Misbruik van toegangsrechten, computervredebreuk en poging tot afdreiging

Hof Amsterdam 16 april 2026, IT 5228; ECLI:NL:GHAMS:2026:1003 (Openbaar Ministerie tegen [verdachte]). Het hof vernietigt het vonnis van de Rechtbank Noord-Holland, omdat het hof tot een deels andere bewijsconstructie, een op detail afwijkende bewezenverklaring en een andere strafoplegging komt, en verklaart vervolgens feit 1 primair en feit 2 bewezen. Het hof acht bewezen dat de verdachte, destijds tweedelijns helpdeskmedewerker bij [bedrijf], op 27 maart 2021 opzettelijk en wederrechtelijk is binnengedrongen in een server van [bedrijf] waarop medische gegevens van patiënten van [stichting] stonden, door onbevoegd gebruik te maken van een toegangscertificaat en wachtwoord waarover hij uit hoofde van zijn functie wel kon beschikken, maar die hij voor dit doel niet mocht gebruiken. Vervolgens heeft hij die gegevens overgenomen door ze te downloaden en op zijn privé-USB-stick op te slaan. Daarnaast acht het hof bewezen dat hij in de periode van 2 april 2021 tot en met 22 april 2021 heeft getracht [stichting] door bedreiging met openbaarmaking van die gegevens te dwingen tot afgifte van bitcoins. Het hof verwerpt zowel het verweer dat een derde de apparatuur van verdachte op afstand zou hebben gehackt als het juridische verweer dat geen sprake was van binnendringen met een “valse sleutel”. Uit de combinatie van het afwijkende IP-adres, de Postman-activiteit, de koppeling tussen desktop, Acer-laptop, Lumia-telefoon, Samsung-telefoon en hotspot, het aantreffen van de datasets, het certificaat en wachtwoord, en de op meerdere gegevensdragers gevonden concepten van de dreigberichten leidt het hof af dat de verdachte zelf de dader was. Het onbevoegd gebruiken van certificaat en wachtwoord levert volgens het hof, conform vaste rechtspraak, binnendringen met een vals gebruikte sleutel op. Het bewezenverklaarde kwalificeert het hof als computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, en als poging tot afdreiging.

Bij de straftoemeting benadrukt het hof de ernst van de feiten: de verdachte heeft misbruik gemaakt van zijn functie, privacygevoelige medische gegevens van ongeveer 30.000 personen buitgemaakt en die vervolgens ingezet als drukmiddel om betaling in bitcoins af te dwingen. Daarmee heeft hij volgens het hof geen enkele rekening gehouden met de mogelijke gevolgen voor de betrokken bedrijven en voor de grote groep personen van wie hij gevoelige gegevens had verkregen. In beginsel acht het hof daarom een zwaardere onvoorwaardelijke gevangenisstraf passend, maar het stelt tevens vast dat de redelijke termijn van artikel 6 EVRM zowel in eerste aanleg als in hoger beroep is overschreden. Die termijn ving aan op 22 april 2021, de dag van aanhouding en inverzekeringstelling; de rechtbank wees pas op 20 juni 2023 vonnis, zodat in eerste aanleg sprake was van een overschrijding van bijna twee maanden, terwijl in hoger beroep vervolgens sprake was van een overschrijding van ruim negen maanden. Het hof compenseert die termijnoverschrijdingen in de strafmodaliteit en volstaat daarom met een gevangenisstraf van 180 dagen, waarvan 132 dagen voorwaardelijk met een proeftijd van drie jaar, zodat het onvoorwaardelijke deel overeenkomt met het reeds ondergane voorarrest van 48 dagen, plus een taakstraf van 240 uur en een geldboete van € 7.500. Daarnaast verklaart het hof de zelfgebouwde computer, de USB-stick, de Lumia-telefoon en de Samsung-telefoon verbeurd, omdat deze aan de verdachte toebehoorden en met behulp daarvan de feiten zijn begaan of voorbereid, en gelast het de teruggave van de Dell-computer aan [bedrijf] B.V. als rechthebbende. De vordering van de benadeelde partij lag in hoger beroep niet meer voor, omdat die civielrechtelijk al was afgedaan.

De verdachte heeft als helpdeskmedewerker misbruik gemaakt van mogelijkheden en gegevens die hij vanwege zijn functie had door een server van een klant van zijn werkgever te hacken waarop persoonlijke en medische gegevens van ongeveer 30.000 personen stonden. Deze gegevens heeft de verdachte overgenomen en op een privé gegevensdrager opgeslagen. Vervolgens heeft hij geprobeerd door dreigberichten het bedrijf dat verantwoordelijk was voor het beheer van deze gegevens te dwingen tot betaling in bitcoins. Bij uitblijven van betaling heeft de verdachte gedreigd de gegevens openbaar te maken of te verkopen aan anderen.

Het hacken van systemen om vervolgens, met de buitgemaakte privacygevoelige data, bedrijven tot betaling proberen te dwingen, zijn ernstige feiten. Het maakt een (potentieel) grote inbreuk op de privacy van de mensen van wie de data zijn verkregen en kan leiden tot (ernstige) vervolgcriminaliteit met die data, zoals oplichting. Daarbij kan grote onzekerheid ontstaan en blijven bestaan bij de slachtoffers, omdat zij niet weten waar hun privacygevoelige gegevens belanden en wat daarmee in de toekomst mogelijk nog gebeurt. De impact van dergelijke ‘hacks’ is dus erg groot.

Dit soort criminaliteit kan bedrijven bovendien in enorme financiële problemen brengen. Als klanten door een datadiefstal hun vertrouwen in een bedrijf verliezen, leidt dat tot teruglopende inkomsten. Ook moet een bedrijf de moeilijke afweging maken of aan de cybercrimineel betaald wordt om gegevens terug te krijgen, maar zonder garantie dat de gegevens na betaling niet alsnog worden verspreid. Die beslissing heeft bovendien niet alleen impact op het bedrijf dat zelf slachtoffer is geworden, maar ook op andere ‘potentiële’ slachtoffers. Immers, als betaald wordt, wordt duidelijk dat dergelijke misdaad loont en kan dat door criminelen gezien worden als een aanlokkelijk verdienmodel.

In dit geval is de afdreiging niet voltooid - hetgeen niet aan de verdachte is te danken – en is niet betaald aan de verdachte. Het bedrijf waar de verdachte bij in dienst was, heeft echter wel aanzienlijke financiële schade geleden. Het hof rekent de verdachte aan dat hij, in zijn streven naar geldelijk gewin, geen enkele rekening heeft gehouden met de mogelijke gevolgen van zijn handelen voor de betrokken bedrijven en de hele grote groep mensen van wie hij privacygevoelige data heeft buitgemaakt.