Belgisch IT-strafrecht lust geen witte ridders
De ophefmakende ‘Electragate’-zaak rond topman Jean-Pierre Hansen is onlangs op een anticlimax uitgedraaid. Wat beloofde de nieuwe ReDaTtAcK-zaak te worden, is uiteindelijk voortijdig gestrand in de Brusselse raadkamer.
In februari 2004 hackten drie informatici het netwerk van Electrabel en de pc van de persoon bevoegd voor investor relations. Nadat de inbraak ontdekt werd, werd al snel duidelijk dat de informatici waren binnengelaten door Jean-Pierre Hansen, de toenmalige voorzitter van de Raad van Bestuur van Electrabel. Hansen bekende daarop de feiten publiekelijk op de algemene aandeelhoudersvergadering van Electrabel, al bleef hij beweren dat hij te goeder trouw was en enkel de veiligheid van het netwerk wilde controleren, om zo bedrijfsspionage door een concurrent van moedermaatschappij Suez te voorkomen.
De raadkamer van Brussel heeft op 8 januari 2008 beslist tot opschorting van de uitspraak, waardoor de feiten wel bewezen worden geacht, maar geen straf wordt uitgesproken. Ongeacht de vraag of Hansen inderdaad goede bedoelingen had, blijft de voortijdige stopzetting van de zaak spijtig vanuit juridisch oogpunt. Deze zaak had immers een interessant juridisch precedent kunnen vormen voor het Belgische IT-strafrecht. Sinds 2000 bestaan er immers goede wetten die allerhande vormen van informaticacriminaliteit bestraffen, maar die wetten werden zelden ‘getest’ in de rechtbank. Hoe duidelijk een wet ook mag geschreven zijn, zo’n toetsing door de rechtbank blijft onontbeerlijk. Niet alleen voor advocaten en professoren, maar ook voor informatici.
Een interessante vraag is bijvoorbeeld hoe de rechter in deze zaak zou omgaan met de beweerdelijk goede intenties van Hansen. De Belgische wetgeving maakt immers een onderscheid tussen externe hacking (inbraak in een systeem waar men geen toegang toe heeft) en interne hacking (overschrijding van de toegekende rechten). De drempel tot bestraffing is veel lager bij externe hacking, omdat daarbij ook de ‘witte ridders’ worden bestraft die inbreken met als enige doel om kwetsbaarheden in de beveiliging bloot te leggen – zelfs als ze die kwetsbaarheden achteraf zouden melden. Interne hacking wordt daarentegen enkel bestraft als er werkelijk kwade intenties zijn, zodat bijvoorbeeld een werknemer die voor de sport of uit loutere nieuwsgierigheid probeert een interne server te kraken, niet strafbaar is.
In de Electrabel-zaak lijkt een boeiende mix van elementen van interne hacking en externe hacking voorhanden. Stel dat Hansen bijvoorbeeld de centrale netwerkserver van Electrabel heeft laten kraken door externe informatici. Hij had allicht wel beperkte toegangsrechten tot het netwerk, maar waarschijnlijk geen toegangsrechten tot de netwerkserver. Is dit dan nog interne hacking? Wat met de manipulatie van de pc van investor relations, die aangesloten is op het interne netwerk? Wat als deze pc remote bestuurd werd via de centrale server, en langs die weg gehackt werd? Afgezien van eventuele andere aantijgingen van het parket (zoals de keylogger die zou zijn geïnstalleerd), zou de bestraffing van Hansen staan of vallen met de kwalificatie van externe dan wel interne hacking.
Deze vragen, waar ik als advocaat regelmatig mee geconfronteerd word, zullen voorlopig onbeantwoord blijven. Het is daarom spijtig dat de zaak op een sisser is afgelopen en het parket heeft aangekondigd niet in beroep te gaan.
Prof. Dr. Patrick Van Eecke is advocaat gespecialiseerd in IT-recht bij DLA Piper. Hij doceert tevens IT-recht aan Queen Mary University, Londen, en aan de Universiteit Antwerpen.
