U bent hier: Home > IT Recht > Bestaat er een verplichting tot updaten van software?
Bestaat er een verplichting tot updaten van software?

Bestaat er een verplichting tot updaten van software?

Geplaatst door: Mark Jansen op 9 april 2014 thema(s): IT Recht

De laatste tijd is veel in het nieuws dat de ondersteuning voor Windows XP stopt. Het blijven gebruiken van deze software zou tot allerlei doemscenario’s kunnen leiden. Dit roept de vraag op of er een verplichting bestaat software te updaten. Opvallend genoeg biedt het strafrecht hiervoor wel aanwijzingen.

Wet computercriminaliteit uit jaren ’90

Begin jaren ’90 is de wet computercriminaliteit in het parlement behandeld. Een van de wetsartikelen die toen nieuw op het programma stond was artikel 350a Sr, over (kort gezegd) het vernielen of aanpassen van elektronisch opgeslagen gegevens. Dit gedrag zou alleen strafbaar zijn indien dit opzettelijk zou worden verricht.

Kamer wilde graag ook schuldvariant; minister raadde dit af

De Tweede Kamer stelde tijdens de behandeling voor ook een schuld-variant van dit delict in het wetboek te zetten. Dat is een wereld van verschil; de Officier van Justitie hoeft dan immers geen opzet (willens en wetens) te bewijzen, maar slechts te bewijzen dat er sprake is van schuld.

De Minister raadde echter af een dergelijk delict in het wetboek te plaatsen. Volgens de minister zou het strafrecht een te zwaar middel zijn bij dergelijke “lichte” situaties van onvoorzichtigheid.

Het voorstel artikel 350a, tweede lid, uit te breiden met een culpoze variant heb ik overwogen, maar meen ik toch te moeten afwijzen. Ik wijs in dit verband tevens op het leerstuk van de voorwaardelijke opzet. Op grond van dit leerstuk is de persoon strafbaar wegens het opzettelijk plegen van een strafbare gedraging indien hij zich willens en wetens bloot stelt aan de geenszins denkbeeldige kans dat het strafbare gevoig intreedt, in dit geval: dat een geautomatiseerd werk besmet raakt. Buiten deze delictsomschrijving valt de situatie dat bij degene die dergelijke gegevens beschikt «slechts» grove schuld (de persoon realiseert zich niet de schade die dergelijke gegevens aan een geautomatiseerd werk kunnen aanbrengen maar had hieraan redelijkerwijs moeten denken en daarom zijn handelen moeten nalaten) aanwezig is. In dat geval kan wel eventuele schade op de desbetreffende persoon op grond van een onrechtmatige daad worden verhaald. Het voorstel om aan artikel 350a, tweede lid, een schuld-variant toe te voegen zou afbreuk doen aan het uitgangspunt bij dit wetsvoorstel dat bij het strafbaarstellen van computercriminaliteit zoveel mogelijk aangesloten wordt bij het bestaande niveau van strafrechtelijke bescherming. Een dergelijke uitbreiding zou immers niet alleen de bovengeschetste situatie omvatten dat iemand als gevolg van grove schuld een geautomatiseerd werk besmet, maar ook andere «lichtere» vormen van schuld, zoals aanmerkelijke onvoorzichtigheid, onachtzaamheid of nalatigheid. Ook staat de systematiek van het Wetboek van Strafrecht aan een dergelijke uitbreiding in de wegaangezien het delict dat in nauw verband staat met artikel 350a, tweede lid – waarbij ik met name denk aan artikel 350 – eveneens enkel een doleuze variant kent. Het invoeren van een culpoze variant ter zake van artikel 350a, tweede lid, leidt tot een moeilijk verklaarbaar onderscheid in strafwaardigheid van de gedraging.

Kamer hield voet bij stuk en introduceerde het delict bij motie

De Tweede Kamer hield echter voet bij stuk en stelde bij motie een concrete wettekst voor. Deze tekst luidde als volgt:

Artikel 350b
1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspeid worden die bedoeld zijn om schade aan te richten door zichzelf te vermenigvuldigen in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie

De tekst van het voorgestelde artikel is sterk gebaseerd op de toenmalig voorliggende tekst voor artikel 350a Sr (de opzet-variant). Dit verklaart vermoedelijk waarom in zowel artikel 350a als 350b Sr wordt vereist dat sprake is van “ernstige schade” (een begrip dat elders niet in het Wetboek van Strafrecht terugkomt).

De toelichting bij deze motie is behoorlijk summier. Deze is beperkt tot de volgende woorden:

Met de amendementen wordt beoogd een culpoze variant in te voeren naast de doleuze van artikel 350a. Niet in te zien valt waarom er bijvoorbeeld in gevallen waarin er sprake is van grove schuld niet enige vorm van strafbedreiging zou mogen worden uitgeoefend. Bovendien kan het ook bij het voorgestelde artikel 350b gaan om handelingen met bijzonder grote financiële en andere consequenties zodat enige vorm van strafbedreiging een afschrikwekkend midde! kan zijn. Bij de strafmaat is aansluiting gezocht bij artikel 351 bis inzake vernieling.

Grove schuld vereist?

Opvallend is dat in de toelichting van de kamerleden wordt gesproken over “grove schuld”, terwijl volgens de tekst van het wetsvoorstel slechts schuld is vereist. In de verdere behandeling van het wetsvoorstel hamert de Minister er echter op dat bij dit delict sprake moet zijn van “zware schuld” (culpa lata). Met andere woorden: schuld moet wel bewezen worden. Dit naar aanleiding van twijfels in de Eerste Kamer over het voorgestelde artikel 350b Sr:

Deze leden bleven twijfels koesteren ten aanzien van het bij amendement van de Tweede Kamer ingevoerde artikel 350b van het Wetboek van Strafrecht. Dit is de culpoze variant van de opzettelijke wijziging van gegevens, strafbaar gesteld in artikel 350a.

Ik wijs erop dat het bestanddeel «schuld» in een strafbepaling volgens de strafrechtelijke doctrine steeds verwijst naar zware schuld (culpa lata), in tegenstelling tot lichte schuld (culpa levis) die niet aan deze eis voldoet. Bij een eventuele vervolging terzake van dit feit, dient het openbaar ministerie deze zware schuld te bewijzen. Dit feit moet dus worden onderscheiden van een delictsomschrijving zonder dit bestanddeel, waarbij de bewijslast op de verdachte rust om afwezigheid van alle schuld aannemelijk te maken.

In de Tweede Kamer is er op gewezen dat vooral de jongeren, die zich aan dit delikt schuldig maken, moeten weten dat de wetgever hun gedrag strafbaar acht. Gelet op het bovenstaande heb ik geen aanleiding gezien mij tegen de wens van de Tweede Kamer te verzetten.

Deze leden wezen er verder op dat het al moeilijk genoeg zal zijn om de werkelijke daders van artikel 350a op te sporen en het bewijs rond te krijgen. Ik wijs erop dat een veroordeling, indien het bewijs van de opzet van artikel 350a niet te leveren is, slechts op grond van het gewraakte artikel 350b mogelijk is. Zonder deze bepaling zou de dader anders geheel vrijuit gaan.

Opvallend is dat waar de Minister in de Tweede Kamer de introductie van het delict nog geheel afraadde, nu in de Eerste Kamer het delict juist wordt verdedigd als vangnet voor het geval opzet niet bewezen zou kunnen worden.

Wat is de vereiste zware schuld?

Het wetsvoorstel heeft uiteindelijk op basis van o.m. deze toelichting de eindstreep gehaald. Het artikel is tegenwoordig nog steeds terug te vinden in artikel 350b Wetboek van Strafrecht.

De vraag is nu echter: wanneer is sprake van de zware schuld (“culpla lata”) die voor overtreding van het wetsartikel is vereist? De wet zelf bevat hierover als gezegd nauwelijks tot geen informatie (de toelichting is summier). In een conclusie van de advocaat-generaal uit 2008 wordt de geschiedenis van de culpa lata achter prachtig uiteengezet. Kort gezegd komt het er op neer dat sprake moet zijn van doen of juist nalaten, terwijl van een normaal mens onder die omstandigheden anders mocht worden verwacht.

Leidt dit alles tot een updateplicht?

Dit alles brengt ons bij de interessante vraag: is iemand die zijn computer niet update strafbaar, wanneer anderen daarvoor schade lijden? Denk in dat kader bijvoorbeeld aan een hacker die binnendringt in een netwerk omdat een van de computers in het netwerk niet geupdate is.

Laat ik voorop stellen dat er, voor zover mij bekend, geen rechtspraak is over artikel 350b Sr. Hoe een rechter over een dergelijke situatie zou oordelen is dus nog niet bekend.

Niettemin valt er wel het nodige over te zeggen. Artikel 350b Sr vereist dat sprake moet zijn van enkele omstandigheden. Deze zal ik hierna schetsen, om vervolgens daaronder commentaar te geven:

  1. gegevens die middels een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen;
  2. deze gegevens moeten zijn veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, of daar moeten andere gegevens aan zijn toegevoegd;
  3. die handeling moet wederrechtelijk (zonder toestemming) gebeurd zijn;
  4. ernstige schade met betrekking tot die gegevens;
  5. schuld van de dader.

Indien een hacker binnendringt in een netwerk omdat een van de computers niet is geupdate, zal aan de hiervoor genoemde eisen 1 t/m 3 al snel zijn voldaan. Hacken zal immers in de regel gepaard gaan met het wijzigen (eis 2) van elektronische gegevens (eis 1) die zijn opgeslagen op (een reeks van) computers of netwerken (eis 1), terwijl daarvoor geen toestemming (eis 3) is verkregen (het is immers een hacker). Zie voor wat betreft eis 1 ook de ruime uitleg van de Hoge Raad van het begrip geautomatiseerd werk.

Of er sprake is van ernstige schade (eis 4) zal de vraag zijn. Wat precies “ernstig” is en wanneer de schade dus groot / ernstig genoeg is, maakt de wet niet duidelijk. Ik vermoed echter dat dit als niet meer dan een de minimis drempel is bedoeld en dat ook aan deze eis in de praktjk snel zal zijn voldaan indien er schade is geleden.

De laatste eis, schuld van de dader, is de meest interessante eis. De vraag is of het niet updaten van software zodanig laakbaar is dat sprake is van schuld. Of anders gezegd: mag van een normaal funtionerend mens worden verwacht dat software geupdate wordt?

Er is wel wat voor te zeggen die vraag bevestigend te beantwoorden. Er is veel aandacht in de media over nut en noodzaak van het steeds up-to-date houden van computers en over het einde van de ondersteuning van Windows XP. Verder geldt dat kamerleden immers, heel bewust, een lage grens hebben geintroduceerd voor dit delict – die sterk wijst op het strafbaar stellen van onvoorzichtigheid (zie ook de opmerking over jongeren door de kamerleden) – en er op gehamerd dat financiele schade niet zonder consequenties mag blijven. Ook de Minister heeft het delict later verdedigd als vangnetartikel, hetgeen opnieuw wijst op een niet al te strenge interpretatie van het schuldbegrip. Het is afwachten hoe een rechter er in voorkomend geval over zal oordelen.

Civielrechtelijk effect

Behalve strafrechtelijke gevolgen zou het niet updaten van computers in dezelfde redenering ook civielrechtelijke gevolgen kunnen hebben. Artikel 6:162 BW noemt als onrechtmatige daad onder meer “het doen of nalaten in strijd met een wettelijke plicht” of met “hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt“.

Indien er sprake is van een strafrechtelijke veroordeling, levert dit civielrechtelijk dwingend bewijs op van het feit waarvoor degene is veroordeeld (artikel 161 Rv). Dat betekent praktisch gezien dat bij een strafrechtelijke veroordeling, ook een civielrechtelijke veroordeling wegens onrechtmatige daad voor de hand ligt. In dat geval zou de geleden schade in beginsel op de dader kunnen worden verhaald (met de nodige mitsen en maren, maar dat gaat te ver voor dit artikel).

Ook zonder strafrechtelijke veroordeling zou in een civiele procedure de strafrechtelijke redenering van dienst kunnen zijn. Handelen in strijd met de strafwetgeving, ook al volgt er formeel geen vervolging, zal immers al snel kwalificeren als onrechtmatige daad. De bewijslast zal in dat geval wel hoger liggen (het dwingende bewijs van het strafvonnis ontbreekt), dat is het kenmerkende verschil indien strafrechtelijke vervolging ontbreekt.

Het zal in de praktijk vermoedelijk dan ook de vraag zijn of werkelijk is aan te tonen aan wie is te wijten dat bepaalde schade wegens hackers is opgetreden. Die vraag speelt natuurlijk in het strafrecht even goed.

Slordig omspringen met wachtwoorden?

Overigens is de hiervoor geschetste redenering wellicht ook toe te passen bij het slordig omspringen met wachtwoorden. Ook dat kan immers tot gevolg hebben dat ingebroken wordt op een computer of op een netwerk. En ook daar geldt dat een gemiddeld mens zou moeten (behoren te) weten dat slordig omspringen met wachtwoorden grote consequenties kan hebben, althans dat is zeker verdedigbaar. Het is wachten op de eerste vervolging voor artikel 350b Sr.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Gerelateerde artikelen:
  1. Hoge Raad: kooprecht van toepassing op standaard software
  2. Gerechtshof Arnhem: software geen zaak, maar valt wel onder kooprecht
  3. Auteursrechten op software volledig uitgeput na eerste levering?

Gelabeld met:

Disclaimer & privacy statement © Dirkzwager advocaten & notarissen N.V. Alle rechten voorbehouden.
Naar boven scrollen