5 oktober 2017
Artikel in het tijdschrift voor Internetrecht. Cyberaanvallen komen met grote regelmaat in het nieuws. Steeds weer blijken IT-systemen kwetsbaar te zijn voor hackers. In toenemende mate verzoeken organisaties hackers om kwetsbaarheden op te sporen. Hacken is daarmee in feite een dienst geworden en hackers IT-dienstverleners. Als er een contract aan deze dienstverlening ten grondslag ligt, worden deze diensten vaak aangeduid met ‘penetratietesten’ of ‘pentesten’. Het hacken op verzoek is een vreemde eend in de bijt van IT-dienstverlening. Zo kan, in tegenstelling tot vele andere IT-diensten, een verkeerd uitgevoerde hack al snel strijdigheid opleveren met het strafrecht, auteursrecht of privacyrecht, of inbreuk maken op de rechten van derden. Een ander verschil met reguliere IT-dienstverlening is dat bij hacken op verzoek niet altijd sprake is van een contract als grondslag. Er zijn instellingen die hackers oproepen om een hack uit te voeren en zich bereid verklaren om, als aan bepaalde voorwaarden is voldaan, de hacker daarvoor te belonen. Vanuit verschillende invalshoeken zijn maatstaven ontwikkeld om vast te stellen of een hack juridisch acceptabel is en in overeenstemming is met de marktstandaarden. In dit artikel verkennen wij die maatstaven en formuleren wij aandachtspunten die bij hacken op verzoek in acht zouden moeten worden genomen. Omdat er nog niet veel geschreven is over het hacken op verzoek en hacken vele aspecten kent, heeft dit artikel de insteek van een tour d’horizon. De vele deelaspecten zijn echter nadere verdieping waard. De ongevraagde hack, waar al wel meer over is geschreven, vormt niet het onderwerp van dit artikel en komst slechts zijdelings aan de orde.