Commentaar - Observatorium van de Rechten op het Internet

Plaats op de site: Juridisch kader > Computercriminaliteit > Wetgeving > Europese Unie
Voorstel voor een Kaderbesluit van de Raad over aanvallen
op informatiesystemen
Te onthouden:
29 april 2002
(Publ.C. 203/0109, 27 augustus 2002)
De Europese Unie heeft zich lange tijd eerder terughoudend opgesteld wat
informaticacriminaliteit betreft. Vanuit de Unie werden de lidstaten tot dusver niet echt
gedwongen tot een verregaande systematische harmonisatie. Dit voorstel beoogt hieraan een
einde te maken.
Het voorstel leunt dicht aan bij een ander belangrijk eenmakingsinitiatief. Het
Cybercrimeverdrag kwam op 23 november 2001 tot stand in de schoot van de Raad van
Europa als eerste internationaal verdrag met betrekking tot computergerelateerde misdrijven.
Dit voorstel heeft dan ook ruwweg dezelfde doelstellingen als het Cybercrimeverdrag. Op de
eerste plaats beogen ze beiden uniforme definities van bepaalde informaticagerelateerde
misdrijven in te voeren. Hierdoor zouden alle lidstaten dezelfde maatstaven voor
informaticacriminaliteit hanteren. Op de tweede plaats willen ze beiden de internationale
samenwerking tussen de strafrechtelijke onderzoeksdiensten bevorderen. Dit zou vooral
moeten gebeuren door het versoepelen van de uitwisseling van informatie tussen de lidstaten.
Het is niet onbelangrijk op te merken dat ook de Belgische Wet inzake
informaticacriminaliteit rond nagenoeg hetzelfde tijdstip werd goedgekeurd. Er zijn dan ook
zeker bepaalde gemeenschappelijke elementen te ontdekken, en we zullen hier later in de
tekst nog vaak naar verwijzen.
Sleutelbegrippen:
Computercriminaliteit – Europese Unie – Materieel strafrecht – Onrechtmatige toegang –
Onrechtmatige verstoring - Sanctionering
Inhoudsopgave van de bespreking:
A. Inleiding
Doel van het voorstel
Initiatieven binnen de Europese Unie
Verwevenheid met het Cybercrimeverdrag
Verwevenheid met de wet inzake informaticacriminaliteit
B. Werkingssfeer en definities
Voorstel voor kaderbesluit
Elektronisch communicatienetwerk

Computer en informatiesysteem
Computergegevens
Onrechtmatigheid
C. Onrechtmatige toegang tot informatiesystemen
Opzettelijk en onrechtmatig
Geheel of deel van een informatiesysteem
Beveiliging
Oogmerk om te schaden
Oogmerk om economisch voordeel te halen
D. Onrechtmatige verstoring van informaticasystemen
Opzettelijk en onrechtmatig
Verstoren van de werking van een informatiesysteem
Wijzigen van computergegevens in een informatiesysteem
E. Strafmodaliteiten
Instigatie, hulp, aanstoking en poging
Straffen
Bijzondere en verzwarende omstandigheden
Aansprakelijkheid van rechtspersonen
F. Internationale aspecten
Rechtsmacht
Uitwisseling van informatie
G. Om meer te weten
Nuttige links
Gerelateerde rechtsleer
Bespreking:
A. Inleiding
De Europese Unie heeft zich lange tijd eerder terughoudend opgesteld wat
informaticacriminaliteit betreft. Weliswaar heeft de Unie een hele reeks teksten
voortgebracht die zijdelings betrekking hadden op informaticacriminaliteit of die een
specifiek aspect ervan regelden, maar aan een globale aanpak ontbrak het tot dusver.
Men zou de Europese regelgeving op het gebied van informaticacriminaliteit dan ook
kunnen omschrijven als enerzijds fragmentarisch en anderzijds ‘issue-based’.
Met ‘issue-based’ regelgeving bedoelen we dat informaticacriminaliteit slechts een klein
aspect van de geregelde materie uitmaakt. Als voorbeeld hiervan verwijzen we naar
richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende
de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer
in de sector elektronische communicatie (richtlijn "privacy en elektronische
communicatie"). Deze richtlijn was erop gericht de privacy van de Europese burgers te
beschermen, en had dus niet specifiek tot doel tegen informaticacriminaliteit op te treden.
Eén van de aspecten die hierbij echter moesten worden geregeld was het verzenden van
spam i en het gebruik van cookies ii . Onder sommige omstandigheden kan het gebruik van
dergelijke technieken als informaticacriminaliteit worden bestempeld. Deze richtlijn

probeert dus een volledige aanpak van het ‘issue’ privacybescherming te bieden, en regelt
zijdelings ook een (klein) aspect van informaticacriminaliteit.
Een voorbeeld van fragmentarische regelgeving vinden we in het besluit van de Raad van
29 mei 2000 ter bestrijding van kinderpornografie op internet. Hierin wordt er duidelijk
opgetreden tegen een helaas vaak voorkomend informaticagerelateerd misdrijf, maar
anderzijds blijft het besluit beperkt tot deze ene specifieke vorm van
informaticacriminaliteit. Er wordt dus duidelijk niet beoogd een volledige oplossing te
bieden aan het volledige spectrum van informaticamisdrijven.
Vanuit de Europese Unie werden de lidstaten dus niet gedwongen tot een verregaande
systematische harmonisatie. Buiten de Unie ontstond er echter wel een belangrijk
eenmakingsinitiatief. Het Cybercrimeverdrag kwam op 23 november 2001 tot stand in de
schoot van de Raad van Europa als eerste internationaal verdrag met betrekking tot
computergerelateerde misdrijven. Het is niet onbelangrijk op te merken dat ook de
Belgische Wet inzake informaticacriminaliteit iii rond nagenoeg hetzelfde tijdstip werd
goedgekeurd. Er zijn dan ook zeker bepaalde gemeenschappelijke elementen te
ontdekken, en we zullen hier later in de tekst nog naar verwijzen.
Het mag geen verwondering wekken dat meerdere instellingen zich op nagenoeg hetzelfde
moment toelegden op deze problematiek. Informatica speelt immers zowel in het
bedrijfsleven als in het leven van de modale burger een steeds grotere rol. Dit brengt
natuurlijk eveneens met zich mee dat informaticacriminaliteit steeds vaker voorkomt en
ook steeds meer schade kan aanrichten. Een relatief eenvoudig computervirus kan al snel
wereldwijd voor een economische malaise zorgen die vele miljoenen Euro’s kost. Het is
dan ook nodig hier efficiënt tegen te kunnen optreden.
Daarbij hebben informaticagerelateerde misdrijven omwille van hun aard vaak een
internationaal karakter. De verspreiding van bijvoorbeeld computervirussen via e-mail
wordt immers totaal niet ingeperkt door landsgrenzen. Het is dan ook nodig om op
internationaal vlak over een zo homogeen mogelijke regelgeving te beschikken om
wereldwijd actie te kunnen ondernemen. Het Cybercrimeverdrag zette enkele zeer
betekenisvolle stappen in deze richting, en we zullen daar later in deze bespreking nog
even op terugkomen. Voor een meer uitgebreide uiteenzetting verwijzen we naar de
commentaar bij het Cybercrimeverdrag elders op deze site.
Wanneer men dit voorstel tot kaderbesluit vergelijkt met het Cybercrimeverdrag, dan kan
de eerste conclusie enkel zijn dat de Raad haar huiswerk goed heeft gemaakt. Niet alleen
de inhoud, maar ook de indeling zijn een vrij nauwgezette kopie van het eerste en tweede
hoofdstuk van het Cybercrimeverdrag. Ernstige afwijkingen ervan zouden overigens niet
mogelijk zijn geweest: alle lidstaten iv van de Unie hebben immers ook het
Cybercrimeverdrag getekend, zodat contradicties tussen de twee teksten voor
onoverkomelijke problemen zouden zorgen.
Men kan zich de vraag stellen wat het nut is van dit kaderbesluit nu dezelfde materie voor
dezelfde lidstaten al wordt geregeld door een apart verdrag. Een verklaring daarvoor kan
worden gevonden in de vaststelling dat de bepalingen van het Cybercrimeverdrag niet
altijd even duidelijk zijn. Dit kon ook niet anders. Het Verdrag werd immers niet alleen
ondertekend door nagenoeg alle Westeuropese staten, maar ook door de Verenigde Staten,
Japan en Canada. Om een dergelijke politiek verscheiden groep op één lijn te krijgen, is

het helaas vaak nodig dat deze lijn niet steeds even duidelijk wordt getrokken, zodat zij
allemaal de nodige interpretatievrijheid behouden. Ook bij het Cybercrimeverdrag was dit
niet anders.
Daarmee is meteen het nut van het voorstel uiteengezet: het geeft de Europese lidstaten de
mogelijkheid onderling gemeenschappelijke regels vast te stellen die (hopelijk) iets
helderder zijn dan mogelijk bleek in het kader van het Cybercrimeverdrag. In welke mate
het voorstel daarin slaagt zal in de loop van deze bespreking duidelijk worden.
Het spreekt voor zich dat in dit kader niet alleen Europese teksten relevant zijn. Ook de
Belgische wetgever zag in het jaar 2000 de noodzaak in van een specifiek aangepaste
wetgeving. Dit resulteerde in de wet van 28 november 2000 inzake
informaticacriminaliteit. Aangezien de wet het Cybercrimeverdrag chronologisch ruwweg
één jaar voorafgaat, kan men zeker niet concluderen dat deze wet enkel een doorslagje is
van het verdrag. Maar toch moet men ook hier vaststellen dat de Belgische wetgever zich
verregaand heeft laten inspireren door de eerste versies van het verdrag. Ook hier kunnen
we dus een grote overeenstemming vaststellen tussen de wet en het verdrag, wat
impliceert dat de wet meteen ook een aantal overeenkomsten zou moeten vertonen met dit
voorstel van kaderbesluit. Ook hierop komen we later nog uitvoerig terug.
In deze bespreking zullen we verder de logische opbouw van het voorstel volgen. Op de
eerste plaats bespreken we de werkingssfeer en de definities in het verdrag. Vervolgens
gaat we in op de misdrijven, de strafmodaliteiten en de behandeling van internationale
aspecten van informaticacriminaliteit. In de loop van de bespreking zullen we ook vaak
vergelijkingen maken tussen de bepalingen van enerzijds dit voorstel,en anderzijds de
bepalingen van het Cybercrimeverdrag en de Belgische wet.
B. Werkingssfeer en definities
Voordat we wat dieper ingaan op de eerste twee artikels van dit voorstel van een
kaderbesluit willen we er even op wijzen wat de verplichtingen zijn die voor lidstaten
voortvloeien uit kaderbesluiten.
Kaderbesluiten zijn een vorm van regelgeving die door de Europese Raad kunnen worden
genomen in het kader van de politiële en justitiële samenwerking in strafzaken tussen de
lidstaten. Artikel 34 van het EU-verdrag bepaalt dat deze besluiten voor de lidstaten
verbindend zijn wat betreft het te bereiken resultaat. De precieze manier om het
eindresultaat te bereiken wordt echter niet vastgelegd. Kaderbesluiten laten dus een grote
mate van autonomie bestaan bij de lidstaten zelf.
Wellicht ten overvloede wijzen we er nog even op dat deze tekst voorlopig slechts een
voorstel van kaderbesluit is, dat werd voorgelegd aan het Europees Parlement voor advies.
Zolang de tekst niet definitief wordt zijn er vanzelfsprekend geen verplichtingen voor de
lidstaten aan verbonden.
Nu dit verduidelijkt is zal het eerste artikel van het voorstel, dat handelt over de
werkingssfeer ervan, weinig commentaar meer behoeven. Volgens artikel 1 heeft het
kaderbesluit de bedoeling “… de samenwerking tussen de justitiële en andere bevoegde
autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde
rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van
de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen.”
Hiermee wordt meteen summier de bestaansreden van het voorstel samengevat: via

harmonisatie van de nationale rechtsstelsels komen tot een efficiëntere bestrijding van
informaticagerelateerde criminaliteit.
We overlopen even kort de voornaamste definities van het voorstel die werden
opgenomen in artikel 2.
1. Elektronisch communicatienetwerk: “de transmissiesystemen en in voorkomend geval
de schakel- of routeringsapparatuur en andere middelen die het mogelijk maken
signalen over te brengen via draad, radiogolven, optische of andere
elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en
pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken,
netten voor radio- en televisieomroep en kabeltelevisienetten, ongeacht de aard van de
overgebrachte informatie.”
Dit is een zeer technologieneutrale omschrijving van een communicatienetwerk die
geen rekening houdt met de specifieke infrastructuur. Het internet valt natuurlijk zeker
onder deze omschrijving, net als plaatselijke publieke of private computernetwerken.
Het is echter belangrijk op te merken dat de definitie ook niet-informaticagerelateerde
netwerken omvat, inclusief radio- en televisieomroepen. Het gaat dus om
communicatienetwerken in de ruimste zin van het woord.
2. Computer: “elk apparaat of groep van onderling verbonden of met elkaar verband
houdende apparaten, waarvan er één of meer op basis van een programma automatisch
computergegevens verwerkt.”
Dit begrip komt vrij goed overeen met de terminologie die wordt gehanteerd in het
Cybercrimeverdrag, namelijk ‘computersysteem’. In beide gevallen gaat het om een
erg ruim concept, dat nagenoeg elk systeem voor verwerking van computergegevens
omvat (computers in de klassieke zin van het woord, chipkaarten e.d.).
Er zouden zich interpretatieproblemen kunnen voordoen doordat de definitie wel erg
ruim is. Mobiele telefoons vallen bijvoorbeeld ook onder de definitie, maar men zou
ook kunnen verdedigen dat meer huishoudelijke toestellen eraan voldoen. Een
wasmachine is immers ook een apparaat, en heeft ook een (weliswaar eenvoudig)
ingebouwd programma op basis waarvan het computergegevens in de zin van dit
voorstel verwerkt. Maar misschien zijn dergelijke “grijze zones” niet abnormaal in een
tijdperk waarin ook alledaagse apparatuur steeds meer functionaliteiten verwerft
waardoor het steeds meer op computers gaat lijken v .
3. Informatiesysteem: “computers en elektronische communicatienetwerken, alsmede de
computergegevens die daarmee worden opgeslagen, verwerkt, opgehaald of verzonden
met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.”
Het is opvallend dat het voorstel een aparte definitie bevat voor het concept
‘informatiesysteem’. Het gaat om een verzamelnaam voor computers,
communicatiegegevens en de daarmee verbonden computergegevens. Het begrip mag
dus niet worden gelijkgesteld met het Belgische begrip ‘informaticasysteem’, dat
immers geen computergegevens omvat. Het gebruik van deze ruimere term
‘informatiesysteem’ heeft vooral als gevolg dat de Raad bredere omschrijvingen kan
opstellen voor misdrijven, waardoor al te technische discussies vaak kunnen worden
vermeden.
4. Computergegevens: “elke weergave van feiten, gegevens of begrippen die is gemaakt
of omgezet in een vorm die geschikt is voor verwerking in een informatiesysteem, met

inbegrip van programma's die een informatiesysteem een bepaalde functie kunnen
laten uitvoeren.”
Deze definitie is nagenoeg identiek aan de definitie van het Cybercrimeverdrag, en
heeft dus ook dezelfde ruime draagwijdte. Het is duidelijk dat het voorstel op het vlak
van definities niet erg vernieuwend uit de hoek komt.
Met deze definities als bouwblokken is het mogelijk over te gaan tot de bespreking
van de misdrijven.
C. Onrechtmatige toegang tot informatiesystemen
Dit eerste misdrijf wordt gedefinieerd in artikel 3 van het voorstel, en beoogt een
strafbaarstelling in te voeren voor het misdrijf dat vaak omschreven wordt als hacking.
Het voorstel verplicht de lidstaten ervoor te zorgen “dat de opzettelijke, onrechtmatige
toegang tot een informatiesysteem of enig onderdeel daarvan, strafbaar wordt gesteld
indien het feit is gepleegd:
(i) tegen een deel van een informatiesysteem waarvoor specifieke beveiligingsmaatregelen
gelden; of
(ii) met het oogmerk een natuurlijke of een rechtspersoon schade te berokkenen; of
(iii) met het oogmerk economisch voordeel tot gevolg te hebben.”
Deze omschrijving van het misdrijf bevat een aantal opvallende punten, waarop we hier
wat verder in zullen gaan.
Op de eerste plaats is de beschreven toegang enkel strafbaar als ze onrechtmatig is. Artikel
1, (g) stelt dat onrechtmatig “betekent dat gedragingen door bevoegde personen of andere
gedragingen die in het nationale recht als rechtmatig worden erkend, zijn uitgesloten.”
Een persoon moet als bevoegd worden beschouwd wanneer hij contractueel of wettelijk
het recht heeft op toegang tot het informatiesysteem, of de rechtmatige toestemming
hiervoor heeft (artikel 1, (f)). Een terminologie die dus niet zo veraf staat van de Belgische
wet inzake informaticacriminaliteit, die immers spreekt over “toegang verschaffen tot of
zich te handhaven in een informaticasysteem door iedereen die weet dat hij daartoe niet
gerechtigd is”.
Een opvallend punt is wel dat de toegang betrekking heeft op een informatiesysteem, en
niet op een computersysteem, zoals men misschien zou verwachten. In de praktijk zal dit
weinig verschil maken. Het is immers moeilijk in te zien hoe men zich toegang zou
kunnen verschaffen tot computergegevens die zich binnen een computer bevinden zonder
zich toegang te verschaffen tot een computer.
Een volgende belangrijke opmerking is dat het voorstel net als de Belgische wet en het
Cybercrimeverdrag geen technische vereisten stelt aan de wijze waarop men toegang
verkrijgt tot het informatiesysteem. In de populaire media worden hackers immers meestal
voorgesteld als techneuten die via hun eigen computers systemen aan de andere kant van
de wereld kunnen overnemen. De werkingssfeer van dit misdrijf is echter een stuk ruimer:
ook iemand die gewoon plaatsneemt achter andermans computer en er onrechtmatig
gebruik van maakt kan daardoor strafbaar zijn, ook zonder gebruikt te maken van
technisch complexe hulpsoftware.

Een laatste interessant punt is nog dat het toepassingsgebied van het misdrijf onderworpen
is aan enkele bijkomende alternatieve voorwaarden. De voorwaarden hebben hetzij
betrekking op het voorwerp van het misdrijf (m.a.w. het informatiesysteem), hetzij op het
morele bestanddeel ervan (m.a.w. het achterliggende oogmerk). Minstens aan één van de
drie voorziene hypotheses moet voldaan zijn om van een strafbaar feit te kunnen spreken.
De eerste hypotheses is dat het feit werd gepleegd tegen een deel van een
informatiesysteem waarvoor specifieke beveiligingsmaatregelen gelden. In deze
hypothese moest de hacker dus een bepaald veiligheidssysteem doorbreken om toegang te
verkrijgen tot het systeem. Dit is een voorwaarde die al bestond in verschillende Europese
rechtsstelsels vi , maar die niet in het Belgisch recht werd opgenomen.
De tweede hypothese waarbij er steeds sprake zou moeten zijn van strafbaarheid is als er
bij de binnendringer een oogmerk aanwezig zou zijn een natuurlijke of een rechtspersoon
schade te berokkenen. Dit is bijvoorbeeld het geval wanneer men zich onrechtmatig
toegang verschaft tot een informatiesysteem met de bedoeling er gegevens te vernietigen
of te beschadigen. In deze hypothese is het dus niet meer nodig dat er een
beveiligingssysteem werd omzeild.
In de derde hypothese werd de computerinbraak gepleegd met het oogmerk er een
economisch voordeel uit te halen, zoals bijvoorbeeld bij bedrijfsspionage.
Dit heeft voor gevolg dat sommige vormen van ‘white hat hacking’ niet meer strafbaar
zijn. ‘White hat hacking’ is een fenomeen waarbij goedbedoelende hackers proberen
opzettelijk en zonder toestemming binnen te dringen in andermans systeem, maar waarbij
zij dit enkel doen om de veiligheid en de betrouwbaarheid van een systeem uit te testen.
Veelal worden eventuele gebreken later dan gemeld aan de systeembeheerder, zodat het
lek kan worden gedicht. Indien er geen beveiligingssystemen moesten worden omzeild
zou dit dus niet strafbaar zijn.
Het problematische element hieraan is dat de meeste white hat hackers hun goede intenties
pas bekend maken na betrapt te zijn op een illegaal lijkende inbraak. Een goed voorbeeld
hiervan is de Belgische RedAttack-zaak, waarbij een zelfverklaard hacker onder meer
gegevens ontvreemdde bij internetprovider Skynet. De hacker betoogde op zijn proces
onder meer dat hij enkel het veiligheidsgebrek aan het licht wilde brengen, en dat hij geen
kwade bedoelingen had. Daarbij zou hij geen beveiligingsmaatregelen hebben omzeild.
Ondertussen was het kwaad echter al geschied, en was de zaak reeds breed uitgesmeerd in
de media, die overigens door de hacker zelf op de hoogte werden gebracht.
Net om dit soort situaties tegen te gaan koos de Belgische wetgever voor een strenge maar
elegante oplossing. Naar Belgisch recht wordt er geen rekening gehouden met het
oogmerk van de inbreker die geen enkele toegangsbevoegdheid tot het systeem heeft, en
speelt de aanwezigheid van een beveiligingssysteem geen rol vii . Als het kaderbesluit
verder niet wordt gewijzigd en in zijn huidige vorm wordt aanvaard, dan zal de Belgische
wet dus moeten worden aangepast.
D. Onrechtmatige verstoring van informaticasystemen
Ook dit misdrijf dat wordt beschreven in artikel 4 van het voorstel brengt niets
revolutionair nieuws. Een instinctieve omschrijving van dit misdrijf zou de term

“informaticavandalisme” zijn. Daarmee doelen we op de opzettelijke en onrechtmatige
beschadiging van computergegevens, of op de verstoring van de werking van een
informatiesysteem. Het typevoorbeeld van dit soort misdrijf is de introductie van een
computervirus in een systeem. Denken we dan bijvoorbeeld aan de recente uitbraak van
het LoveSan/W32.Blaster-virus, dat op een groot aantal computers het effect had dat ze
telkens opnieuw automatisch heropstartten. Dit is een duidelijk voorbeeld van de
verstoring van de werking van een informatiesysteem.
In het Cybercrimeverdrag is dit misdrijf dan ook opgesplitst in twee aparte misdrijven:
enerzijds data interference (artikel 4, met betrekking tot beschadiging van gegevens) en
anderzijds system interference (artikel 5, met betrekking tot de verstoring van de werking
van een computersysteem). Een opsplitsing die niet erg zinvol is, en daarom in de
Belgische wet ook niet werd behouden. De wet inzake informaticacriminaliteit voert enkel
het misdrijf datamanipulatie in, waarbij de verstoring van de werking van het systeem een
verzwarende omstandigheid is in plaats van een apart misdrijf.
We bespreken even kort het misdrijf zoals gedefinieerd in artikel 4 van het voorstel van
kaderbesluit.
Het misdrijf wordt zoals hierboven al werd vermeld opgesplitst in twee verschillende
strafbare handelingen, die we hier dan ook apart bespreken. Het is wel belangrijk op te
merken dat beide handelingen enkel strafbaar zijn als ze opzettelijk en onrechtmatig
worden gesteld. Deze begrippen krijgen dezelfde invulling als bij de hogebesproken
hacking. We zullen er hier dan ook niet meer op terugkomen.
Misdrijf (a): “het ernstig hinderen of onderbreken van de werking van een
informatiesysteem door de invoer, de transmissie, het beschadigen, wissen,
verminken, wijzigen, onderdrukken of ontoegankelijk maken van
computergegevens”
Het eerste misdrijf sanctioneert dus niet specifiek de beschadiging of wijziging
van computergegevens, maar wil het strafbaar maken de werking van een
informatiesysteem te hinderen of te onderbreken. We vermeldden hierboven al
dat sommige virussen zeker voldoen aan deze omschrijving, maar ook
daarbuiten zijn de voorbeelden legio. Een tweede typevoorbeeld vinden we in
de zogenaamde Denial of Service-aanvallen (DoS viii -aanvallen). DoS-aanvallen
zijn een vorm van informaticacriminaliteit die enkel wordt gepleegd tegen
computers in een netwerk. De bedoeling is deze computers te overspoelen met
nepverzoeken voor informatie, zodat de computers ook niet meer in staat
zullen zijn te reageren op echte verzoeken. Op die manier geraakt een
aangevallen systeem volledig overbelast, en zal het uiteindelijk alle dienst
moeten weigeren; vandaar de naam Denial of Service. Afhankelijk van de
gebruikte technieken kunnen deze aanvallen zeer moeilijk te stoppen zijn.
Belangrijk is wel dat de werking van het informatiesysteem moet worden
verstoord door de manipulatie van computergegevens. Het doorsnijden van
kabels of andere fysieke vormen van beschadiging vallen hier dus niet onder.
Misdrijf (b): “het wissen, verminken, wijzigen, onderdrukken of
ontoegankelijk maken van computergegevens in een informatiesysteem met
het oogmerk om een natuurlijke of een rechtspersoon schade te berokkenen.”

E. Strafmodaliteiten
Het belangrijkste verschil met het hierboven vermelde misdrijf is dat de
verstoring van de werking van een computer hier geen rol speelt. Dit misdrijf
zou bijvoorbeeld kunnen worden gepleegd door het opzettelijk en onrechtmatig
uitwissen van andermans tekstdocumenten, ook al wordt de werking van het
systeem daardoor niet beïnvloed.
Opvallend is dat er hier net als in de Belgische wet een bijzonder moreel
bestanddeel wordt vereist: het oogmerk om een natuurlijke of een
rechtspersoon schade te berokkenen. De verstoring van de werking van een
computersysteem had deze voorwaarde niet. De Belgische wet inzake
informaticacriminaliteit voorziet echter geen afwijkende regel voor
datamanipulatie resulterend in systeemverstoring. Bijgevolg is ook
systeemverstoring naar Belgisch recht enkel strafbaar indien er sprake zou zijn
van een oogmerk om te schaden. Ook hier zou de Belgische wet dus moeten
worden aangepast, aangezien ze anders een nauwere werkingssfeer zou hebben
dan het Europese kaderbesluit.
De artikelen 5-10 van het voorstel regelen een uiteenlopende reeks problemen die we
hier hebben gegroepeerd onder de naam ‘strafmodaliteiten’. Hierbij gaat het om vaak
voorkomende problemen bij de beoordeling van de strafwaardigheid van een
gewoonlijk strafbare handeling. In deze context gaat het vooral over problemen van de
strafbaarheid van de poging, eventuele bijzondere en verzwarende omstandigheden, de
aansprakelijkheid van rechtspersonen, enzovoorts.
De meeste van deze problemen hebben geen specifieke band met het informaticarecht,
en zullen in de meeste Europese lidstaten al zijn geregeld in het algemene strafrecht.
Desondanks is het zinvol deze materie te onderwerpen aan een specifiek Europees
kader, al is het maar om ervoor te zorgen dat alle lidstaten over dezelfde wapens
kunnen beschikken om informaticacriminaliteit te bestrijden.
Daarbij was er nog een tweede en meer tastbare reden om deze regelgeving op te
nemen in dit voorstel. Het Cybercrimeverdrag bevat namelijk een drietal artikelen
onder de titel “Ancillary liability and sanctions” (artikel 11-13) die exact dezelfde
materie regelen. Nagenoeg alle lidstaten zouden hun wetgeving op dit domein dus toch
moeten controleren en eventueel aanpassen aan het verdrag. Bijgevolg zou een verder
Europees eenmakingsinitiatief alleen maar tot een grotere Europese uniformiteit
kunnen leiden zonder een noemenswaardige extra inspanning te vragen.
We zullen even kort de voornaamste bepalingen uit dit deel van het voorstel
bespreken.
Artikel 5: Instigatie, hulp, aanstoking en poging
Artikel 5 vereist dat lidstaten voorzien in de strafbaarheid van de aanstoking tot of
hulp bij de hoger vermelde misdrijven, evenals de strafbaarheid van de poging.
Naar Belgisch recht vereist dit weinig tot geen bijzondere maatregelen, vermits dit
in het algemeen strafrecht wordt geregeld. In dat kader is het wel belangrijk op te
merken dat de poging tot een wanbedrijf enkel strafbaar is als de wet dit

nadrukkelijk heeft bepaald, en tot dusver is dit niet gebeurd voor datamanipulatie.
Op dit vlak dringt er zich dus een wetswijziging op.
Artikel 6: Straffen
Net als het Cybercrimeverdrag bevat dit voorstel ook een aantal eenvoudige regels
om de omvang van de strafmaat vast te leggen. En eveneens net als het
Cybercrimeverdrag beperkt het voorstel zich grotendeels tot ruim geformuleerde
regels die de lidstaten een grote autonomie laten.
Het artikel stelt dat de misdrijven uit het verdrag moeten worden gesanctioneerd
“met doeltreffende, evenredige en afschrikkende straffen, waaronder
maximumgevangenisstraffen die in ernstige gevallen ten minste een jaar moeten
bedragen. Het begrip "ernstige gevallen" moet aldus worden opgevat dat
gedragingen die geen schade of economisch voordeel ten gevolge hebben gehad
daar niet onder vallen.”
Hiermee is het voorstel toch beduidend concreter dan het Cybercrimeverdrag, dat
nergens een specifieke termijn vastlegt. Als verdere mogelijkheid laat het verdrag
toe dat de lidstaten “naast vrijheidsstraffen bijkomende of alternatieve straffen in
de vorm van boetes kunnen [opleggen]”.
Artikel 7-8: Verzwarende en bijzondere omstandigheden
Deze artikelen strekken ertoe specifieke richtlijnen in te voeren over de
strafverhoging of -verlaging die in bepaalde hypotheses zou moeten worden
uitgesproken. Hier is de Europese Raad wat meer in detail getreden. De Belgische
wet zal dan ook op meerdere vlakken moeten worden aangepast aan deze regels.
Er wordt onder andere een minimum van 4 jaar gevangenisstraf geëist als de
misdrijven worden gepleegd in het kader van een criminele organisatie, als ze
aanzienlijke economische schade of lichamelijk letsel toebrengen, of aanzienlijke
opbrengsten meebrengen.
In geval van herhaling moet deze straf zelfs nog worden verhoogd.
Artikel 8 daarentegen laat strafverlaging toe als “de dader naar de mening van de
bevoegde justitiële autoriteit slechts onbeduidende schade heeft veroorzaakt.” Hier
krijgen de lidstaten (of beter: hun rechters) dus een ruime appreciatiebevoegdheid.
Naar Belgisch recht zou het mogelijk zijn hiervoor verzachtende omstandigheden
in te roepen.
Artikel 9-10: Aansprakelijkheid van rechtspersonen
Net als het Cybercrimeverdrag legt ook dit voorstel aan de lidstaten de
verplichting op regelgeving in te voeren waarmee rechtspersonen kunnen worden
gesanctioneerd voor hun betrokkenheid in de besproken misdrijven. In België zal
hiervoor geen bijzondere regelgeving noodzakelijk zijn, vermits de strafrechtelijke
aansprakelijkheid van rechtspersonen werd ingevoerd via de wet van 4 mei 1999
tot invoering van de strafrechtelijke verantwoordelijkheid van rechtspersonen.
F. Internationale aspecten

Eén van de belangrijkste aspecten die moeten worden geregeld op het vlak van
informaticacriminaliteit is de internationale bevoegdheidsverdeling en samenwerking.
We hebben hierboven immers al opgemerkt dat informaticacriminaliteit een
internationaal fenomeen is, dat totaal niet wordt ingeperkt door de aanwezigheid van
landsgrenzen. Het eerder aangehaalde voorbeeld van de razendsnelle verspreiding van
het LoveSan/W32.Blaster-virus is hier een goede illustratie van.
Getrouw aan het voorbeeld dat het Cybercrimeverdrag op dit vlak heeft gesteld
concentreert ook dit voorstel zich op twee belangrijke aspecten van internationale
coördinatie. Op de eerste plaats bevat het voorstel een aantal basisregels om de
rechtsmacht te bepalen bij grensoverschrijdende informaticacriminaliteit. Dit zou de
lidstaten moeten toelaten om zonder veel problemen te bepalen welke nationale
rechter bevoegd is. Ten tweede werd er een regelgevend kader gecreëerd voor de
internationale uitwisseling van informatie. Op die manier moeten
grensoverschrijdende strafonderzoeken vlotter kunnen verlopen, en kunnen de
Europese strafrechtelijke instanties efficiënter optreden.
Rechtsmacht
Artikel 11 van dit voorstel is een vrij exacte kopie van artikel 22 van het
Cybercrimeverdrag, dat dezelfde materie regelt.
Het artikel baseert zich voor de bevoegdheidsverdeling enerzijds op het
territorialiteitsbeginsel, en anderzijds op het nationaliteitsbeginsel. Aangezien deze
beginselen in sommige geval een conflicterende uitkomst geven wordt er ook een
oplossing voorzien voor betwistingen.
Het territorialiteitsbeginsel houdt in dat een misdrijf valt onder de bevoegdheid
van een lidstaat als dit misdrijf geheel of gedeeltelijk op haar grondgebied is
gepleegd.
Het nationaliteitsbeginsel daarentegen houdt in dat elke lidstaat rechtsmacht heeft
voor misdrijven die enerzijds zijn gepleegd ix door een van haar onderdanen tegen
personen of groepen uit die staat; en anderzijds voor misdrijven die zijn gepleegd
ten voordele van een rechtspersoon die zijn hoofdkantoor op het grondgebied van
die lidstaat heeft.
Het ene principe baseert zich dus op de locatie van het misdrijf, en het andere op
de nationaliteit van dader of slachtoffer. Vanzelfsprekend leidt dit soms tot
conflicten, bijvoorbeeld wanneer een Belgische dader een Franse firma schade
toebrengt door vanuit Nederland systemen in Duitsland aan te vallen.
In geval van een dergelijk dispuut schrijft het voorstel enkel voor dat de lidstaten
moeten samenwerken om tot een eindbeslissing te komen. Het probleem wordt dus
eigenlijk omzeild door eenvoudigweg te verwijzen naar de klassieke diplomatieke
kanalen.
Tenslotte stelt het artikel ook nog dat wanneer een lidstaat weigert de verdachte
van één van de vermelde misdrijven uit te leveren, dat ze dan verplicht is de
rechtsmacht voor zichzelf te vestigen. Ze moet m.a.w. hetzij vervolgen, hetzij
uitleveren x .

Uitwisseling van informatie
Het laatste aspect dat in het verdrag wordt geregeld is de internationale
uitwisseling van informatie. Op die manier hoopt de Raad internationale
opsporingen sterk te vereenvoudigen. Ook hier volgt het voorstel getrouw het
voorbeeld van het Cybercrimeverdrag, zij het dat de regeling hier vrij summier in
één artikel wordt geregeld.
Kort samengevat verplicht artikel 12 van het voorstel (net als artikel 35 van het
Cybercrimeverdrag) de lidstaten een operationeel meldpunt in te richten. Dit
meldpunt moet 24 uur per dag en zeven dagen per week bereikbaar zijn, en worden
bemand door experts.
Op die manier moeten vlotte communicatie en goed gecoördineerde internationale
acties tot de mogelijkheden behoren. In dit kader is het wellicht niet onbelangrijk
dat er in januari 2004 een nieuwe Europese instelling zal worden opgericht die
luistert naar de naam ENISA (European Network and Information Security
Agency). Dit agentschap zal de uitwisseling van informatie tussen de lidstaten op
het gebied van informaticacriminaliteit verder coördineren.
Hiermee zou het internationaal strafrechtelijk onderzoek van
informaticacriminaliteit een forse stap voorwaarts zetten.
G. Om meer te weten
Nuttige links
o Officiële pagina van de Raad van Europa met betrekking tot
cybercriminaliteit
o Officiële pagina van de Europese Unie met betrekking tot het voorstel
voor een kaderbesluit
o Europese FAQ over ENISA (European Network and Information
Security Agency)
Gerelateerde rechtsleer
o VERMEULEN, G. en DHONT, F., Aspecten van Europees materieel
strafrecht, Antwerpen, Maklu, 2002, p.397 e.v.
o DUMORTIER, J., Informaticarecht, Leuven, Acco, 2002
o Themanummer Cybercrime, Computerr. 2, 2003
Bespreking opgesteld door ICRI, gecoördineerd door Hans GRAUX.
i ‘Spam’ is een op het internet vaak gebruikte benaming voor ongewenste commerciële boodschappen, meestal in
de vorm van massaal verzonden e-mail. Kort samengevat laat de richtlijn het verzenden van spam enkel toe na
de voorafgaande toestemming van de bestemmeling, behoudens enkele uitzonderingen (een zogenaam soft optin-stelsel).
Voor meer uitleg verwijzen we graag naar de bespreking van de richtlijn.
ii ‘Cookie’ is een veelgebruikte benaming voor kleine bestandjes die door sommige sites op uw computer worden
gedeponeerd, en kunnen worden gebruikt om u te identificeren. In feite bestaan cookies uit een tekstbestandje
dat enkel een uniek serienummer bevat. Bij uw eerste bezoek aan een site krijgt uw browser zo’n serienummertje

toegewezen, en bij elk volgend bezoek wordt aan uw browser gevraagd zich te identificeren met de cookie. Op
die manier is het voor de websitebouwers mogelijk precies in kaart te brengen hoe u zich gedraagt op hun site, en
hun pagina’s hieraan aan te passen. Voor meer uitleg verwijzen we graag naar de bespreking van de richtlijn.
iii
De wet inzake informaticacriminaliteit dateert van 28 november 2000, en werd in het Belgisch Staatsblad
gepubliceerd op 3 februari 2001, dus enkele maanden voor de totstandkoming van de definitieve versie van het
Cybercrimeverdrag.
iv
Bij de tien nieuwe toetreders van 2004 zijn er wel drie staten die het Cybercrimeverdrag (nog) niet hebben
ondertekend: Tsjechië, Estland en Slovakije. Vermits dit kaderbesluit erin zou resulteren dat zij toch een groot
deel van de verplichtingen van het Cybercrimeverdrag zouden moeten naleven, zou het ontwerp wel eens een
concrete aanmoediging kunnen blijken om alsnog het verdrag te ondertekenen.
v
Als een verdere illustratie daarvan verwijzen we naar de invoering van de IPv6-standaard. Eén van de
hoofdbedoelingen hiervan is net gewone huishoudapparatuur te kunnen aansluiten op een computernetwerk,
zodat een huishouden in principe via het internet kan worden beheerd. In die context is het niet vreemd dat
steeds meer toestellen onder de definitie van een computer zouden vallen.
vi
Onder meer in Nederland en Duitsland wordt er vereist dat een bepaald veiligheidssysteem werd ontdoken. In
deze stelsels is het dus onmogelijk strafbaar binnen te dringen in een onbeveiligd systeem.
vii
Voor een meer complete bespreking verwijzen we graag naar de commentaar bij de wet inzake
informaticacriminaliteit.
viii
De enigszins vreemde spelwijze ‘DoS’ wordt verantwoord door het mogelijke verwarringsgevaar met het
besturingssysteem DOS (Disk Operating System).
ix
Bepalen waar een informaticamisdrijf werd gepleegd is niet zo’n gemakkelijke zaak. Het voorstel biedt wel
wat houvast in artikel 11. Een misdrijf werd gepleegd op het grondgebied van een lidstaat wanneer:
”(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht
of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het
strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van de betrokken lidstaat bevindt.”
x
Overeenkomstig de algemeen aanvaarde rechtsspreuk: Aut dedere, aut iudicare.