Wetsvoorstel computermisbruik biedt justitie veel armslag

AMSTERDAM, 23 APRIL. Loopt Nederland achter in de strijd tegen computercriminaliteit? Deze suggestie wordt gewekt in een artikel in het dagblad The New York Times van het afgelopen weekeinde. Hierin wordt de noodklok geluid over Nederlandse 'hackers' (krakers van computersystemen) die vanuit het universitaire systeem Surfnet op afstand zouden hebben ingebroken in Amerikaanse defensiesystemen. Een stukje van dit eigentijdse practicum was twee maanden geleden al te zien op de Nederlandse televisie zonder dat dit veel golven veroorzaakte. Zie je wel, moeten de Amerikanen denken, het gaat met computercriminaliteit in Nederland net als met de drugs. Maar dat is - net als in het geval van drugs trouwens - bepaald te simpel geredeneerd.

De Nederlandse wet is inderdaad stil op het punt van de 'computervredebreuk', terwijl Duitsland, Frankrijk en onlangs nog Engeland daartegen al wel strafbepalingen hebben ingevoerd. Dat waren echter betrekkelijk incidentele aanpassingen van de strafwet.

Nederland daarentegen is bezig met een totaalprogramma om in een klap de Nederlandse strafwet het digitale tijdperk binnen te loodsen, inclusief nieuwe bevoegdheden voor politie en justitie. Het wetsvoorstel is al in behandeling bij de Tweede Kamer.

Strafbaarstelling van computerkraken vormt een onderdeel van dit wetgevingspakket.

Of zo'n speciale strafbaarstelling veel uithaalt is overigens een tweede. Jaren geleden noemde een student aan de toenmalige TH Twente reeds “het instinct dat mensen ertoe brengt Mastermind te spelen”

als verklaring voor de onbedwingbare neiging in elkaars computerhuiswerk te neuzen. Uitgerekend een Amerikaanse criminoloog, Erdwin H. Pfuhl van Arizona State University, kwalificeerde in 1987 de 46 strafwetten tegen verscheidene vormen van computermisbruik die van 1975 tot 1985 in de VS werden aangenomen als “symboolwetgeving”. Dat was niet te veel gezegd: in 1987 was er nog geen enkele strafvervolging op grond van de nieuwe bepalingen ingesteld. Wel vond Pfuhl 58 strafzaken wegens misbruik van computers op grond van reeds bestaande strafbepalingen zoals valsheid in geschrifte. Maar dat is in Nederland ook al mogelijk gebleken.

Interessant zijn ook de redenen die Pfuhl noemde voor dit gebrek aan grijpkracht van de strafwet: - Zeldzaamheidswaarde. Computermisbruik is nog steeds een betrekkelijk zeldzame gebeurtenis. Nieuwsgierigheid strijdt om de voorrang met afkeuring. - Gunstig beeld van de daders.

Men spreekt wel van het Rust- effect (naar de jeugdige Duitser die met een sportvliegtuigje de Russische luchtdefensie omzeilde): de ernst van het verwijt wordt getemperd door waardering voor het huzarenstukje. Menig serieus informaticus is trouwens begonnen als hacker. Ervaring als kraker “doet het goed op een cv”, meldt het vakblad Computable. - De slachtoffers zijn veelal instellingen en spreken daardoor niet zo tot de verbeelding. Bovendien richt de meeste publiciteit zich weliswaar op de hackers, maar veruit het meeste computermisbruik is naar het zich laat aanzien toch afkomstig van binnenuit, uit eigen bedrijf of organisatie. Daarmee komt het hele computermisbruik te liggen in de grijze zone van de witte-boordencriminaliteit en bijbehorende tolerante bedrijfsculturen.

- Het spelelement. Johan Huizinga leert in Homo Ludens reeds dat spel geen morele functie heeft. Het ligt buiten de gebruikelijke antitheses verstandig of dwaas, waar of vals, goed of slecht.

(Overheids)automatisering een spel? Tijdens Kameroverleg op 15 februari 1986 sprak een afgevaardigde wel degelijk in dit verband van “jonge takken van sport”. De voortgang van de automatisering heet vaak afhankelijk te zijn van onconventionele oplossingen, het verkennen van grenzen, inclusief de normatieve. - Eigen schuld. Gebrek aan elementaire voorzorgsmaatregelen in de aangevallen systemen. Vorig jaar deed de Westduitse Rekenkamer onderzoek bij een rekencentrum van het leger. Op het dak werd een antenne gevonden die naar de kelder liep, zonder dat iemand kon vertellen wat dat ding daar deed.

Ongeoorloofde toegang tot de systemen werd weliswaar keurig bijgehouden door de computer zelf, maar deze signalen 'verdronken'

volgens het bedieningspersoneel in meer dan duizend meldingen per etmaal.

Nederland wil de strafbaarheid van computervredebreuk binden aan het vereiste van een 'duidelijke drempel'; dit delict kan alleen tot veroordeling leiden als het aangevallen systeem beveiligd is. In het geval van de aangevallen Amerikaanse computers wordt het balletje om te beginnen dus teruggekaatst. Is dat dan niet toch weer zo'n typisch Nederlandse afwijking? Geenszins: Duitsland heeft reeds in 1985 de voorwaarde van 'bijzondere beveiliging' bij computervredebreuk in de strafwet opgenomen. In dat land bleek de relativiteit van de computerstrafwet heel sterk in het geval van drie hackers die in opdracht van de KGB hadden ingebroken in Amerikaanse netwerken. Zij werden begin 1990 slechts veroordeeld tot voorwaardelijke straffen. De rechter liet het aspect van computervredebreuk geheel buiten beschouwing en hield het op derderangs spionage. Ook in Amerika zelf trouwens kwam Robert T. Morris - die in november 1988 een groot research-netwerk vrijwel lamlegde met een uit de hand gelopen grap-virus - er af met een voorwaardelijke straf.

Juist vanwege het symbolische karakter van veel computerstrafrecht is er veeleer aanleiding voor de vrees dat de ambitieuze Nederlandse aanpak erger uitpakt dan de kwaal. Zeker de onderzoeksbevoegdheden van de overheid gaan verder dan bijvoorbeeld aanbevelingen van de Raad van Europa. Het gevaar is niet denkbeeldig dat deze bevoegdheden worden gebruikt om het net van de justitie eens flink door de vijver van de electronische gegevensverwerking te halen. Dat hoeft helemaal niet beperkt te blijven tot direct misbruik van de informatietechniek maar kan alles betreffen wat de justitie interesseert. Bij de visexpedities die het wetsvoorstel mogelijk maakt dreigt zelfs de meest spectaculaire computerkraak te verbleken.