Uitspraak
RECHTBANK ZEELAND-WEST-BRABANT
Strafrecht
Zittingsplaats: Breda
parketnummer: 02-136836-23
vonnis van de meervoudige kamer van 19 juni 2025
in de strafzaak tegen
[verdachte],
geboren op [geboortedag] 1985 te [geboorteplaats] ,
wonende te [woonadres] ,
raadsvrouw mr. J.M. Veldman, advocaat te Breda.
1.Onderzoek van de zaak
De zaak is inhoudelijk behandeld op de zitting van 5 juni 2025, waarbij de officier van justitie, mr. C. de Pagter, en de verdediging hun standpunten kenbaar hebben gemaakt.
2.De tenlastelegging
De tenlastelegging is als bijlage I aan dit vonnis gehecht.
De verdenking komt er, kort en feitelijk weergegeven, op neer dat verdachte in de periode van 1 februari 2022 tot en met 3 februari heeft ingebroken in de systemen van [B.V.] .
3.De voorvragen
De dagvaarding is geldig.
De rechtbank is bevoegd.
De officier van justitie is ontvankelijk in de vervolging.
Er is geen reden voor schorsing van de vervolging.
4.De beoordeling van het bewijs
4.1
Het standpunt van de officier van justitie
De officier van justitie acht wettig en overtuigend bewezen dat verdachte de database op de server van [B.V.] heeft gehackt en
baseert zich daarbij op de aangifte en de verklaring van verdachte dat het gebruikte IP-adres aan hem toebehoort. Verdachte beschikte destijds ook over software (Burpsuite) op zijn computers waarmee websites automatisch op kwetsbaarheden gescand konden worden. Verdachte heeft ook opzettelijk gehandeld nu hij verklaart dat hij mogelijk een pentest heeft gedaan en het doel van pentesten er op is gericht om binnen te dringen om op die manier zwakheden aan te tonen in de database. Zoals uit de aangifte blijkt, heeft [B.V.] nooit toestemming gegeven aan verdachte of het bedrijf waar hij destijds werkzaam voor was om deze pentesten uit te voeren. Daarnaast heeft verdachte achteraf geen melding gemaakt dat hij was binnengedrongen in het systeem. De officier van justitie baseert zich daarbij op ‘White paper’ uitgaven van het Nationaal Cyber Security Center waarin ‘best practises’ worden gegeven ten aanzien van security testen.
4.2
Het standpunt van de verdediging
De verdediging is van mening dat de rechtbank niet tot een bewezenverklaring kan komen en wijst daarbij op het feit dat verdachte in het kader van zijn dienstverband bij zijn [werkgever] destijds veel websites heeft onderzocht op kwetsbaarheden. Ethisch hacken werd binnen de organisatie aangemoedigd. Verdachte kan zich niet herinneren of [B.V.] in dat kader digitaal is bezocht en heeft ook geen gegevens hiervan in zijn administratie terug kunnen vinden. Wellicht is er voldoende wettig bewijs, maar op basis van het dossier is er onvoldoende overtuigend bewijs voor het feit dat verdachte wederrechtelijk en opzettelijk computervredebreuk heeft gepleegd.
4.3
Het oordeel van de rechtbank
4.3.1
De bewijsmiddelen
Indien hoger beroep wordt ingesteld zullen de bewijsmiddelen worden uitgewerkt en opgenomen in een bijlage die aan het vonnis zal worden gehecht
4.3.2
De bijzondere overwegingen omtrent het bewijs
De rechtbank stelt voorop dat computervredebreuk het opzettelijk en wederrechtelijk binnendringen is van een geautomatiseerd werk of een deel daarvan. Van wederrechtelijk binnendringen in een geautomatiseerd werk is sprake als men zich de toegang verschaft tot dat werk tegen de onmiskenbare wil van de rechthebbende. Die wil kan blijken uit woorden en daden, maar in ieder geval moet die blijken uit enige beveiliging van dat werk. Daarbij gaat het er om dat degene die het werk binnendringt, doelbewust enige inspanning moet hebben verricht om de beveiliging te doorbreken.
Op basis van de bewijsmiddelen constateert de rechtbank het volgende. Op 28 februari 2022 heeft [naam] namens [B.V.] aangifte gedaan van computervredebreuk. Op 2 februari 2022 om 09:15 uur, werd door de ICT afdeling “verdacht verkeer” op de systemen van [B.V.] geconstateerd. Als gevolg daarvan is een extern bureau ingeschakeld om onderzoek te doen naar dit verdachte verkeer. Hieruit is naar voren gekomen dat er in de periode van 1 tot en met 3 februari 2022 een SQL-injectie-aanval heeft plaatsgevonden op de database die werd gehost op de server van [B.V.] en dat hierbij gebruik is gemaakt van het IP-adres van verdachte. Gebleken is dat er een groot aantal SQL-injecties (138) in korte tijd zijn uitgevoerd op de database van [B.V.] . Op basis van die omstandigheid gaat de politie er vanuit dat gebruik is gemaakt van een SQL-injectie Tool. [B.V.] heeft, blijkens de aangifte, nooit toestemming gegeven aan een derde om de (beveiliging van de) server van het bedrijf te testen of te hacken. Ook heeft [B.V.] geen melding gehad van deze hack of een andere melding in het kader van responsible disclosure. Bij de aanval is toegang verkregen tot gegevens van medewerkers.
Verdachte heeft verklaard dat hij in de periode van voornoemde aanval werkzaam was bij [werkgever] . Binnen dat bedrijf werd ethisch hacken aangemoedigd. Er waren lijsten beschikbaar van bedrijven (klanten van [werkgever] ) die op basis van responsible disclosure gehackt mochten worden. Verdachte beschikte over een thuiswerkplek en het programma Burpsuite (met SQL-injectietool mogelijkheden) op zijn computer(s). Verdachte ging in die tijd regelmatig op zoek naar kwetsbaarheden op websites van bedrijven (van klanten van [werkgever] ). Indien deze werden gevonden, werden deze, volgens verdachte, altijd gerapporteerd aan het desbetreffende bedrijf. Verdachte heeft aangegeven dat hij niet meer weet of [B.V.] mogelijk in dat kader is “aangevallen”. Verdachte heeft aangegeven dat hij het bedrijf niet kent en kan desgevraagd ook geen gegevens overleggen zoals een melding in het kader van responsible disclosure of een rapport over de aangetroffen kwetsbaarheden bij [B.V.] .
Op basis van de aangifte (gedaan door de CIO van [B.V.] ) staat naar het oordeel van de rechtbank echter vast dat [B.V.] in de ten laste gelegde periode geen klant was van [werkgever] en ook geen toestemming heeft gegeven voor een dergelijke aanval. Nu de SQL-injecties hebben plaatsgevonden vanaf het IP-adres van verdachte, die tevens ook over de tools en kennis beschikte om dergelijke aanval te doen, is de rechtbank van oordeel dat verdachte opzettelijk en ook wederrechtelijk is binnengedrongen in de server van [B.V.] door een technische ingreep.
4.4
De bewezenverklaring
De rechtbank acht wettig en overtuigend bewezen dat verdachte in de periode 1 februari 2022 tot en met 3 februari 2022 te [plaats] opzettelijk en wederrechtelijk in een gedeelte van een geautomatiseerd werk, te weten een of meerdere servers toebehorende aan [B.V.] waarop een database van voornoemde [B.V.] wordt gehost, is binnengedrongen door een technische ingreep, door gebruik te maken van software programma’s, te weten SQL map (Burpsuite), welke programma’s gebruikt worden om (databases van) websites binnen te dringen (of te hacken) door middel van SQL-injecties en (vervolgens) toegang verschaft heeft gekregen tot gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van (delen van) dat geautomatiseerde werk waarin hij zich wederrechtelijk bevond, waaronder vertrouwelijke en gevoelige informatie
(naam, e-mailadres en personeelsnummer van een werknemer);
(naam, e-mailadres en personeelsnummer van een werknemer);
Voor zover er in de tenlastelegging kennelijke taal- en/of schrijffouten voorkomen, zijn die fouten in de bewezenverklaring verbeterd. Verdachte is daardoor niet in zijn verdediging geschaad.
De rechtbank acht niet bewezen hetgeen meer of anders is ten laste gelegd. Verdachte zal daarvan worden vrijgesproken.
5.De strafbaarheid
Er zijn geen feiten of omstandigheden aannemelijk geworden die de strafbaarheid van het feit uitsluiten. Dit levert het in de beslissing genoemde strafbare feit op.
Verdachte is strafbaar, omdat niet is gebleken van een omstandigheid die zijn strafbaarheid uitsluit.
6.De strafoplegging
6.1
De vordering van de officier van justitie
De officier van justitie vordert aan verdachte op te leggen een geheel voorwaardelijke werkstraf van 60 uur met een proeftijd van 2 jaar.
6.2
Het standpunt van de verdediging
De verdediging verzoekt de rechtbank, indien zij komt tot een veroordeling, bij het opleggen van een straf rekening te houden met de persoonlijke omstandigheden van verdachte. Hij heeft een jong gezin en een moeder die lijdt aan de ziekte van Alzheimer. Verdachte verkeert al lange tijd in onzekerheid door deze strafzaak en dat trekt een zware wissel op hem. De verdediging verzoekt de rechtbank, indien deze tot een bewezenverklaring komt, om verdachte schuldig te verklaren zonder oplegging van straf of maatregel (artikel 9a Sr) en uiterst subsidiair om een geheel voorwaardelijke werkstraf op te leggen.
6.3
Het oordeel van de rechtbank
Bij het bepalen van de straf heeft de rechtbank in aanmerking genomen de ernst van het gepleegde feit, de omstandigheden waaronder dit is begaan en gegrond op de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan tijdens het onderzoek ter terechtzitting is gebleken. De rechtbank neemt hierbij in het bijzonder het volgende in aanmerking.
De verdachte heeft zich schuldig gemaakt aan computervredebreuk. Hij heeft
de website van [B.V.] weten te hacken door gebruik te maken van daarvoor bestemde softwareprogramma’s. Door het binnendringen in de server van [B.V.] heeft de verdachte inbreuk gemaakt op het recht van de eigenaar op het ongestoorde gebruik van de server en op de privacy van de werknemers. Zoals uit de aangifte is gebleken, heeft dit geleid tot een aanzienlijke schade van € 27.000,-. De rechtbank rekent dit verdachte aan.
De rechtbank heeft acht geslagen op het strafblad van de verdachte van 16 april 2025, waaruit blijkt dat de verdachte niet eerder voor een strafbaar feit is veroordeeld.
De rechtbank stelt vast dat een misdrijf zoals het onderhavige ernstig is, waardoor voor degelijke feiten normaliter (onvoorwaardelijke) gevangenisstraffen worden opgelegd. Nu het feit van langer geleden is, verdachte een first offender is en hij authentiek overkomt in zijn standpunt waarin hij beschrijft wat deze zaak met hem persoonlijk heeft gedaan, zal de rechtbank niet overgaan tot het opleggen van een gevangenisstraf. Verdachte is een informaticus die nog altijd in dat veld werkzaam is. Hoewel hij toegang heeft gekregen tot gevoelige gegevens, is niet gebleken dat hij hier ook echt kwade bedoelingen mee had, of dat hij deze gegevens heeft geëxporteerd of opgeslagen. Hieruit lijkt dan ook te volgen dat verdachte niet van kwade wil was. Wel blijft door de verklaring van verdachte onduidelijk wat dan wél zijn bedoeling was. De rechtbank acht de door de officier van justitie gevorderde voorwaardelijke werkstraf passend en geboden.
7.De wettelijke voorschriften
De beslissing berust op de artikelen 14a, 14b, 22c, 22d, 138ab van het Wetboek van Strafrecht zoals deze artikelen luidden ten tijde van het bewezenverklaarde.
8.De beslissing
De rechtbank:
Bewezenverklaring
- verklaart het tenlastegelegde bewezen, zodanig als hierboven onder 4.4 is omschreven;
- spreekt verdachte vrij van wat meer of anders is ten laste gelegd;
Strafbaarheid
- verklaart dat het bewezenverklaarde het volgende strafbare feit oplevert:
Computervredebreuk
Computervredebreuk
- verklaart verdachte strafbaar;
Strafoplegging
- veroordeelt verdachte tot
een taakstraf van 60 uren, subsidiair 30 dagen vervangende hechtenis, voorwaardelijk met een proeftijd van twee jaar;
een taakstraf van 60 uren, subsidiair 30 dagen vervangende hechtenis, voorwaardelijk met een proeftijd van twee jaar;
- bepaalt dat deze taakstraf niet ten uitvoer wordt gelegd, tenzij de rechter later anders mocht gelasten, omdat verdachte voor het einde van de proeftijd na te melden voorwaarde niet heeft nageleefd;
- stelt als
algemene voorwaardedat verdachte zich voor het einde van de proeftijd niet schuldig maakt aan een strafbaar feit.
algemene voorwaardedat verdachte zich voor het einde van de proeftijd niet schuldig maakt aan een strafbaar feit.
Dit vonnis is gewezen door mr. J.P.E. Mullers, voorzitter, mr. E.B. Prenger en mr. S. Tempel, rechters, in tegenwoordigheid van R. Rozendaal, griffier, en is uitgesproken ter openbare zitting op 19 juni 2025.
Mr. Mullers is niet in de gelegenheid dit vonnis mede te ondertekenen.