ECLI:NL:PHR:2025:183

• Datum uitspraak: 11 februari 2025
• Publicatiedatum: 10 februari 2025
• Zaaknummer: 23/01461
• Instantie: Parket bij de Hoge Raad
• Type: Conclusie
• Rechtsgebied: Strafrecht
• Rechters: D.J.M.W. Paridaens
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Computervredebreuk door politieambtenaar met gebruik van valse sleutels

In deze zaak is de verdachte, een politieambtenaar, beschuldigd van computervredebreuk, meermalen gepleegd. Het gerechtshof Den Haag heeft op 4 april 2023 de verdachte veroordeeld zonder oplegging van een straf of maatregel. De verdachte heeft in de periode van 1 januari 2015 tot en met 13 juni 2017 opzettelijk en wederrechtelijk toegang verkregen tot de servers van de politie door gebruik te maken van een gebruikersnaam en wachtwoord die hem ter beschikking stonden voor zijn functie. De verdachte heeft bevragingen gedaan in politiesystemen zonder werkgerelateerd doel, wat in strijd is met de geldende wet- en regelgeving. De verdediging voerde aan dat de verdachte handelde in het kader van zijn politietaak, maar het hof oordeelde dat de bevragingen uitsluitend voor privédoeleinden waren en dat de verdachte de grenzen van zijn autorisatie had overschreden. De conclusie van de procureur-generaal strekt tot verwerping van het beroep, waarbij wordt benadrukt dat de verdachte met zijn handelingen een geautomatiseerd werk wederrechtelijk is binnengedrongen met gebruik van een valse sleutel.

Conclusie

PROCUREUR-GENERAAL

BIJ DE

HOGE RAAD DER NEDERLANDEN

Nummer 23/01461

Zitting 11 februari 2025

CONCLUSIE

D.J.M.W. Paridaens

In de zaak

[verdachte] ,

geboren in [geboorteplaats] op [geboortedatum] 1986,

hierna: de verdachte.

1. Inleiding

1.1

Bij arrest van 4 april 2023 heeft het gerechtshof Den Haag de verdachte wegens “computervredebreuk, meermalen gepleegd” veroordeeld zonder oplegging van een straf of maatregel.

1.2

Namens de verdachte hebben R.J. Baumgardt en M.J. van Berlo, beiden advocaat in Rotterdam, één middel van cassatie voorgesteld.

2. Het middel

2.1

Het middel klaagt over het oordeel van het hof dat de verdachte (opzettelijk en wederrechtelijk) in “één of meer servers van de politie” is binnengedrongen.

Bewezenverklaring en bewijsvoering

2.2

Ten laste van de verdachte is bewezenverklaard dat:

“hij in de periode van 1 januari 2015 t/m 13 juni 2017 te ’s-Gravenhage, telkens opzettelijk en wederrechtelijk in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie, is binnen gedrongen met behulp van één of meer valse sleutels, namelijk door onbevoegd gebruik te maken van een gebruikersnaam en wachtwoord en door zich met een gebruikersnaam en wachtwoord toegang te verschaffen tot de server
(s) van de politie met een ander doel dan waarvoor hem die gebruikersnaam en dat wachtwoord ter beschikking stonden en/of waarvoor hem die toegang was toegestaan en (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van die geautomatiseerde werken waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen namelijk door (telkens) (vertrouwelijke) informatie (omtrent een of meer personen) uit een of meer politiesystemen te exporteren en/of te printen.”

2.3

Deze bewezenverklaring steunt op onder meer de volgende bewijsmiddelen (met weglating van verwijzingen naar dossierpagina’s):

“
2 .

De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in eerste aanleg van 27 augustus 2019 verklaard - zakelijk weergegeven -:

Het klopt dat ik de bevragingen in de politiesystemen heb gedaan. Ik heb [betrokkene 1] gecontroleerd omdat hij zei dat hij een strafblad had.

U houdt mij voor dat als ik inlog in het systeem, een waarschuwing in beeld komt dat er alleen bevraagd mag worden als er een relatie is met het werk. Ik zeg u dat het klopt dat er een waarschuwing in beeld komt en die heb ik ook gezien.

U houdt me voor dat ik bij het doen van bevragingen de informatie uitprintte en dan weer weggooide. U vraagt me waarom ik de informatie dan uitprintte. Ik zeg u dat ik dat heb gedaan vanuit een bepaald gevoel, ik printte het uit, las het nog eens na en dan gooide ik het weg.

U zegt mij dat er geen enkele mutatie is opgemaakt en geen informatie is verzameld en gedeeld met collega's om er eens naar te kijken. Ik zeg u dat dat klopt. Ik deed er helemaal niets mee.

U vraagt mij of er in mijn optiek wel een onderscheid is tussen werkgerelateerde bevragingen en privébevragingen. Ik zeg u dat ik denk dat er wel een onderscheid is.

U houdt me voor dat ik ook mijn eigen vriendin heb bevraagd. Ik zeg dat dat was in het kader van AIVD informatie die ik moest aandragen. U zegt me dat ik heb verklaard dat ik wilde weten of ik met een foute dame te maken had. U zegt me voorts dat dit niets te maken heeft met AIVD-informatie. Ik antwoord u dat dat juist is.

3.

Een proces-verbaal van bevindingen d.d. 11 mei 2017 van de Rijksrecherche met. nr. 1704041550.AMB. Dit proces verbaal houdt onder meer in - zakelijk weergegeven - […]:

Uit de verstrekte logging gegevens afkomstig uit BVI-IB van één van de hoofdverdachten uit het onderzoek "Zeeprik" bleek dat er een aantal personen hadden gelogd, waarbij in het systeem geen mutaties te vinden waren, waarin zij de hen bevraagde gegevens hadden verwerkt. Een van deze personen die op de hoofdverdachte had gezocht betrof de hoofdagent van politie genaamd [verdachte] , werkzaam op het politiebureau [a-straat] te [plaats] , gebruikmakend van het politieaccount [0001] . Binnen het onderzoek "Zeeprik" zijn de historische logging gegevens van [verdachte] verstrekt over de periode 1 januari 2015 tot en met 24 december 2016.

Hieronder wordt beschreven dat [verdachte] middels zijn politieaccount [0001] in de politiesystemen van de periode van 1 januari 2015 tot en met heden met enige regelmaat [betrokkene 1] , maar ook aan [betrokkene 1] gelieerde personen, voertuigen en/of adressen bevraagt. De kenosleutel behorende bij [betrokkene 1] betreft [code 1] .

Op 30 mei 2016 is het de eerste maal dat [verdachte] de kenosleutel behorende bij [betrokkene 1] bevraagt. [verdachte] selecteert de kenosleutel van [betrokkene 1] in korte tijd 2 maal. Op 31 mei 2016 bevraagt [verdachte] de kenosleutel van [betrokkene 1] voor de tweede maal en selecteert hij enkele registraties.

Uit de logging gegevens blijkt dat [verdachte] genoemde kenosleutel bevraagt op 27 augustus 2016.

Op 27 augustus 2016 selecteert [verdachte] de kenosleutel van [betrokkene 1] in het systeem van de Rijksdienst voor het Wegverkeer (RDW), Bluespot en Verwijzingsindex Personen (Huidig SKDB). Blijkens de verstrekte gegevens omtrent, de diensttijden van [verdachte] tijdens de bevraging op 27 augustus 2016 blijkt [verdachte] geen dienst te hebben.

Uit onderzoek is gebleken dat [betrokkene 1] gebruik maakt van een personenauto, merk BMW, voorzien van het kenteken [kenteken 1] . Uit verstrekte logging gegevens is gebleken dat [verdachte] het voertuig in gebruik bij [betrokkene 1] meerdere malen bevraagd in de politiesystemen. Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken 1] op 15 oktober 2015 voor de eerste maal bevraagt. Op deze datum bevraagd [verdachte] het kenteken tweemaal kort achter elkaar.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken 1] op 19 oktober 2015 voor de tweede maal bevraagt.

Op 19 oktober 2015 bevraagt [verdachte] de kenosleutel [code 2] . Deze kenosleutel hoort toe aan [betrokkene 2] , geboren te [geboorteplaats] op [geboortedatum] 1971. Uit onderzoek blijkt genoemde [betrokkene 2] voor te komen op de historische verkeersgegevens van een telefoonnummer in gebruik bij [betrokkene 1] .

Vervolgens bevraagd [verdachte] wederom het kenteken [kenteken 1] in gebruik bij [betrokkene 1] en selecteert wederom de registratie die hij op 15 oktober 2015 heeft bekeken.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken 1] op 2 februari 2016 voor de derde maal bevraagt.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken 1] op 9 februari 2016 voor de vierde maal bevraagt.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken 1] op 8 maart 2017 voor de vijfde maal bevraagt.

[…]

8.

Een proces-verbaal van verhoor getuige d.d. 5 juli 2017 van de politie Rijksrecherche met nr. 1707051456.HUIJA60. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (…):

als de op 5 juli 2017 afgelegde verklaring van [getuige 1] :

O: Wij hebben geconstateerd dat [verdachte] voor zijn bevragingen eigenlijk uitsluitend gebruik maakte van zijn [...] account, zijn [...] account. Tevens hebben wij gekeken naar zijn ingeplande diensten. We zien dan dat [verdachte] 36% van zijn bevragingen binnen diensttijd doet en de rest, dus 64%, buiten diensttijd.

V: In hoeverre is het gebruikelijk dat je buiten je ingeplande diensttijd nog zoveel aan het bevragen bent.

A: Dat is niet gebruikelijk.

De geschriften zijn in samenhang met de overige bewijsmiddelen gebruikt.

[…]

10.

.

Een proces-verbaal van relaas d.d. 16 augustus 2017 van de Rijksrecherche met nr. 1703300951.AMB. Dit proces verbaal houdt onder meer in - zakelijk weergegeven - (…):

als relaas van de betreffende opsporingsambtenaar:

De medewerkers van de Nationale Politie worden, voordat zij politiesystemen kunnen raadplegen, diverse malen gewezen op het vertrouwelijke karakter daarvan en dat misbruik zal worden vervolgd danwel wordt gestraft. Tijdens het raadplegen wordt regelmatig de volgende tekst weergegeven:

“Het bevragen van een persoon zonder gegronde reden e/o noodzaak voor uw taak is niet toegestaan. Ongeautoriseerde toegang tot dit informatiesysteem is strafbaar als een misdrijf. Uw handelingen op dit systeem worden vastgelegd! Indien u bent geautoriseerd verklaart u, door het gebruikmaken van die toegang, expliciet de geldende wet- en regelgeving en de korpsvoorschriften zowel naar de letter als naar de intentie na te leven. U bent zich bewust van de consequenties, mogelijk zelfs strafrechtelijk, indien de informatie en bedrijfsmiddelen op andere wijze gebruikt worden dan omschreven. Informatie mag alleen opgevraagd en gebruikt worden in directe relatie tot uw werkzaamheden voor het korps. (…).”

2.4

Het hof heeft over de bewezenverklaring overwogen:

“De verdachte wordt verweten dat hij computervredebreuk heeft gepleegd door onbevoegd de politiesystemen waartoe hij vanwege zijn functie toegang had, te bevragen.

De verdediging heeft aangevoerd dat de verdachte zich 24 uur per dag, zeven dagen in de week, politieman voelde. Hij heeft de bevragingen in het systeem - die hij niet ontkent te hebben gedaan - dan ook gedaan in het kader van de uitvoering van zijn politietaak.

Het hof overweegt als volgt.

De verdachte heeft tijdens de tenlastegelegde periode de politiesystemen veelvuldig, zowel binnen als buiten diensttijd, bevraagd. Hij maakte daarbij gebruik van zijn politieaccount, door daarop in te loggen met zijn gebruikersnaam en wachtwoord. Dit account had hij vanwege zijn functie als politieman.

Hij heeft bevragingen gedaan op onder meer personen, adressen en voertuigen gelieerd aan [betrokkene 1] , maar ook op zijn eigen broer en vriendin. Deze bevragingen zijn geregistreerd en geëxporteerd (geprint, opgeslagen of verzonden).

De verdachte heeft verklaard dat hij dit deed, omdat hij mogelijk zakelijke activiteiten met [betrokkene 1] wilde gaan ontplooien. Hij had contact met [betrokkene 1] , had afspraken met hem en ontmoette daarbij ook personen die [betrokkene 1] kende. Over die personen, hun adres of de auto’s waar die personen in reden, bevroeg hij dan de systemen die via zijn politieaccount beschikbaar waren.

Het hof is van oordeel dat de genoemde bevragingen door de verdachte zijn gedaan ten behoeve van privédoeleinden die geen enkele relatie hadden met zijn werk als politieman. Daarbij betrekt het hof dat door de verdachte geen mutaties zijn gemaakt van de genoemde bevragingen, zoals dat wel gebruikelijk is binnen het politiewerk. Dat de verdachte zich kennelijk elke dag en op elk moment van de dag politieman voelde doet daar niet aan af. Integendeel, juist van een politieambtenaar wordt en mag worden verwacht dat hij of zij niet alleen bij de uitvoering van het politiewerk handelt in overeenstemming met de wettelijke regelgeving, maar zich daarvan ook bewust is buiten diensttijd.

Door het raadplegen van informatie die de verdachte uitsluitend ter beschikking staat voor de uitvoering van de politietaak is het hof van oordeel dat de verdachte de grenzen van de aan hem verleende autorisatie om de politiesystemen te gebruiken, te buiten is gegaan.

De verdachte wist immers dat hij de bevragingen niet deed in het kader van enig politieonderzoek. Bovendien komt bij het starten van of inloggen op het door de verdachte geraadpleegde politiesysteem de melding in beeld dat het systeem alleen mag worden geraadpleegd met gegronde reden en/of noodzaak. Door de bevragingen desondanks toch te doen is de verdachte een geautomatiseerd werk wederrechtelijk binnengedrongen met gebruikmaking van zijn systeemautorisatie, in casu daardoor aan te merken als een valse sleutel.

Door de verdediging is ook bepleit dat er geen sprake is van een ‘server’ zoals tenlastegelegd. Naar het oordeel van het hof kan een server deel uitmaken van een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken. Aldus maakt de server deel uit van een geautomatiseerd werk.

Het hof verwerpt de verweren en komt tot een bewezenverklaring van het onder 2 tenlastegelegde.”

Bespreking van het middel

2.5

Het hof heeft bewezenverklaard dat de verdachte zich schuldig heeft gemaakt aan computervredebreuk, meermalen gepleegd. Gelet op art. 138ab lid 1 Sr is daarvoor vereist dat uit de bewijsmiddelen kan worden afgeleid dat de verdachte telkens opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk of in een deel daarvan. Het delictsbestanddeel ‘geautomatiseerd werk’ werd in art. 80sexies (oud) Sr, zoals dat luidde tijdens de tenlastegelegde periode, omschreven als “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. ^[1] Van ‘binnendringen’ is op grond van art. 138ab lid 1 Sr in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid.

2.6

De Hoge Raad heeft uit de wetsgeschiedenis afgeleid dat het bij een geautomatiseerd werk moet gaan om een inrichting die “geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens”. ^[2] Het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. “Ook netwerken die bestaan uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken”. ^[3] Zo kan bijvoorbeeld het binnendringen van een router worden aangemerkt als het binnendringen van (een deel van) een geautomatiseerd werk, bestaande uit deze router, een computer en de internetverbinding die met het gebruik van deze twee apparaten tot stand kan worden gebracht, zelfs als geen toegang is verkregen tot de gegevens op de computer. ^[4]

2.7

In de voorliggende zaak heeft het hof vastgesteld dat de verdachte tijdens de tenlastegelegde periode de politiesystemen veelvuldig, zowel binnen als buiten diensttijd, heeft bevraagd en daarbij gebruik maakte van zijn politieaccount door daarop in te loggen met zijn gebruikersnaam en wachtwoord, terwijl de bevragingen zijn gedaan ten behoeve van privédoeleinden die geen enkele relatie hadden met zijn werk als politieman. Het hof komt tot het oordeel dat de verdachte daarbij steeds een deel van een geautomatiseerd werk, de server van de politie, wederrechtelijk is binnengedrongen met gebruikmaking van zijn systeemautorisatie, die daardoor is aan te merken als een valse sleutel.

2.8

Een soortgelijke zaak kwam eerder bij de Hoge Raad terecht. In de zogenoemde zaak ‘politiemol’ ^[5] had het hof vastgesteld dat de verdachte buiten zijn taak als politieambtenaar zijn autorisatie voor toegang tot het beveiligde politiesysteem Blue View had misbruikt door via dit systeem gegevens op te vragen over personen zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Het oordeel van het hof dat de verdachte, gezien dit misbruik van de autorisatie, met behulp van een ‘valse sleutel’ als bedoeld in art. 138ab lid 1 onder c Sr een (deel van een) geautomatiseerd werk wederrechtelijk is binnengedrongen, achtte de Hoge Raad mede in het licht van de wetsgeschiedenis niet getuigen van een onjuiste rechtsopvatting en ook niet onbegrijpelijk. Dat de verdachte “in een of meer (delen van) servers van de politie” was binnengedrongen, zoals het hof had bewezenverklaard, werd – anders dan in de nu voorliggende zaak – in cassatie niet betwist.

2.9

In de onderhavige zaak is ten laste gelegd en bewezenverklaard dat de verdachte een geautomatiseerd werk, namelijk “één of meer servers van de politie”, is binnengedrongen met behulp van “één of meer valse sleutels”. Uit de bewijsvoering blijkt dat de verdachte zonder werkgerelateerd doel is ingelogd op het politiesysteem BVI-IB (dit betreft, zo blijkt uit openbare bronnen, de “Basisvoorziening Informatie-Integrale Bevraging, een software-applicatie die politiemedewerkers in staat stelt om met één bevraging informatie uit verschillende (inter-)nationale en regionale bronregisters te genereren” ^[6] ) en bevragingen heeft gedaan met gebruik van zogenaamde kenosleutels (zie bewijsmiddel 3). Een Kenosleutel bestaat, zo begrijp ik, “uit de vier beginletters van de achternaam van de persoon, eerste voorletter van de eerste voornaam, gevolgd door geboortejaar, geboortemaand en geboortedag”. ^[7] De verdachte heeft zijn bevragingen vervolgens geëxporteerd, hetgeen volgens het hof inhoudt dat hij deze heeft geprint, opgeslagen of verzonden.

2.1

De stellers van het middel voeren aan dat uit de wetsgeschiedenis kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen, maar dat uit de bewijsmiddelen niet zonder meer blijkt dat de verdachte is binnengedrongen “in een of meer servers van de politie”. Dat politiesystemen zijn geraadpleegd door middel van een softwareapplicatie, betekent immers nog niet dat in servers is binnengedrongen.

2.11

Wat mij betreft, faalt het middel. Dat de verdachte een of meer servers van de politie is binnengedrongen, ligt immers in de bewijsvoering besloten. Uit de bewijsmiddelen volgt dat een bevraging via het politiesysteem waarop is ingelogd slechts is toegestaan als er een relatie is met het werk, terwijl de verdachte met gebruik van zijn politieaccount en de softwareapplicatie BVI-IB bevragingen heeft gedaan zonder dat deze relatie bestond. Het gebruik van deze softwareapplicatie via het politiesysteem brengt dan mee dat de verdachte telkens (in ieder geval) een server van de politie waarop deze (voor de politie ontwikkelde) applicatie is geplaatst, is binnengedrongen.

3. Slotsom

3.1

Het middel faalt en kan worden afgedaan met de aan art. 81 lid 1 RO ontleende motivering.

3.2

Ambtshalve heb ik geen grond voor vernietiging van de uitspraak van het hof aangetroffen.

3.3

Deze conclusie strekt tot verwerping van het beroep.

De procureur-generaal

bij de Hoge Raad der Nederlanden

AG

Voetnoten

1. Art. 80sexies is gewijzigd bij de Wet van 27 juni 2018 tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III) (

2. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718,

3. HR 19 maart 2024, ECLI:NL:HR:2024:455,

4. Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718,

5. HR 30 november 2021, ECLI:NL:HR:2021:1691,

6. https://thesaurus.politieacademie.nl/Thesaurus/Term/10424.

7. Vgl. de conclusie van mijn ambtgenoot Spronken van 31 augustus 2021, ECLI:NL:PHR:2021:1107, onder 4.2, punt ii.