In een donderdag aan de Tweede Kamer verzonden brief schrijft Opstelten dat goedbedoelende hackers op „verantwoorde wijze” moeten kunnen binnendringen in computersystemen van bedrijven om zo ict-problemen aan het licht te brengen.

Die zogeheten „ethische hackers” mogen dan geen onnodige schade aanrichten in de informatiesystemen van bedrijven, mogen niet verder gaan dan strikt noodzakelijk en moeten wachten met het openbaar maken van hun bevindingen totdat het getroffen bedrijf de problemen heeft opgelost.

Bedrijven blijven op hun beurt zelf verantwoordelijk voor de beveiliging van hun informatiesystemen en softwareproducten. Ze moeten daarnaast „adequaat” reageren op meldingen van hackers over problemen. Ze moeten afspraken maken over de termijn waarop de „kwetsbaarheid” verholpen zal zijn en over eventuele openbaarmaking van de verholpen fouten, „zodat anderen lering kunnen trekken uit de kwetsbaarheid in kwestie.”

Bedrijven die slachtoffer zijn van een inbraak door een ethische hacker zouden geen aangifte moeten doen als de hacker volgens de afspraken in de leidraad heeft gehandeld.

Die richtlijn laat overigens de geldende strafrechtelijke kaders onverlet, aldus Opstelten, „en beperkt niet de bevoegdheid van het openbaar ministerie om in bepaalde gevallen ambtshalve te vervolgen.” Kwaadwillende hackers worden gewoon aangepakt.

Opstelten had de Kamer vorig jaar tijdens een algemeen overleg toegezegd met de leidraad te komen. Nederland is na Groot-Brittannië het tweede land dat het belang van ethisch hacken officieel erkent. De minister belooft zich sterk te blijven maken om ict-kwetsbaarheden via ethisch hacken te verhelpen. „Dat draagt bij aan een veilige en vitale digitale samenleving.”