Gerechtshof Amsterdam 16 april 2026, ECLI:NL:GHAMS:2026:1003

Het gerechtshof Amsterdam veroordeelt een voormalig helpdeskmedewerker voor computervredebreuk en poging tot afdreiging na een hack van medische gegevens van ongeveer 30.000 patiënten. De verdachte gebruikte zijn werktoegang onbevoegd om gegevens van een server van zijn werkgever te downloaden en eiste vervolgens bitcoins onder dreiging van openbaarmaking. Het hof verwerpt het verweer dat geen sprake zou zijn van een valse sleutel en wijst op vaste jurisprudentie van de Hoge Raad. Wegens overschrijding van de redelijke termijn in eerste aanleg en in hoger beroep compenseert het hof in de strafmodaliteit en strafsoort. De verdachte krijgt 180 dagen gevangenisstraf waarvan 132 voorwaardelijk, een taakstraf van 240 uur en een geldboete van € 7.500. Het hof verklaart bovendien diverse digitale gegevensdragers verbeurd en gelast teruggave van een Dell computer aan de werkgever.

Inleiding en context

De verdachte is een natuurlijk persoon, geboren in 1996, die ten tijde van de feiten werkzaam was als tweedelijns helpdeskmedewerker bij een softwarebedrijf dat onder meer software aanbiedt voor het elektronisch voorschrijven en toedienen van medicatie. Het softwarebedrijf verzorgde in 2021 het elektronische medicatieproces voor een zorgstichting en beschikte daardoor over databasebestanden met persoons- en medische gegevens van cliënten van die stichting. De toegang tot die gegevens was beveiligd met een certificaat met wachtwoord en mocht alleen vanuit een vast IP-adres worden benaderd. De zaak betreft een strafzaak in hoger beroep. De rechtbank Noord-Holland heeft de verdachte op 20 juni 2023 veroordeeld voor computervredebreuk en poging tot afdreiging. Zowel de verdachte als het Openbaar Ministerie heeft hoger beroep ingesteld. Aanleiding voor de strafzaak is een hack op 27 maart 2021, waarbij vanaf een afwijkend IP-adres de server van het softwarebedrijf werd bevraagd en gegevens werden gedownload. In de periode van 2 april 2021 tot en met 22 april 2021 ontving de zorgstichting in totaal zeven dreigberichten waarin werd geëist dat zij bitcoins zou betalen om openbaarmaking van de buitgemaakte patiëntgegevens te voorkomen.

Tenlastelegging en wettelijk kader

De verdachte wordt verweten dat hij zich schuldig heeft gemaakt aan computervredebreuk in de gekwalificeerde vorm waarbij gegevens worden overgenomen, strafbaar gesteld in artikel 138ab (oud) van het Wetboek van Strafrecht, en aan poging tot afdreiging in de zin van artikel 318 in samenhang met artikel 45 Sr. Centraal staat de vraag of de verdachte met een valse sleutel is binnengedrongen in een geautomatiseerd werk en of hij vervolgens niet-openbare gegevens voor zichzelf heeft overgenomen. Voor het tweede feit gaat het om de vraag of de verdachte heeft gepoogd de zorgstichting door bedreiging met openbaarmaking van een geheim te dwingen tot afgifte van bitcoins, met het oogmerk zich wederrechtelijk te bevoordelen.

Standpunt van het Openbaar Ministerie

De advocaat-generaal vordert bewezenverklaring van het onder 1 primair en het onder 2 tenlastegelegde. Zij eist dat de verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van 180 dagen, waarvan 132 dagen voorwaardelijk met een proeftijd van drie jaren en met aftrek van voorarrest, een taakstraf voor de duur van 240 uur subsidiair 120 dagen hechtenis, alsmede een geldboete van € 10.000 subsidiair 100 dagen hechtenis.

Standpunt van de verdediging

De verdediging bepleit integrale vrijspraak. Ten aanzien van het onder 1 primair tenlastegelegde voert de raadsman aan dat, in weerwil van het Politiemol-arrest van de Hoge Raad (ECLI:NL:HR:2021:1691), geen bewijs aanwezig is voor het binnendringen met een valse sleutel. Met betrekking tot het onder 1 primair en subsidiair tenlastegelegde stelt de verdediging dat onvoldoende bewijs bestaat dat juist de verdachte in het systeem van het softwarebedrijf is binnengedrongen. De verdachte stelt zelf niet over de kennis te beschikken om het bedrijf te hacken en draagt een alternatief scenario aan: zijn desktopcomputer zou op 27 maart 2021 tussen 11:40 uur en 19:39 uur in de slaapstand hebben gestaan, waardoor het bevragen en downloaden van bestanden van een server niet mogelijk zou zijn. Indien op die dag toch nieuwe bestanden in de mappen van zijn computer terecht zijn gekomen, zou dat via automatisch synchroniseren zijn gebeurd na een hack door iemand van buitenaf. Ten aanzien van het onder 2 tenlastegelegde voert de verdediging aan dat op de gegevensdragers van de verdachte dataverkeer ontbreekt ten tijde van de afdreigingsberichten, dat de op de Lumia telefoon aangetroffen documenten nooit zijn geopend en dat het feitelijk onmogelijk is dat de verdachte op 20 april 2021 om 13:02 uur en 13:06 uur de dreigberichten heeft verstuurd, omdat hij op die tijdstippen met zijn auto onderweg was tussen Amersfoort en Soesterberg.

Oordeel gerecht

Het hof komt, in navolging van de rechtbank, tot bewezenverklaring van beide feiten en hanteert daarbij in belangrijke mate de bewijsconstructie van de eerste aanleg. Voor het onder 1 primair tenlastegelegde acht het hof beslissend dat de patiëntgegevens op 27 maart 2021 vanaf de Acer Aspire laptop van de verdachte, via diens zelfgebouwde desktopcomputer en met gebruikmaking van de wifihotspot Mazda van zijn Samsung telefoon, zijn gedownload van de server van het softwarebedrijf. Dezelfde gegevens zijn aangetroffen op een SanDisk USB-stick die in een lade in zijn woning lag. Op die USB-stick stond ook het voor de toegang tot de server benodigde certificaat, terwijl het bijbehorende wachtwoord op de desktopcomputer is teruggevonden. De onderlinge koppeling van deze gegevensdragers rechtvaardigt naar het oordeel van het hof reeds de conclusie dat de verdachte de pleger is. Tekenend acht het hof dat de Lumia telefoon zonder accu, in vliegtuigmodus en uitsluitend via de hotspot Mazda verbinding maakte, zodat fysiek bezit van het toestel noodzakelijk was. Hetzelfde geldt voor de in de lade aangetroffen USB-stick, die op enig moment in een gegevensdrager moet hebben gezeten om de gegevens te kunnen opslaan. Deze constateringen maken het door de verdachte geschetste alternatieve scenario van een hack op afstand met automatische synchronisatie volstrekt onaannemelijk, zodat het verweer in al zijn onderdelen wordt verworpen.

Ook het juridische verweer dat geen sprake is van binnendringen met een valse sleutel verwerpt het hof. De verdachte beschikte uit hoofde van zijn functie weliswaar over het certificaat en wachtwoord en kon technisch deze handeling verrichten, maar mocht dit niet doen vanuit zijn functie. Conform vaste jurisprudentie van de Hoge Raad levert dergelijk handelen het binnendringen met een valse, immers onbevoegd gebruikte, sleutel op.

Voor het onder 2 tenlastegelegde wijst het hof op vier zelfstandig dragende elementen. In de eerste plaats konden de afdreigberichten van 17 en 20 april 2021 via het IP-adres en de gebruikte poorten worden gekoppeld aan het telefoonnummer dat op naam van de verdachte staat. Het bitcoinwalletadres in alle dreigberichten is identiek, terwijl de zeven berichten qua inhoud en oplopende indringendheid als opvolgend kunnen worden beschouwd. In de tweede plaats blijkt uit nader onderzoek dat de verdachte de beschikking had over de privésleutel voor het in de berichten genoemde bitcoinwalletadres. In de derde plaats zijn op meerdere gegevensdragers van de verdachte tekstdocumenten aangetroffen met vergelijkbare inhoud als de aan de zorgstichting verstuurde dreigberichten. In de vierde plaats zijn de via het contactformulier verstuurde dreigberichten, vijf van de zeven, alle met een Lumia 950XL verzonden. De fysieke beschikbaarheid van de USB-stick en de samenhang met de eerder bewezen computervredebreuk maken het alternatieve scenario van de verdachte ook hier ongeloofwaardig.

Bewezenverklaring

Het hof acht wettig en overtuigend bewezen dat de verdachte zich schuldig heeft gemaakt aan:

• Computervredebreuk op 27 maart 2021 door opzettelijk en wederrechtelijk binnen te dringen in de server van het softwarebedrijf met behulp van een valse sleutel, te weten het onbevoegd gebruiken van een toegangscertificaat met bijbehorend wachtwoord, met een ander doel dan waarvoor toegang was verschaft, en het vervolgens voor zichzelf overnemen van medische gegevens door deze van de server te downloaden en op te slaan op zijn privé USB-stick.

• Poging tot afdreiging in de periode van 2 april 2021 tot en met 22 april 2021, door via het contactformulier van de website van de zorgstichting en via Anonymousemail.nl berichten te versturen waarin werd aangegeven over de gehele database met medische gegevens te beschikken en betaling in bitcoins werd geëist om openbaarmaking, deling of verkoop te voorkomen, met het oogmerk zich wederrechtelijk te bevoordelen, terwijl de uitvoering van het misdrijf niet is voltooid.

Hetgeen meer of anders is tenlastegelegd, acht het hof niet bewezen, zodat de verdachte daarvan wordt vrijgesproken.

Strafoplegging en maatregelen

Het hof acht de feiten ernstig. De verdachte heeft als helpdeskmedewerker misbruik gemaakt van mogelijkheden en gegevens die hij vanwege zijn functie had om een server van een klant van zijn werkgever te hacken waarop persoonlijke en medische gegevens van ongeveer 30.000 personen stonden. Dergelijke hacks maken een grote inbreuk op de privacy van betrokkenen, kunnen leiden tot vervolgcriminaliteit zoals oplichting en kunnen bedrijven in aanzienlijke financiële problemen brengen. In dit geval is de afdreiging niet voltooid, hetgeen niet aan de verdachte is te danken, maar het softwarebedrijf heeft wel aanzienlijke financiële schade geleden. Het hof rekent de verdachte aan dat hij in zijn streven naar geldelijk gewin geen rekening heeft gehouden met de gevolgen voor de betrokken bedrijven en de grote groep personen van wie hij privacygevoelige data heeft buitgemaakt.

Het hof oordeelt dat in beginsel een gevangenisstraf gerechtvaardigd is waarvan het onvoorwaardelijk deel het voorwaardelijk deel overstijgt. Het hof stelt echter vast dat de redelijke termijn als bedoeld in artikel 6, eerste lid, EVRM is overschreden. De redelijke termijn vangt aan op 22 april 2021, de dag van aanhouding en inverzekeringstelling. De rechtbank wijst vonnis op 20 juni 2023, hetgeen een overschrijding van bijna twee maanden in eerste aanleg met zich brengt. In hoger beroep is de redelijke termijn met ruim negen maanden overschreden. Het hof compenseert deze overschrijding in de strafmodaliteit en strafsoort. Waar zonder termijnoverschrijding een gevangenisstraf zou zijn opgelegd waarvan het onvoorwaardelijk deel aanmerkelijk langer is dan het voorarrest van 48 dagen, volstaat het hof met een onvoorwaardelijk deel gelijk aan het voorarrest, vermeerderd met een taakstraf en geldboete. De financiële sanctie past naar het oordeel van het hof bij het sterk rationele en financieel gedreven karakter van de gepleegde misdrijven.

Het hof legt op een gevangenisstraf voor de duur van 180 dagen, waarvan 132 dagen voorwaardelijk met een proeftijd van drie jaren en met aftrek van voorarrest, een taakstraf voor de duur van 240 uur subsidiair 120 dagen hechtenis, en een geldboete van € 7.500 subsidiair 62 dagen hechtenis. De geldboete wijkt naar beneden af van de door het Openbaar Ministerie gevorderde € 10.000. Het hof verklaart een zelfgebouwde computer, een USB-stick, een Lumia telefoon en een Samsung telefoon verbeurd, omdat deze voorwerpen aan de verdachte toebehoren en met behulp van deze voorwerpen het bewezenverklaarde is begaan of voorbereid. De inbeslaggenomen Dell computer wordt teruggegeven aan het softwarebedrijf, dat als rechtmatige eigenaar is aangemerkt.

Lees hier de volledige uitspraak.