De digitalisering van onze maatschappij is al geruime tijd gaande en lijkt niet meer te stoppen. Het spijtige gevolg van deze digitalisering is dat cybercriminaliteit schering en inslag geworden is; steeds meer personen en ondernemingen worden het slachtoffer van phishing, DDoS-aanvallen en zelfs hacking, waarbij gevoelige persoonsgegevens worden gelekt en misbruikt. Daarvan zijn in de media recent talloze voorbeelden verschenen: de cyberaanval op verschillende websites van diverse provincies, het datalek bij Limburg.net, de hacking waar een gekende brouwerij het slachtoffer van werd, …
Vooral het misdrijf van hacking verdient hierbij extra aandacht. Hoog tijd om even stil te staan bij dit misdrijf en om de rechten en procedurele mogelijkheden van slachtoffers van cybercriminaliteit onder de loep te nemen, in het bijzonder wat betreft de bescherming van hun (gevoelige) persoonsgegevens.
Hacking met een datalek tot gevolg, wat houdt dit juist in?
Eén van de meest voorkomende vormen van cybercriminaliteit is “hacking”. Hacking zorgt er vaak voor dat de identiteits- en privégegevens van slachtoffers gelekt worden waardoor ze publiekelijk bekend geraken. Hierdoor kan er vervolgens misbruik van gemaakt worden met het oog op oplichting/phishing,… (denk bijvoorbeeld aan een dader die zich, na het bemachtigen van persoonsgegevens, via whatsapp voordoet als een familielid in moeilijkheden om zo gelden af te troggelen).
Hacking kan, in het algemeen, worden gedefinieerd als het ongeoorloofd binnendringen in een informaticasysteem, vaak via gerichte cyberaanvallen die misbruik maken van zwaktes in het informaticasysteem, en dit met o.m. de bedoeling om toegang te verkrijgen tot de persoonsgegevens van iedereen aangesloten op het gehackte informaticasysteem.
Een hacking kan extern of intern zijn. Bij externe hacking zal de hacker zich toegang verschaffen tot een systeem waartoe hij geen toegangsbevoegdheid heeft (een persoon die van buitenaf inbreekt in een systeem). Bij interne hacking zal de hacking gebeuren door iemand die toegangsbevoegdheid heeft tot een bepaald systeem maar deze bevoegdheid overschrijdt of misbruikt (een persoon die intern toegang heeft tot bv. de software van het bedrijf waarvoor deze werken).
Zo de cyberaanval succesvol is en de hacker toegang heeft gekregen tot het informaticasysteem, leidt dit tot een “datalek”, waarbij de hacker met de buitgemaakte persoonsgegevens twee mogelijkheden heeft. Hij/zij kan deze gegevens verspreiden aan de buitenwereld, alwaar de persoonsgegevens dan door anderen misbruikt kunnen worden. De hacker kan dergelijke verkregen gegevens ook zelf misbruiken.
Een datalek brengt potentieel grote schade mee voor de vaak nietsvermoedende slachtoffers. Slachtoffers kunnen rechtstreeks betrokken worden wanneer de dader zich specifiek richt tot hen. Zij kunnen echter ook onrechtstreeks getroffen worden. Slachtoffers dragen immers ook vaak hun persoonsgegevens in vertrouwen over aan een instelling (zoals bijvoorbeeld een overheidsinstantie of een klantenbestand van een commerciële onderneming) die dan plots gehackt blijkt te zijn door mogelijk eigen falen of onvoldoende beveiliging.
Dergelijke datalekken zijn – zo blijkt uit het overzicht van gegevenslekken van 2020 en 2021 bijgehouden door de Vlaamse Toezichtcommissie -, niet zo zeldzaam als men zou denken en hopen.
Mijn persoonsgegevens zijn gelekt. Wat nu?
Hacking, is een zelfstandig misdrijf en wordt in ons rechtssysteem strafbaar gesteld in art. 550bis Sw.
Het achterhalen van de identiteit van verdachten en de mededaders/medeplichtigen (i.e. hackers, personen die gegevens hebben gelekt…) blijkt evenwel vaak een (onoverkomelijke) uitdaging, mede gelet op het internationaal karakter van het feitencomplex.
De vraag rijst of slachtoffers van een datalek zich ook rechtstreeks kunnen richten tegen de instantie die verantwoordelijk is voor het gehackte informaticasysteem in kwestie (i.e. de verwerkingsverantwoordelijke), voor zover deze verwerkingsverantwoordelijke niet voldoende beveiligingsmaatregelen genomen heeft tegen hacking en cyberaanvallen.
Denk bijvoorbeeld aan een overheidsinstantie die allerlei persoonsgegevens opslaat. Wanneer deze wordt gehackt met een datalek tot gevolg en achteraf blijkt dat er niet het nodige werd gedaan ter bescherming van het eigen informaticasysteem, kunnen de slachtoffers initiatief nemen om deze overheidsinstantie rechtstreeks aan te spreken om hun schade vergoed te zien.
Bewijsproblematiek
De grootste hinderpaal blijft evenwel de bewijsproblematiek aangaande het oorzakelijk verband tussen het datalek (door nalatigheid/onachtzaamheid) enerzijds en de ontstane schade anderzijds.
In de Belgische wetgeving is het vereist dat een dader zich wetens en willens toegang verschaft tot een informaticasysteem, d.w.z. dat hij/zij de kwaadwillige intentie moet hebben gehad om zich zonder toestemming toegang te verschaffen tot het desbetreffende systeem. De dader moet er zich wetens en willens van bewust zijn dat hij niet gerechtigd is om zichzelf toegang te verschaffen tot het informaticasysteem. Bij afwezigheid van deze kwaadwillige intentie, is er geen sprake van het misdrijf hacking. Zo oordeelde alvast de Correctionele Rechtbank van Hasselt reeds in 2004.[1]
Andere landen waaronder Nederland, Duitsland, Denemarken en Finland, hebben in tegenstelling tot België gekozen voor het “doorbreken van een beveiliging” als voorwaarde voor de strafbaarstelling van hacking waardoor enig kwaad opzet in hoofde van de dader niet bewezen dient te worden[2]. Bijvoorbeeld kan gedacht worden aan het laten crashen van een inlog-programma zodat iedereen vrije toegang krijgt tot een systeem, een wachtwoord omzeilen.
In België is het “doorbreken van een beveiligingssysteem” geen constitutief bestanddeel op zich van het misdrijf hacking. In zijn arrest van 24 januari 2017 oordeelde het Hof van Cassatie dat degene die, met bedrieglijk opzet of het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt en zich dus buiten zijn bevoegdheid om toegang verschaft tot bepaalde informaticagegevens zich schuldig maakt aan (interne) hacking[3]. De nadruk ligt op de kwaadwillige intentie van de dader ongeacht zijn toegangsbevoegdheid tot een bepaald informaticasysteem.
Verhaalsmogelijkheden
Overeenkomstig de Belgische strafwetgeving kan een slachtoffer zijn verhaalsmogelijkheden uitoefenen ten opzichte van de dader die zich schuldig heeft gemaakt aan hacking, mits deze kan worden geïdentificeerd én mits de kwaadwillige intentie bewezen kan worden.
In een recent arrest van het Hof van Justitie van 14.12.2023 werden de mogelijkheden van het slachtoffer evenwel verruimd[4]. In een zaak tegen Bulgarije, oordeelde het Hof dat slachtoffers van datalekken zich ook moeten kunnen richten tot de verwerkingsverantwoordelijke. Het Hof van Justitie breidt hiermee alvast de verhaalsmogelijkheden van slachtoffers uit en zet de bescherming van slachtoffers van datalekken en hacking extra kracht bij. Slachtoffers waarvan de persoonsgegevens zijn gelekt als gevolg van hacking of een cyberaanval kunnen zich volgens het Hof dus ook richten tegen de verwerkingsverantwoordelijke en niet alleen tegen de hacker as such, zelfs wanneer ze nog maar vrezen dat hun persoonsgegevens zullen worden misbruikt ten gevolge van een datalek (HVJ 14 december 2023, nr. C-340/21; Bulgarije). Het is dus niet vereist dat de getroffen slachtoffers aantonen dat hun gegevens reeds effectief zijn misbruikt alvorens de verwerkingsverantwoordelijke kan worden aangesproken. Het is voldoende dat de persoonsgegevens kunnen worden misbruikt en dat het slachtoffer vreest dat dit zal gebeuren.
Wanneer een slachtoffer zich in navolging van de rechtspraak van het Hof van Justitie eveneens tegen de verwerkingsverantwoordelijke overheid wil richten, zal hij/zij moeten aantonen dat deze geen of onvoldoende maatregelen heeft genomen ter bescherming tegen hacking en/of cyberaanvallen. Deze kwestie zal vaak een zeer complexe en technische aangelegenheid zijn waardoor de aanstelling van een deskundige zich opdringt.
Het is ons bekend dat er thans in Limburg strafonderzoek loopt tegen Limburg.net ingevolge een cyberaanval op 13.12.2023. Hackers hadden zich toegang verschaft tot tal van persoonsgegevens van naar schatting 279.000 personen. Onderzoek zal moeten uitwijzen in welke mate, buiten de strafrechtelijke aansprakelijkheid van de hackers, voor zover identificeerbaar, ook Limburg.net niet tevens onzorgvuldig handelde door onvoldoende beveiliging van hun data. Wij volgen dat onderzoek met veel belangstelling verder op.
Indien u het slachtoffer werd van deze of andere datalekken, aarzel dan niet om contact op te nemen met ons kantoor. Ons strafrechtteam denkt alvast graag actief mee om u de nodige tools aan te reiken om de gevolgen van het datalek in te schatten en het eventuele misbruik van uw persoonsgegevens te remediëren.
[1]Corr. Hasselt 21 januari 2004, Computerr. 2004, p. 130-131, met noot H. GRAUX. Zie ook: Hof van Beroep te Brussel 19 november 2019, JLMB 2022, afl. 37, p. 1628; Corr. Antwerpen 10 november 2014, T. Strafr. 2015, afl. 2, p. 94, noot G. SCHOORENS; Cass. 5 januari 2011, Arr. Cass. 2011, afl. 1, p.20, Pas. 2011, afl. 1, p. 19; Rev.dr.pén. 2011, afl. 5, p. 583, T. Straf. 2012, afl. 3, p. 162, noot J. COPPENS; Corr. Dendermonde 14 november 2008, Computer. 2009, afl. 2, p. 74, noot L. DAUWE, T. Strafr. 2009, afl. 2, p. 114, noot P. VAN LINTHOUT, Vigiles 2009, afl. 3, p. 135, noot M. VAN HOOGENBEMT.
[2]F. MOLS en J. KEUSTERMANS, “Informaticacriminaliteit”, p. 202 in X., Strafrecht en strafvordering. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, laatste herwerking maart 2024.
[3]Cass. 24 januari 2017, NJW 2018, afl. 375, p. 70, noot S. ROYER, NC 2017, afl. 4, p. 380, RW 2017-18, afl. 11, p. 415, T. Strafr. 2017, afl. 3, p. 206, noot G. SCHOORENS.
[4]HVJ 14 december 2023, nr. C-340/21; Bulgarije.