Opstelten wil ruimte voor ‘zorgvuldige’ hackers

Hackers die inbreken in computersystemen om de kwetsbaarheid daarvan aan te tonen, hoeven niet bang te zijn voor strafrechtelijke vervolging als zij voldoen aan een aantal zorgvuldigheidseisen.

Dat staat in een ‘leidraad’ die minister Opstelten (Veiligheid en Justitie, VVD) gisteren naar de Tweede Kamer heeft gestuurd. Opstelten beloofde de Kamer vorig jaar met zo’n leidraad te komen nadat Kamerleden aandacht vroegen voor zogeheten ‘ethische hackers’.

Het idee is dat organisaties duidelijk maken, bijvoorbeeld op hun website, hoe zij zullen omgaan met mensen die zwakke plekken aantonen in hun computersystemen. Omgekeerd moeten mensen die daarin inbreken dat op een verantwoorde wijze doen.

In de leidraad doet minister Opstelten daarvoor een aantal suggesties. Hackers zouden bijvoorbeeld geen onnodige schade moeten aanrichten in de informatiesystemen van organisaties. Ze zouden niet verder moeten inbreken dan noodzakelijk is om de kwetsbaarheid van een systeem aan te tonen. En ze zouden moeten wachten met het openbaar maken van problemen totdat de organisatie heeft gezorgd voor een oplossing.

Organisaties zouden op hun beurt vooraf moeten aangeven dat ze geen aangifte doen tegen hackers die zich verantwoordelijk gedragen. En ze zouden met de melders van de problemen moeten afspreken hoe ze daarover naar buiten treden, op zo’n manier dat anderen ervan kunnen leren.

De leidraad is opgesteld in overleg met bedrijven, organisaties van hackers en het Openbaar Ministerie. Het gebruik ervan is vrijwillig, maar Opstelten belooft met zijn collega-ministers te gaan praten om te bevorderen dat de rijksoverheid ermee gaat werken. „Steeds meer bedrijven staan hier ook voor open, omdat ze niet zonder kunnen”, zegt een woordvoerder van minister Opstelten. Hij wijst erop dat sommige grote bedrijven, zoals Rabobank en KPN, al beleid hebben ontwikkeld voor ethische hackers.