HR, 09-04-2019, nr. 17/00643

HR, 09-04-2019, nr. 17/00643

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Uitspraak 09‑04‑2019

Inhoudsindicatie

Computervredebreuk, art. 138ab.1 Sr. Voltooid delict of poging? Onvoldoende bewijs van ‘binnendringen’ in een deel van een geautomatiseerd werk. De enkele omstandigheid dat verdachte blijkens b.m. m.b.v. een scan-programma de website van aangever op kwetsbaarheden heeft onderzocht, waarvan een aantal werd geblokkeerd en dat als gevolg daarvan ‘niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden’, volstaat daartoe niet. De vermelding in b.m. van aanvallen d.m.v. “cross site scripting” en “directory traversal”, waarvan de werking niet nader is toegelicht, maakt dat niet anders, in aanmerking genomen dat zonder nadere motivering, die ontbreekt, in het midden blijft of verdachte toegang heeft verworven door een technische ingreep of dat het bij een poging daartoe is gebleven. Volgt vernietiging en terugwijzing. CAG: anders.

Partij(en)

9 april 2019

Strafkamer

nr. S 17/00643

Hoge Raad der Nederlanden

Arrest

op het beroep in cassatie tegen een arrest van het Gerechtshof Den Haag van 22 november 2016, nummer 22/005651-14, in de strafzaak tegen:

[verdachte] , geboren te [geboorteplaats] op [geboortedatum] 1981.

1. Geding in cassatie

Het beroep is ingesteld door de verdachte. Namens deze hebben R.J. Baumgardt en P. van Dongen, beiden advocaat te Rotterdam, bij schriftuur middelen van cassatie voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit.

De Advocaat-Generaal P.C. Vegter heeft geconcludeerd tot vernietiging van het bestreden arrest, maar uitsluitend voor wat betreft de hoogte van de opgelegde straf.

2. Beoordeling van het eerste middel

2.1.

Het middel klaagt onder meer dat de bewezenverklaring van het onder 2 tenlastegelegde voor zover inhoudende dat de verdachte is 'binnengedrongen' in een deel van een geautomatiseerd werk niet uit de gebezigde bewijsmiddelen kan worden afgeleid.

2.2.1.

Bij inleidende dagvaarding is aan de verdachte onder 2 ten laste gelegd dat:

"Primair

hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,

te weten de webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan, is binnen gedrongen,

waarbij hij, verdachte, enige beveiliging heeft doorbroken en/of de toegang heeft verworven door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid,

door (onder meer) gebruik te maken van een software programma, te weten het software programma Acunetix dan wel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen;

Subsidiair

hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, ter uitvoering van het door hem verdachte voorgenomen misdrijf om opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken voor opslag of verwerking van gegevens, te weten de webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan,

- binnen te dringen, en/of

- (vervolgens) gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen door middel van dat/die geautomatiseerde(e) werk(en), voor zichzelf of een ander over te nemen, af te tappen of op te nemen,

(onder meer) gebruik heeft gemaakt van een software programma, te weten het software programma Acunetix dan wel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid."

2.2.2.

Daarvan is bewezenverklaard dat:

"hij in de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,

van het bedrijf [B], althans in een deel daarvan, is binnen gedrongen,

waarbij hij, verdachte, de toegang heeft verworven door een technische ingreep,

door (onder meer) gebruik te maken van een programma."

2.2.3.

Deze bewezenverklaring steunt op de bewijsmiddelen zoals weergegeven in de conclusie van de Advocaat-Generaal onder 5 en 6, waaronder bewijsmiddel 3 en 11 (de Hoge Raad begrijpt: 12), die luiden:

"3. Het proces-verbaal van aangifte nummer 2012204021-1, pagina's 1 t/m 4 in het proces-verbaal zaakdossier [B], van politie Rotterdam-Rijnmond, inhoudende als verklaring van aangever [aangever], namens [B]:

Mijn functie binnen [B] is Information Security Officer en als zodanig ben ik belast met de netwerkbeveiliging van de [B]. Binnen de netwerk topologie van de [B] is een server aanwezig genaamd [B]-DMZ-01. Op deze server draait een web-applicatie. Deze webapplicatie is vanaf het internet te bereiken op het adres [website 1] en staat binnen het [B] domein in een DMZ (Demilitarized Zone).

Genoemde web-applicatie wordt gemonitord door een bedrijf genaamd Secode. Dit bedrijf monitort de website door middel van een intrusion protection system. Het bedrijf Secode heeft op 12 december 2011 een mail verstuurd dat er een aanval op de website [website 1] werd uitgevoerd. Tevens werd door Secode een log bestand aangeleverd die de gegevens van de uitgevoerde aanval bevatte. In dit log bestand van Secode was te zien dat er gebruik is gemaakt van de web vulnerability scanner genaamd Acunetix. Ik zag dat er door middel van de tool Acunetix naar verschillende kwetsbaarheden in de website waren gezocht waarvan er een aantal werden geblokkeerd. Verder zag ik dat er sommige aanvallen voorzien waren van de actie Permit. In verband met deze toestemming is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden. De aanval zou zijn uitgevoerd vanaf het statische IP-adres: [IP adres 1]. De tijdsduur van deze aanval uitgevoerd vanaf dit IP-adres op 12-12-2011 was gelegen tussen de tijdstippen 13:10 CET tot 13:14 CET en 16:35 CET tot 16:41 CET. CET staat voor Central European Time.

Op 14 december 2011 werd ik telefonisch door Secode op de hoogte gesteld van een langdurige aanval op de website [website 1]. Door Secode werd een log bestand aangeleverd waarop te zien is dat er middels cross site scripting en directory traversal aanvallen op de website zijn uitgevoerd. Verder is er op de log te zien dat er diverse pogingen met betrekking tot Cross Site Scripting worden geblokkeerd. Ook is te zien dat door middel van Directory Traversal werd getracht in de root van de server te komen. In hoeverre deze aanval geslaagd is, is tot op heden bij ons niet bekend. Echter aangezien er diverse aanvallen zijn die zijn voorzien van de actie Permit is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden.

Deze aanval is uitgevoerd vanaf het dynamische IP-adres: [IP adres 2]. De tijdsduur van de aanval vanaf dit IP-adres uitgevoerd op 12-12-2011 was gelegen tussen de tijdstippen 23:01 CET en 23:03 CET.

(...)

12.

De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in hoger beroep van 8 november 2016 verklaard - zakelijk weergegeven -:

Acunetix geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen."

2.2.4.

Het Hof heeft geen nadere bewijsoverwegingen opgenomen.

2.3.1.

De tenlastelegging en bewezenverklaring zijn toegesneden op art. 138ab, eerste lid, Sr. Daarom moet de in de tenlastelegging en bewezenverklaring voorkomende term 'binnen gedrongen' geacht worden aldaar te zijn gebezigd in dezelfde betekenis als toekomt aan de term 'binnendringt' in dat artikel.

2.3.2.

Art. 138ab, eerste lid, Sr luidde ten tijde van het bewezenverklaarde:

"1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid."

De delictsbestanddelen zijn gelijkluidend aan die van de huidige, op 1 juli 2015 in werking getreden, bepaling.

2.4.

Aangezien de bewezenverklaring, voor zover inhoudende dat de verdachte is 'binnengedrongen' in een geautomatiseerd werk of in een deel daarvan, niet zonder meer kan worden afgeleid uit de gebezigde bewijsmiddelen, is de bestreden uitspraak niet naar de eis der wet met redenen omkleed. De enkele omstandigheid dat de verdachte blijkens bewijsmiddel 3 op 12 september 2012 met behulp van een scan-programma de website van de aangever op kwetsbaarheden heeft onderzocht, waarvan een aantal werd geblokkeerd en dat als gevolg daarvan 'niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden' volstaat daartoe niet. De vermelding in bewijsmiddel 3 van aanvallen door middel van "cross site scripting" en "directory traversal" waarvan de werking niet nader is toegelicht maakt dat niet anders, in aanmerking genomen dat aldus zonder nadere motivering die ontbreekt in het midden blijft of de verdachte toegang heeft verworven door een technische ingreep of dat het bij een poging daartoe is gebleven.

2.5.

Het middel slaagt.

3. Beoordeling van het tweede middel

Gelet op de hierna volgende beslissing behoeft het middel geen bespreking.

4. Beslissing

De Hoge Raad:

vernietigt de bestreden uitspraak, maar uitsluitend wat betreft de beslissingen ter zake van het onder 2 tenlastegelegde en de strafoplegging;

wijst de zaak terug naar het Gerechtshof Den Haag, opdat de zaak ten aanzien daarvan op het bestaande hoger beroep opnieuw wordt berecht en afgedaan;

verwerpt het beroep voor het overige.

Dit arrest is gewezen door de vice-president W.A.M. van Schendel als voorzitter, en de raadsheren Y. Buruma, V. van den Brink, J.C.A.M. Claassens en A.E.M. Röttgering, in bijzijn van de waarnemend griffier S.P. Bakker, en uitgesproken ter openbare terechtzitting van 9 april 2019.

Conclusie 08‑01‑2019

Inhoudsindicatie

Conclusie AG. Binnendringen in een geautomatiseerd werk als bedoeld in art. 138ab, eerste lid, Sr? Poging of voltooid delict? Onder omstandigheden kan het scannen van een geautomatiseerde werk een voltooid binnendringen opleveren. De AG adviseert de Hoge Raad de beslissing van het hof in stand te laten.

Nr. 17/00643

Zitting: 8 januari 2019 (bij vervroeging)

Mr. P.C. Vegter

Conclusie inzake:

[verdachte]

De verdachte is bij arrest van 22 november 2016 door het hof Den Haag wegens 1. “computervredebreuk en computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerde werk waarin hij zich wederrechtelijk bevindt, voor zichzelf overneemt”, 2. primair “computervredebreuk”, 4, 5, 6, 7 en 11 telkens “oplichting, meermalen gepleegd” en 9. “poging tot oplichting”, veroordeeld tot een gevangenisstraf voor de duur van 782 dagen, waarvan 360 dagen voorwaardelijk, met een proeftijd van 3 jaren en met toepassing van art. 27(a) Sr, alsmede tot een taakstraf voor de duur van 180 uren, subsidiair 90 dagen hechtenis. Voorts heeft het hof twee inbeslaggenomen voorwerpen verbeurd verklaard en de teruggave gelast aan de verdachte van de overige inbeslaggenomen en nog niet teruggegeven voorwerpen. Daarnaast heeft het hof beslissingen genomen omtrent de vorderingen tot schadevergoeding van benadeelde partijen en aan de verdachte schadevergoedingsmaatregelen opgelegd, een en ander zoals nader in het arrest vermeld. Zowel de verdachte als de officier van justitie zijn niet-ontvankelijk verklaard in het hoger beroep, voor zover gericht tegen de beslissing ter zake van het onder 3 en 10 primair, subsidiair en meer subsidiair tenlastegelegde.

Het cassatieberoep is ingesteld namens de verdachte en mr. R.J. Baumgardt en P. van Dongen, beiden advocaat te Rotterdam, hebben twee middelen van cassatie voorgesteld.

Het eerste middel klaagt over de motivering van de bewezenverklaring van feit 2 (primair).

Ten laste van de verdachte is onder 2 (primair1.) bewezenverklaard dat:

“hij in de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,

van het bedrijf [B] , althans in een deel daarvan, is binnen gedrongen,

waarbij hij, verdachte, de toegang heeft verworven door een technische ingreep, door (onder meer) gebruik te maken van een software programma;”

5. De aanvulling met bewijsmiddelen houdt voor zover het feit 2 (primair) betreft het volgende in:

“Het hof neemt uit het vernietigde vonnis over de inhoud van de daarin onder 1 (behoudens de daarin opgenomen zin: “Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen”), 2, 3, 4, 5, 6, 7, 8, 9, 10 en 11 vermelde bewijsmiddelen.

11.

De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in hoger beroep van 8 november 2016 verklaard - zakelijk weergegeven - :Acunetix geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen.”

6. De uit het vonnis van de rechtbank overgenomen bewijsmiddelen zijn de volgende:

“1. Het proces-verbaal van verhoor, nummer 1203061630.V01, pagina’s 174 t/m 178 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als verklaring van de verdachte:

Ik studeer informatica op de Hogeschool aan [a straat] .

Ik heb net mijn stage afgerond bij [A] . Ik woon met mijn moeder op het adres [b-straat 1] . Mijn kamer is op de eerste verdieping, tweede links. U zegt dat u daar een HP-computer heeft aangetroffen. Die is van mij. U zegt dat onder meer mijn telefoon en nog een laptop in beslag zijn genomen.

U vraagt voor software ik heb geïnstalleerd op mijn HP-computer. Ik heb Web cruiser, een web vulnerability scanner. Ik heb ook Backtrack 5, een penetratietestprogramma. Ik heb Nmap, die scant naar open poorten van een IP-adres.

Ik gebruik webcruiser om te kijken of de beveiliging van websites goed is.

Ik ga het internet op om te kijken of er kwetsbare sites zijn

U houdt voor dat er aangifte is gedaan door [B] van hacking, gepleegd tussen 12 en 14 december 2011.

Het zou best kunnen dat ik Webcruiser heb losgelaten daarop, misschien was het Acunetix. Dat heb ik ook op mijn computer staan. Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen. Wij hebben een draadloos netwerk in huis. Ik maak dan verbinding met de router. Die is van UPC en staat op naam van mijn moeder. De router is beveiligd met WPA2.

2. Het proces-verbaal van verhoor, nummer 1204031000.G03, pagina’s 168 t/m 173 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als verklaring van getuige [getuige]:

Ik ben docent op de [C] . Ik geef informaticavakken met als specialiteit networking, besturingssystemen en security. Ik heb lesgegeven aan [verdachte] . Ik kan u zeggen dat [verdachte] interesse heeft getoond in security en hacking. Wij geven geen opdrachten met betrekking tot het scannen van websites van bedrijven. We waarschuwen studenten daar ook voor. Toen ik de security module nog gaf, vertelde ik de studenten dat hacking strafbaar is. Studenten begrijpen het onderscheid maken tussen het scannen en het daadwerkelijk binnendringen van een server.

V: Als [verdachte] zou verklaren dat hij per ongeluk via het internet gebruikersnamen en wachtwoorden van een server heeft gehaald doordat hij met beveiligingssoftware een website heeft gescand op kwetsbaarheden en vervolgens per ongeluk deze site is binnengedrongen, wat zou u dan van die uitspraak vinden?

A: Per ongeluk, dat lijkt me sterk. Zo'n vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. Vervolgens moet je als hacker dan die kwetsbaarheden zien uit te buiten.

V: Er zijn ook tools die na een scan ook bijvoorbeeld SQL-injection gaan uitvoeren. Als iemand verklaart dat hij per ongeluk een SQL-injection heeft uitgevoerd, wat vindt u daar dan van?

A: Dat is een verhaal dat geen stand houdt. Met welk doel ga je een site van anderen scannen? Als je iets met die tools wil, dan richt je een testomgeving in, een eigen website dus, en dan laatje zo’n tool daar op los.

3. Het proces-verbaal van aangifte nummer 2012204021-1, pagina’s 1 t/m 4 in het proces-verbaal zaakdossier [B] , van politie Rotterdam-Rijnmond, inhoudende als verklaring van aangever [aangever] , namens [B]:

Mijn functie binnen [B] is Information Security Officer en als zodanig ben ik belast met de netwerkbeveiliging van de [B] . Binnen de netwerk topologie van de [B] is een server aanwezig genaamd [… ] . Op deze server draait een web-applicatie. Deze webapplicatie is vanaf het internet te bereiken op het adres [website 1] en staat binnen het [B] domein in een [… ] ([… ]).

Genoemde web-applicatie wordt gemonitord door een bedrijf genaamd Secode. Dit bedrijf monitort de website door middel van een intrusion protection system. Het bedrijf Secode heeft op 12 december 2011 een mail verstuurd dat er een aanval op de website [website 1] werd uitgevoerd. Tevens werd door Secode een log bestand aangeleverd die de gegevens van de uitgevoerde aanval bevatte. In dit log bestand van Secode was te zien dat er gebruik is gemaakt van de web vulnerability scanner genaamd Acunetix. Ik zag dat er door middel van de tool Acunetix naar verschillende kwetsbaarheden in de website waren gezocht waarvan er een aantal werden geblokkeerd. Verder zag ik dat er sommige aanvallen voorzien waren van de actie Permit. In verband met deze toestemming is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden. De aanval zou zijn uitgevoerd vanaf het statische IP-adres: [IP adres 1]. De tijdsduur van deze aanval uitgevoerd vanaf dit IP-adres op 12-12-2011 was gelegen tussen de tijdstippen 13:10 CET tot 13:14 CET en 16:35 CET tot 16:41 CET. CET staat voor Central European Time.

Op 14 december 2011 werd ik telefonisch door Secode op de hoogte gesteld van een langdurige aanval op de website [website 1] . Door Secode werd een log bestand aangeleverd waarop te zien is dat er middels cross site scripting en directory traversal aanvallen op de website zijn uitgevoerd. Verder is er op de log te zien dat er diverse pogingen met betrekking tot Cross Site Scripting worden geblokkeerd. Ook is te zien dat door middel van Directory Traversal werd getracht in de root van de server te komen. In hoeverre deze aanval geslaagd is, is tot op heden bij ons niet bekend. Echter aangezien er diverse aanvallen zijn die zijn voorzien van de actie Permit is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden.

Deze aanval is uitgevoerd vanaf het dynamische IP-adres: [IP adres 2]. De tijdsduur van de aanval vanaf dit IP-adres uitgevoerd op 12-12-2011 was gelegen tussen de tijdstippen 23:01 CET en 23:03 CET. De tijdsduur van de tweede aanval vanaf dit IP-adres uitgevoerd op 14-12-2011 was gelegen tussen de tijdstippen 18:53 CET en 19:52 uur.

In verband met deze aanvallen is door de [B] een analyse van de loggegevens aanwezig op de server [… ] uitgevoerd.

4. Het proces-verbaal van bevindingen nummer 1201261244.AMB, pagina’s 5 t/m 7 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder UPC Nederland op grond van art. 126na Wetboek van Strafvordering, gevorderd gegevens te verstrekken van de gebruiker IP-adres [IP adres 2] .

Door UPC Nederland zijn de volgende gegevens verstrekt:

[D] , [b-straat 1] te [woonplaats]UPCnr: [… ] Accountnaam [… ]

E-mailadres: [e-mailadres 1] (Mailbox is niet in gebruik)

5. Het proces-verbaal van bevindingen nummer 202051700.AMB, pagina’s 8 t/m 10 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder [E] , gevorderd gegevens te verstrekken van de gebruiker van het IP-adres [IP adres 1] .

Door [E] zijn de volgende gegevens verstrekt:

IP-adres: [IP adres 1]IP type: statisch

Periode 10 december 2011 t/m 17 december 2011Naam: [A]

Contactpersoon: [betrokkene 2] . Adres: [c-straat 1] , [plaats] .

6. Het proces-verbaal van bevindingen nummer 1203031400.AMB, pagina’s 11 t/m 13 in het proces-verbaal zaakdossier [B] Van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

Het IP-adres [IP adres 2] , bij aanbieder UPC bekend onder klantnummer [… ] staat op naam van [betrokkene 1] , [F] , [b-straat 1] te [woonplaats] . Ik, verbalisant, heb deze opgenomen communicatie onderzocht met behulp van een daartoe bestemd computerprogramma.

De volgende feiten wijzen erop dat het IP-adres [IP adres 2] in gebruik is bij verdachte [verdachte] , eveneens woonachtig op het adres [b-straat 1] te [woonplaats] .

Ik zag dat op 24 februari 2012 om 18.02 uur op het genoemde IP-adres een webpagina werd gedownload van de website www.google.nl. Ik zag op deze pagina dat de gebruikersnaam van degene die kennelijk ingelogd was op deze website luidde: ‘ [e-mailadres 2] ’.Ik zag dat op 26 februari 2012 om 20.05 uur op het genoemde IP-adres een e-mail werd gedownload van webmail site Yahoo. Ik zag dat deze e-mail was gericht aan ' [e-mailadres 3] '. Ik zag dat op verschillende dagen op het genoemde IP-adres e-mails werden gedownload welke waren gericht aan ' [e-mailadres 3] '.

7. De verklaring van de verdachteter terechtzitting, voorzover inhoudende:

De politie heeft drie computers bij mij opgehaald. Een Toshiba, een HP en later nog een HP die ik bij [A] gebruikt heb.

8. Het proces-verbaal van bevindingen nummer 1202061317.0IG, pagina’s 18 t/m 20 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

Op 6 februari 2012 heb ik, verbalisant een onderzoek ingesteld in de gegevens die zijn overgenomen van een personal computer, 2x harddisk. Het door aanvrager voornoemd ingestelde onderzoek betreft een onderzoek in verband met de aanval op de website [website 1] , waarbij [verdachte] als verdachte is aangemerkt.

Aanleiding onderzoek

Op donderdag 12 januari 2012 werd door [aangever] werkzaam bij het bedrijf [B] gevestigd aan de [d-straat 1] te [vestigingsplaats] aangifte gedaan van twee aanvallen op de website [website 1] .

Uit de, door de aangever ter beschikking gestelde loggegevens van een bedrijf genaamd "SECODE", bleek dat er op 12 december 2011 en 14 december 2011 vanaf twee afzonderlijke IP-adressen een aanval was uitgevoerd op de website [website 1] . De bij de aanval gebruikte IP-adressen waren:

IP-adres:

Datum:

Tijd:

Naamstelling:

[IP adres 1]

12-12-2011

13:10 - 16:41

[E]

[IP adres 2]

12-12-2011

23-01 - 23-03

UPC.NL

[IP adres 2]

14-12-2011

18:53 - 19:52

UPC.NL

Ik zag dat op de gegevensdrager het programma "Acunetix" was geïnstalleerd. Ik zag namelijk dat in de map: \Program Files (x86)\Acunetix\ de programma's "Web Vulnerability Scanner 6" en "Web Vulnerability Scanner 7" waren geïnstalleerd.

Opmerking verbalisant: Het programma "Acunetix Web Vulnerability Scanner" is bedoeld voor het opsporen van kwetsbaarheden in een eigen website, maar kan door hackers worden gebruikt om aanvallen uit te voeren op websites van derden.

9. Het proces-verbaal van bevindingen nummer 1202061317.OIG, pagina’s 21 t/m 25 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

[verdachte] werd op 6 maart 2012 aangehouden. Aansluitend vond een doorzoeking ter inbeslagneming plaats, in de woning van de verdachte waarbij onder andere een laptop van het merk HP werd inbeslaggenomen.Ik heb een onderzoek ingesteld naar de gegevens in de laptop.

Ik trof in de map \Users\D\Documents en de daarin aanwezige mappen, diverse documenten aan die betrekking hadden op de persoon [verdachte] , waaronder belastingaangiften, documenten met betrekking tot zijn opleiding, een Curriculum Vitae, een Portfolio, en sollicitatiebrieven.

In de map \Users\D\Documents\extern\ [A] \Product_versIag+Iogboek zag ik een aantal documenten staan waarin een journaal werd bijgehouden over de werkzaamheden tijdens de stageperiode van [verdachte] bij [A] .

Onderzoek [B]

Ik trof in de gebruikersomgeving van "D" het volgende bestand aan: "urlhistory.pkl. dit bestand bevond zich op de locatie D\Users\D\.w3af. Ik zag daarin de volgende URL(uniform resouce locater) staan: [website 1] .

Verder zag ik nog de volgende URL's in dit bestand [website 2] [website 3] [website 4]

.w3af is een framewerk van softwarecomponenten. Het is mij bekend dat deze applicatie wordt gebruikt om de beveiligingen van websites te controleren. Dit gebeurd door middel van het uitvoeren van scans op een website. Ik zag in de map D\Users\D\.w3af\sessions, gegevens staan van een aantal uitgevoerde scans. Ik zag in de map: db_defaultSession-2012- Feb-14 18-05-05_traces een database staan met de gelogde gegevens van een scan op de webapplicatie van [website 1] . Ik zag dit bestand was aangemaakt op 14/februari/2012 18:05:08.

Ik zag dat de gebruiker door middel van de internetbrowser "Mozilla Firefox" op 14 februari 2012 diverse keren de website van de [B] had bezocht, waaronder de pagina loging for e-services. Vanuit deze pagina kan men zich als klant aanmelden (inloggen).

Ik zag in de map D\Users\D\Documents\extern\ [A] \Acunetix\Web Vulnerability Scanner 7\Data\Database het volgende bestand: vulnscanresults.mdbIk zag dat dit een database betrof met scan gegevens van websites. Nadat ik deze database inzichtelijk had gemaakt trof ik een tabel aan genaamd: WVS_scans. Ik zag dat deze tabel gegevens bevatte van 41 uitgevoerde scans op verschillende websites.

Opmerking verbalisant: het programma Acunetics Vulnerability Scanner 7 kan gebruikt worden voor het opsporen van kwetsbaarheden in websites. Tevens kan het worden gebruikt als ondersteuning bij het hacken van de gescande website.

Ik zag in de genoemde tabel WVS_scans, dat op 12 december 2011 om 13:12 uur een scan was uitgevoerd op de website van de [B] . De URL die werd gescand bleek de inlog-pagina van de [B] te zijn.

10. Het proces-verbaal van bevindingen nummer 012204021, pagina 103 in het proces-verbaal zaaksdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

Op 7 maart 2012 sprak ik telefonisch een man, genaamd [betrokkene 2] , als IT Manager werkzaam bij [A] gevestigd aan de [c-straat 1] te [plaats] . Hij verklaarde dat [verdachte] in de periode van september 2011 tot eind december 2011 praktijkstage heeft gelopen bij voornoemd bedrijf en de beschikking had gekregen van een laptop van het bedrijf.Op 8 maart 2012 ontving ik uit handen van [betrokkene 3] , werknemer bij de Interne Automatisering van [A] een laptop als nader omschreven:

Merk : Hewlet Packard

Type : NX7400

Serienummer : [serienummer]

11. Het proces-verbaal van bevindingen nummer 1204250900.0IG, pagina’s 54 t/m 58 (met bijlagen) in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:

De bij [A] inbeslaggenomen laptop computer was tijdens dit onderzoek nog voorzien van de image die door [verdachte] werd gebruikt ten tijde van zijn stageperiode bij [A] .

In de vrije diskruimte werden door mij sporen aangetroffen van de volgende software:

1 .WebCruiser.Enterprise.2.5.02.Acunetix Web Vulnerability Scanner 7

Ik zag dat voordat het programma Webcruiser en Acunetix werden verwijderd deze respectievelijk op de volgende locaties op de harde schijf hadden gestaan: C:\Documents and Settings\ [verdachte] \Mijn documenten\Downloads\WebCruiser C:\Program Files\Acunetix\Web Vulnerability Scanner 7

lk trof op de locatie C\RECYCLER\S-1-5-21-42367538-451129802-613649775- 35344\Dc2\Web Vulnerability Scanner 71DatalDatabase\ een bestand aan voorzien van de naam vulnscanresults.mdb. lk zag dat dit bestand afkomstig was uit een verwijderde map voorzien van de naam Web Vulnerability Scanner 7. Het bestand vulnscanresults.mdb is een door het software programma Acunetix aangemaakte database. In deze database werd door mij onder andere een verwijzing naar de websites [website 1] en [website 5] aangetroffen.”

7. De tenlastelegging is toegesneden op art. 138ab, eerste lid, Sr. In de periode waarop de tenlastelegging betrekking heeft, luidde art. 138ab, eerste lid, Sr:

“Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid.”

8. Het in de tenlastelegging voorkomende begrip ‘binnendringen’ moet worden geacht te zijn gebezigd in dezelfde betekenis als daaraan in deze strafbepaling toekomt.

9. Ik stel voorop dat computervredebreuk – zoals onder feit 2 bewezenverklaard –bestaat uit het wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, (oud) Sr2.diegene willen beschermen ‘die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken’.3.Zoals nog zal blijken, geldt het vereiste van de feitelijke beveiliging niet meer.

10. Het gaat om (onder meer op een wijze zoals in art. 138ab, eerste lid onder a t/m d, Sr omschreven wijze) bewerkstelligen van de toegang tot een geautomatiseerd werk, waartoe men niet gerechtigd is.4.Die toegang zal in het algemeen worden bewerkstelligd teneinde te kunnen kennisnemen van gegevens, terwijl die kennisneming door derden kennelijk door de rechthebbende niet gewenst wordt geacht.5.De beoogde kennisneming is echter niet bepalend. Of de binnendringer de beschikking heeft weten te krijgen over bepaalde gegevens of gegevens inziet, wijzigt of kopieert is niet relevant.6.Het gaat om de strafrechtelijke bescherming van de ‘huls’.7.

11. Bij de strafbaarstelling van computervredebreuk is nauw aansluiting gezocht bij de in art. 138 Sr strafbaar gestelde huisvredebreuk.8.De in het kader van de toepassing van art. 138 Sr geldende eis dat wordt betreden tegen de onmiskenbare wil van de bewoner of gebruiker, werd in art. 138ab Sr aanvankelijk (onder meer) vorm gegeven door het vereiste inzake de beveiliging. Tot september 20069.was voor binnentreden vereist dat de beveiliging van een systeem werd doorbroken.10.Thans resteert slechts een niet-limitatieve opsomming van de gevallen (methoden) waarin (in ieder geval) sprake is van binnendringen.11.Onder binnendringen valt aldus mede het binnendringen in een systeem waarbij geen beveiliging wordt doorbroken, maar waarvoor wel een technische ingreep wordt aangewend.12.Ik wijs er nog op dat thans13.in art. 138ab, eerste lid, Sr tussen de woorden opzettelijk en wederrechtelijk het voegwoord ‘en’ is geplaatst. Opzet op de wederrechtelijkheid is dus niet vereist.

12. Als gezegd gelden de onderdelen a t/m d voor computervredebreuk sinds september 2006. De tweede Nota van wijziging vermeldt over het begrip “technische ingreep”:14.

“Toegespitst op artikel 138a betekent dit het volgende. Het verwerven van toegang tot een geautomatiseerd werk door een technische ingreep veronderstelt een ingreep in c.q. het manipuleren van het technisch functioneren van het geautomatiseerde werk. Het louter intoetsen van een (al of niet vals) wachtwoord zal aldus niet als een technische ingreep kunnen worden beschouwd, omdat de afhandeling daarvan de functionaliteit van het systeem intact laat. Maar het intoetsen van een combinatie van tekens die als doel heeft het technisch functioneren van het geautomatiseerde werk zodanig te veranderen dat, ondanks het ontbreken van het juiste wachtwoord, toegang verworven kan worden, kan onder omstandigheden wel als technische ingreep worden beschouwd. In een dergelijk geval zal ook sprake kunnen zijn van het doorbreken van een beveiliging en/of van het gebruik van valse signalen of een «valse sleutel». Een nauw omlijnde interpretatie van deze begrippen is echter, zeker in de nieuwe opzet van artikel 138a, van beperkte betekenis, aangezien de rechter de vrijheid wordt gelaten om ook in andere gevallen vast te stellen dat sprake is van «binnendringen» in de zin van die

bepaling.”

13. Bij binnendringen kan het aldus gaan om het intoetsen van een combinatie van tekens waarmee, ondanks het ontbreken van het juiste wachtwoord, het werk een instructie uitvoert waardoor de toegang kan worden verworven tot een geautomatiseerd werk (een computer of een server) dat bepaalde gegevens bevat.15.

14. Het enkele gegeven dat een voor de rechthebbende ongewenste wijziging wordt aangebracht in de werking van een geautomatiseerd werk kan reeds tot de conclusie leiden dat sprake is van binnendringen in een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, Sr. Vgl. bijvoorbeeld de volgende overweging van de rechtbank Rotterdam16.:

“De rechtbank is van oordeel dat de verdachte daarmee een door de gemeente ongewenste wijziging heeft aangebracht in de werking van de netwerkapparatuur (tezamen een geautomatiseerd werk) van de gemeente. Dat enkele gegeven leidt al tot de conclusie dat sprake is van binnendringen van een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht (Sr), nu is komen vast te staan dat de verdachte zich de toegang tot een computer van de gemeente heeft verschaft. Dit binnendringen was wederrechtelijk (de verdachte had geen toestemming) en opzettelijk (hij wist heel goed wat hij deed). Het aan de verdachte onder 2 ten laste gelegde feit kan derhalve bewezen worden geacht.

De rechtbank kan niet vaststellen welke software of instructies de verdachte precies heeft gebruikt; daarvoor is onvoldoende informatie beschikbaar. Daarom kan niet worden vastgesteld van welke van de tenlastelegging opgesomde middelen gebruik is gemaakt. Dat doet echter niet af aan de conclusie dat sprake is van binnendringen in de zin van de wet, nu de wet slechts een niet-limitatieve opsomming geeft van de gevallen waarin (in ieder geval) sprake is van binnendringen. Het gegeven dat de router zodanig was geconfigureerd dat de verdachte deze handeling kon verrichten, zoals door de verdachte ter zitting nog naar voren gebracht, doet aan de bewezenverklaring van het wederrechtelijk binnendringen evenmin af. Weten of en hoe een deur geopend kan worden, geeft nog niet het recht de deur te openen, ook al is deze niet op slot gedraaid.”

15. Ik keer terug naar de onderhavige zaak. Het middel klaagt als gezegd over de motivering van de bewezenverklaring en bevat twee klachten. Ik citeer: “In het arrest heeft het hof in het geheel niet gemotiveerd op grond waarvan het hof tot een andere bewezenverklaring komt dan de rechtbank, terwijl wel gebruik wordt gemaakt van nagenoeg dezelfde bewijsmiddelen, en uit de door het hof naast die bewijsmiddelen gehanteerde andere bewijsmiddel ook niet (zonder meer) kan volgen dat er sprake is geweest van een voltooide computervredebreuk, zodat de bewezenverklaring onbegrijpelijk is althans onvoldoende met redenen is omkleed.” Daaraan wordt naar ik meen te begrijpen als tweede klacht toegevoegd: “Dit klemt te meer nu door en namens verdachte uitvoerig is betoogd dat geen sprake is geweest van (poging tot) computervredebreuk, terwijl het hof niet op dit door de verdediging gevoerde verweer heeft gereageerd.”

16. Het is juist dat het hof weliswaar op grond van vrijwel dezelfde bewijsmiddelen als de rechtbank, maar anders dan de rechtbank, niet de onder 2 subsidiair tenlastegelegde poging tot binnendringen bewezen heeft verklaard, maar kiest voor bewezenverklaring van het primair tenlastegelegde voltooide delict. De vrijspraak van de rechtbank was slechts gemotiveerd met de algemene formule dat het onder 2 primair tenlastegelegde niet wettig en overtuigend is bewezen. De rechtbank overweegt dat de vrijspraak niet nader wordt gemotiveerd nu de officier van justitie vrijspraak heeft gevorderd en de raadsvrouw vrijspraak heeft bepleit. Voor zover de klacht inhoudt dat nadere motivering is vereist ingeval van bewezenverklaring door het hof van een voltooid delict op grond van (vrijwel) dezelfde bewijsmiddelen als door de rechtbank gebruikt voor bewezenverklaring van een poging, vindt die klacht geen steun in het recht.

17. Voor zover de klacht inhoudt dat de motivering van de bewezenverklaring ontoereikend dan wel onbegrijpelijk is, gaat het – naar ik uit de toelichting begrijp – er om dat uit de bewijsmiddelen niet blijkt dat sprake is van een voltooid delict: de bewijsmiddelen leveren geen (voltooid) binnendringen in het geautomatiseerd werk op. Ik begrijp dat er ook volgens de stellers van het middel wel van uit kan worden gegaan dat de verdachte op een bij hem in gebruik zijnde laptop (een) scanprogramma(’s) heeft geïnstalleerd en deze eveneens heeft gebruikt onder meer bij het bewerkstelligen van toegang tot een geautomatiseerd werk van [B] .17.De vraag is echter of uit de bewijsmiddelen blijkt dat het gebruik van de scanprogramma’s (voltooid) binnendringen in een geautomatiseerd werk als bedoeld in art. 138ab Sr oplevert.

18. Bewijsmiddel 1 houdt onder meer als verklaring van de verdachte in dat het best zou kunnen dat hij Webcruiser heeft losgelaten op (de website van) [B] , misschien was het Acunetix. Webcruiser is volgens de verdachte een web vulnerability scanner. Hij beschikt ook over Nmap, die scant naar open poorten van een IP-adres. Getuige [getuige] (bewijsmiddel 2) verklaart dat een vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. De verdachte heeft onder meer de inlogpagina van [B] gescand (bewijsmiddel 9). Uit de aangifte (bewijsmiddel 3) komt naar voren dat er gebruik is gemaakt van de web vulnerability scanner Acunetix. Hiermee is op 12 december 2011 naar kwetsbaarheden in de website gezocht waarvan er een aantal werden geblokkeerd. Op 14 december 2011 zijn er door middel van Cross site scripting en Directory traversal aanvallen op de website van [B] uitgevoerd en is er te zien dat er verschillende pogingen met betrekking tot Cross site scripting werden geblokkeerd. Ook is te zien dat door middel van Directory traversal werd getracht in de root van de server te komen.

19. Het hof heeft kennelijk geoordeeld dat de vraag of het scannen binnendringen in een geautomatiseerd werk oplevert, afhankelijk is van het type scan dat wordt gedaan.18.De verdachte beschikt over Nmap die scant naar open poorten, maar bij het scannen van open poorten is het niet gebleven. De verdachte heeft meer gedaan dan een poortscan omdat er na de verkenning van de vraag of er een poort open stond of actief was niet is gestopt. Daarbij doet het er volgens de huidige en destijds geldende wetgeving niet meer toe of de poort al dan niet is beveiligd. Uit de aangifte blijkt dat er in de website is gezocht, dat er gezocht is naar kwetsbaarheden waarop door het geautomatiseerd werk in gevallen is gereageerd met blokkering. Naar ik meen is het niet onjuist of onbegrijpelijk dat het hof heeft geoordeeld dat hetgeen op 12 december 2011 heeft plaatsgevonden al binnendringen van de website (het geautomatiseerde werk) oplevert. Met de kwetsbaarheidsscan is immers actief (via een automatische systematiek19.) gezocht naar gegevens op de server en getracht deze te wijzigen om toegang te verkrijgen. Uit de blokkering blijkt zelfs dat op het binnendringen is gereageerd. Of de gegevens uiteindelijk voor de verdachte beschikbaar zijn gekomen doet, zoals hierboven reeds tot uitdrukking kwam, niet ter zake. Ter vergelijking: na inklimming in een woning is het binnendringen voltooid en is pas de volgende vraag of er een voor wegneming geschikt voorwerp aanwezig is. Of het wegnemen volledig achterwege is gebleven, slechts is voorbereid dan wel of het is geraakt tot een poging of een voltooid wegnemen, is niet relevant voor het binnendringen.

20. Het hof heeft verder nog in aanmerking genomen dat er op 14 december 2011 een langdurige aanval door Cross site scripting en Directory traversel heeft plaatsgevonden. Dat dit gericht was op de toegang tot (en/of kennisneming en/of wijziging van) gegevens in bestandsystemen wordt geacht van algemene bekendheid te zijn onder meer omdat het valt te ontlenen aan een openbare bron te weten een beschrijving van beide (aanvals)technieken op Wikipedia. Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Een Directory traversal (of Path traversal) bestaat uit het exploiteren van onvoldoende beveiligingsvalidatie/-desinfectie van door de gebruiker geleverde invoerbestandsnamen, zodat tekens die “traverse to parent directory” vertegenwoordigen worden doorgegeven aan de bestands-API's. Het doel van deze aanval is om een ​​getroffen applicatie te gebruiken om ongeautoriseerde toegang te krijgen tot het bestandssysteem. Deze aanval maakt gebruik van een gebrek aan beveiliging (de software handelt precies zoals het hoort) in plaats van het misbruiken van een bug in de code.

21. Voor zover wordt geklaagd dat het hof niet op ‘dit’ door de verdediging gevoerde verweer heeft gereageerd, merk ik allereerst op dat in de schriftuur een aan de wet of rechtspraak ontleende grondslag voor de verplichting tot enige reactie door het hof op ‘dit’ (naar ik aanneem bewijs)verweer ontbreekt. Daar komt bij dat ik ook in het licht van de toelichting (zie met name onder 1.7 van de schriftuur voor hetgeen door de raadsvrouw in hoger beroep is aangevoerd) niet begrijp wat met ‘dit’ verweer is bedoeld. De verdediging heeft zich in hoger beroep op het standpunt gesteld dat niet bewezen kan worden dat van een (subsidiair tenlastegelegde) poging tot binnendringen sprake is en ik neem aan dat ook de stellers van het middel niet van het hof verwachten dat het hof reageert op een ‘verweer’ inzake het subsidiair tenlastegelegde feit, indien wordt veroordeeld voor het primair tenlastegelegde feit.

22. Het eerstemiddel faalt in beide onderdelen.

23. Het tweede middel klaagt over de schending van de redelijke termijn in de cassatiefase. Op 6 december 2016 is cassatie ingesteld en het dossier is eerst op 2 maart 2018 ter administratie van de Hoge Raad ontvangen. Dit brengt mee dat de door de Hoge Raad op acht maanden gestelde inzendtermijn20.met 6 maanden en 24 dagen is overschreden. Het middel is dan ook terecht voorgesteld.

24. Ambtshalve merk ik op dat de Hoge Raad uitspraak zal doen op een tijdstip waarop meer dan twee jaren zijn verstreken nadat beroep in cassatie is ingesteld. Ook dit is een schending van de redelijke termijn als bedoeld in art. 6 EVRM.

25. Het eerste middel faalt en het tweede slaagt. Ambtshalve heb ik geen gronden aangetroffen die tot vernietiging van de bestreden uitspraak aanleiding behoren te geven.

26. Deze conclusie strekt tot vernietiging van het bestreden arrest, maar uitsluitend voor wat betreft de hoogte van de opgelegde straf. De Hoge Raad kan de hoogte daarvan verminderen naar de gebruikelijke maatstaf. Voor het overige strekt deze conclusie tot verwerping van het beroep.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG

Beroepschrift 13‑07‑2018

Aan de Hoge Raad der Nederlanden

te Den Haag

Griffienummer: S 17/00643

Betekening aanzegging: 16 mei 2018

Cassatieschriftuur

Inzake:

[verdachte]

wonende te [woonplaats],

verdachte,

advocaten: mr. R.J. Baumgardt en mr. P. van Dongen

dossiernummer: D100036

Edelhoogachtbare Heren, Vrouwen:

Inleiding

Ondergetekenden, als daartoe door de verdachte bijzonder gevolmachtigd, mr. R.J. Baumgardt en mr. P. van Dongen, advocaten te Rotterdam, hebben hierbij de eer aan u Edelhoogachtbaar College te doen toekomen een schriftuur van cassatie ten vervolge op het door [verdachte], ingestelde beroep in cassatie tegen het arrest van het Gerechtshof te Den Haag d.d. 22 november 2016, en alle beslissingen die door het hof ter terechtzitting(en) zijn genomen.

In genoemd arrest heeft het hof de verdachte veroordeeld tot een gevangenisstraf voor de duur van 782 dagen, waarvan 360 dagen voorwaardelijk. Tevens is aan verdachte een takstraf opgelegd voor de duur van 180 dagen en zijn beslissingen genomen over inbeslaggenomen voorwerpen en vorderingen van benadeelde partijen.

Middelen van cassatie

Als gronden van cassatie hebben ondergetekenden de eer voor te dragen:

Middel I

Schending van het recht en/of verzuim van vormen, waarvan de niet-naleving met nietigheid wordt bedreigd, althans zodanige nietigheid voortvloeit uit de aard van de niet in acht genomen vormen, in het bijzonder de artt. 359 en 415 Sv, en wel om het navolgende:

In eerste aanleg is verdachte vrijgesproken va de primair ten laste gelegde (verkort zakelijk weergegeven) voltooide computervredebreuk, maar wel veroordeeld voor de subsidiair tenlastegelegde poging computervredebreuk. In hoger beroep heeft het hof verdachte, op grond van nagenoeg dezelfde bewijsmiddelen als de rechtbank, veroordeeld voor de primair tenlastegelegde voltooide computervredebreuk. In het arrest heeft het hof in het geheel niet gemotiveerd op grond waarvan het hof tot een andere bewezenverklaring komt dan de rechtbank, terwijl wel gebruik wordt gemaakt van nagenoeg dezelfde bewijsmiddelen, en uit de door het hof naast die bewijsmiddelen gehanteerde andere bewijsmiddel ook niet (zonder meer) kan volgen dat er sprake is geweest van een voltooide computervredebreuk, zodat de bewezenverklaring onbegrijpelijk is althans onvoldoende met redenen is omkleed. Dit klemt te meer nu door en namens verdachte uitvoerig is betoogd dat geen sprake is geweest van (poging tot) computervredebreuk, terwijl het hof niet op dit door de verdediging gevoerde verweer heeft gereageerd.

Toelichting
1.1

Aan verdachte is onder feit 2 tenlastegelegd dat:

‘2. primair

hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens, te weten de Webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan, is binnen gedrongen, waarbij hij, verdachte, enige beveiliging heeft doorbroken en/of de toegang heeft verworven door een technische ingreep en/of met behulp van valse signalen of een vals sleutel en/of door het aannemen van een valse hoedanigheid,

door (onder meer) gebruik te maken van een software programma, te weten het software programma Acunetix danwel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen;

subsidiair

hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, ter uitvoering van het door hem verdachte voorgenomen misdrijf om opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken voor opslag of verwerking van gegevens,

te weten de Webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan,

binnen te dringen, en/of

(vervolgens) gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen door middel van dat /die geautomatiseerd(e) werk(en), voor zichzelf of voor een ander over te nemen, af te tappen of op te nemen, (onder meer) gebruik heeft gemaakt van een software programma, te weten het software programma Acunetix danwel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid’

1.2

In de pleitnotities behorende bij de zitting in eerste aanleg is onder meer vermeld:

‘Feit 2 [B]

Op de computer van client is het programma Acunetix aangetroffen.

De vraag is nu of hij dit heeft gebruikt om de poorten te scannen of om websites aan te vallen.

Client heeft verklaard dat hij niet in wilde breken, maar dat hij in het kader van zijn opleiding geinteresseerd was geraakt in de beveiliging van websites. Ook blijkt uit het horen van de docenten van de Hoge School dat zij hiermee bezig waren en dat de heer [verdachte] wordt omschreven als een oudere gedreven leerling.

()

Daarbij komt dat het het scannen van een webapplicatie met Acunetix niet een zodanige handeling s dat op basis van de uiterlijke verschijningsvorm van deze handeling niet anders dan geconcludeerd kan worden dan dat deze gericht is op het inbreken op een website.

Het programma kan namelijk ook als scanner en niet als aanval programma gebruikt worden.

‘Opmerking verbalisant: Het programma ‘Webcruiser’ is bedoeld voor het opsporen van kwetsbaarheden in een eigen website, maar kan door hackers worden gebruikt om SQL-injectie aanvallen uit te voeren op de websites van derden.’

()

Dit kan door het invoeren van dergelijke commando's in de adresbalk maar ook dmv een hulpprogramma die dit geautomatiseerd kunnen uitvoeren.

Een dergelijk hulpprogramma is Acunetix Web Vulnarability Scanner. ()

Maar zegt de deskundige of een programma dat doet is afhankelijk van de instellingen van de specifieke scan () en dat het dus afhankelijk is van het gebruikte scanprofiel ().

Uit onderzoek is niet gebleken wat de instellingen zijn geweest van de specifieke scan en wat dus het gebruikte scanprofiel is geweest.

()

De verdediging stelt zich op het standpunt dat de aangifte geen bewijs kan opleveren voor binnendringen of een poging daartoe.

()

De zin uit de aangifte van [aangever] dat er door Secode een logbestand wordt aangeleverd waarop te zien is dat er middels cross site scripting en directory traversal aanvallen op de website zijn uitgevoerd en of is geprobeerd binnen te dringen, is dus geen beschrijving van de logbestanden maar een conclusie van de aangever. Deze conclusie kan niet voor het bewijs gebruikt worden.

Ten eerste niet op grond van artikel 342 Sv.

()

Conclusie is dan ook dat er geen bewijs is voor handelingen die zwakheden hebben uitgebuit of handelingen die dat hebben geprobeerd te doen en dat client dient te worden vrijgesproken.’

1.3

In de aan het proces verbaal van de terechtzitting in 1e aanleg gehechte requisitoir aantekeningen (met weglating van voetnoten en vindplaatsen van die voetnoten) is onder meer vermeld:

‘Feit 2 (hacken [B])

()

Beoordeling

() De aanvallen waren uitgevoerd met het software-programma Acunetix. Daarmee is naar kwetsbaarheden in de website gezocht, waarvan er een aantal werden geblokkeerd. Sommige acties waren toegestaan door de server, want voorzien van de actie ‘permit’. Daardoor is het mogelijk dat de aanval geslaagd is.

Tevens werden er aanvallen gedaan waarmee door middel Cross Site Scripting en Directory Traversal werd geprobeerd om in de root van de server te komen. Het is aangever niet duidelijk in hoeverre dat is gelukt.

Kortom, volgens aangever is geprobeerd om binnen te komen op de website, maar is het niet duidelijk of dat ook echt is gelukt.

()

Deskundige Prickaerts verklaart dat het van het type activiteit afhangt of er al dan niet sprake is van binnendringen van een geautomatiseerd werk als bedoeld in artikel 138a Wetboek van strafrecht. Als er alleen een poortscan wordt uitgevoerd, dat wil zeggen wordt onderzocht welke poorten actief zijn, dan is er geen sprake van binnendringen. Prickaerts vergelijkt dit met het kijken naar alle deuren van een gebouw, om die deuren te vinden die open staan. Daar staat tegenover een kwetsbaarheidsscan op een specifieke webtoepassing. Daarmeewordt in veel gevallen geautomatiseerd actief geprobeerd een beveiligingbte doorbreken.

Het programma Acunetix voert zowel poortscans uit, als kwetsbaarheidsscans. Acunetix hoeft dus niet per se leiden tot binnendringen van een geautomatiseerd werk, dit hangt af van de concrete instellingen.

In dit geval staat echter vast dat met Acunetix niet slechts een poortscan is uitgevoerd. Immers, met Acunetix is ook geprobeerd Cross Site Scripting en Dirctory Travel toe te passen. Verdachte zegt hier zelf over dat Cross Site Scripting een exploit is waarmee iets op een website kan worden gezet waardoor mensen ertoe verlokt kunnen worden om gegevens af te geven. Als het is gelukt, is het dus een fout in de beveiliging van een website. Verdachte zegt dat hij het commando dan handmatig moet hebben ingetoetst in Acunetix.

Deskundige Prickaerts zegt ter zitting allereerst dat hij alleen de versie van Acunetix van 2013 heeft kunnen onderzoeken en niet die van 2011. Ook is niet duidelijk in hoeverre er verschillen zijn. Op basis van het programma van 2013 concludeert hij dat technisch niet is aangetoond of het verdachte bij de [B] is binnengedrongen, of hij poogde binnen te dringen en zo ja: of het dan gelukt zou zijn. Dat betekent dat we terug moeten kijken naar de rest van het dossier.

()

Al met al staat vast dat verdachte verder is gegaan dan enkel kijken naar welke poorten openstaan (dwz verder dan een poortscan). Minstgenomen is er een begin van uitvoering van binnendringen. Offline valt het misschien te vergelijken met het verschil tussen aanbellen of een deur opengaat, en met een schroevendraaier wrikken in de deurpost, om te proberen of de deur opengaat. We weten in dit concrete geval niet in hoeverre het verdachte is gelukt om daadwerkelijk binnen te dringen, maar hij heeft het wel geprobeerd.

Wettig en overtuigend bewezen is daarom de poging tot computervredebreuk, het subsidiair tenlastegelegde.’

1.4

In het vonnis heeft de rechtbank bewezen verklaard dat:

‘2. subsidiair

hij op één of meer tijdstippen in de periode van 12 december 2011 tot en met 14 december 2011 te in Nederland, ter uitvoering van het door hem verdachte voorgenomen misdrijf om opzettelijk en wederrechtelijk in en of meer geautomatiseerde werken voor opslag of verwerking van gegevens, te weten de Webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans een deel daarvan,

binnen te dringen

(onder meer) gebruik heeft gemaakt van een software programma, te weten het software programma Acunetix danwel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid’

1.5

In het vonnis heeft de rechtbank daartoe overwogen:

‘Gelet op de bewijsmiddelen kan bewezen worden verklaard dat de verdachte zich schuldig heeft gemaakt aan een poging tot computervredebreuk bij het bedrijf [B]. Door meermalen het computersysteem van [B] te ‘scannen op zwakheden’ met de programma's waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvorm niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [B].’

1.6

In het proces-verbaal van de terechtzitting in hoger beroep van 8 november 2016 is onder meer gerelateerd:

‘U houdt mij het onder 2 tenlastegelegde en het rapport van de deskundige Prickaerts voor. Ik heb de standaardinstellingen van Acunetic gebruikt. Ik heb de instellingen nooit aangepast. Acunetic geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen. U houdt mij voor dat het antwoord op een poortscan zal zijn dat de betreffende poort al dan niet open staat, en zodra je meer informatie van een systeem terugkrijgt, de scan dus verder is gegaan. Ik weet het ook niet precies.

U houdt mij voor dat een aantal aanvallen is geblokkeerd en dat er kennelijk is geprobeerd binnen te dringen. Dat zou kunnen. Naar mijn mening is dat niet gebeurd. U vraagt mij of het kan kloppen dat hierbij de IP-adres van mijn stageadres en mijn moeder zijn gebruikt. Dat klopt.

U houdt mij de aangifte van [B] voor, inhoudende dat er op 14 november een langdurige aanval op hun systemen is uitgevoerd, bestaande uit Cross Site Scripting en directory traversal, en dat er ook is getracht in de root van de server te komen. U houdt mij voor dat bij beide technieken codes moeten worden ingevoerd. Dat doet Acunetix automatisch. Anders kun je niet kijken welke zwakheden er zijn.

Om daadwerkelijk in de server te komen moet je via Acunetix extra handelingen verrichten.

()

De voorzitter stemt in met het verzoek van de raadsvrouw om haar pleidooi, zoals dat ter terechtzitting in eerste aanleg is gevoerd als herhaald en ingelast te beschouwen.’

1.7

Uit het proces-verbaal van de terechtzitting in hoger beroep van 8 november 2016 blijkt voorts dat mr. Arkesteijn, advocaat te Rotterdam, de raadsvrouw die verdachte heeft bijgestaan, het woord tot verdediging heeft gevoerd overeenkomstig de overgelegde pleitnotities, inhoudende onder meer:

‘Feit 2 [B]

De officier van justitie heeft vrijspraak gevraagd van het primaire en veroordeling van het subsidiaire.

De rechtbank heeft geoordeeld dat er sprake is geweest van een poging.

De rechtbank overweegt dat door meermalen het computersysteem van [B] te scannen op zwakheden met de programma's waarmee hij dit heeft gedaan, dit naar de uiterlijke verschijningsvorm niet anders kan worden gezien dan het proberen binnen te dringen in het computersysteem van [B].

Client heeft verklaard dat hij niet wilde binnendringen en dat hij dit ook niet heeft geprobeerd. Client stelt dat hij alleen op zoek was naar zwakheden/fouten in de beveiliging en dat hij met die zwakheden verder niets heeft gedaan.

De verdediging heeft bepleit dat op basis van de informatie die beschikbaar is of juist niet beschikbaar is, niet kan worden vastgesteld dat client anders dan hij verklaard wel heeft geprobeerd binnen te dringen.

Hiervoor wordt verwezen naar de pleitnota in eerste aanleg p 2, 3, 4, en 5 en wordt voorts verzocht dit als hier herhaald en ingelast te beschouwen.

Het gaat dan kort gezegd om de volgende punten:

1:

p 2: Client was in het kader van zijn school bezig met onderzoek naar beveiliging van netwerken en dat dit steun vindt in de verklaring van [A] en het onderwerp van zijn stage.

2:

p 2: Acunetix valt niet standaard aan, maar kan ook alleen scannen. Of er alleen gescand wordt of ook wordt binnengedrongen hangt af van de instellingen van het programma.

Pv zitting p 13:

‘Bij een kwetsbaarheidscan heb je een optie, scannen op aanwezigheid, daarmee heb je nog niet vastgesteld of dit zou leiden tot ongeautoriseerd gebruik’ aldus de deskundige van Fox it.

3:

p 2: client stelt zich op het standpunt dat hij alleen maar naar kwetsbaarheden heeft gezocht en niet is binnengedrongen.

4:

p 3: In de aangifte wordt gesproken over aanvallen. Of er in dit geval daadwerkelijk sprake is geweest van een aanval kan echter niet worden beoordeeld. De aangifte zelf is waar het spreekt over aanval of permit gebaseerd op ongeoorloofde en niet verifieerbare conclusies van de aangever.

De deskundig zegt hierover op de zitting in eerste aanleg:

‘U vraagt mij of dit anders is als de server zegt dat er een permit is af gegeven. Dan hebben wij het over een intrusion prevention system (IPS) dat las taak heeft om een netwerk te beschermen tegen aanvallen op het netwerk. Dat bepaalt op basis waarvan

een systeem iets toestaat of niet. Het is vissen wat nu de reden is geweest dat die permit status is toegekend.

Het kan alarmeren dat er een aanval is geweest maar dat wil niet zeggen dat deze succesvol zou zijn geweest. Om daar meer over te zeggen is verder onderzoek nodig.

De officier van justitie zegt dat dit een aanval is, maar ik zeg dat het alleen een kwetsbaarheid is die verder gebruikt moet worden om er iets mee te doen.’

Gelet op het voorgaande kan er dus niet worden vastgesteld dat client [B] daadwerkelijk heeft aangevallen.’

1.8

In het arrest heeft het hof bewezen verklaard dat:

‘2. Primair

Hij in de periode van 12 december 2011 toten met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag op verwerking van gegevens, van het bedrijf [B], althans in een deel daarvan, is binnen gedrongen, waarbij hij, verdachte, de toegang heeft verworven dor een technische ingreep door (onder meer) gebruik te maken van een programma’

1.9

In de bijlage inhoudende de door het hof gebezigde bewijsmiddelen heeft het hof onder meer het volgende vermeld:

‘Feit 2 (primair)

Het hof neemt uit het vernietigde vonnis over de inhoud van de daarin onder 1 (behoudens de daarin opgenomen zin: ‘Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen’), 2, 3, 4, 5, 6, 7, 8, 9, 10 en 11 vermelde bewijsmiddelen.

11.

De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in hoger beroep van 8 november 2016 verklaard — zakelijk weergegeven -:

‘Acunetix geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen.’

1.10

Van computervredebreuk is sprake indien degene die de computer of een ander geautomatiseerd werk binnendringt door het doorbreken van de beveiliging of het plaatsen van apparatuur om gegevens op te vangen (Kamerstukken II 1989/90, 21551, nr. 3, pag. 16). Van binnendringen kan onder omstandigheden sprake zijn indien gegevens uit een elektronisch uitwisselingssysteem worden gehaald (Kamerstukken II, 2010/11, 27529, nr. 82, pag. 2). Onder het doorbreken van enige beveiliging mede dient volgens de Hoge Raad mede te worden verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is niet van belang of die opening inherent is aan het systeem of is veroorzaakt door andere ‘aanvallers’ (HR 22 februari 2011, NJ 2012, 62, m.nt. NK).

1.11

In eerste aanleg heeft de rechtbank verdachte vrijgesproken van de primair ten laste gelegde (verkort zakelijk weergegeven) voltooide computervredebreuk en veroordeeld voor de (subsidiair tenlastegelegde) poging tot computervredebreuk. Het hof heeft verdachte echter veroordeeld voor het primaire tenlastegelegde, namelijk computervredebreuk. Uit de bijlage inhoudende de door het hof gebezigde bewijsmiddelen volgt dat het hof de bewijsmiddelen uit het vonnis waarvan beroep heeft overgenomen, met aanvulling van één bewijsmiddel, namelijk de ter zitting door verdachte afgelegde verklaring over het programma Acunetix. Gelet op de omstandigheid dat het hof op basis van (nagenoeg) dezelfde bewijsmiddelen — en in tegenstelling tot de rechtbank — het primair tenlastegelegde bewezen heeft verklaard, is de bewezenverklaring zonder nadere motivering, die ontbreekt, onbegrijpelijk althans onvoldoende met redenen omkleed. De door het hof naast de door de rechtbank gehanteerde bewijsmiddelen voor het bewijs gebruikte verklaring van verdachte, inhoudende dat het door hem gebruikte programma Acunetix aangeeft of en zo ja welke zwakheden er zijn geconstateerd en dat daarna met dit programma handelingen kunnen worden verricht om daadwerkelijk binnen te dringen zijn daartoe onvoldoende nu hieruit niet, althans niet zonder meer, ook volgt dat handelingen zijn verricht teneinde binnen te dringen/daadwerkelijk is binnengedrongen. Dit klemt te meer nu de verdediging uitvoerig en onderbouwd het verweer heeft gevoerd dat verdachte slechts op zoek was naar zwakheden/feiten in de beveiliging en dat niet vastgesteld kan worden dat verdachte ook daadwerkelijk heeft binnengedrongen in een geautomatiseerd werk van het bedrijf [B], terwijl het hof in het geheel niet op dit gevoerde verweer heeft gereageerd. Ook om die reden is/zijn de verwerping van het verweer en/of de bewezenverklaring onbegrijpelijk en/of onvoldoende met redenen omkleed.

Middel II

Schending van het recht en/of verzuim van vormen, waarvan de niet-naleving met nietigheid wordt bedreigd, althans zodanige nietigheid voortvloeit uit de aard van de niet in acht genomen vormen, in het bijzonder de artt. 6 EVRM en 365a Sv, en wel om het navolgende:

Op 6 december 2016 is namens de verdachte beroep in cassatie ingesteld tegen het arrest van het hof. Het hof heeft het verkorte arrest niet tijdig, binnen de door de wet aangegeven termijn, met de bewijsmiddelen aangevuld. Hoewel op dit verzuim geen nietigheid is gesteld houdt het wel in dat het hof de stukken van het geding niet tijdig, te weten binnen acht maanden na het instellen van beroep in cassatie naar de griffie van de Hoge Raad heeft gezonden, zodat daardoor dat redelijke termijn van de berechting is geschonden, hetgeen dient te leiden tot strafverlaging.

Toelichting
2.1

Op 6 december 2016 is namens de verdachte beroep in cassatie ingesteld tegen het arrest van het hof. Aan het verkorte arrest heeft het hof een aanvulling, inhoudende de door het hof gebezigde bewijsmiddelen gehecht. De aanvulling is door de voorzitter ondertekend op 28 februari 2018. Op grond van deze omstandigheid heeft het hof het verkorte arrest niet tijdig, binnen de door de wet gestelde termijn, met de bewijsmiddelen aangevuld. De stukken van het geding zijn op 2 maart 2018 ter griffie van de Hoge Raad ontvangen. Hoewel op dit verzuim geen nietigheid is gesteld houdt het wel in dat het hof de stukken van het geding niet tijdig, te weten binnen acht maanden na het instellen van beroep in cassatie naar de griffie van de Hoge Raad heeft gezonden, zodat daardoor de redelijke termijn van de berechting is geschonden, hetgeen dient te leiden tot strafverlaging (HR 3 oktober 2000, NJ 2000, 721, m.nt. JdH, alsmede HR 14 juni 2008, NJ 2008, 358, m.nt. PMe).

2.2

Aan de verdachte zal niet kunnen worden tegengeworpen dat hij onvoldoende belang heeft bij zijn klacht nu hij zelf de oorzaak zou zijn geweest van de schending van de redelijke termijn door het instellen van het beroep in cassatie. De raadsman en raadsvrouw van verdachte zijn immers pas in staat geweest de stukken van de zaak te bestuderen nadat hen de stukken waren toegezonden. Voorts zijn de raadsman en raadsvrouw pas in staat geweest een cassatieschriftuur in te dienen nadat de aanzegging van de Hoge Raad was betekend. De Hoge Raad is daartoe pas in staat geweest nadat het hof de stukken van het geding naar de Hoge Raad had gezonden. Dit houdt in dat de schending van de redelijke termijn te wijten is aan de te late inzending van het dossier door het hof.

2.3

Van belang is voorts het volgende. In zijn arrest van 11 september 2012 heeft de Hoge Raad gesteld klachten over schending van de redelijke termijn af te zullen doen m.b.v. art. 80a RO, indien in die zaken alleen zou worden geklaagd over schending van de redelijke termijn, of indien in die zaken ook over andere kwesties zou worden geklaagd, welke klachten geen behandeling in cassatie rechtvaardigen (HR 11 september 2012, NJ 2013, 241 – 245, m.nt. FWB). Op Nederland rust evenwel de plicht de rechtspleging zo in te richten, dat procedures binnen een redelijke termijn worden afgewikkeld (EHRM 26 mei 1993, NJ 1993, 466, m.nt. EAA en EHRM 23 februari 1999, NJ 1999, 641, m.nt. Kn.). Geconstateerd moet worden dat Nederland, ondanks meerdere pogingen daartoe, er nog steeds niet in is geslaagd er zorg voor te dragen dat in de cassatieprocedures de Hoge Raad uitspraak doet binnen de vereiste redelijke termijn. Integendeel. In 2014 heeft de raadsman van verdachte in 39 strafzaken ook geklaagd over schending van de redelijke termijn. In 2015 heeft de raadsman in 43 cassatieprocedures (onder meer) geklaagd over schending van de redelijke termijn na het instellen van cassatie. In 2016 en 2017 is beide jaren meer dan 50 keer geklaagd over de schending van de redelijke termijn. Bij dit aantal zijn dus niet zaken meegerekend waarin geen (andere) klacht in de cassatieprocedure kon worden gevoerd. Ook in de nabije toekomst behoeft een verbetering niet te worden verwacht. Zo blijkt uit het in 2014 verschenen rapport ‘Werkdruk bewezen’ van de NVvR dat een te hoge werkdruk de kwaliteit van de rechtspraak ondergraaft. Overigens heeft de (voormalig) president van de Hoge Raad reeds in februari 2013 in een brief de noodklok geluid over de werkdruk (NRC 4 februari 2013). Zie voorts de opmerkingen van de Procureur-Generaal in het Jaarverslag 2012 (pag. 23/24). Nog op 1 maart 2015 heeft de voorzitter van de Raad voor Rechtsspraak aangegeven dat door gebrek aan capaciteit de werkdruk voor rechters zo hoog is dat er achterstanden ontstaan, waarbij gebrek aan geld de belangrijkste oorzaak voor het capaciteitsprobleem wordt aangewezen (zie www.nos.nl/artikel/2022231-onverminderderoofbouw-op-rechters-html).

Onder deze omstandigheden dient thans te worden geconcludeerd dat er sprake is van een verzuim dat — naar uit objectieve gegevens — blijkt zozeer bij herhaling voor te komen dat zijn structurele karakter vaststaat èn dat de verantwoordelijke autoriteiten, te weten de Regering en het Parlement zich onvoldoende inspanningen hebben getroost herhaling te voorkomen.

Gelet hierop dient dan ook de Hoge Raad in geval van schending van de redelijke termijn in de cassatiefase een matiging toe te passen, ongeacht of in de betreffende zaak ook nog een andere klacht naar voren wordt gebracht.

2.4

Voorkomen moet worden dat ‘onder de zegel’ van cassatie de norm ten aanzien van de duur van de berechting steeds maar weer wordt verlegd waardoor er ook vanwege alle bezuinigingen en reorganisaties geen substantiële druk meer op de overheid wordt gelegd om een onredelijke procesduur zoveel mogelijk te vermijden (zie de noot van T.M. Schalken onder HR 27 oktober 2015, NJ 2015, 469). Gelet hierop dient dan ook de Hoge Raad in geval van schending van de redelijke termijn in de cassatiefase een matiging toe te passen, ongeacht of in de betreffende zaak ook nog een andere klacht naar voren wordt gebracht.

2.5

Voorts in de onderhavige schriftuur de verdachte ook nog andere klachten naar voren heeft gebracht die betrekking hebben op de ‘prior criminal proceedings’, zodat ook om deze reden niet kan worden gesteld dat verdachte onvoldoende belang heeft bij zijn klacht over de schending van de redelijke termijn (EHRM 27 augustus 2013, 12810/13, Celik).

Dat

Op vorenstaande gronden het u Edelhoogachtbaar College moge behagen, gemelde uitspraak te vernietigen met een zodanige uitspraak als uw Edelhoogachtbaar College noodzakelijk voorkomt.

Rotterdam, 13 juli 2018

Advocaten

mr. R.J. Baumgardt

mr. P. van Dongen

Deze functie is alleen te gebruiken als je bent ingelogd.