustratie zijn de heimelijk geplaatste “cookies” op de harde schijf van een internetgebruiker. Bepaalde cookies verzamelen gegevens met het oogmerk een “bedrieglijk” vermogensvoordeel op te bouwen.[125] In casu pleiten wij voor een genuanceerde toepassing, d.w.z. enkel voor de agressiefste vormen van cookies komt art. 504quater Sw. in aanmerking.[126]

73. Het literatuuronderzoek heeft aangetoond dat over hacking in België eigenlijk niet veel gekend is.[127] Met die wetenschap in het achterhoofd is het de verdienste van de wetgever die het fenomeen in art. 550bis Sw. op een evenwichtige en doordachte wijze heeft aangepakt. Dit onverminderd het feit dat het gros van de argumenten van de wetgever om het onderscheid voor de strafbaarstelling tussen interne en externe hacking te rechtvaaardigen technisch niet helemaal juist zijn. Dat de strafmaat zwaarder uitvalt voor interne hacking dan voor externe sluit o.i. wel aan bij de maatschappelijke realiteit. De interne medewerker beschikt over een vertrouwenspositie en heeft beperkte toegang tot het informaticasysteem (i.t.t. de externe hacker). Het schenden van dit vertrouwen is terecht een subjectief verzwarende omstandigheid.[128] Contradictorisch wordt het wanneer het inkijken van een papieren agenda geen strafbaar feit oplevert en het inkijken van een electronische agenda wel strafbaar is.[129] Het uitgangspunt off-line = on-line is met andere woorden geen waterdicht principe.[130]

74. In het voorjaar van 2000 is het “I love you virus”uitgebroken. Het adviesbedrijf PriceWaterhouseCoopers heeft de schade op meer dan 10 miljard US dollar geraamd.[131] Uit het “2004 Computer Crime and Security Survey” van het CSI/FBI blijkt dat informaticasabotage van alle types informaticamisdrijven de hoogste kosten met zich meebrengt.[132] In het licht van de financiële gevolgen en de razendsnelle verspreiding van computervirussen en de proliferatie van nieuwe varianten[133] zijn de bepalingen van art. 550ter Sw. beslist geen overbodige luxe.

75. Wij besluiten met de overweging dat de rechtsonderhorige over ruime beschermings- maatregelen beschikt. De overlappingen tussen de WIC en andere bepalingen in het privacyrecht, telecommunicatierecht en intellectueel recht, duiden echter op een probleem over de actualiteit van het materieel strafrecht in ruime zin.[134] Tussen herkenning en aangifte ligt het complexe labyrint van informatica en recht. Inzake voorlichting[135] en opsporing[136] zal de overheid zich dus blijvend moeten inspannen.

[1] Hierna afgekort tot “WIC”.

[2] Wet 20 november 2000 inzake informaticacriminaliteit, B.S. 3 februari 2001.

[3] Art. 4 WIC; art. 210bis Sw.

[4] Art. 5 WIC; art. 504quater Sw.

[5] Art. 6 WIC; art. 550bis Sw.

[6] Art. 6 WIC; art. 550ter Sw.

[7] Reeds in 1990 is er sprake geweest van een wetsontwerp inzake informaticacriminaliteit, maar het project heeft het niet gehaald, zie J. KEUSTERMANS, “Belgisch voorontwerp van de wet inzake informaticacriminalteit”, Computerr. 1990, 208.

[8] Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 3.

[9] P. VAN EECKE en J. DUMORTIER, “De implementatie van het Europees verdrag cyberrcriminaliteit in de Belgische wetgeving”, Computerr. 2003, afl. 2, 123; J. DUMORTIER, B. VAN OUDENHOVE, P. VAN HEECKE, “De nieuwe Belgische wetgeving inzake informaticacriminaliteit”, Vigiles 2001, 44; Zweden had reeds in 1973 een relevante wet, zie: F. DE VILLENFAGNE, S. DUSOLLIER, “La Belgique sort enfin ses armes contre la cybercriminalité: à propos de la loi du 28 novembre 2000 sur la criminalité informatique”, AM 2001, 60.

[10] Zie uitgebreid: U. SIEBER, Legal Aspects of Computer-Related Crime in the Information Society – COMCRIME-Study. Prepared for the European Commission, Würzburg, 1998, 240 p., beschikbaar op http://europa.eu.int/ISPO/legal/en/comcrime/sieber.html; de Belgische wetgever heeft voor het materieelrechtelijke luik o.m. inspiratie geput uit aanbeveling nr R(89)9 van de Raad van Europa van 13 september 1989, zie Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 9.

[11] D.i. het “Committee of Experts on Crime in Cyberspace” (afg. PC-CY), zie inleidend F. KUITENBROUWER, “Verdrag ‘Crime in Cyberspace’”, Computerr. 2002, afl. 2, 116.

[12] A. DEBAETS, J. DEENE, N. SENEL, “Cybercriminaliteit”, in VERMEULEN, G., (ed.), Aspecten van Europees materieel strafrecht, Antwerpen-Apeldoorn, Maklu, 2002, p. 397-411.

[13] België heeft het verdrag ondertekend maar nog niet geratificeerd, zie verdrag n° 185: http://conventions.coe.int/Treaty/EN/CadreListeTraites.htm.

[14] A. DEBAETS, J. DEENE, N. SENEL, o.c., p. 400.

[15] A. DEBAETS, J. DEENE, N. SENEL, o.c., p. 393; OECD, Implementation Plan for the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, 2003, http://www.oecd.org/dataoecd/23/11/31670189.pdf, 6 p.; J. PRINS, “Nieuwe OECD Guidelines over beveiliging”, Computerr. 2003, 96.

[16] http://www.unodc.org/unodc/en/crime_cicp_convention.html. Onder leiding van het hoofd voor “Legal Affairs” van het secretariaat van de VN werd in een aparte vergadering het grensoverschrijdende aspect van cybercrime besproken: http://www.unodc.org/palermo/corell1.doc

[17] Het zgn. tienpunten-plan: http://cybersecuritycooperation.org/moredocuments/International%20
Agreements/Dec97%20G8%20Communique.pdf; A. DEBAETS, J. DEENE, N. SENEL, o.c., p. 388.

[18] Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 3.

[19] T. LAUREYS, Wet op de Informaticacriminaliteit, Gent, Mys & Breesch, 2001, p. 1.

[20] Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 7.

[21] Wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsmisdrijven, B.S. 27 maart 1991.

[22] Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 30-31

[23] Ibid., p. 12.

[24] P. VAN EECKE en J. DUMORTIER, l.c., 124.

[25] Memorie van toelichting, Parl. St. Kamer, 1999-2000, 50-213/001, p. 12-13.

[26] Het begrip “informaticasysteem” stemt overeen met het begrip “computer system” van het Cybercrime-verdrag (art. 1, a).

[27] Het begrip “gegevens” stemt overeen met het begrip “computer data” van het Cybercrime-verdrag (art. 1, b).

[28] Cf. titel 1 van het Cybercrime-verdrag: “Offences against the confidentiality, integrity and availability of computer data and systems”. Deze drie kwaliteitsaspecten vormen het zgn. CIA-model en zijn terug te vinden in vrijwel alle handleidingen en modellen i.v.m. IT-security.

[29] De Nederlandstalige definities zijn opgesteld door de NOREA (d.i. de beroepsorganisatie van IT-auditors in Nederland), zie: http://www.norea.nl/download/ZekeRE_Business_Handleiding.pdf, p. 10.

[30] De Engelstalige definities zijn opgesteld door het IT Governance Institute, zie: X., CobiT Control Objectives, IL, IT Governance Institute, 2000, p. 14.

[31] Het cursieve gedeelte is een overweging van de auteur. Beschikbaarheid heeft in de bedrijfseconomische betekenis een andere connotatie dan in de strafrechtelijke. Te denken valt aan het voorbeeld waarin gegevens tijdens het weekend een korte tijd onbeschikbaar zijn. De klassieke opvattingen over beschikbaarheid stellen dat er maar sprake is van onbeschikbaarheid op het ogenblik dat de gegevens daadwerkelijk nodig zijn en niet beschikbaar zijn. Vanuit strafrechtelijk oogpunt ligt de nadruk op het feit dat onbeschikbaarheid op zich werd veroorzaakt (het oogmerk om te schaden). Vervolgens kan in functie van de veroorzaakte schade een aangepaste sanctie worden toegepast c.q. of de gegevens tijdens de duur van de onbeschikbaarheid al dan niet nodig of vereist zijn geweest.

[32] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 13.

[33] P. VAN EECKE en J. DUMORTIER, l.c., 128.

[34] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 14; over de graden van opzet, zie C. VAN DEN WYNGAERT, Strafrecht, strafprocesrecht & internationaal strafrecht in hoofdlijnen, Apeldoorn-Antwerpen, Maklu, 2003, p. 265-268.

[35] Advies van de Raad van State, Parl. St. Kamer, 1999, 50-213/001, p. 51.

[36] Verslag van de Senaatscommissie, Parl. St. Senaat, 2000, 2-392/3, p. 28-29; sommige rechtsleer heeft dit goed gezien (P. DE HERT, “De Wet van 28 november 2000 inzake informaticacriminaliteit en het

materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?”, T. Strafr. 2001, 316; J. KEUSTERMANS, F. MOLS, l.c., p. 155.), anderen stellen ten onrechte dat algemeen opzet wordt vereist (o.m. J. DUMORTIER, e.a., l.c., 47; T. LAUREYS, o.c., p. 21).

[37] COL 1/2002, 2.A. par 5.

[38] A. DE NAUW, Inleiding tot het bijzonder strafrecht, Antwerpen, Kluwer, 2002, p. 20.

[39] Juridische relevantie heeft betrekking op het openbaar vertrouwen, zie Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 14.

[40] A. DE NAUW, o.c., p. 13.

[41] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 14.

[42] B. MICHAUX, S. EVRARD, “Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen”, T. Strafr. 2001, 101-102.

[43] J. KEUSTERMANS, F. MOLS, “Informaticacriminaliteit”, in A. VANDEPLAS, e.a., eds., Strafrecht en strafvordering. Commentaar met overzicht van rechtspraak en rechtsleer., Antwerpen, Kluwer, 2002, p. 154.

[44] Rb. Brussel 8 november 1990, Computerr. 1991, 32, met noot J. SURMONT, Computerr. 1991, p. 43-44; B. DE SCHUTTER, “Het Belgische Bistel-syndroom”, Computerr. 1991, 164-166.

[45] Brussel 24 juni 1991, Computerr. 1991, 253. De Hoge Raad in Nederland heeft in 1991 het art. 225 van het Strafwetboek met betrekking tot valsheid in geschrifte toepasselijk verklaard op het vervalsen van computerbestanden, H.R. 15 januari 1995, nr. 86834, N.J. 1991, nr. 668.

[46] Wet van 19 juli 1930 tot oprichting van de Regie van Telegraaf en Telefoon, B.S. 2 augustus 1930.

[47] Zie de verwijzingen bij J. DUMORTIER, B. VAN OUDENHOVE, P. VAN EECKE , “De Nieuwe Belgische wetgeving inzake informaticacriminaliteit”, Vigiles 2001, p. 47; A. DE NAUW, Inleiding tot het bijzonder strafrecht, Antwerpen, Kluwer, 1992, p. 12-13.

[48] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 13.

[49] Het “Certipost e-Communicatieplatform”, http://www.certipost.be; T. LAUREYS, Wet op de Informaticacriminaliteit, Gent, Mys & Breesch, 2001, p. 20.

[50] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 14.

[51] Ibid., p. 17.

[52] De sequentie van een kredietkaartnummer steunt doorgaans op de LUHN-formule. Aangezien dit algoritme in het publieke domein gekend is, wordt het genereren van een vals nummer een kwestie van enkele eenvoudige wiskundige bewerkingen; beknopt voorbeeld op de website van de polytechnische universiteit van Brooklyn: http://cis.poly.edu/muller/CS623/luhn.htm.

[53] B2C staat voor Business to Consumer en duidt op handelstransacties met consumenten; over fraude met kredietkaarten op internet, zie het rapport van het Amerikaanse National White Collar Crime Center http://www.ifccfbi.gov/strategy/IFCC_2001_AnnualReport.pdf (2001).

[54] Manipulatie betekent het wijzigen, invoeren of wissen van gegevens in een informaticasysteem, zie § 1 van art. 504quater Sw.

[55] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 15.

[56] T.LAUREYS, o.c., p. 26.

[57] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 15.

[58] Ibid.

[59] T. LAUREYS, o.c., p. 28.

[60] Cass. (2e k.) AR P.03.0366.N, 6 mei 2003, R.A.B.G. 2004, p. 367-369.

[61] J. KEUSTERMANS, F. MOLS, “Informaticacriminaliteit”, in A. VANDEPLAS, e.a. (eds.), Strafrecht en strafvordering. Commentaar met overzicht van rechtspraak en rechtsleer., Antwerpen, Kluwer, 2002, p. 160.

[62] Y. VAN DEN BERGE, “Informaticabedrog” (noot onder Cass. 6 mei 2003), R.A.B.G. 2004, 369-370.

[63] T. LAUREYS, o.c., p. 26.

[64] M.n. het bedrieglijk wegnemen van andermans zaak, art. 461 Sw.

[65] E. KINDT en E. SZAFRAN, l.c., 88.

[66] Ibid.

[67] Corr. Gent 11 december 2000, Computerr. 2001, 84-87.

[68] B.S. 27 maart 1991.

[69] E. KINDT en E. SZAFRAN, l.c., 88.

[70] Verslag kamercommissie, Parl. St. Kamer, 2000, 50-213/004, p. 5.

[71] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16 (eigen cursivering)

[72] Volgens het etymologisch woordenboek Van Dale betekent transgressie “overschrijding” of “oversteken”.

[73] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16.

[74] P. WIEMANS, “Computervredebreuk nieuwe stijl en strafbare voorbereidingshandelingen”, Jur. T. voor Internet en E-business 2004, 198-204; B. KOOPS, “Het Cyber-crimeverdrag, de Nederlandse strafwetgeving en de (computer)criminalisering van de maatschappij.”, Computerr. 2002, 115-123.

[75] 18 U .S.C. § 1030(a)(2).

[76] Verslag kamercommissie, Parl. St. Kamer, 2000, 50-213/004, p. 6 en Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16.

[77] Corr. Hasselt 12 januari 2004, Computerr. 2004, p. 130-131 en Gericht Erster Instanz Eupen 15 december 2003, Computerr. 2004, 129-130, met noot H. GRAUX.

[78] Dit in tegenstelling tot de zienswijze van de OESO. Zie de verwijzingen bij P. DE HERT, l.c., vn. 271.

[79] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16.

[80] Ibid.

[81] Advies van de Raad van State, Parl. St. Kamer, 1999, 50-213/001, p. 50.

[82] Ibid., p. 52.

[83] Arbitragehof nr. 51/2004, 24 maart 2004, rolnr. 2697, http:// www.arbitrage.be, p. 4.

[84] Ibid., p. 6.

[85] Arbitragehof nr. 51/2004, 24 maart 2004, rolnr. 2697, http:// www.arbitrage.be, p. 7 (eigen cursivering).

[86] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16; in de voorbereidende werkzaamheden ontbreekt de technische onderbouwing van deze stelling.

[87] Zie N. VAN DER LAAN, “Over honing, hackers en koekoekseieren”, E&Y Nieuwsbrief 2003, http://www.ey.nl/download/overig/EDP/Over_honing_hackers_en_koekoekseieren.pdf, 4 p.

[88] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 16.

[89] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 18.

[90] Ibid.

[91] Ter illustratie: een packet sniffer (ook wel network analyzer genoemd) wordt door netwerkbeheerders gebruikt om het netwerkverkeer te analyzen. Een berucht beveiligingsrisico m.b.t. dergelijke software betreft het capteren van ongeëncrypteerde wachtwoorden die over en weer over het netwerk worden verzonden.

[92] Een uitgebreide illustratie: http://www.linkswarm.com/modules.php?name=XForum&file=viewthread&tid=921

[93] F. DE VILLENFAGNE, S. DUSOLLIER, “La Belgique sort enfin ses armes contre la cybercriminalité: à propos de la loi du 28 novembre 2000 sur la criminalité informatique”, AM 2001, 71.

[94] Art. 10 van de Wet van 30 juni 1994 betreffende de bescherming van computerprogamma’s bestraft het in het verkeer brengen van middelen of het voor commerciële doeleinden bezitten ervan, die uitsluitend bestemd zijn om de ongeoorloofde verwijdering of ontwijking van de technische voorzieningen ter bescherming van het computerprogramma te vergemakkelijken, zie J. KEUSTERMANS, , F. MOLS, “Informaticacriminaliteit”, in A. VANDEPLAS, e.a (eds.), Strafrecht en strafvordering. Commentaar met overzicht van rechtspraak en rechtsleer., Antwerpen, Kluwer, 2002, p. 159 e.v.

[95] Bepaalde auteurs zien computerprogramma’s als een deel van een informaticasysteem: J. KEUSTERMANS, , F. MOLS, “Informaticacriminaliteit”, in A. VANDEPLAS, e.a (eds.), Strafrecht en strafvordering. Commentaar met overzicht van rechtspraak en rechtsleer., Antwerpen, Kluwer, 2002, p. 151.

[96] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 12.

[97] Over het verschil tussen softwarepiraterij en het klassieke diefstalmisdrijf: P. HELSEN, “Diefstal van computergegevens”, Jur. Falc. 1997-98, 261-285.

[98] Ook de toenmalige Minister van Justitie overweegt dat diefstal en hacking niet hetzelfde zijn, zie: Verslag van de Senaatscommissie, Parl. St. Senaat, 2000, 2-392/003, p. 27 e.v.: “De minister antwoordt dat er een groot verschil bestaat tussen diefstal en hacking. De elementen zijn verschillend. Er is geen vergelijking mogelijk. Hacking komt neer op het binnendringen in een systeem […] Hacking is eerder te vergelijken met het kraken van een netwerk.”.

[99] Over de strafrechtelijke bescherming van computerprogramma’s, zie P. DE HERT, l.c., 2001, 287; zie ook de vraag van senator Hugo Vandenberghe en het antwoord van Vlaams minister Fientje Moerman: Hand. Senaat 2003-04, 15 juli 2004, p. 56 e.v.; zie ook art. 10 van het Cybercrime-verdrag: “Offences related to infringements of copyright and related rights” (en dus losgekoppeld van art. 4 van hetzelfde verdrag inzake “illegal access”).

[100] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 18.

[101] Bv. gebruik van de gegevens in het kader van de industriële en economische spionage.

[102] Bv. gebruik van de rekentijd van een krachtig computersysteem (cf. CalcUA, zie http://www.calcua.ua.ac.be)

[103] Zie P. DE HERT, l.c., 322 en de verwijzingen aldaar.

[104] Memorie van toelichting, Parl. St., Kamer, 1999, 50-213/001, p. 18; over mogelijke feiten van spionage of poging tot indringing in het informaticasysteem van een Belgisch onderzoekscentrum, zie VAST COMITE VAN TOEZICHT OP DE INLICHTINGENDIENSTEN, Activiteitenverslag 2001, http://www.comiteri.be, 74 e.v.

[105] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 18

[106] Ibid.

[107] J. BUYSSCHAERT, “Laat je computer niet hacken”, Pol 2003, afl. 12, http://www.fedpol.be/police/fedpol/pol/12/pol12_03.htm

[108] Cf. art. 523 Sw. (vernieling van een machine), art. 528 Sw. (vernieling roerende eigendom) en art; 559, al. 1, Sw.

[109] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 19; over de problematiek inzake de beteugeling van computersabotage vóór de invoering van de WIC, zie B. SPRUYT, “Computers op de strafbank. Analyse van het fenomeeen informaticacriminaliteit: Nationale en internationale strafrechtelijke perspectieven”, in B. DE SCHUTTER (ed.), Informaticacriminaliteit, Antwerpen, Kluwer rechtswetenschappen, 1988, p. 338-343.

[110] Convention on Cybercrime - Explanatory Report, randnr. 60, http:// conventions.coe.int/Treaty/en/ Reports/Html/185.htm.

[111] Ibid., randnr. 65.

[112] Ibid., randnr. 66.

[113] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 19.

[114] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 19.

[115] T. LAUREYS, o.c., p. 5.

[116] Verslag kamercommissie, Parl. St. Kamer, 2000, 50-213/004, p. 7.

[117] Memorie van toelichting, Parl. St. Kamer, 1999, 50-213/001, p. 19.

[118] T. LAUREYS, o.c., p. 48.

[119] Zie de illustratie en verwijzingen bij B. SPRUYT, o.c., p. 278.

[120] De “aanwending van gegevens” wordt in de Franse tekst van het artikel verwoordt als “modifie par tout moyen technologique l'utilisation possible de données dans un système informatique”.

[121] Dit kan door bijvoorbeeld de registratiecode op de lokale PC te vergelijken met code’s in de centrale registratie-gegevensbank van de softwareleverancer.

[122] “Vermoedelijk” omdat het niet uitgesloten is dat de geviseerde programmatuur wel degelijk rechtmatig is geïnstalleerd en de automatische verwijdering te wijten is aan een registratiefout in hoofde van de softwareleverancier.

[123] F. DE VILLENFAGNE en S. DUSOLLIER, l.c., 8; vanzelfsprekend in het kader van een prejudiciële vraag.

[124] T. LAUREYS, o.c., p. 27; F. DE VILLENFAGNE en S. DUSOLLIER, l.c., 10; P. DE HERT, l.c., 319-320.

[125] Zoals marketinggegevens die kunnen worden doorverkocht. Zie de uitgebreide bibliografie bij P. DE HERT, l.c., vn. 266.

[126] Bv. het verzamelen van privacy-gevoelige gegevens (bv. naam en e-mail adres) zonder toestemming van de gebruiker met het oogmerk deze te verkopen.

[127] In Nederland zijn wel gegevens omtrent cybercrime gepubliceerd: W. STOL, “Trends in cybercrime”, in X., Cybercrime (justitiële verkenningen), Den Haag, WODC, 2004, p. 76-94.

[128] Analoog kan worden gedacht aan de situatie waarin diefstal wordt gepleegd door een loonbediende (art. 464 Sw.).

[129] P. DE HERT, l.c., 323.

[130] Met “off-line = on-line” bedoelde de wetgever dat wat reeds off-line strafbaar wordt gesteld ook voor de digitale ruimte moet gelden; P. DE HERT, l.c., 334.

[131] Bedrag geciteerd door het U.S. Department of Defense, http://www.usdoj.gov/criminal/cybercrime/chipagsp.htm

[132] Het rapport kan kosteloos worden afgehaald op de webstek van het Britse instituut van interne auditoren: http://www.theiia.org/iia/download.cfm?file=9732.

[133] Bv. internet worms, trojan horses, GSM-virussen, macro-virussen, virussen met polymorfisme, boot-sector virussen, e-mail virussen, ondetecteerbare stealth-virussen, enz.

[134] P. DE HERT, l.c., 334.

[135] Vergelijk de in het Engels (!) opgestelde webstek van de Belgische overheid http://www.cert.be/ met http://www.govcert.nl/ uit Nederland (in het bijzonder de uitgebreide “Handleiding Cyber Crime” op de laatst vermelde verwijzing).

[136] Over het gebrek aan middelen bij de Federal Computer Crime Unit, zie het rapport van het Comité P op http://www.comitep.be/2000/nl/2000Hoofdstuk4.htm (nr. 14). Enkele lijnen over de taken en organisatie van de FCCU, zie W. COENRAETS, “Cybersquatting. Een nieuwe uitdaging voor de Federal Computer Crime Unit?”, Vigiles 2001, afl. 2, p. 63-64.