Schriftelijke vraag en antwoord nr : 1523 - Zittingsperiode : 54

Amerikaanse multinationals zoals Google, Facebook of Yahoo! maken al jaren gebruik van zogenaamde "ethische" hackers. Deze hackers testen hun systemen, en worden betaald als er een lek in het systeem gevonden wordt. Naast de ethische "white hat" hackers zijn er ook "black hat" hackers die ter kwader trouw inbreken. In België zijn er geen regels voor ethisch hacken. Wel voorziet ons strafwetboek in artikel 550bis - ingevoegd door middel van de wet van 28 november 2000 inzake informaticacriminaliteit - acht paragrafen over hacken. In de memorie van toelichting lezen we een definitie voor de term hacken, namelijk het ongeoorloofd binnendringen in een computersysteem. Artikel 550bis maakt een onderscheid tussen interne en externe hacking. Op beide vormen van hacking staat een gevangenisstraf van drie maanden tot een jaar, of zes maanden tot twee jaar indien er sprake is van bedrieglijk opzet, en/of een geldboete van 26 frank tot 25.000 frank. Daarnaast zijn er nog verzwarende omstandigheden mogelijk, zoals recidivisme of verzwaarde straffen voor de aanzetter tot hacking. De wet van 28 november 2000 lijkt belangrijke aspecten te bevatten voor het ethisch hacken. Zo stelt het basismisdrijf van de wet dat iedereen die zich toegang verschaft tot een informaticasysteem, terwijl hij weet dat hij daar toe niet gerechtigd is, een misdrijf begaat . In paragraaf 6 wordt verduidelijkt dat de opdrachtgever van een interne of externe hacking wordt bestraft met een gevangenisstraf van zes maanden tot vijf jaar en/of een geldboete van 100 tot 100.000 frank. Artikel 550bis lijkt een "white hat hack" naar Amerikaans model onmogelijk te maken en zorgt mogelijk voor rechtsonzekerheid voor zowel de hacker als het bedrijf dat er de opdracht voor uitschrijft. Recent kwam echter het nieuws dat het Centrum voor Cybersecurity België (CCB) aan een gedragscode werkt over ethisch hacken. Deze zou tegen het einde van dit jaar klaar zijn. Ook minister van Digitale Agenda De Croo is voorstander van het mogelijk maken van ethisch hacken. Hij verwijst hierbij naar Nederland, waar er reeds een richtlijn bestaat die dit mogelijk maakt. 1. Is het binnen de huidige wet van 28 november 2000 mogelijk om ethisch hacken toe te laten in België? Zo niet, kan u verduidelijken welke artikelen van de wet hiervoor een probleem vormen? 2. Zijn er naast artikel 550bis strafwetboek nog andere juridische bezwaren die ethisch hacken onmogelijk maken? 3. Heeft u contact gehad met het CCB om over de wet van 28 november 2000 te spreken in het kader van ethisch hacken? Zo ja, wanneer hebben deze gesprekken plaatsgevonden en wat was de uitkomst hiervan? 4. Bent u van plan om te onderzoeken of de wet van 28 november 2000 geactualiseerd moet worden? Zo ja, zijn hier reeds stappen voor gezet? Kan u de krachtlijnen van een eventuele wijziging schetsen? Welke timing voorziet u hiervoor?

1. Hacken is sinds 2000 strafbaar conform artikel 550bis Strafwetboek. Er wordt onderscheid gemaakt tussen het intern hacken en extern hacken. Bij intern hacken gaat het om een gebruiker met toegangsbevoegdheid die met bedrieglijk opzet of oogmerk om te schaden zijn toegangsbevoegdheid misbruikt, bijvoorbeeld om een eigen commercieel voordeel te halen, om af te persen, schade aan te richten, enz. Extern hacken heeft betrekking op buitenstaanders die weten dat ze onbevoegd in een systeem binnendringen. Er is een strafverhoging voorzien indien deze buitenstaanders dit met een bedrieglijk oogmerk doen. Als de "pleger" echter bevoegd is gemaakt om binnen te treden in het netwerk met een bepaald doel (voorbeeld: de verantwoordelijke van het informaticasysteem laat (voorafgaandelijk) toe dat de pleger toegang zoekt om na te gaan of de beveiliging voldoende is of om testen uit te voeren) is geen sprake van hacking, want dan zijn de bestanddelen van het misdrijf niet verenigd. Het "ethisch hacken" is naar Belgische recht dus niet strafbaar op voorwaarde dat interne hacker geen bedrieglijk oogmerk of oogmerk om te schaden heeft en de externe hacker door de verantwoordelijke van het informaticasysteem toelating had gekregen om de handelingen te stellen en zich uiteraard aan de voorwaarden houdt. Indien een buitenstaander, om de fouten op te sporen, een systeem binnendringt zonder toelating, bestaat het misdrijf hacken wel, ook indien de dader bonafide is. Dergelijke handelingen, zelfs met "goede bedoelingen", kunnen immers grote gevaren voor het informaticasysteem, haar gebruikers en de erin verwerkte gegevens inhouden. 2. Naast artikel 550bis Strafwetboek moet ook verwezen worden naar de beperkingen in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het artikel 124 van de wet van 13 juni 2005 betreffende de elektronische communicatie, dat het geheim van de elektronische communicaties beschermt. Het Centrum voor Cybercrime België werkt aan een handleiding betreffende de verantwoorde openbaarmaking van informaticakwetsbaarheden (responsible disclosure). Hierbij wordt voorgesteld om de verantwoordelijke van het informaticasysteem toe te laten een verklaring te publiceren (op de website) waarin hij meldt mee te werken met derde personen ter goede trouw die, mits bepaalde voorwaarden, toegang nemen tot het informaticasysteem om veiligheidsrisico's bloot te leggen. In die gevallen zou de toegang tot het informaticasysteem niet wederrechtelijk zijn. 3. en 4. De Federale Overheidsdienst Justitie en het CCB hebben hieromtrent reeds overleg gepleegd. Ook het expertisenetwerk Cybercrime van het College van procureurs-generaal werd hierbij betrokken en het voorstel wordt op heden bestudeerd door het directoraat-generaal Wetgeving van de FOD Justitie. Nadat de handleiding aan de regeringspartners is voorgelegd, wordt deze openbaar gemaakt. Het CCB stelt voor om het aannemen van een beleid van responsible disclosure door de verantwoordelijke van het informaticasysteem als een stilzwijgende toestemming tot toegang van het informaticasysteem in de zin van het Strafwetboek te beschouwen. Wat deze responsible disclosure betreft, zou volgens het CCB geen wetswijziging nodig zijn. Voor het overige wordt verwezen naar de eerste minister, die bevoegd is voor het CCB.