InfoNu.nl > Pc en Internet > Diversen > Juridische aspecten binnen de ICT

Juridische aspecten binnen de ICT

Er zijn diverse wetten die ons vertellen wat we wel en niet mogen doen met betrekking tot ICT Security. Is het bijvoorbeeld toegestaan om gebruik te maken van een open wifi-verbinding? En is downloaden echt legaal? En is spam versturen strafbaar?

Je overtreedt (onbedoeld) de wet

Gewapend met een flinke dosis ICT Security kennis ga je aan de slag om een computernetwerk en alle daarbinnen bestaande hard- en software goed dicht te timmeren. De nodige software wordt geïnstalleerd, policies worden opgesteld, automatische updates draaien strak en alle acties worden gemonitord.

Maar daar is opeens een werknemer die het bedrijf aanklaagt, omdat zijn e-mail en internetverkeer door jou inzichtelijk is gemaakt voor het management. Je bedoelde alles nog wel zo goed, maar je wordt in de rechtbank verwacht. Dit is toch niet helemaal de opzet geweest.

Ook het even snel gebruikmaken van een draadloze verbinding met het internet kan nare gevolgen hebben. Jij zit ergens met je laptop en ziet een onbeveiligd draadloos netwerk, je hebt geen kwaad in de zin maar wilt alleen even je e-mail bekijken. Je maakt verbinding, haalt je e-mail op en sluit af. Dat lijkt geen probleem, totdat je het openbaar ministerie 16.000 euro boete hoort eisen.

Dit soort scenario's klinken misschien ver gezocht, maar het is realiteit. Natuurlijk wordt er binnen veel bedrijven het e-mail en internetverkeer van de werknemers bekeken. Hier zijn wel strenge regels voor en het is jouw verantwoordelijkheid om deze regels en wetten te kennen. Ook betekent het niet beveiligen van internetverbindingen niet dat ze zijn opengezet voor jou.

Weten wat al of niet toegestaan is

Eenieder in Nederland wonend wordt geacht de wet te kennen. Dit betekent kortweg dat je verplicht bent te weten wat wel en niet mag. Wanneer jij als ICT Security professional voor een rechter moet verschijnen omdat jij iets hebt gedaan met ICT-middelen dat niet door de beugel kan, zal een rechter jou altijd strenger beoordelen dan een niet-professional. Dit is omdat jij meer dan anderen wordt geacht bekend te zijn met de desbetreffende wetten.

Een groot deel van de bepalingen of iemand iets strafbaars heeft gedaan en hoe dit bestraft moet worden, is geregeld in het strafrecht. Dit wordt beschreven in twee wetboeken: het Wetboek van Strafrecht en het Wetboek van Strafvordering. In het Wetboek van Strafrecht staat wat strafbare feiten zijn en welke straffen daarbij horen. In het Wetboek van Strafvordering staan de strafrechtelijke procedures.

Wet Computercriminaliteit II

De eerste wet die we behandelen en waarin zeer veel is geregeld met betrekking tot onze digitale wereld, is de Wet Computercriminaliteit II. Deze wet is op 1 september 2006 in werking getreden en verving de toen zeer verouderde eerste Wet Computercriminaliteit uit 1993. De wet voegt artikelen en definities toe aan, of breidt bestaande uit van, het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Telecommunicatiewet. We zullen een aantal kernzaken uit deze wet behandelen.

Computervredebreuk

Artikel 138a van het Wetboek van Strafrecht behandelt het onderwerp 'computervredebreuk'. Laten we eens kijken wat daarmee bedoeld wordt.

1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.

3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

Computervredebreuk is dus blijkbaar het binnendringen in een geautomatiseerd werk dat niet van jou is en waarvoor je geen toestemming hebt. Wanneer iemand bijvoorbeeld een valse hoedanigheid aanneemt (social engineering) om zich toegang te verschaffen, spreekt men van binnendringen. Maar ook andere vormen van binnendringen worden genoemd. Het is echter niet zo dat als het niet expliciet in dit artikel vermeld staat dat het dan geen binnendringen is. Mensen worden nog steeds geacht deze afweging zelf te kunnen maken en uiteindelijk bepaalt de rechter of iets wel of niet onder binnendringen valt.
Op computervredebreuk staat een maximale gevangenisstraf van een jaar en een geldboete van de vierde categorie. Vanaf 1 januari 2008 bedraagt een geldboete van de vierde categorie maximaal 18.000 euro.

Maar wat als mijn laptop automatisch verbinding maakt met een onbeveiligd draadloos netwerk, daar kan ik toch niets aan doen? Toch wel: aangezien je je netwerkkaart had kunnen uitzetten of het automatisch verbinding maken had kunnen uitzetten, en de eigenaar je geen toestemming heeft gegeven, wordt dit toch als binnendringen gezien.
De wetgever heeft daaraan toegevoegd dat het wel zichtbaar moet zijn dat je je op verboden terrein begeeft. Elk draadloos netwerk is bijvoorbeeld te voorzien van een naam waarmee dit netwerk zich bekendmaakt. Door een draadloos netwerk niet een technische naam te geven zoals 'Linksys', maar een voor zichzelf sprekende naam als 'Privénetwerk - verboden toegang', is het voor een ander duidelijk dat dit verboden terrein is.

Het artikel gaat verder en geeft bijvoorbeeld in lid 3b aan dat wanneer je een gehackte computer gebruikt om een volgende computer te hacken, de gevangenisstraf oploopt tot maximaal vier jaar. Zo zie je dat hoe erger het vergrijp is, hoe hoger de straf zal zijn.

Sniffen

Met sniffers wordt het mogelijk het eigen netwerkverkeer en het netwerkverkeer van anderen te bekijken. Dan kan het natuurlijk verleidelijk worden om op een draadloos netwerk wat om je heen te kijken naar wie wat zit te doen. Artikel 139 van het Wetboek van Strafrecht gaat hier over.

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Het gaat dus onder andere over gegevens opnemen die niet voor jou bedoeld zijn. Hier gelden dezelfde maximale straffen als bij computervredebreuk.

Cybercrime Verdag

Het heeft enkele jaren geduurd voordat de Wet Computercriminaliteit II uiteindelijk in zijn huidige vorm ondertekend werd. Deze vertraging kwam mede doordat het wetsvoorstel aangepast moest worden om te voldoen aan het Europese Cybercrime Verdrag.

Het Cybercrime Verdrag moet de opsporing en de vervolging van digitale criminaliteit in Europa makkelijker maken. Zaken zoals botnetwerken en spam zijn meestal grensoverschrijdende vormen van digitale criminaliteit waarbij justitie afhankelijk is van de medewerking van andere landen. Binnen Europa is dit geregeld in het Cybercrime Verdrag.

Uitvoeringswet Algemene verordening gegevensbescherming

De volgende wet die we behandelen, is de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Deze wet is in het jaar 2018 aangenomen. De UAVG bevat voorwaarden over hoe persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaalde persoon. Hierbij kunnen we denken aan de geboortedatum, postcode, maar ook zaken zoals het publieke IP-adres en het e-mailadres.

Persoonsgegevens verzamelen

De UAVG bepaalt dat persoonsgegevens niet zomaar verzameld mogen worden. Degene van wie de persoonsgegevens verzameld worden, moet hier zelf toestemming voor hebben gegeven. Het is dus verboden om bijvoorbeeld verschillende websites af te gaan op zoek naar mensen die dezelfde hobby hebben als jij en de namen en e-mailadressen van deze mensen op te slaan in een database. Wanneer jij je bij een website voor iets aanmeldt, moet er een waarschuwing staan dat jouw persoonsgegevens opgenomen worden in een database.

Persoonsgegevens verwerken

Bij aanmelding op een website is het niet automatisch toegestaan voor de beheerder van de website om alle aangemelde mensen zomaar e-mails te sturen. Mocht je dat als beheerder van een website toch willen, dan zal er tijdens de aanmelding meestal een optie zijn die aangevinkt kan worden waarmee men aangeeft akkoord te gaan met een periodieke mailing.

Correctierecht

Iedereen heeft het recht om zijn opgeslagen persoonsgegevens in te zien, en na het bekijken van de persoonsgegevens mag eenieder eisen dat de persoonsgegevens aangepast of verwijderd worden. Dus wanneer je gebeld wordt door een verkopen van een callcenter, mag je eisen om de gegevens die het callcenter over jou heeft, in te zien en je mag ook eisen dat ze deze gegevens verwijderen.

Juridische professional

Zoals gezegd wordt iedere inwoner van Nederland geacht de wet te kennen. Dit is soms wel wat makkelijk gezegd dan gedaan. Veel juridische taal is niet direct makkelijk te begrijpen en er is ook vaak een grijs gebied waarbinnen het onduidelijk kan zijn of iets nu wel of niet mag. Kennis nemen van de hiervoor genoemde wetten is dan ook belangrijk. Wanneer je echter twijfelt of een actie al of niet is toegestaan, is het altijd goed om je door een professional te laten informeren. Bij grotere bedrijven is er vaak een bedrijfsjurist of een juridische afdeling om zich over dit soort vraagstukken te buigen. Wanneer er geen interne juridische medewerker is, is het altijd mogelijk de kennis van een professional in te huren.
© 2012 - 2019 Tomski, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Soorten strafrechtSoorten strafrechtHet Nederlandse rechtssysteem kent vele soorten rechten en wetten die allemaal onder de noemer 'strafrecht' vallen. In d…
Het algemeen deel van het Wetboek van StrafrechtHet algemeen deel van het Wetboek van StrafrechtEen van de belangrijkste onderdelen van het Nederlandse rechtssysteem is het Strafrecht. Het strafrecht is vastgelegd in…
Voorkom identiteitsfraude met de KopieID appVoorkom identiteitsfraude met de KopieID appSteeds meer mensen worden het slachtoffer van identiteitsfraude. Dit komt omdat mensen te goed van vertrouwen zijn en ni…
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Bronnen en referenties
  • www.ejure.nl
  • Wet Bescherming Persoonsgegevens
  • Wetboek van Strafrecht

Reageer op het artikel "Juridische aspecten binnen de ICT"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Tomski
Gepubliceerd: 03-02-2012
Rubriek: Pc en Internet
Subrubriek: Diversen
Bronnen en referenties: 3
Schrijf mee!