Kort beschreven is een honeypot een computersysteem, database of applicatie, als onderdeel van een te beschermen netwerk, dat zich bewust kwetsbaar opstelt voor aanvallen van buitenaf. Door de tekortkomingen in de beveiliging van dat specifieke onderdeel van het netwerk zal een aanvaller geneigd zijn dat onderdeel aan te vallen, niet wetende dat deze aanval in een veiliggestelde omgeving plaatsvindt en wordt geanalyseerd en gemonitord. Hiermee kan inzicht worden verkregen in onder meer de gebruikte aanvalstechniek, het eigenlijke doelwit en mogelijk de herkomst van de aanval. Daarnaast kan de inzet van honeypots aanvallers buiten het daadwerkelijke netwerk houden, waarmee aanvallen effectief worden afgeweerd en gemitigeerd.

Onderzoek naar de juridische aspecten van honeypots is niet nieuw. In het licht van nieuwe jurisprudentie en wetgeving is het desalniettemin nuttig opnieuw te kijken naar een aantal veelvoorkomende vraagstukken bij de inzet van honeypots in het kader van netwerk- en informatiebeveiliging. Met name de introductie van de Algemene Verordening Gegevensbescherming (‘AVG’) en recente jurisprudentie rondom de daar in opgenomen begrippen verwerkingsverantwoordelijke en verwerker roepen nieuwe vragen op die bij de inzet van honeypots relevant zijn. Daarnaast kan de inzet van een honeypot leiden tot strafrechtelijke vraagstukken. Ondanks goede bedoelingen kunnen acties met een honeypot mogelijk op zichzelf tot strafrechtelijke gedragingen leiden: voorbeelden die hierbij vaak worden genoemd zijn misleiding, uitlokking van en medeplichtigheid aan het plegen van een strafbaar feit. Wetenschappelijk onderzoek op dit onderwerp is echter schaars en in jurisprudentie is deze vraag nog niet concreet aan de orde geweest.

Dit artikel richt zich op de juridische aspecten van honeypots omtrent privacy, misleiding en uitlokking onder Nederlands en Europees recht, op basis van literatuur en jurisprudentie. Ondanks dat het zeker mogelijk is een honeypot voor kwaadaardige doeleinden in te zetten, valt dergelijke inzet buiten de reikwijdte van dit artikel. Ook het perspectief van burgerparticipatie bij de opsporing en vervolging van cybercrime is niet meegenomen. Dit artikel beperkt zich enkel tot de inzet van een honeypot door een private partij in het kader van het bevorderen van netwerk- en informatiebeveiliging. Alhoewel de inzet van honeypots door publieke partijen juridisch gezien niet minder relevant is, valt dit buiten de reikwijdte van dit artikel.

Lees verder: