Voorstel PvdA om hackers wettelijk te beschermen onnodig en ongewenst

De PvdA komt met een voorstel om hackers die datalekken ontdekken wettelijk te beschermen als klokkenluider. Het plan kan op brede steun in de Tweede Kamer rekenen. Maar is zo’n speciale hackerswet wel nodig?

Hackers zijn de piraten van de digitale wereld, heb ik ooit eens gelezen. Dat is natuurlijk lang niet altijd zo. Hackers doen soms uitermate nuttig werk. Zij kunnen immers als geen ander zwakke plekken in de beveiliging van gevoelige data aantonen. En met die beveiliging gaat het nogal eens mis, met het debacle rond DigiNotar als meest recente voorbeeld.

Dat hackers maatschappelijk een belangrijke rol kunnen vervullen, bleek wel in de OVchipkaart soap. Keer op keer werd aangetoond hoe makkelijk de OV-chipkaart te kraken was. Vervelend voor de vervoersbedrijven, die op deze manier eenvoudig konden worden bestolen. Maar ook vervelend voor de passagiers, wier reisgegevens en naam- en adresgegevens jarenlang bewaard worden in de onveilige databanken van Trans Link. Hackers hebben ervoor gezorgd dat dit probleem brede aandacht kreeg in pers en politiek, en dat de verantwoordelijke partijen gedwongen werden maatregelen te nemen. Het EPD is zelfs afgeschoten door de Eerste Kamer vanwege beveiligingsproblemen.

Nuttig werk dus, het inbreken in beveiligde databanken teneinde het veiligheidslek aan te tonen. Maar strikt genomen wel een misdrijf: artikel 138ab van het Wetboek van Strafrecht bepaalt dat computervredebreuk, zoals hacken in goed Nederlands wordt genoemd, kan worden gestraft met een gevangenisstraf van maximaal een jaar of een geldboete van 19.000 euro.

De PvdA nu wil juist voorkomen dat hackers die goed werk doen een gevangenisstraf boven het hoofd hangt. Op het eerste gezicht een sympathiek plan, de PvdA zal daar vast stemmen mee winnen. Maar in mijn ogen onnodig en zelfs onwenselijk.

Wanneer hackers door middel van een speciale wet worden beschermd, ligt misbruik op de loer. Om dit te voorkomen zou de wet heel gedetailleerd moeten beschrijven onder welke omstandigheden hackers vrijuit gaan. Maar daar is een wet niet voor, dat moet aan de rechter worden overgelaten die veel beter geëquipeerd is om op detailniveau de wet toe te passen. Wetten worden niet geschreven op basis van casuïstiek. Zij moeten dit juist overstijgen. De rechtspraak is er voor om wetten op het concrete geval toe te passen. Daarbij kan de rechter rekening houden met alle omstandigheden van het geval en een afweging maken tussen verschillende belangen. Dat is ook juist de taak van de rechter. De wet is statisch en de rechter flexibel. Zo kan de rechter een oude wet toepassen in de context van de actualiteit en het specifieke geval. Samen vormen zij een belangrijke motor in onze rechtstaat en als duo zijn zij effectiever dan wanneer keer op keer nieuwe wetten moeten worden gemaakt.

Kortom, er moet een goede reden zijn om een nieuwe wet te maken voor een zeer specifiek geval. Maar lopen ‘goede’ hackers nu echt zoveel gevaar om in de gevangenis te belanden? Nee, want als zij al worden vervolgd door het OM zal de rechter ze waarschijnlijk vrij spreken of geen straf opleggen. Een goed voorbeeld van het dit systeem werkt: in december 2010 werd een hacker van de OV-chipkaart door de rechter veroordeeld tot een werkstraf van 60 uur. Hij voerde weliswaar aan dat hij slechts het veiligheidslek van de kaart wilde aantonen, maar hij had niet de publiciteit gezocht en bovendien had hij al 26 kaarten vervalst. Het verweer ging dus niet op. Deze maand  besliste het OM echter om Brenno de Winter niet te vervolgen voor het hacken van de OV-chipkaart. Hij had dit namelijk gedaan in het kader van zijn onderzoek naar de veiligheid van de kaart en kon aantonen dat hij genoodzaakt was om hierbij de wet te overtreden.

En dat is precies in de lijn van de vaste rechtspraak van het Europees Hof voor de Rechten van de Mens als het gaat om de positie van journalisten die strafbare feiten plegen teneinde een misstand aan de kaak te stellen. Het Hof onderstreept dat ook een journalist zich aan de wet heeft te houden, geen vrijwaring dus voor strafvervolging. Maar als een journalist kan aantonen dat het schenden van de wet noodzakelijk was en hij daarbij bovendien proportioneel heeft gehandeld zonder anderen in gevaar te brengen, vormt een strafrechtelijke veroordeling een ontoelaatbare inperking van de vrijheid van meningsuiting. Onder specifieke omstandigheden zal een journalist dus moeten worden vrijgesproken. Net zoals Alberto Stegeman eind april is vrijgesproken voor zijn Schiphol inbraak.

De samenwerking tussen wet en rechter werkt met andere woorden prima. Waarom moet er dan een afzonderlijke wettelijke bescherming komen voor hackers die niet eens voor journalisten geldt? En kan deze klokkenluiderswet voor hackers rekening houden met de specifieke omstandigheden die hebben geleid tot veroordeling van de vervalser van de 26 OV-chipkaarten? Of zou deze man onder bescherming van de nieuwe wet vrolijk verder kunnen gaan?

Het voorstel van de PvdA is weer een voorbeeld van hoe ons land door de waan van de dag wordt geregeerd. Een parlementariër leest wat in het nieuws en hup, er wordt een proefballonnetje voor een nieuwe wet opgelaten. Ik spreek de hoop uit dat wetgeving doordacht en na goede voorbereiding tot stand komt, en niet een simpele reactie is op een nieuwsbericht. Anders loopt het wetgevingsproces altijd achter de feiten aan en krijgen wij casuïstische wetten die alleen maar tot verwarring en misbruik kunnen leiden.

Dit stuk staat ook op solv.nl