HR, 01-04-2025, nr. 23/01461

Het cassatiemiddel klaagt over de bewezenverklaring voor zover die inhoudt dat de verdachte “in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie” is binnengedrongen.

Overeenkomstig de tenlastelegging is ten laste van de verdachte onder 2 bewezenverklaard dat:

“hij in de periode van 1 januari 2015 t/m 13 juni 2017 te ’s-Gravenhage, telkens opzettelijk en wederrechtelijk in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie, is binnen gedrongen met behulp van één of meer valse sleutels, namelijk door onbevoegd gebruik te maken van een gebruikersnaam en wachtwoord en door zich met een gebruikersnaam en wachtwoord toegang te verschaffen tot de server(s) van de politie met een ander doel dan waarvoor hem die gebruikersnaam en dat wachtwoord ter beschikking stonden en/of waarvoor hem die toegang was toegestaan en (vervolgens) gegevens die waren opgeslagen en/of verwerkt en/of overgedragen door middel van die geautomatiseerde werken waarin hij zich wederrechtelijk bevond, voor zichzelf heeft overgenomen, namelijk door (telkens) (vertrouwelijke) informatie (omtrent een of meer personen) uit een of meer politiesystemen te exporteren en/of te printen.”

Deze bewezenverklaring steunt op onder meer de volgende bewijsmiddelen:

“1. De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in hoger beroep van 21 april 2023 verklaard - zakelijk weergegeven -:

U vraagt mij of het toeval was dat ik mensen heb opgezocht die allemaal om [betrokkene 1] heen stonden. Als ik met hem was en mensen groetten hem, dan kreeg ik een prikkel en dan controleerde ik die mensen.

(...)

Als ik met [betrokkene 1] was en iemand kwam hem groeten en diegene zei iets wat mij triggerde, dan luisterde ik om info over die persoon te verzamelen zoals namen en kentekens. Ik heb ook wel brieven of blaadjes gezien in zijn woning waarop adressen stonden. Met die informatie kon ik dan gegevens over die persoon controleren.

2. De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in eerste aanleg van 27 augustus 2019 verklaard - zakelijk weergegeven -:

Het klopt dat ik de bevragingen in de politiesystemen heb gedaan. Ik heb [betrokkene 1] gecontroleerd omdat hij zei dat hij een strafblad had.

U houdt mij voor dat als ik inlog in het systeem, een waarschuwing in beeld komt dat er alleen bevraagd mag worden als er een relatie is met het werk. Ik zeg u dat het klopt dat er een waarschuwing in beeld komt en die heb ik ook gezien.

U houdt me voor dat ik bij het doen van bevragingen de informatie uitprintte en dan weer weggooide. U vraagt me waarom ik de informatie dan uitprintte. Ik zeg u dat ik dat heb gedaan vanuit een bepaald gevoel, ik printte het uit, las het nog eens na en dan gooide ik het weg.

U zegt mij dat er geen enkele mutatie is opgemaakt en geen informatie is verzameld en gedeeld met collega’s om er eens naar te kijken. Ik zeg u dat dat klopt. Ik deed er helemaal niets mee.

U vraagt mij of er in mijn optiek wel een onderscheid is tussen werkgerelateerde bevragingen en privébevragingen. Ik zeg u dat ik denk dat er wel een onderscheid is.

U houdt me voor dat ik ook mijn eigen vriendin heb bevraagd. Ik zeg dat dat was in het kader van AIVD-informatie die ik moest aandragen. U zegt me dat ik heb verklaard dat ik wilde weten of ik met een foute dame te maken had. U zegt me voorts dat dit niets te maken heeft met AIVD-informatie. Ik antwoord u dat dat juist is.

3. Een proces-verbaal van bevindingen d.d. 11 mei 2017 van de Rijksrecherche met nr. 1704041550.AMB. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 71 e.v.):

als relaas van de betreffende opsporingsambtenaar:

Uit de verstrekte logging gegevens afkomstig uit BVI-IB van één van de hoofdverdachten uit het onderzoek “Zeeprik” bleek dat er een aantal personen hadden gelogd, waarbij in het systeem geen mutaties te vinden waren, waarin zij de hen bevraagde gegevens hadden verwerkt. Eén van deze personen die op de hoofdverdachte had gezocht betrof de hoofdagent van politie genaamd [verdachte] , werkzaam op het politiebureau [a-straat] te [plaats] , gebruikmakend van het politieaccount [0001] . Binnen het onderzoek “Zeeprik” zijn de historische logging gegevens van [verdachte] verstrekt over de periode 1 januari 2015 tot en met 24 december 2016.

Hieronder wordt beschreven dat [verdachte] middels zijn politieaccount [0001] in de politiesystemen van de periode van 1 januari 2015 tot en met heden met enige regelmaat [betrokkene 1] , maar ook aan [betrokkene 1] gelieerde personen, voertuigen en/of adressen bevraagt. De kenosleutel behorende bij [betrokkene 1] betreft [code 1] .

Op 30 mei 2016 is het de eerste maal dat [verdachte] de kenosleutel behorende bij [betrokkene 1] bevraagt. [verdachte] selecteert de kenosleutel van [betrokkene 1] in korte tijd 2 maal.

Op 31 mei 2016 bevraagt [verdachte] de kenosleutel van [betrokkene 1] voor de tweede maal en selecteert hij enkele registraties. Uit de logging gegevens blijkt dat [verdachte] genoemde kenosleutel bevraagt op 27 augustus 2016.

Op 27 augustus 2016 selecteert [verdachte] de kenosleutel van [betrokkene 1] in het systeem van de Rijksdienst voor het Wegverkeer (RDW), Bluespot en Verwijzingsindex Personen (Huidig SKDB). Blijkens de verstrekte gegevens omtrent de diensttijden van [verdachte] tijdens de bevraging op 27 augustus 2016 blijkt [verdachte] geen dienst te hebben.

Uit onderzoek is gebleken dat [betrokkene 1] gebruik maakt van een personenauto, merk BMW, voorzien van het kenteken [kenteken] . Uit verstrekte logging gegevens is gebleken dat [verdachte] het voertuig in gebruik bij [betrokkene 1] meerdere malen bevraagt in de politiesystemen.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken] op 15 oktober 2015 voor de eerste maal bevraagt. Op deze datum bevraagt [verdachte] het kenteken tweemaal kort achter elkaar.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken] op 19 oktober 2015 voor de tweede maal bevraagt. Op 19 oktober 2015 bevraagt [verdachte] de kenosleutel [code 2] . Deze kenosleutel hoort toe aan [betrokkene 2] , geboren te [geboorteplaats] op [geboortedatum] 1971. Uit onderzoek blijkt genoemde [betrokkene 2] voor te komen op de historische verkeersgegevens van een telefoonnummer in gebruik bij [betrokkene 1] .

Vervolgens bevraagt [verdachte] wederom het kenteken [kenteken] in gebruik bij [betrokkene 1] en selecteert wederom de registratie die hij op 15 oktober 2015 heeft bekeken.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken] op 2 februari 2016 voor de derde maal bevraagt.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken] op 9 februari 2016 voor de vierde maal bevraagt.

Uit de logging gegevens blijkt dat [verdachte] het kenteken [kenteken] op 8 maart 2017 voor de vijfde maal bevraagt.

4. Een proces-verbaal van bevindingen d.d. 3 mei 2017 van de Rijksrecherche met nr. 1704121417.AMB. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 76 e.v.):

als relaas van de betreffende opsporingsambtenaar:

De onderstaande bevragingen, op 19 januari 2016 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

De onderstaande bevragingen, op 25 januari 2016 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

De onderstaande bevragingen, op 18 mei 2016 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

De onderstaande bevragingen, op 24 juli 2016 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

De onderstaande bevragingen, op 26 november 2016 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

De onderstaande bevragingen, op 29 maart 2017 gedaan vanaf de aan [verdachte] toegekende politiewerkomgeving, kunnen gerelateerd worden aan [betrokkene 3] .

[betrokkene 3] is blijkens een politiecontrole op 15 maart 2017 bestuurder van een voertuig (...) waarvan de tenaamgestelde [A] BV is. Eén van de bestuurders van deze BV is [betrokkene 4] , een contactpersoon van [betrokkene 1] op wie [verdachte] ook bevragingen doet.

5. Een proces-verbaal van verhoor verdachte d.d. 14 juni 2017 van de Rijksrecherche met nr. 1706140933. [...] . Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 237 e.v.):

als de op 14 juni 2017 afgelegde verklaring van de verdachte:

V: Wij zien dat met de aan u toegekende accounts meerdere keren in de politiesystemen gezocht wordt naar de KENO code [code 3] (op 6 april 2016 en 12 december 2016). Wat kunt u hierover verklaren?

A: Dat is mijn broertje [betrokkene 6] . Ook puur voor mijzelf heb ik gekeken.

V: Wij zien dat met de aan u toegekende accounts meerdere keren in de politiesystemen gezocht wordt naar de KENO code [code 4] en [betrokkene 5] , 1990-5-8 (op 8 november 2015 en 6 april 2016). Wie is dit en waarom bevraagt u haar?

A: Dat is mijn vriendin en ik moest de postcode weten van haar huisadres. Voor de sollicitatie voor het DBB moest ik de postcode weten. Die eerste keer dat ik haar had opgezocht, had ik haar net ontmoet en ik wilde weten of ik niet met één of andere foute dame in zee ging. Dat was puur ter bescherming van mijzelf. Ook dat heb ik niet gedeeld met haar.

6. Een proces-verbaal van bevindingen d.d. 3 juli 2017 van de Rijksrecherche met nr. 1707031317.AMB. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 140 e.v.):

als relaas van de betreffende opsporingsambtenaar:

In de periode van 1 januari 2015 tot en met 31 mei 2017 werd met de aan [verdachte] toegekende politiewerkomgeving het volgende aantal bevragingen en exports gedaan:

Bevragingen Exports

Binnen diensttijd 739 (57, 4%) 46 (32,6%)

Buiten diensttijd 548 (42,6%) 95 (67,4%)

Totaal 1287 (100%) 141 (100%)

Van 11 juli 2016 tot en met 26 februari 2017 volgde [verdachte] een opleiding bij de DBB. In deze periode werd met de aan hem toegekende politiewerkomgeving het volgende aantal bevragingen en exports gedaan:

Bevragingen Exports

Binnen diensttijd 36 (14,18) 1 (1,8%)

Buiten diensttijd 219 (85,9%) 55 (98,2%)

Totaal 255 (100%) 56 (100%)

Op 27 februari 2017 werd [verdachte] met bijzonder verlof gestuurd. In de periode van 27 februari 2017 tot en met 31 mei 2017 werd met de aan hem toegekende politiewerkomgeving het volgende aantal bevragingen en exports gedaan:

Bevragingen Exports

Binnen diensttijd 0 (0%) 0 (0%)

Buiten diensttijd 66 (100%) 14 (100%)

Totaal 66 (100%) 14 (100%)

7. Een proces-verbaal van relaas d.d. 16 augustus 2017 van de Rijksrecherche met nr. 1703300951.AMB. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 8):

als relaas van de betreffende opsporingsambtenaar:

Met exporteren van vertrouwelijke informatie uit de politiesystemen wordt bedoeld dat de bevraagde informatie:

- Geprint is

- Als PDF bestand is geëxporteerd is, en vervolgens;

- Opgeslagen is in de netwerkomgeving van de gebruiker, of;

- Op een externe datadrager (USB), of;

- Verzonden is naar een (intern/extern) e-mail adres.

(...)

10. Een proces-verbaal van relaas d.d. 16 augustus 2017 van de Rijksrecherche met nr. 1703300951.AMB. Dit proces-verbaal houdt onder meer in - zakelijk weergegeven - (blz. 5):

als relaas van de betreffende opsporingsambtenaar:

De medewerkers van de Nationale Politie worden, voordat zij politiesystemen kunnen raadplegen, diverse malen gewezen op het vertrouwelijke karakter daarvan en dat misbruik zal worden vervolgd dan wel wordt gestraft. Tijdens het raadplegen wordt regelmatig de volgende tekst weergegeven:

“Het bevragen van een persoon zonder gegronde reden e/o noodzaak voor uw taak is niet toegestaan. Ongeautoriseerde toegang tot dit informatiesysteem is strafbaar als een misdrijf. Uw handelingen op dit systeem worden vastgelegd! Indien u bent geautoriseerd verklaart u, door het gebruikmaken van die toegang, expliciet de geldende wet- en regelgeving en de korpsvoorschriften zowel naar de letter als naar de intentie na te leven. U bent zich bewust van de consequenties, mogelijk zelfs strafrechtelijk, indien de informatie en bedrijfsmiddelen op andere wijze gebruikt worden dan omschreven. Informatie mag alleen opgevraagd en gebruikt worden in directe relatie tot uw werkzaamheden voor het korps.”

Het hof heeft over de bewezenverklaring verder overwogen:

“De verdachte wordt verweten dat hij computervredebreuk heeft gepleegd door onbevoegd de politiesystemen waartoe hij vanwege zijn functie toegang had, te bevragen.

(...)

Het hof overweegt als volgt.

De verdachte heeft tijdens de tenlastegelegde periode de politiesystemen veelvuldig, zowel binnen als buiten diensttijd, bevraagd. Hij maakte daarbij gebruik van zijn politieaccount, door daarop in te loggen met zijn gebruikersnaam en wachtwoord. Dit account had hij vanwege zijn functie als politieman.

Hij heeft bevragingen gedaan op onder meer personen, adressen en voertuigen gelieerd aan [betrokkene 1] , maar ook op zijn eigen broer en vriendin. Deze bevragingen zijn geregistreerd en geëxporteerd (geprint, opgeslagen of verzonden).

De verdachte heeft verklaard dat hij dit deed, omdat hij mogelijk zakelijke activiteiten met [betrokkene 1] wilde gaan ontplooien. Hij had contact met [betrokkene 1] , had afspraken met hem en ontmoette daarbij ook personen die [betrokkene 1] kende. Over die personen, hun adres of de auto’s waar die personen in reden, bevroeg hij dan de systemen die via zijn politieaccount beschikbaar waren.

Het hof is van oordeel dat de genoemde bevragingen door de verdachte zijn gedaan ten behoeve van privédoeleinden die geen enkele relatie hadden met zijn werk als politieman. Daarbij betrekt het hof dat door de verdachte geen mutaties zijn gemaakt van de genoemde bevragingen, zoals dat wel gebruikelijk is binnen het politiewerk. Dat de verdachte zich kennelijk elke dag en op elk moment van de dag politieman voelde doet daar niet aan af. Integendeel, juist van een politieambtenaar wordt en mag worden verwacht dat hij of zij niet alleen bij de uitvoering van het politiewerk handelt in overeenstemming met de wettelijke regelgeving, maar zich daarvan ook bewust is buiten diensttijd.

Door het raadplegen van informatie die de verdachte uitsluitend ter beschikking staat voor de uitvoering van de politietaak is het hof van oordeel dat de verdachte de grenzen van de aan hem verleende autorisatie om de politiesystemen te gebruiken, te buiten is gegaan. De verdachte wist immers dat hij de bevragingen niet deed in het kader van enig politieonderzoek. Bovendien komt bij het starten van of inloggen op het door de verdachte geraadpleegde politiesysteem de melding in beeld dat het systeem alleen mag worden geraadpleegd met gegronde reden en/of noodzaak.

Door de bevragingen desondanks toch te doen is de verdachte een geautomatiseerd werk wederrechtelijk binnengedrongen met gebruikmaking van zijn systeemautorisatie, in casu daardoor aan te merken als een valse sleutel.

Door de verdediging is ook bepleit dat er geen sprake is van een ‘server’ zoals tenlastegelegd. Naar het oordeel van het hof kan een server deel uitmaken van een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken. Aldus maakt de server deel uit van een geautomatiseerd werk.”

De volgende bepalingen zijn van belang:

- artikel 80sexies (oud) van het Wetboek van Strafrecht (hierna: Sr) zoals dat luidde tijdens het bewezenverklaarde feit:

“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

- artikel 138ab leden 1 en 2 Sr zoals dat gold vanaf 1 oktober 2010 – en dat voor zover hier van belang niet verschilt van de nu geldende bepaling – luidde tijdens het bewezenverklaarde feit:

“1. Met gevangenisstraf (...) wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.”

De tenlastelegging onder 2 is toegesneden op artikel 138ab in samenhang met artikel 80sexies (oud) Sr. Daarom moet worden aangenomen dat het in de tenlastelegging en bewezenverklaring voorkomende begrip ‘geautomatiseerd werk’ is gebruikt in de betekenis die dat begrip heeft in die bepalingen.

Een inrichting kan alleen als een ‘geautomatiseerd werk’ in de zin van artikel 80sexies (oud) Sr worden aangemerkt als zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Het begrip ‘geautomatiseerd werk’ in de zin van artikel 80sexies (oud) Sr is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Ook netwerken die bestaan uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken. (Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718 en, over het in artikel 161sexies (oud) Sr voorkomende begrip ‘geautomatiseerd werk’, HR 22 februari 2011, ECLI:NL:HR:2011:BN9287.)

Blijkens de bewijsvoering heeft het hof vastgesteld dat de verdachte, door in te loggen met het aan hem als politieambtenaar verstrekte account, zich de toegang heeft verschaft tot de politiesystemen en de politiewerkomgeving. In die digitale werkomgeving heeft de verdachte vervolgens personen, voertuigen (kentekens) en/of adressen bevraagd, waarna hij de verkregen gegevens heeft geëxporteerd en geprint. Het op die vaststellingen gebaseerde oordeel van het hof dat de verdachte “in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie” is binnengedrongen getuigt – in het licht van wat hiervoor is vooropgesteld – niet van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk. Anders dan in de toelichting op het cassatiemiddel is betoogd, doet daaraan niet af dat het hof geen nadere vaststellingen heeft gedaan over de precieze manier waarop een concreet aangeduide server door de verdachte is binnengedrongen. Naar het hof kennelijk in aanmerking heeft genomen brengt het inloggen in, en raadplegen van, een digitale werkomgeving of digitaal systeem als hier aan de orde, met zich dat toegang wordt verworven tot één of meer servers die deze werkomgeving of dat systeem in stand houden en daarmee – al dan niet in verbinding met andere apparaten – bestemd zijn om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het cassatiemiddel faalt.