De strafwet geldt voor iedereen. Het kraken van beveiligingen, inbreken in gebouwen of het wegnemen van documenten is verboden, en daarbij maakt het beroep dat je uitoefent niet uit. Maar onder uitzonderlijke omstandigheden kan een journalist vrijuit gaan met een beroep op de persvrijheid.
Inlichtingen en denkbeelden
De vrijheid van meningsuiting geldt voor iedereen, want dit is een grondrecht (artikel 10 Europees Verdrag van de Rechten van de Mens). Dit recht omvat zowel het recht om "inlichtingen en denkbeelden" te vergaren als om deze te publiceren - wat ik dan maar even de persvrijheid noem. Die naam wekt misschien de indruk dat dit recht alleen geldt voor professionele journalisten die bij de massamedia werkt, maar dat is niet zo: iedereen kan journalistiek bezig zijn.
De strafwet maakt geen onderscheid tussen journalisten en andere burgers. Iedereen moet zich aan de wet houden. Een journalist die fout parkeert, krijgt gewoon een boete - ook als hij daar moest parkeren omdat hij snel bij het nieuws moest zijn. Pas in heel bijzondere situaties kan een journalist zich beroepen op de persvrijheid (vrije meningsuiting) en zo een strafrechtelijke veroordeling ontlopen.
Niet verder dan noodzakelijk
De wet ziet de pers als een essentieel onderdeel van de democratische samenleving. Een belangrijke taak van de pers is namelijk het aan de kaak stellen van misstanden. Soms is het daarbij nodig om strafbare feiten te plegen, omdat anders de misstand niet kan worden aangetoond. In dergelijke gevallen kan de persvrijheid de strafwet opzij zetten. Vereist is dan dat sprake is van een bijdrage aan een maatschappelijk relevante kwestie waarbij niet verder wordt gegaan dan noodzakelijk voor het doel van die bijdrage.
In 1995 werd een journalist vrijgesproken van het strafbare feit "vervalsen van rijbewijzen" omdat dit een journalistiek doel diende en de journalist niet meer had gedaan dan dit aan het licht brengen. Dat hij daarvoor een vervalst rijbewijs moest aanvragen, was onvermijdelijk en daarmee niet strafbaar.
In een zaak over een 'gat' in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die betoogde dat hij wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij maar liefst € 739.435,80 geïncasseerd en dat ging de Hoge Raad te ver. De journalist had met name ook met een kleiner bedrag kunnen werken om zijn punt te maken. En dat het hier ging om geld dat bij willekeurige mensen werd afgeboekt en niet bij kennissen die hij had kunnen vragen om medewerking, woog ook zwaar mee.
Die instemming van anderen speelde dan weer geen rol in de Nieuwe Revu-zaak, waarbij men de privémailbox van de staatssecretaris van Defensie kraakte. Daarbij werd een botnet van 14.000 computers ingezet, maar het journalistieke punt bij het raden van dat wachtwoord vond de rechter belangrijk genoeg om dit te negeren. De Revu-journalisten werden weer wél veroordeeld voor het snuffelen in de mailbox nadat het wachtwoord was gekraakt. Immers, als je punt is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is het niet nodig om de mails te lezen (laat staan daaruit te citeren in je tijdschrift). Het overzicht van de inbox is bewijs dat je binnen bent.
Iets dergelijks werd ook geoordeeld bij perspublicaties over de gestolen camera van prins Willem-Alexander en prinses Máxima. Daarbij werden ook beelden uit die camera afgedrukt als bewijs, maar dat werd niet geaccepteerd door de rechter. Het tonen van beelden voegt aan zo'n artikel niet veel toe, en omdat het privébeelden zijn hebben ze een groot privacybelang. Daarom is dergelijke publicatie niet toegestaan.
Stappenplan om te kraken
Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan. Wel moet je daarbij uitkijken dat je publicatie niet neerkomt op een eenvoudig stappen plan of handleiding over hoe die lek of zwakheid kan worden misbruikt. Het tijdschrift Computer idee werd ooit veroordeeld omdat ze in detail uitlegden hoe gratis Canal+ betaaltelevisie kon worden gekeken zonder te betalen.
In 2008 stonden onderzoekers van de Universiteit Nijmegen bij de rechter vanwege een publicatie over fundamentele zwakheden in de OV-chipkaart. Hun publicatie werd niet verboden, ondanks de schade die volgens chipfabrikant NXP dreigde als het publiek deze informatie te weten zou komen. Volgens de rechter bevatte het artikel “een in hoge mate theoretische beschrijving, maar bevat het artikel in ieder geval zeker niet een praktische handleiding voor het kraken en klonen van de chip.”
Een beschrijving op hoog niveau is dus niet verboden. Maar hoe praktischer je de beschrijving maakt, hoe riskanter de publicatie wordt. Als journalist zul je moeten zoeken naar een compromis dat niet nodeloos schade aanricht bij anderen maar nog wel je journalistieke punt maakt. Als praktische vuistregel zou je kunnen hanteren dat als je een daadwerkelijke exploit of handleiding publiceert, je een paar details zo verandert dat deze niet direct bruikbaar is voor iedereen, of dat de handleiding alleen op relatief onschuldige wijze laat zien dat het lek bestaat.
