Welke zekerheid heeft de ethische hacker?

Minister Opstelten heeft vandaag een brief aan de Tweede Kamer gestuurd waarmee hij gevolg geeft aan een eerdere toezegging om te komen met een kader voor “responsible disclosure” van ICT-kwetsbaarheden in informatiesystemen en softwareproducten. De brief van Opstelten gaat vergezeld van de “Leidraad om te komen tot een praktijk van responsible disclosure”. Het stuk is opgesteld door het Nationaal Cyber Security Centrum (NCSC) en beoogt een praktijk te creëren waarin op een verantwoorde manier wordt omgegaan met de digitale veiligheidsproblematiek. Een van de uitgangspunten van verantwoorde disclosure is dat melders (zoals ethische hackers) een belangrijke bijdrage kunnen leveren aan het verhogen van de veiligheid van digitale systemen. Zo lang melders geen onnodige schade aanrichten aan systemen en niet verder gaan dan noodzakelijk is bij het aantonen van een veiligheidslek, dan zouden afspraken tussen de organisatie en de melder gemaakt kunnen worden over het niet doen van aangifte. De leidraad laat wel aan het OM de mogelijkheid om in bepaalde gevallen toch een strafvervolging in te zetten. In zijn brief geeft de Minister aan dat hij in de eerste helft van 2013 met het OM om de tafel zal gaan zitten over de wijze waarop zal worden omgegaan met meldingen van kwetsbaarheden in systemen die conform “een beleid voor responsible disclosure worden gedaan”. Vooralsnog biedt de leidraad de ethische hacker dus weinig zekerheid dat hij na een verantwoorde openbaring van een veiligheidslek niet alsnog tegen een strafrechtelijk probleem aanloopt. Een bedrijf kan immers alsnog aangifte doen na een disclosure, bijvoorbeeld omdat het meent dat deze toch “irresponsible” is geweest. Zelfs als het OM besluit om de zaak te seponeren is een hacker niet “off the hook”, nu art. 12 Sv de aangever de mogelijkheid biedt om alsnog via de beklagprocedure zijn gram te halen. Als het Ministerie serieus is over de belangrijke maatschappelijke verantwoordelijkheid van melders bij het ontdekken van kwestbaarheden in systemen, dan zou men de melders meer tegemoet kunnen komen door na te denken over een strafuitsluitingsgrond. Zo zou je mogelijk kunnen bepleiten dat er bij een hack die is ingegeven uit ethische motieven sprake is van de uitzonderlijke situatie waarin door het plegen van een strafbaar feit het onderliggende rechtsgoed dat de strafbepaling beoogt te beschermen juist gediend wordt. Op het moment dat een hack een datalek aan het licht brengt en de hacker daarvan vervolgens op een verantwoorde wijze melding maakt bij (bijvoorbeeld) de systeembeheerder, dan wordt daarmee het rechtsgoed dat een strafbepaling zoals computervredebreuk beoogt te beschermen – het afschermen van gegevens voor onbevoegden – juist gediend, omdat het de beheerder in de gelegenheid stelt om de veiligheid van het systeem te (laten) vergroten.