Dat blijkt uit een brief die het hoofd van het OM, Herman Bolhaar, aan de hoofden van de verschillende parketten is geschreven. Het schrijven 'hoe te handelen bij ethische hackers', dat door NU.nl is ingezien, stamt van 18 maart 2013 en reageert op een richtlijn van Minister Opstelten van Veiligheid en Justitie voor ethische hackers.

In de brief stelt Bolhaar dat als een hacker zich aan de richtlijn van Opstelten houdt, hij nog altijd riskeert dat het OM hem als verdachte aanmerkt. Dan zal de politie in opdracht van het OM een strafrechtelijk onderzoek starten. Dat risico is niet denkbeeldig.

Het OM heeft een target van tien serieuzere zaken, maar lijkt die doelstelling niet te halen. Momenteel zijn er nog maar zes zaken bij het Team High Tech Crime van de politie in onderzoek.

Volgens het OM is het Responsible Disclosure-beleid van Opstelten niet uniform. Bedrijven moeten zelf aangeven of ze het ondersteunen. Ook gaat het beleid niet in op de vraag hoe informatie over zwakheden zijn verkregen. Daarom zien de crimefighters een rol voor zichzelf in het aanpakken van hackers als ze de wet overtraden bij het aantonen van problemen.

Wel erkent het OM dat tijdens het strafrechtelijk onderzoek kan blijken dat het aantonen van het lek belangrijker was dan het misdrijf. Daarbij wordt gedeeltelijk de parallel getrokken met journalisten die een misstand aantonen. Ook erkent justitie het belang van lekken melden om zo misbruik te voorkomen.

Er moet dan wel aan drie voorwaarden worden voldaan: de misstand moet niet op een andere manier aan te tonen zijn, het gekozen middel om te hacken moet in verhouding tot het doel staan en er moet een 'zwaarwegend algemeen belang' zijn. Wordt daar niet aan voldaan dan zal de hacker toch voor de strafrechter moeten verschijnen.

Dat het beleid van Opstelten op gespannen voet staat met het opsporingsbeleid van het OM is al langer bekend. Er was alleen nog geen document waarin staat hoe wordt ongesprongen met ethische hackers. Verschillende hackers hebben zich uitgesproken tegen de aanpak van mensen die ethische lekken melden.

Ook het uitblijven van bescherming voor de hackers is een issue. Recentelijk werd duidelijk dat de website Habbo Hotel een jongere wilde laten aanklagen om het tonen van een lek. Het Tweede Kamerlid Astrid Oosenbrug werkt inmiddels aan een wetsvoorstel om juist hackende klokkenluiders actief bescherming te bieden.

Volgens het hackmeldpunt van de Haagse hackerspace Revspace is het Responsible Disclosure beleid uit balans en worden belangen van goedbedoelende hackers niet goed gewaarborgd. Een meldpunt bij het National Cyber Security Centrum, een onderdeel van Justitie, wordt door hackers ook gewantrouwd.