Background Image

News

News

Het hof van cassatie lijkt de knoop door te hakken omtrent interne hacking: Machtsoverschrijding is strafbaar, machtsafwending niet


Iemand die met slechte bedoelingen zijn “toegangsbevoegdheid tot een informaticasysteem overschrijdt” maakt zich mogelijk strafbaar aan interne hacking. Dit misdrijf viseert eenieder die toegangsbevoegdheid heeft tot een systeem, maar die zijn bevoegdheid op eigen initiatief uitbreidt tot een deel van het systeem waarvoor hij niet bevoegd is. De wetgever liet echter na om duidelijk te omschrijven wat nu precies wordt bedoeld met “overschrijden van toegangsbevoegdheid”. Dit is een feitelijke (en netelige) kwestie die hij aldus overliet aan de rechter.

Gaandeweg tekenden zich twee stellingen af. De eerste stelling was dat men het begrip zuiver materieel diende te benaderen, d.w.z. vanuit de vraag of men toegang heeft of niet. Van het ogenblik dat iemand toegangsbevoegdheid heeft kan die zich niet schuldig maken aan interne hacking.

De tweede stelling nam bij de beoordeling van het begrip "overschrijden van toegangsbevoegdheid" ook de finaliteit (d.w.z. waartoe ze werd verleend; bv. IT-support vanop afstand, rekeningenbeheer van klanten, stockbeheer van een magazijn, enz.) van die bevoegdheid in aanmerking en verdedigde dat iemand zich ook schuldig maakt aan interne hacking als die weliswaar toegangsbevoegd is, maar die bevoegdheid aanwendt voor andere doeleinden dan die waarvoor ze werd verleend.

Aan die juridische ‘onenigheid’ lijkt het Hof van Cassatie nu een einde te hebben gemaakt in een arrest van 24 januari 2017.

De onderliggende feiten waren samengevat de volgende. Een dame X, personeelslid van de dienst informatica van een Vlaamse stad had toegangsbevoegdheid tot het volledige informaticasysteem met een welbepaalde finaliteit. Die had betrekking op technische bijstand, onderhoud en probleemoplossingen. Deze dame zou zich tijdens haar ziekteverlof vanop afstand toegang hebben verschaft tot het informaticasysteem van de stad, en in het bijzonder tot een document dat was opgesteld door een ander personeelslid Y waarin de vervanging werd besproken van X als ondervoorzitter van de ‘adviesraad feestcomité’. Volgens Y had X zich zo zonder haar toestemming toegang verschaft tot een bestand waartoe zij geen toegang had voor de noden van de dienst informatica (pro memorie: bijstand, onderhoud en probleemoplossing).

Het hof van beroep had geoordeeld dat X zich daarbij schuldig had gemaakt aan interne hacking omdat zij haar weliswaar volledige toegangsbevoegdheid met bedrieglijke intenties had afgewend van de finaliteit ervan.

Het Hof van Cassatie vernietigde die beslissing. Het oordeelde dat een persoon strafbaar is voor interne hacking als hij een gelimiteerde toegangsbevoegdheid tot een informaticasysteem overschrijdt, m.a.w. als hij zich toegang verschaft tot gegevens die buiten zijn bevoegdheid vallen (i.e. machtsoverschrijding).

Iemand die daarentegen toegang neemt tot gegevens waartoe hij onbeperkte toegangsbevoegdheid heeft, maar dit doet op een manier die strijdig is met de oorspronkelijke finaliteit (i.e. machtsafwending), maakt zich volgens het Hof van Cassatie niet schuldig aan interne hacking.

Wat in een stad voor personeelsleden geldt, zoals in het cassatiearrest, zal ook voor werkgevers in de privé- sector gelden.

De beslissing van het Hof van Cassatie betekent niet dat die werkgevers zich niet kunnen beschermen tegen onrechtmatig gebruik van gegevens door werknemers die toegang hebben tot het informaticasysteem van hun bedrijf. Het komt erop aan duidelijk te bepalen in de policy van het bedrijf, de arbeidsovereenkomst en/of het arbeidsreglement (waardoor elke werknemer bij ondertekening juridisch is gebonden mits alle voorwaarden zijn vervuld), wat de toegangsbevoegdheid is van de werknemers tot het informaticasysteem van het bedrijf en waar nodig aan deze bevoegdheid grenzen te stellen. Hierbij wordt beter geen gebruik gemaakt van voor interpretatie vatbare (holle) woorden als finaliteit en functionaliteit. Het is voor een werkgever perfect mogelijk (juridisch dan wel technisch) om de toegang tot het informaticasysteem bijvoorbeeld te beperken in tijd en ruimte en/of slechts voor welomschreven doeleinden de toegang mogelijk te maken. De toegangsbevoegdheid van de werknemers kan dan algemeen zijn, maar is tegelijk niet onbeperkt. Bij niet-naleving van deze opgelegde grenzen, overschrijdt de werknemer zijn toegangsbevoegdheid en voldoet hij alleszins al aan de materiele voorwaarde van het misdrijf van interne hacking.

De werknemer kan trouwens alsnog een misdrijf plegen wanneer hij binnen zijn toegangsbevoegdheid blijft. Dat kan het geval zijn wanneer hij met opzet kennis neemt van "het bestaan van informatie van alle aard die via elektronische weg is verstuurd", zeg maar e-mails en dergelijke, die niet persoonlijk voor hem bestemd zijn (zie artikel 124 van de wet van 13 juni 2005 betreffende de elektronische communicatie)

NILS Network premiers in Belgium with a new one-stop-solution for support on investigations, litigations and disputes


The Network for Investigation and Litigation Support (NILS) is a cooperative association of 17 highly specialized niche offices.

Through this collaboration, the founding firms aim to leverage their (niche) expertise and to provide sophisticated support to clients whilst radically simplifying all coordination and billing matters.

Frank Staelens, President of the European Institute for Fraud Auditors (EIIFA), and one of the founders of NILS, summarized the idea behind the initiative as follows: "There is a clear trend among experienced lawyers in certain legal fields to leave the large business law firms and create their own niche firms. This has allowed them to offer more focused services at lower costs for their clients. By becoming a member of NILS, such firms will now find it much easier to support their clients with complex matters that require the input from different areas of expertise and the use of advanced technologies, such as the execution and resolution of investigations, litigations and disputes in full compliance with regulations and best practices. In practice, NILS offers a single point of contact for support coordination, at the right time and with one contract and rate for all. Clients can call upon NILS in a reactive mode and/or to assist with the implementation of preventative measures."

NILS is composed of firms within the fields of legal, forensic audit, risk analysis and cyber security. More details can be found on the NILS website.