Verdachte of slachtoffer van cybercrime: de grenzen en kansen in het strafrecht

2 juni 2026

Door: Pim Vermeulen

Nederlanders en Nederlandse bedrijven zijn steeds vaker doelwit van hackers. Odido werd slachtoffer van (spear)phishing, ChipSoft werd aangevallen door gecoördineerde ransomware en ook BasicFit en Booking.com zijn getroffen. De buitgemaakte gegevens worden vaak te koop aangeboden op het dark web. Steeds meer mensen komen in aanraking met gelekte datasets op het dark web: beveiligingsspecialisten, hobby‑researchers, ethisch hackers, maar ook mensen die zoeken naar “kansen” met zulke buitgemaakte data. Waar ligt de strafrechtelijke grens als je hackt, of als je gelekte gegevens downloadt, bewaart of deelt? En wat kun je doen als benadeelde (gehackte) partij? En wat als je wordt verdacht van een hack, of van het hebben van gegevens uit een hack? De rechtspraak is nog in ontwikkeling, wat onzekerheid meebrengt, maar wat ook kansen biedt aan verdachten en slachtoffers om argumenten aan te voeren. Juist daarom is tijdig juridisch advies noodzakelijk.

Al in 1993 werd de Wet Computercriminaliteit I aangenomen, waarbij onder andere computervredebreuk (hacken) strafbaar werd gesteld. De vereisten om tot een veroordeling te komen voor computervredebreuk (art. 138ab Sr) zijn in de loop der jaren grotendeels uitgekristalliseerd. Zo heeft de Hoge Raad al enige tijd geleden bepaald wat onder een ‘valse sleutel’ moet worden verstaan, en dat computervredebreuk niet alleen door hackers van buitenaf kan worden gepleegd, maar ook wanneer een werknemer zich buiten de opgedragen taak toegang verschaft tot een (deel van een) geautomatiseerd werk.

Voorhanden hebben van gestolen gegevens (art. 139g Sr)

In 2006 volgde de Wet Computercriminaliteit II en in 2019 kwam de Wet Computercriminaliteit III. Die laatste was nodig om de wetgeving aan te passen aan technologische ontwikkelingen en om leemtes op te vullen. Zo is het op grond van artikel 139g Sr strafbaar gesteld om ‘’niet‑openbare gegevens’’ voorhanden te hebben of ter beschikking te stellen aan een ander, ofwel het ‘helen’ van (vermoedelijk gehackte) gegevens. Dit roept vragen op. Het is bijvoorbeeld onduidelijk wat onder “niet‑openbare gegevens” moet worden verstaan. Het is voorstelbaar dat daar gegevens onder kunnen vallen door de hacker op een USB-stick worden geplaatst en zo worden doorverkocht . Maar wanneer verliezen zulke gegevens hun “niet-openbare” karakter? Zijn bijvoorbeeld datasets van het dark‑web openbaar? En gegevens op het surface web, waarvoor men alleen een gratis account hoeft aan te maken?

Uit rechtspraak blijkt bovendien dat “niet-openbare gegevens” wisselend wordt uitgelegd; soms aan de hand van de wijze van verkrijgen, dan weer uit de aard van de gegevens. Volgens een uitspraak van de Rechtbank Den Haag zijn gegevens bijvoorbeeld niet-openbaar als ervoor is betaald via Telegram. In een zaak van de Rechtbank Amsterdam wordt naast de wijze van verkrijging (er was voor betaald op hackersplatform Raidforums) benadrukt dat persoonsgegevens en medische gegevens juist naar hun aard niet openbaar kunnen zijn, kennelijk los van de wijze waarop de verdachte de gegevens heeft verkregen. In andere een zaak van de Rechtbank Amsterdam werd geoordeeld dat de combinatie van inlognamen en wachtwoorden naar hun aard niet-openbare gegevens zijn, omdat duidelijk niet ‘’de bedoeling is dat de combinatie van deze gegevens openbaar zijn.’’ Zijn inloggegevens en wachtwoorden dan nooit openbaar, zelfs als ze rondzwerven op het surface web? Er lijkt in ieder geval geen eenduidig criterium te worden aangelegd. In een WODC-onderzoek (WODC (2025) Evaluatie Wet Computercriminaliteit III, p. 66 – 68) wordt erkend dat er vaak vragen zijn omtrent de vraag of gegevens openbaar zijn.

Zonder toestemming gegevens overnemen (art. 138c Sr)

In artikel 138c Sr is het strafbaar gesteld om gegevens ‘wederrechtelijk’ voor jezelf of voor een ander over te nemen. Volgens de wetsgeschiedenis (Kamerstukken II 2015/16, 34372, 3, p. 64) gaat dit vooral over mensen die in dienstbetrekking (tijdens hun werk of in uitvoering van een overeengekomen opdracht) rechtmatig toegang hebben tot een systeem, maar deze gegevens – zonder daartoe gerechtigd te zijn – overnemen om deze voor zichzelf of voor een ander te gebruiken. Bijvoorbeeld om aan een ander te verkopen. Uit rechtspraak blijkt dat deze strafbepaling tot zover inderdaad is toegepast op verdachten die tijdens dienstbetrekking gegevens hebben overgenomen zoals BRP-informatie, Covid-19 testuitslagen, toets antwoorden of klantdata van een bank.

Er zijn gevallen waarin echter niet duidelijk is of het overnemen van gegevens inderdaad ‘wederrechtelijk’ is. Denk aan de werknemer die gegevens mee naar huis neemt. Het is ook onduidelijk of dit artikel zich beperkt tot personen in dienstbetrekking; doorslaggevend is namelijk of gegevens zonder toestemming van de ‘rechthebbende’ worden overgenomen. Wie onder ‘rechthebbende’ moet worden begrepen, kan ook vragen oproepen.

Verdedigingsstrategieën

Hierboven zijn een aantal vragen gesteld, die in de rechtspraak nog niet duidelijke en consistent beantwoord worden. Dat leidt enerzijds tot onzekerheid over de uitkomst van een zaak, maar creëert anderzijds veel ruimte om met een goed onderbouwde verdediging tot vrijspraak te komen, of om een goed gemotiveerde vordering namens de benadeelde partij in te dienen.

Daarnaast kan ethisch hacken (ook bekend als Coordinated Vulnerability Disclosures) onder voorwaarden tot strafuitsluiting leiden: er moet sprake zijn van een maatschappelijk belang, waarbij proportioneel en volgens de subsidiariteitvereisten is gehandeld. Dit verweer verschilt van geval tot geval.

Om gebruik te maken van deze verdedigingskansen is het belangrijk om in een zo vroeg mogelijk stadium deskundige advocaten in te schakelen. Wil je verantwoord handelen of twijfel je over je positie? Neem vrijblijvend contact op met Cleerdin & Hamer Advocaten. Onze strafrechtspecialisten, waaronder mr. Jonk en mr. Vermeulen, denken graag vertrouwelijk en praktisch met je mee.