Het is geen uitzondering dat werknemers kort voordat ze bij hun oude werkgever vertrekken, bestanden downloaden die later van pas zouden kunnen komen. Steeds vaker worden deze werknemers betrapt, omdat deze “diefstal” binnen de IT-omgeving wordt opgemerkt. In de meeste gevallen zal de werkgever eventuele schade op de werknemer verhalen via de civiele weg, hierover schreven wij een uitgebreid artikel. Maar in sommige gevallen is een vergoeding, boete of verbod onvoldoende. Om deze reden kan het ontvreemden van bedrijfsgeheimen ook strafrechtelijk worden gesanctioneerd.
Afgelopen week was in het nieuws dat in België een oud-werknemer van Callebaut zes maanden de gevangenis in moet voor “het stelen van chocoladerecepten”.[1] De werknemer had vlak voor zijn overstap naar een concurrent 19.000 vertrouwelijke bestanden (o.a. recepten en marketingstrategieën) uit de bedrijfscloud gedownload en op een USB-stick gezet. De Belgische rechter kwalificeerde dit als misbruik van vertrouwen. Deze straf werd opgelegd, ondanks dat bewijs dat de bestanden daadwerkelijk zijn gedeeld of verhandeld, ontbrak.
Dit roept de vraag op of in Nederlandse de rechter tot een vergelijkbaar oordeel had kunnen komen? Het korte antwoord is: ja, maar de toets lijkt zwaarder in Nederland dan in België. Door de recente uitspraak in het Politiemol-arrest[2] (2021), waarin het misbruik maken van eigen inloggegevens om informatie te ontsluiten werd aangemerkt als “binnendringen met behulp van een valse sleutel”, zou het zomaar kunnen dat strafrechtelijke vervolging voor diefstal van bedrijfsgeheime informatie makkelijker is geworden. Onderstaand behandelen wij alle zaken die wij via openbare bronnen hebben kunnen vinden over het onderwerp.
Achtergrond – twee strafrechtelijke haakjes
In Nederland wordt bij het onrechtmatig kopiëren van bedrijfsgeheimen en bedrijfsgegevens gekeken naar twee bepalingen in het Wetboek van Strafrecht:
- Artikel 273 Strafrecht, waarin twee relevante varianten staan genoemd:
- Ten eerste is strafbaar degene die als (ex-)werknemer opzettelijk bijzonderheden over een onderneming bekendmaakt waarvan hem geheimhouding is opgelegd (lid 1 onder 1°).
- Ten tweede is strafbaar degene die opzettelijk gegevens bekendmaakt of uit winstbejag gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat die gegevens door misdrijf zijn verkregen uit een geautomatiseerd werk van een onderneming (lid 1 onder 2°).
In beide varianten is dus niet het “meenemen” als zodanig het kernbestanddeel, maar vooral het bekendmaken of het gebruiken van de informatie. Daarnaast is van belang dat vervolging alleen plaatsvindt na een klacht van het bestuur van de onderneming (lid 3).
- Artikel 138ab Strafrecht, waarin computervredebreuk strafbaar is gesteld. Dit artikel ziet op het opzettelijk en wederrechtelijk binnendringen in een digitale omgeving. Van “binnendringen” is in elk geval sprake als toegang wordt verkregen door bijvoorbeeld het doorbreken van een beveiliging, een technische ingreep, valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid.
De wet voorziet dus in de mogelijkheid om iemand strafrechtelijk te vervolgen voor het meenemen en/of gebruiken van onrechtmatig verkregen bedrijfsgeheime informatie.
De praktijk in Nederland
Wie op rechtspraak.nl en in juridische databanken zoekt naar uitspraken waarin artikelen 273 of 138ab Strafrecht voorkomt in combinatie met bedrijfsgeheim, vindt maar een handvol uitspraken.[3] We behandelen hier eerst de meest recente uitspraken, omdat deze het meest richtinggevend zijn. Daarna gaan we nog in op een aantal oudere zaken, die een interessante inkijk geven in de casuïstiek. We hebben ervoor gekozen één zaak uit 2018[4] met een duidelijke strafrechtelijke en bedrijfsgeheime component niet inhoudelijk te behandelen, omdat de redenering van de rechtbank uit deze zaak volledig wordt weersproken door meerdere Hoge Raad uitspraken van na deze datum.
HR 30 november 2021 (de “Politiemol”), ECLI:NL:HR:2021:1691
In deze zaak[5] misbruikte een politieambtenaar zijn eigen autorisatie voor het politiesysteem Blue View. Hij bevroeg het systeem op personen zonder werkgerelateerde aanleiding, exporteerde resultaten en verstrekte die aan criminelen.
De Hoge Raad laat in stand dat zulk oneigenlijk gebruik van een geldig account kan kwalificeren als computervredebreuk door “binnendringen met behulp van een valse sleutel” (art. 138ab lid 1 sub c Sr), omdat de autorisatie werd gebruikt voor een doel waarvoor die niet was verleend. Dit arrest is relevant als correctie na de eerder genoemde uitspraak uit 2018: het opent de deur om misbruik van eigen autorisaties onder omstandigheden wél onder 138ab Sr te brengen, ook zonder klassieke hackhandelingen. Iets wat na de bovengenoemde uitspraak nu juist uitgesloten leek te zijn. De hier ingezette lijn, is duidelijk terug te zien in de uitspraken van na deze datum.
HR 18 april 2023, ECLI:NL:PHR:2023:37 en ECLI:NL:HR:2023:610
In deze zaak[6] logde een (voormalig) boekhouder met eigen inloggegevens herhaaldelijk in op de server van zijn werkgever, downloadde bedrijfsbestanden. Deze stukken leverde hij vervolgens aan een ontslagen werknemer om als bewijsstukken in diens ontslagprocedure tegen het bedrijf te gebruiken. Het hof kwalificeerde dit downloaden en verstrekken als computervredebreuk (art. 138ab Sr) omdat het gebruik van de autorisaties evident buiten de overeengekomen taak viel en dus “op dat moment” als gebruik van een valse sleutel werd aangemerkt; vervolgens werd ook art. 273 Sr (lid 1 onder 2°) toegepast omdat de door computervredebreuk verkregen gegevens bewust bekend werden gemaakt door die in rechte in te brengen. Het hof legde een taakstraf van 120 uur op; in cassatie bleef de veroordeling in stand, met alleen strafvermindering wegens overschrijding van de redelijke termijn (naar 108 uur).
Rb. Rotterdam 10 juli 2025 (ASML en NXP gegevens)
In deze zaak[7] stond een werknemer uit de hightechsector terecht omdat hij (i) na het ingaan van Rusland-sancties technische informatie deelde met een contact in Rusland en (ii) grote hoeveelheden bedrijfsbestanden van zijn werkgevers naar privé-dragers kopieerde. De rechtbank spreekt hem vrij van verduistering in dienstbetrekking, omdat digitale bestanden niet als “goederen” kwalificeren: door kopiëren verliest de werkgever de feitelijke macht niet. Wel acht de rechtbank computervredebreuk (art. 138ab Sr) bewezen: verdachte logde met zijn eigen inloggegevens in, maar deed dat met een ander doel dan waarvoor die toegang was verleend, zodat sprake is van “binnendringen met behulp van een valse sleutel”. In combinatie met de bewezen sanctie-overtreding kwam de rechter tot een gevangenisstraf van 3 jaar.
Rb Haarlem 9 april 2009 (Postbank-fraude)
In oudere zaak werd een verdachte veroordeeld voor het over langere tijd binnendringen in de computersystemen van de toenmalige Postbank.[8] Het ging hier niet om een “zuivere” bedrijfsgeheimen-zaak, maar om een geraffineerde keten van het beïnvloeden van mensen en misbruik van interne autorisaties, waarbij stap voor stap steeds meer toegang werd verkregen tot klant- en rekeninggegevens.
Een bankmedewerker raadpleegde rekeningen onreglementair en speelde onder meer saldo-informatie en handtekeningenkaarten door, waarna mededaders zich telefonisch via de “Girofoon” als rekeninghouder voordeden, codes lieten activeren en transacties initieerden. De buitgemaakte gegevens fungeerden daarmee als hefboom voor concrete fraude (oplichting en overboekingen), waarbij de rechter mede via artikel 273 Sr (lid 1 onder 2°) tot een veroordeling kwam. Dit omdat het ging om het bekendmaken/benutten van gegevens die door een misdrijf uit een geautomatiseerd werk waren verkregen.
Rb Gelderland 17 november 2014
In deze zaak[9] draaide het om het delen van vertrouwelijke klant- en boekingsgegevens van een reisbureau; adressen en in het bijzonder afwezigheidsperiodes van klanten. De verdachte (werkzaam bij het reisbureau) raadpleegde deze gegevens via het interne systeem, stelde lijsten samen en verstrekte die aan een derde, die deze informatie gebruikte als “inlichtingen” voor woninginbraken. De rechtbank kwam (naast medeplichtigheid aan inbraken) tot schending van bedrijfsgeheimen ex art. 273 Sr. Het strafrechtelijke verwijt zat in het bekendmaken van niet-algemeen bekende bedrijfsgegevens waarvan nadeel te duchten was. De jonge vrouw (19 jaar) kreeg een voorwaardelijk gevangenisstraf van 3 maanden en werkstraf van 150 uur opgelegd.
Conclusie: strafrechtelijke weg lijkt voorzichtig ingeslagen
De strafrechtelijke route ligt open (en is reëler geworden), met name waar sprake is van misbruik van autorisaties en gegevensovername. Dat geldt niet alleen voor zware spionage-achtige dossiers (zoals de ASML-casus), maar óók voor situaties die er onschuldiger uitzien, zoals “een oud-collega helpen” door bedrijfsbestanden te downloaden en door te sturen. Sinds de Hoge Raad in het Politiemol-arrest heeft bevestigd dat ook misbruik van eigen geldige inloggegevens computervredebreuk kan zijn (art. 138ab Sr), is het kader helder: wie met een geldig account inlogt voor een doel waarvoor die toegang niet is gegeven, kan toch “wederrechtelijk binnendringen” plegen.
Daarmee wordt vervolging op grond van art. 138ab Sr praktischer: je hoeft niet per se een “hack” te bewijzen, maar vooral dat iemand buiten zijn taak/afspraak systemen gebruikte en vervolgens gegevens overnam (download/export/mail/USB). En als die gegevens daarna ook nog worden gedeeld of ingezet (bijvoorbeeld in een procedure), komt art. 273 Sr eerder in beeld. Kortom: het strafrecht is niet langer een theoretische stok achter de deur; in de juiste feitenconstellatie is het een reële optie.
Civiel of strafrecht: praktische afweging
In de meeste dossiers blijft de civiele route (in Nederland met name onder de Wet bescherming bedrijfsgeheimen) het meest logisch: snel handelen, eventueel een (bewijs)beslag en (waar passend) schade-instrumenten. De drempel is lager, de regie ligt meer bij de benadeelde partij, en de remedies sluiten beter aan bij het doel: stoppen, veiligstellen en schade beperken en verhalen.
Maar dat betekent niet dat het strafrecht een middel is dat buiten beschouwing moet blijven. Zoals de zaak tegen de accountant laat zien, kan van een strafrechtelijke aangifte een duidelijk normstellend en corrigerend signaal uitgaan. De strafmaat was hier relatief beperkt (108 uur taakstraf), maar de handhavingswaarde en afschrikwekkende werking kunnen in de praktijk aanzienlijk zijn, zeker in vergelijking met een zuiver civiel traject. Bij ernstige schendingen – met name waar sprake is van misbruik van systemen of autorisaties – kan het daarom passend zijn om ook strafrechtelijke stappen te overwegen. Dit dan wel in combinatie met een parallelle civielrechtelijke route.
Contact
Wij staan zowel ondernemingen bij die te maken hebben met (mogelijke) misbruik- of ontvreemdingsscenario’s rond vertrouwelijke informatie, als personen die van dergelijke gedragingen worden verdacht. Wij zijn geen strafrechtkantoor en zullen daarom niet als strafrechtelijk adviseur optreden. Wel kunnen wij – vanuit onze bedrijfsgeheimen- en civielrechtelijke expertise – de feitelijke en juridische positie duiden, de civiele opties uitzetten en de strategische samenloop met een eventuele strafrechtelijke route beoordelen. Indien strafrechtelijke specialistische bijstand nodig is, stemmen wij af met daarin gespecialiseerde collega’s.
Voor vragen of overleg, neem gerust contact met ons op!
[1] https://nos.nl/artikel/2598058-oud-werknemer-callebaut-krijgt-celstraf-voor-stelen-van-chocoladerecepten
[2] Hoge Raad 30 november 2021, ECLI:NL:HR:2021:1691
[3] Wel zijn er een groot aantal uitspraken over computervredebreuk, maar het gaat hier om hacken en afpersen van personen. Deze uitspraken hebben we hier niet behandeld.
[4] Rechtbank Den Haag 26 maart 2018, ECLI:NL:RBDHA:2018:3396
[5] Hoge Raad 30 november 2021, ECLI:NL:HR:2021:1691
[6] Hoge Raad 18 april 2023, ECLI:NL:HR:2023:610
[7] Rechtbank Rotterdam 10 juli 2025, ECLI:NL:RBROT:2025:8322
[8] https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBHAA:2009:BI9061
[9] https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBGEL:2014:7126
