Iemand die met slechte bedoelingen zijn “toegangsbevoegdheid tot een informaticasysteem overschrijdt” maakt zich mogelijk strafbaar aan interne hacking. Dit misdrijf viseert eenieder die toegangsbevoegdheid heeft tot een systeem, maar die zijn bevoegdheid op eigen initiatief uitbreidt tot een deel van het systeem waarvoor hij niet bevoegd is. De wetgever liet echter na om duidelijk te omschrijven wat nu precies wordt bedoeld met “overschrijden van toegangsbevoegdheid”. Dit is een feitelijke (en netelige) kwestie die hij aldus overliet aan de rechter.
Gaandeweg tekenden zich twee stellingen af. De eerste stelling was dat men het begrip zuiver materieel diende te benaderen, d.w.z. vanuit de vraag of men toegang heeft of niet. Van het ogenblik dat iemand toegangsbevoegdheid heeft kan die zich niet schuldig maken aan interne hacking.
De tweede stelling nam bij de beoordeling van het begrip ”overschrijden van toegangsbevoegdheid“ ook de finaliteit (d.w.z. waartoe ze werd verleend; bv. IT-support vanop afstand, rekeningenbeheer van klanten, stockbeheer van een magazijn, enz.) van die bevoegdheid in aanmerking en verdedigde dat iemand zich ook schuldig maakt aan interne hacking als die weliswaar toegangsbevoegd is, maar die bevoegdheid aanwendt voor andere doeleinden dan die waarvoor ze werd verleend.
Aan die juridische ‘onenigheid’ lijkt het Hof van Cassatie nu een einde te hebben gemaakt in een arrest van 24 januari 2017.
De onderliggende feiten waren samengevat de volgende. Een dame X, personeelslid van de dienst informatica van een Vlaamse stad had toegangsbevoegdheid tot het volledige informaticasysteem met een welbepaalde finaliteit. Die had betrekking op technische bijstand, onderhoud en probleemoplossingen. Deze dame zou zich tijdens haar ziekteverlof vanop afstand toegang hebben verschaft tot het informaticasysteem van de stad, en in het bijzonder tot een document dat was opgesteld door een ander personeelslid Y waarin de vervanging werd besproken van X als ondervoorzitter van de ‘adviesraad feestcomité’. Volgens Y had X zich zo zonder haar toestemming toegang verschaft tot een bestand waartoe zij geen toegang had voor de noden van de dienst informatica (pro memorie: bijstand, onderhoud en probleemoplossing).
Het hof van beroep had geoordeeld dat X zich daarbij schuldig had gemaakt aan interne hacking omdat zij haar weliswaar volledige toegangsbevoegdheid met bedrieglijke intenties had afgewend van de finaliteit ervan.
Het Hof van Cassatie vernietigde die beslissing. Het oordeelde dat een persoon strafbaar is voor interne hac- king als hij een gelimiteerde toegangsbevoegdheid tot een informaticasysteem overschrijdt, m.a.w. als hij zich toegang verschaft tot gegevens die buiten zijn bevoegdheid vallen (i.e. machtsoverschrijding).
Iemand die daarentegen toegang neemt tot gegevens waartoe hij onbeperkte toegangsbevoegdheid heeft, maar dit doet op een manier die strijdig is met de oorspronkelijke finaliteit (i.e. machtsafwending), maakt zich volgens het Hof van Cassatie niet schuldig aan interne hacking.
Wat in een stad voor personeelsleden geldt, zoals in het cassatiearrest, zal ook voor werkgevers in de privé- sector gelden.
De beslissing van het Hof van Cassatie betekent niet dat die werkgevers zich niet kunnen beschermen tegen onrechtmatig gebruik van gegevens door werknemers die toegang hebben tot het informaticasysteem van hun bedrijf. Het komt erop aan duidelijk te bepalen in de policy van het bedrijf, de arbeidsovereenkomst en/of het arbeidsreglement (waardoor elke werknemer bij ondertekening juridisch is gebonden mits alle voorwaarden zijn vervuld), wat de toegangsbevoegdheid is van de werknemers tot het informaticasysteem van het bedrijf en waar nodig aan deze bevoegdheid grenzen te stellen. Hierbij wordt beter geen gebruik gemaakt van voor interpretatie vatbare (holle) woorden als finaliteit en functionaliteit. Het is voor een werkgever perfect mogelijk (juridisch dan wel technisch) om de toegang tot het informaticasysteem bijvoorbeeld te beperken in tijd en ruimte en/of slechts voor welomschreven doeleinden de toegang mogelijk te maken. De toegangsbevoegdheid van de werknemers kan dan algemeen zijn, maar is tegelijk niet onbeperkt. Bij niet-naleving van deze opgelegde grenzen, overschrijdt de werknemer zijn toegangsbevoegdheid en voldoet hij alleszins al aan de materi- ele voorwaarde van het misdrijf van interne hacking.
De werknemer kan trouwens alsnog een misdrijf plegen wanneer hij binnen zijn toegangsbevoegdheid blijft. Dat kan het geval zijn wanneer hij met opzet kennis neemt van “het bestaan van informatie van alle aard die via elektronische weg is verstuurd”, zeg maar e-mails en dergelijke, die niet persoonlijk voor hem bestemd zijn (zie artikel 124 van de wet van 13 juni 2005 betreffende de elektronische communicatie).
* deze bijdrage werd geleverd door Waeterinckx Advocaten in samenwerking met Vermeulen, Heylen & Michels. Beide kantoren zijn stichtende leden van NILS (Network for Investigation and Litigation Support): een netwerk van onafhankelijke nichekantoren die een one stop aanbieden voor forensic audit, risico analy- tics en cyber security ondersteuning binnen de context van bedrijfsonderzoeken, procesvoering en geschillenbeslechting
