Uitspraak
afdeling strafrecht
parketnummer: 23-001929-23
datum uitspraak: 16 april 2026
TEGENSPRAAK
Verkort arrest van het gerechtshof Amsterdam, gewezen op het hoger beroep ingesteld tegen het vonnis van de rechtbank Noord-Holland van 20 juni 2023 in de strafzaak onder parketnummer 15-109726-21 tegen
[verdachte],
geboren te [geboorteplaats] ( [geboorteland] ) op [geboortedag] 1996,
adres: [adres] .
Onderzoek van de zaak
Dit arrest is gewezen naar aanleiding van het onderzoek ter terechtzitting in hoger beroep van 19 maart 2026 en 2 april 2026 en naar aanleiding van het onderzoek ter terechtzitting in eerste aanleg.
De verdachte en het openbaar ministerie hebben hoger beroep ingesteld tegen voormeld vonnis.
Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen de verdachte en de raadsman naar voren hebben gebracht.
Tenlastelegging
Aan de verdachte is tenlastegelegd dat:
1. primair
hij op of omstreeks 27 maart 2021 te Haarlem en/of Soesterberg en/of De Bilt en/of Groningen, in elk geval in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk, namelijk in een server van [bedrijf] , is binnengedrongen met behulp van een valse sleutel, namelijk, door onbevoegd gebruik te maken van een toegangscertificaat (digitale sleutel) met bijbehorend wachtwoord en zich met dat certificaat en bijbehorend wachtwoord toegang te verschaffen tot (delen van de) server van [bedrijf] (waarop de medische gegevens van de patiënten van [stichting] stonden) met een ander doel dan waarvoor hem toegang tot dat certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan, en (vervolgens) een hoeveelheid gegevens (zoals beschreven op p. 91) die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en anderen heeft overgenomen, namelijk door die medische gegevens van [stichting] van die server te downloaden en op te slaan op zijn (privé)computer en/of op zijn (privé)USB-stick, in ieder geval op (een) gegevensdrager(s)
hij op of omstreeks 27 maart 2021 te Haarlem en/of Soesterberg en/of De Bilt en/of Groningen, in elk geval in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk, namelijk in een server van [bedrijf] , is binnengedrongen met behulp van een valse sleutel, namelijk, door onbevoegd gebruik te maken van een toegangscertificaat (digitale sleutel) met bijbehorend wachtwoord en zich met dat certificaat en bijbehorend wachtwoord toegang te verschaffen tot (delen van de) server van [bedrijf] (waarop de medische gegevens van de patiënten van [stichting] stonden) met een ander doel dan waarvoor hem toegang tot dat certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan, en (vervolgens) een hoeveelheid gegevens (zoals beschreven op p. 91) die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf en anderen heeft overgenomen, namelijk door die medische gegevens van [stichting] van die server te downloaden en op te slaan op zijn (privé)computer en/of op zijn (privé)USB-stick, in ieder geval op (een) gegevensdrager(s)
1.
subsidiair
hij op of omstreeks 27 maart 2021 te Haarlem en/of Soesterberg en/of De Bilt en/of Groningen, in elk geval in Nederland, opzettelijk en wederrechtelijk niet-openbare gegevens, te weten medische (persoons- en/of bedrijfs-) gegevens van [stichting] in beheer bij [bedrijf] die waren opgeslagen door middel van een geautomatiseerd werk, voor zichzelf en/of voor een ander heeft overgenomen en hij, verdachte, dit heeft gepleegd met het oogmerk om zich wederrechtelijk te bevoordelen;
subsidiair
hij op of omstreeks 27 maart 2021 te Haarlem en/of Soesterberg en/of De Bilt en/of Groningen, in elk geval in Nederland, opzettelijk en wederrechtelijk niet-openbare gegevens, te weten medische (persoons- en/of bedrijfs-) gegevens van [stichting] in beheer bij [bedrijf] die waren opgeslagen door middel van een geautomatiseerd werk, voor zichzelf en/of voor een ander heeft overgenomen en hij, verdachte, dit heeft gepleegd met het oogmerk om zich wederrechtelijk te bevoordelen;
2.
hij (op een of meerdere tijdstip(pen)) in of omstreeks de periode van 2 april 2021 tot en met 22 april 2021 te Haarlem en/of Soesterberg, in elk geval in Nederland ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich of (een) ander(en) wederrechtelijk te bevoordelen, door bedreiging met smaad en/of smaadschrift en/of openbaarmaking van een geheim, een (rechts)persoon, te weten [stichting] , althans een ander of anderen, te dwingen tot afgifte van een of meerdere bitcoin(s), hij, verdachte:
- onder de naam ‘ [naam 1] ’ via het contactformulier van de website van [stichting] en/of via de website Anonymousemail.nl een of meerdere berichten te sturen en/of
- in die berichten aan te geven de beschikking te hebben over de gehele database met de medische (persoons- en/of bedrijfs-) gegevens van die [stichting] en/of
- in die berichten aan te geven dat [stichting] een of meerdere bitcoin(s) moet betalen om te voorkomen dat voornoemde gegevens openbaar worden gemaakt en/of worden gedeeld en/of worden verkocht aan de hoogste bieder terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.
hij (op een of meerdere tijdstip(pen)) in of omstreeks de periode van 2 april 2021 tot en met 22 april 2021 te Haarlem en/of Soesterberg, in elk geval in Nederland ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich of (een) ander(en) wederrechtelijk te bevoordelen, door bedreiging met smaad en/of smaadschrift en/of openbaarmaking van een geheim, een (rechts)persoon, te weten [stichting] , althans een ander of anderen, te dwingen tot afgifte van een of meerdere bitcoin(s), hij, verdachte:
- onder de naam ‘ [naam 1] ’ via het contactformulier van de website van [stichting] en/of via de website Anonymousemail.nl een of meerdere berichten te sturen en/of
- in die berichten aan te geven de beschikking te hebben over de gehele database met de medische (persoons- en/of bedrijfs-) gegevens van die [stichting] en/of
- in die berichten aan te geven dat [stichting] een of meerdere bitcoin(s) moet betalen om te voorkomen dat voornoemde gegevens openbaar worden gemaakt en/of worden gedeeld en/of worden verkocht aan de hoogste bieder terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.
Voor zover in de tenlastelegging taal- en/of schrijffouten voorkomen, zal het hof deze verbeterd lezen. De verdachte wordt daardoor niet in de verdediging geschaad.
Vonnis waarvan beroep
Het vonnis waarvan beroep zal worden vernietigd, omdat het hof een iets andere bewijsconstructie hanteert en tot een op een detail andere bewezenverklaring en tot een andere strafoplegging komt. Ook is, vanwege afstand door de verdachte van een aantal goederen, niet alle beslag meer aan de orde. Tot slot ligt de vordering benadeelde partij niet meer voor, nu deze civielrechtelijk is afgedaan.
Het hof heeft in belangrijke mate gebruik gemaakt van de bewijsconstructie die de rechtbank heeft opgesteld.
Standpunten advocaat-generaal en verdediging
De advocaat-generaal heeft gerekwireerd tot bewezenverklaring van het onder 1. primair en het onder 2. tenlastegelegde, op basis van haar schriftelijke requisitoir.
Namens en door de verdachte is aangevoerd dat hij van het tenlastegelegde moet worden vrijgesproken.
Ten aanzien van het onder 1. primair tenlastegelegde is daartoe door de raadsman aangevoerd dat, in weerwil van hetgeen is geoordeeld door de Hoge Raad in het zogenoemde Politiemol-arrest (HR:2021:1691), geen bewijs aanwezig is voor het binnendringen met een valse sleutel. Daarnaast is met betrekking tot het onder 1. primair en subsidiair tenlastegelegde sprake van onvoldoende bewijs dat het de verdachte is geweest die in het systeem van [bedrijf] is binnengedrongen. De verdachte heeft in dat laatste verband gesteld dat hij niet de kennis heeft om [bedrijf] te hacken en in het kader van een alternatief scenario aangevoerd dat zijn desktopcomputer op 27 maart 2021 tussen 11:40 uur en 19:39 uur in de slaapstand heeft gestaan. Dan is volgens de verdachte het bevragen en vervolgens downloaden van bestanden van een server niet mogelijk. Als op die dag toch nieuwe bestanden in de mappen van zijn computer zijn terechtgekomen, dan is dat via automatisch synchroniseren gebeurd door een hack door iemand van buitenaf.
Ten aanzien van het onder 2 tenlastegelegde is door de verdediging aangevoerd dat op de gegevensdragers van de verdachte dataverkeer ontbreekt ten tijde van (de verzending van) de afdreigingsberichten, dat de op de Lumia telefoon aangetroffen documenten nooit zijn geopend, en dat het feitelijk onmogelijk is dat de verdachte degene is geweest die de dreigberichten op 20 april 2021 om 13:02 uur en 13:06 uur naar [stichting] heeft verstuurd, omdat hij op die dag en tijdstippen met zijn auto onderweg was tussen Amersfoort en Soesterberg.
Overwegingen ten aanzien van het onder 1. primair en 2 tenlastegelegde
Feiten en omstandigheden
Op grond van de bewijsmiddelen en hetgeen op de terechtzitting aan de orde is gekomen gaat het hof uit van de volgende feiten en omstandigheden.
[bedrijf] B.V. (hierna: [bedrijf] ) is een bedrijf dat software aanbiedt voor onder andere het elektronisch proces van voorschrijven en toedienen van medicatie. [bedrijf] verzorgde in 2021 voor de [stichting] (hierna: [stichting] ) het elektronische medicatieproces en beschikte daardoor over databasebestanden met persoons- en medische gegevens van cliënten van [stichting] die op de servers van [bedrijf] stonden opgeslagen. Die gegevens werden door [bedrijf] alleen benaderd vanuit een vast IP-adres dat was verbonden aan [stichting] . De toegang tot de gegevens was bovendien beveiligd met een certificaat, dat was voorzien van een wachtwoord.
Op 16 april 2021 werd de directeur van [bedrijf] bericht door zijn contactpersoon bij [stichting] dat [stichting] werd afgeperst door een persoon die meldde dat hij alle data van [stichting] in bezit had en die dreigde deze te openbaren als hij geen bitcoins zou ontvangen. Onder de namen ‘ [naam 1] ’ en ‘ [naam 2] ’ is [stichting] in de periode 2 apri1 2021 tot en met 22 apri1 2021 in totaal zeven keer benaderd. Dit gebeurde via het contactformulier op de website van [stichting] en per e-mail. In die berichten werden (enkele) persoonsgegevens van patiënten van [stichting] gedeeld die zouden zijn verkregen door een datalek. Onder dreiging van openbaarmaking van deze gegevens werd [stichting] telkens verzocht een hoeveelheid bitcoins te betalen op de bitcoin wallet met het adres:
[wallet]. Er werd niet betaald door [stichting] .
Uit onderzoek door [bedrijf] bleek dat op 27 maart 2021 via een afwijkend IP-adres met behulp van het programma Postman Runtime/7.26.8 de server van [bedrijf] waarop de data van [stichting] stonden, was bevraagd en dat op dezelfde dag tussen 12:43 uur en 13:05 uur een dataoverdracht (download) had plaatsgevonden. Daarbij was onrechtmatig gebruik gemaakt van het certificaat dat alleen door [stichting] gebruikt mag worden voor het benaderen van deze data.
De verdachte was destijds tweedelijns helpdeskmedewerker bij [bedrijf] en had uit hoofde van zijn functie toegang tot het certificaat. In verband met corona werkten medewerkers van [bedrijf] vanuit hun eigen huis. Het was medewerkers van [bedrijf] niet toegestaan om vanaf huis de computersystemen van [bedrijf] te benaderen en daarop in te loggen op een andere wijze dan de door de werkgever toegestane verbindingsmethode van (in eerste instantie) VPN in combinatie met RDP en (daarna) via een door de werkgever verstrekte laptop. Ook was het hun niet toegestaan om werk gerelateerde gegevens op een privé-computer te hebben staan. Er was voor de verdachte ook geen enkele (werk gerelateerde) reden om zelf patiëntgegevens te hebben.
Zowel [stichting] als [bedrijf] deed aangifte van computervredebreuk. Daarnaast deed [stichting] aangifte (en klacht) van afdreiging.
Via – kort gezegd – het IP-adres dat was te relateren aan een van de dreigberichten is de politie de verdachte op het spoor gekomen. Op 22 april 2021 werd de verdachte aangehouden in verband met verdenking van de onder 2 tenlastegelegde pogingen tot afdreiging van [stichting] .
In de woning van de verdachte zijn diverse digitale gegevensdragers aangetroffen, waarover de verdachte heeft verklaard dat hij de gebruiker van al deze gegevensdragers was. Op een bureau werd een Microsoft Mobile Lumia [nummer 1] telefoon aangetroffen (hiervoor en hierna ook: Lumia telefoon) in vliegtuigmodus, zonder SIM- en SD-kaart en zonder accu (beslagnummer A.5.2.3). Deze Lumia telefoon heeft in het verleden alleen een wifiverbinding gemaakt met een hotspot genaamd Mazda. Die hotspot werd tot stand gebracht door de eveneens inbeslaggenomen Samsung S20 telefoon (beslagnummer A.5.2.4). De verdachte heeft verklaard dat hij zijn Lumia telefoon gebruikte via de hotspot van zijn Samsung telefoon. In die Lumia telefoon bevond zich een map met datasets. Deze datasets (met onder meer het bestand [bestand 1] ) komen inhoudelijk overeen met de van de servers van [bedrijf] gedownloade gegevens, zoals beschreven op pagina 91 van het procesdossier. Deze gegevens zijn omstreeks het tijdstip van de dataoverdracht van de server van [bedrijf] op de Lumia telefoon van de verdachte beland. Dezelfde datasets zijn aangetroffen op de tevens in de woning van de verdachte in een lade aangetroffen USB-stick (SanDisk Ultra 64GB, beslagnummer A.5.2.2). Daarop stond ook het voor de toegang tot de server van [bedrijf] benodigde certificaat. Het bijbehorend wachtwoord is aangetroffen op de ook in de woning van de verdachte inbeslaggenomen zelfgebouwde desktop computer (beslagnummer A.5.2.5). Op diezelfde computer werd activiteit waargenomen van het programma Runtime Postman op 27 maart 2021 tussen 11:49 uur en 13:13:44 uur. Dit komt overeen met de tijdstippen van de eerder genoemde gegevensoverdracht op de server van [bedrijf] op 27 maart 2021. Deze desktop computer stond op 27 maart 2021 tussen 11:40 uur en 19:39 uur in slaapstand, maar uit onderzoek is gebleken dat de desktop op dat moment activiteit van het programma Postman liet zien en alleen activiteit liet zien vanuit een aan die desktop gekoppelde Acer Aspire (A114-32; [nummer 2] ) laptop. Deze Acer Aspire laptop is bij de doorzoeking van de woning van de verdachte niet aangetroffen, maar ter terechtzitting in eerste aanleg heeft de verdachte verklaard een Acer laptop in bezit te hebben gehad. Daarnaast is op de bovengenoemde SanDisk USB-stick in een LNK file een verwijzing aangetroffen naar bestand [bestand 2] waaruit blijkt dat dit programma zeer waarschijnlijk geïnstalleerd is geweest op de genoemde laptop. Ook werd in andere LNK files op de USB stick gezien dat de gebruikersnaam die op deze laptop werd gebruikt, ssfb, dezelfde is als die die werd aangetroffen op de desktop computer.
Het oordeel van het hof met betrekking tot feit 1. primair
Op basis van het voorgaande komt het hof, met de rechtbank, tot de conclusie dat de verdachte de gebruiker is geweest van de Acer Aspire laptop. Met die laptop zijn op 27 maart 2021 via de desktop van de verdachte, die op dat moment gebruik maakte van een wifi hotspot Mazda die tot stand werd gebracht met de Samsung telefoon van de verdachte, patiëntgegevens gedownload van de server van [bedrijf] . Die gegevens bevonden zich ook op de in een lade aangetroffen SanDisk USB-stick van de verdachte. Reeds de onderlinge koppeling van deze gegevensdagers van de verdachte rechtvaardigt de conclusie dat het de verdachte is geweest die op 27 maart 2021 het onder 1. primair tenlastegelegde feit heeft gepleegd. Tekenend daarbij is dat de Lumia telefoon geen accu bevatte, in vliegtuigmodus stond en alleen via de wifi hotspot Mazda verbinding heeft gemaakt, zodat het noodzakelijk was om het fysieke toestel in bezit te hebben om daarvan gebruik te kunnen maken. Dat geldt eveneens voor de USB-stick die bij de doorzoeking in een lade is aangetroffen, maar op enig moment in een gegevensdrager moet hebben gezeten om de daarop aangetroffen gegevens daarop te kunnen opslaan. Deze beide constateringen maken het door de verdachte gevoerde verweer dat een ander op afstand via een hack, waarbij gegevens zijn gesynchroniseerd, gebruik zou kunnen hebben gemaakt van zijn gegevensdragers om daarmee de data van de servers van [bedrijf] te downloaden, volstrekt onaannemelijk. Dat door de verdachte gevoerde verweer wordt daarom in al zijn onderdelen verworpen.
Ook het verweer van de raadsman dat geen sprake was van binnendringen met een valse sleutel wordt verworpen. De verdachte heeft uit het systeem van [bedrijf] gegevens gedownload met een daarvoor benodigd certificaat en wachtwoord. De verdachte
konweliswaar vanwege zijn werk over dit certificaat en wachtwoord beschikken en kon uit hoofde van zijn functie deze handeling technisch doen, maar hij
mochtdit niet doen uit hoofde van die functie. Dergelijk handelen levert, conform vaste jurisprudentie van de Hoge Raad, op het binnendringen met een valse – immers onbevoegd gebruikte – sleutel. Het door de raadsman gevoerde juridische verweer wordt daarom eveneens verworpen.
konweliswaar vanwege zijn werk over dit certificaat en wachtwoord beschikken en kon uit hoofde van zijn functie deze handeling technisch doen, maar hij
mochtdit niet doen uit hoofde van die functie. Dergelijk handelen levert, conform vaste jurisprudentie van de Hoge Raad, op het binnendringen met een valse – immers onbevoegd gebruikte – sleutel. Het door de raadsman gevoerde juridische verweer wordt daarom eveneens verworpen.
Daarom is bewezenverklaard dat de verdachte feit 1. primair heeft gepleegd.
Het oordeel van het hof met betrekking tot feit 2
Omstreeks de tijdstippen van de door [stichting] ontvangen dreigberichten van 21 april 2021 werd via de Lumia telefoon contact gezocht met de website van [stichting] en met de website Anonymousemail. Via informatie verkregen van KPN Mobile (via het gebruikte IP-adres met poortnummer wordt uitgekomen bij een IMSI-nummer met daaraan gekoppeld de naam en adresgegevens van de verdachte) komt de recherche uiteindelijk de verdachte op het spoor. Daarnaast worden op meerdere gegevensdragers van de verdachte (de desktop computer, de Microsoft Lumia 950 XL telefoon en de SanDisk USB-stick) tekstdocumenten met vergelijkbare inhoud als de aan [stichting] verstuurde dreigberichten aangetroffen. Nader onderzoek aan de bestanden op de desktop computer wijst verder uit dat de verdachte de beschikking had over de privésleutel voor de toegang tot het bitcoin-adres zoals dat
telkens is genoemd in de dreigberichten.
De stelling van de verdachte dat hij niet degene is die de afdreigberichten aan [stichting] heeft gezonden wordt weersproken door de resultaten van het onderzoek.
In de eerste plaats konden de afdreigberichten van 17 en 20 april 2021 via het IP-adres en de gebruikte poorten worden gekoppeld aan het telefoonnummer [telefoonnummer] , zijnde het telefoonnummer dat op naam van de verdachte staat. Het adres van de bitcoin wallet – waarop betaald moest worden om publicatie van de patiëntgegevens te voorkomen – dat in de verschillende afdreigberichten staat is telkens hetzelfde. Daarbij geldt dat de in totaal zeven verzonden berichten een zeer vergelijkbare inhoud hadden en met een in ernst van de gevolgen bij niet voldoen aan de (eerdere) eisen toenemende indringendheid, zodat deze berichten als elkaar opvolgende berichten kunnen worden beschouwd. In de tweede plaats omdat nader onderzoek aan de bestanden op de desktop computer uitwijst dat de verdachte de beschikking had over de privésleutel voor de toegang tot het bitcoin-wallet-adres zoals telkens is genoemd in de dreigberichten. In de derde plaats omdat op meerdere gegevensdragers van de verdachte (de desktop computer, de Microsoft Lumia 950 XL telefoon en de SanDisk USB-stick) tekstdocumenten met vergelijkbare inhoud als de aan [stichting] verstuurde dreigberichten zijn aangetroffen. En in de vierde plaats omdat de afdreigberichten die via het contactformulier op de website van [stichting] zijn verstuurd – dat betreft 5 van de 7 berichten – alle met een Lumia 950XL zijn verzonden.
Dit alles, in onderling verband en samenhang bezien, rechtvaardigt het oordeel van het hof, wederom net als de rechtbank, dat de verdachte als pleger van het onder 2 tenlastegelegde feit moeten worden aangemerkt. Daar komt nog bij dat ook voor dit feit geldt dat juist de fysieke beschikbaarheid bij de verdachte van de USB-stick met daarop de genoemde gegevens, die niet meer verbonden was aan een computer, het standpunt van de verdachte dat hij het slachtoffer is van een hack waarbij gegevens zijn gesynchroniseerd, ongeloofwaardig maakt. Daarnaast is dit alternatieve scenario onder de hierboven gegeven omstandigheden eveneens ongeloofwaardig, gegeven dat de verdachte de dader was van de computervredebreuk waarbij de gegevens zijn weggenomen met de openbaarmaking waarvan juist werd gedreigd in de afdreigbrieven.
Bewezenverklaring
Het hof acht wettig en overtuigend bewezen dat de verdachte het onder 1. primair en 2 tenlastegelegde heeft begaan, met dien verstande dat:
1. primair
hij op 27 maart 2021 in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk, namelijk in een server van [bedrijf] , is binnengedrongen met behulp van een valse sleutel, namelijk, door onbevoegd gebruik te maken van een toegangscertificaat (digitale sleutel) met bijbehorend wachtwoord en zich met dat certificaat en bijbehorend wachtwoord toegang te verschaffen tot de server van [bedrijf] (waarop de medische gegevens van de patiënten van [stichting] stonden) met een ander doel dan waarvoor hem toegang tot dat certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan, en vervolgens een hoeveelheid gegevens (zoals beschreven op p. 91) die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen, namelijk door die medische gegevens van [stichting] van die server te downloaden en op te slaan op zijn privéUSB-stick.
hij op 27 maart 2021 in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk, namelijk in een server van [bedrijf] , is binnengedrongen met behulp van een valse sleutel, namelijk, door onbevoegd gebruik te maken van een toegangscertificaat (digitale sleutel) met bijbehorend wachtwoord en zich met dat certificaat en bijbehorend wachtwoord toegang te verschaffen tot de server van [bedrijf] (waarop de medische gegevens van de patiënten van [stichting] stonden) met een ander doel dan waarvoor hem toegang tot dat certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan, en vervolgens een hoeveelheid gegevens (zoals beschreven op p. 91) die waren opgeslagen door middel van dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen, namelijk door die medische gegevens van [stichting] van die server te downloaden en op te slaan op zijn privéUSB-stick.
2.
hij in de periode van 2 april 2021 tot en met 22 april 2021 in Nederland, ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich wederrechtelijk te bevoordelen, door bedreiging met openbaarmaking van een geheim, een rechtspersoon, te weten [stichting] , te dwingen tot afgifte van bitcoins, hij, verdachte:
- onder de naam [naam 1] via het contactformulier van de website van [stichting] en via de website Anonymousemail.nl berichten heeft verstuurd en
- in die berichten heeft aangegeven de beschikking te hebben over de gehele database met de medische (persoons- en/of bedrijfs-) gegevens van die [stichting] en
- in die berichten heeft aangegeven dat [stichting] bitcoins moet betalen om te voorkomen dat voornoemde gegevens openbaar worden gemaakt en/of worden gedeeld en/of worden verkocht aan de hoogste bieder, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.
hij in de periode van 2 april 2021 tot en met 22 april 2021 in Nederland, ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich wederrechtelijk te bevoordelen, door bedreiging met openbaarmaking van een geheim, een rechtspersoon, te weten [stichting] , te dwingen tot afgifte van bitcoins, hij, verdachte:
- onder de naam [naam 1] via het contactformulier van de website van [stichting] en via de website Anonymousemail.nl berichten heeft verstuurd en
- in die berichten heeft aangegeven de beschikking te hebben over de gehele database met de medische (persoons- en/of bedrijfs-) gegevens van die [stichting] en
- in die berichten heeft aangegeven dat [stichting] bitcoins moet betalen om te voorkomen dat voornoemde gegevens openbaar worden gemaakt en/of worden gedeeld en/of worden verkocht aan de hoogste bieder, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.
Hetgeen onder 1. primair en 2 meer of anders is tenlastegelegd, is niet bewezen. De verdachte moet hiervan worden vrijgesproken.
Het bewezenverklaarde is gegrond op de feiten en omstandigheden die in de bewijsmiddelen zijn vervat, zoals deze na het eventueel instellen van beroep in cassatie zullen worden opgenomen in de op te maken aanvulling op dit arrest.
Strafbaarheid van het bewezenverklaarde
Geen omstandigheid is aannemelijk geworden die de strafbaarheid van het onder 1. primair en 2 bewezenverklaarde uitsluit, zodat dit strafbaar is.
Het onder 1. primair bewezenverklaarde levert op:
computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt.
Het onder 2 bewezenverklaarde levert op:
poging tot afdreiging.
Strafbaarheid van de verdachte
De verdachte is strafbaar, omdat geen omstandigheid aannemelijk is geworden die de strafbaarheid ten aanzien van het onder 1. primair en het onder 2 bewezenverklaarde uitsluit.
Oplegging van straffen
De rechtbank heeft de verdachte voor het in eerste aanleg onder 1. primair en 2 bewezenverklaarde veroordeeld tot 180 dagen gevangenisstraf, waarvan 132 dagen voorwaardelijk, met proeftijd van 3 jaren en met aftrek van voorarrest, en tot 240 uur taakstraf subsidiair 120 dagen hechtenis.
De advocaat-generaal heeft gevorderd dat de verdachte voor het onder 1. primair en 2 tenlastegelegde zal worden veroordeeld tot een gevangenisstraf voor de duur van 180 dagen, waarvan 132 dagen voorwaardelijk met een proeftijd van 3 jaren en met aftrek van voorarrest, tot een taakstraf voor de duur van 240 uur subsidiair 120 dagen hechtenis, alsmede tot een geldboete van € 10.000,- subsidiair 100 dagen hechtenis.
Het hof heeft in hoger beroep de op te leggen straffen bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en gelet op de persoon van de verdachte, alsmede zijn draagkracht. Het hof heeft daarbij in het bijzonder het volgende in beschouwing genomen.
De verdachte heeft als helpdeskmedewerker misbruik gemaakt van mogelijkheden en gegevens die hij vanwege zijn functie had door een server van een klant van zijn werkgever te hacken waarop persoonlijke en medische gegevens van ongeveer 30.000 personen stonden. Deze gegevens heeft de verdachte overgenomen en op een privé gegevensdrager opgeslagen. Vervolgens heeft hij geprobeerd door dreigberichten het bedrijf dat verantwoordelijk was voor het beheer van deze gegevens te dwingen tot betaling in bitcoins. Bij uitblijven van betaling heeft de verdachte gedreigd de gegevens openbaar te maken of te verkopen aan anderen.
Het hacken van systemen om vervolgens, met de buitgemaakte privacygevoelige data, bedrijven tot betaling proberen te dwingen, zijn ernstige feiten. Het maakt een (potentieel) grote inbreuk op de privacy van de mensen van wie de data zijn verkregen en kan leiden tot (ernstige) vervolgcriminaliteit met die data, zoals oplichting. Daarbij kan grote onzekerheid ontstaan en blijven bestaan bij de slachtoffers, omdat zij niet weten waar hun privacygevoelige gegevens belanden en wat daarmee in de toekomst mogelijk nog gebeurt. De impact van dergelijke ‘hacks’ is dus erg groot.
Dit soort criminaliteit kan bedrijven bovendien in enorme financiële problemen brengen. Als klanten door een datadiefstal hun vertrouwen in een bedrijf verliezen, leidt dat tot teruglopende inkomsten. Ook moet een bedrijf de moeilijke afweging maken of aan de cybercrimineel betaald wordt om gegevens terug te krijgen, maar zonder garantie dat de gegevens na betaling niet alsnog worden verspreid. Die beslissing heeft bovendien niet alleen impact op het bedrijf dat zelf slachtoffer is geworden, maar ook op andere ‘potentiële’ slachtoffers. Immers, als betaald wordt, wordt duidelijk dat dergelijke misdaad loont en kan dat door criminelen gezien worden als een aanlokkelijk verdienmodel.
In dit geval is de afdreiging niet voltooid - hetgeen niet aan de verdachte is te danken – en is niet betaald aan de verdachte. Het bedrijf waar de verdachte bij in dienst was, heeft echter wel aanzienlijke financiële schade geleden. Het hof rekent de verdachte aan dat hij, in zijn streven naar geldelijk gewin, geen enkele rekening heeft gehouden met de mogelijke gevolgen van zijn handelen voor de betrokken bedrijven en de hele grote groep mensen van wie hij privacygevoelige data heeft buitgemaakt.
Gelet op het voorgaande, is het hof van oordeel dat een gevangenisstraf, waarvan het onvoorwaardelijk deel de duur van het voorwaardelijk deel overstijgt, in beginsel gerechtvaardigd is.
In de persoonlijke omstandigheden van de verdachte, die ten opzichte van hetgeen de rechtbank in haar vonnis heeft vastgesteld niet zijn veranderd, ziet het hof geen aanleiding om anders te oordelen over de op te leggen straf.
Het hof stelt echter vast dat de redelijke termijn als bedoeld in artikel 6, eerste lid, van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, in eerste aanleg en in hoger beroep is overschreden. De redelijke termijn is aangevangen op 22 april 2021, de dag dat de verdachte is aangehouden en in verzekering is gesteld. De rechtbank heeft in deze zaak vonnis gewezen op 20 juni 2023. Dit brengt een overschrijding van de redelijke termijn van bijna twee maanden met zich.
Op 3 juli 2023 heeft de verdachte hoger beroep tegen het vonnis ingesteld. Dit betekent dat de redelijke termijn in de fase van het hoger beroep met ruim negen maanden is overschreden. Het hof ziet aanleiding om de overschrijding van de redelijke termijn in eerste aanleg en in hoger beroep te compenseren in de strafmodaliteit en -soort. Daar waar het hof zonder termijnoverschrijding een gevangenisstraf zou hebben opgelegd waarvan het onvoorwaardelijk deel aanmerkelijk langer is dan de tijd die de verdachte in deze zaak heeft vastgezeten (48 dagen), zal het hof volstaan met een onvoorwaardelijk deel dat gelijk is aan het voorarrest, met daarnaast een taakstraf en geldboete. Dit betekent dat de verdachte (in beginsel) niet opnieuw komt vast te zitten voor deze zaak. De gevorderde en opgelegde financiële straf past naar het oordeel van het hof bij het sterk rationele en financieel gedreven karakter van de misdrijven die de verdachte heeft gepleegd.
Het hof acht, alles afwegende, een gevangenisstraf, een taakstraf en een geldboete van na te melden duur c.q. hoogte passend en geboden.
Beslag
Nu de verdachte ter terechtzitting in hoger beroep afstand heeft gedaan van de onder hem in beslag genomen wapens en munitie, heeft het hof alleen nog te beslissen over de navolgende voorwerpen.
De advocaat-generaal heeft ten aanzien van het resterende beslag gevorderd te beslissen conform de rechtbank. De raadsman heeft geen standpunt ingenomen.
Het hof zal de onder de verdachte inbeslaggenomen en niet teruggegeven voorwerpen, zijnde een USB-stick, een Lumia 950XL telefoon, een Samsung S-20 telefoon en een zelfgebouwde computer, verbeurd verklaren. De voorwerpen behoren de verdachte toe en het onder 1. primair en 2 bewezenverklaarde is met behulp van deze voorwerpen begaan of voorbereid.
Het hof zal de teruggave gelasten van de onder de verdachte inbeslaggenomen en niet teruggegeven Dell computer aan de rechtmatige eigenaar. Op grond van het onderzoek ter terechtzitting is komen vast te staan dat dit voorwerp eigendom is van [bedrijf] B.V.
Toepasselijke wettelijke voorschriften
De op te leggen straffen zijn gegrond op de artikelen 9, 14a, 14b, 14c, 22c, 22d, 23, 24, 24c, 33, 33a, 45, 57, 63, 138ab (oud) en 318 van het Wetboek van Strafrecht.
BESLISSING
Het hof:
Vernietigt het vonnis waarvan beroep en doet opnieuw recht:
Verklaart zoals hiervoor overwogen bewezen dat de verdachte het onder 1. primair en 2 tenlastegelegde heeft begaan.
Verklaart niet bewezen hetgeen de verdachte meer of anders is tenlastegelegd dan hierboven is bewezenverklaard en spreekt de verdachte daarvan vrij.
Verklaart het onder 1. primair en 2 bewezenverklaarde strafbaar, kwalificeert dit als hiervoor vermeld en verklaart de verdachte strafbaar.
Veroordeelt de verdachte tot een
gevangenisstrafvoor de duur van
180 (honderdtachtig) dagen.
gevangenisstrafvoor de duur van
180 (honderdtachtig) dagen.
Bepaalt dat een gedeelte van de gevangenisstraf, groot
132 (honderdtweeëndertig) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van
3 (drie) jarenaan een strafbaar feit heeft schuldig gemaakt.
132 (honderdtweeëndertig) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van
3 (drie) jarenaan een strafbaar feit heeft schuldig gemaakt.
Beveelt dat de tijd die door de verdachte vóór de tenuitvoerlegging van deze uitspraak in enige in artikel 27, eerste lid, van het Wetboek van Strafrecht bedoelde vorm van voorarrest is doorgebracht, bij de uitvoering van de opgelegde gevangenisstraf in mindering zal worden gebracht, voor zover die tijd niet reeds op een andere straf in mindering is gebracht.
Veroordeelt de verdachte tot een
geldboetevan
€ 7.500,- (zevenduizendvijfhonderd euro), bij gebreke van betaling en verhaal te vervangen door
62 (tweeënzestig) dagen hechtenis.
geldboetevan
€ 7.500,- (zevenduizendvijfhonderd euro), bij gebreke van betaling en verhaal te vervangen door
62 (tweeënzestig) dagen hechtenis.
Veroordeelt de verdachte tot een
taakstrafvoor de duur van
240 (tweehonderdveertig) uren, indien niet naar behoren verricht te vervangen door
120 (honderdtwintig) dagen hechtenis.
taakstrafvoor de duur van
240 (tweehonderdveertig) uren, indien niet naar behoren verricht te vervangen door
120 (honderdtwintig) dagen hechtenis.
Verklaart verbeurdde in beslag genomen, nog niet teruggegeven voorwerpen, te weten:
- 1 STK Zelfgebouwde computer;
- 1 STK USB-stick;
- 1 STK telefoon (Lumia);
- 1 STK USB-stick;
- 1 STK telefoon (Lumia);
- 1 STK telefoon (Samsung).
Gelast de teruggave aan [bedrijf] B.V.van het in beslag genomen, nog niet teruggegeven voorwerp, te weten:
- 1 STK Dell Computer.
Dit arrest is gewezen door de meervoudige strafkamer van het gerechtshof Amsterdam, waarin zitting hadden mr. P.K. van Riemsdijk, mr. D.A.C. Koster en mr. T. de Bont , in tegenwoordigheid van
mr. M. Gest, griffier, en is uitgesproken op de openbare terechtzitting van dit gerechtshof van
mr. M. Gest, griffier, en is uitgesproken op de openbare terechtzitting van dit gerechtshof van
16 april 2026.
Mr. Van Riemsdijk is buiten staat dit arrest mede te ondertekenen.
=========================================================================
[…]