Rechtbank Oost-Brabant 10 maart 2026, ECLI:NL:RBOBR:2026:1586

De veroordeelt een voormalig technicus voor het wederrechtelijk overnemen van niet-openbare bedrijfsgeheimen van zijn werkgever, maar spreekt hem vrij van computervredebreuk. De rechtbank past het toetsingskader uit het politiemol-arrest van de Hoge Raad toe en oordeelt dat niet is gebleken dat de verdachte de intentie had het systeem oneigenlijk te gebruiken. De vertrouwelijke bestanden, waaronder design documenten en softwarecode, zijn buiten de beveiligde digitale omgeving gebracht door ze te downloaden naar een werklaptop en te kopieren naar externe harde schijven. Het Openbaar Ministerie eist een gevangenisstraf van drie jaren, maar de rechtbank legt slechts een taakstraf van 60 uren op. De rechtbank weegt mee dat de verdachte niet uit financieel motief heeft gehandeld, niet eerder is veroordeeld en zijn baan is kwijtgeraakt. De zaak illustreert het onderscheid tussen computervredebreuk bij misbruik van autorisatie en het wederrechtelijk overnemen van gegevens op grond van artikel 138c Sr.

Inleiding en context

De verdachte, een natuurlijk persoon geboren in 1988, is werkzaam geweest als technicus bij een groot technologiebedrijf. In die hoedanigheid heeft hij toegang gehad tot vertrouwelijke computerbestanden, waaronder design documenten en softwarecode die betrekking hebben op in machines van het bedrijf toegepaste technologie. De zaak betreft een berechting in eerste aanleg door de meervoudige strafkamer van de rechtbank Oost-Brabant, locatie 's-Hertogenbosch. Het vonnis is op tegenspraak gewezen naar aanleiding van het onderzoek ter terechtzitting van 24 februari 2026. De zaak draait om de vraag of de verdachte zich schuldig heeft gemaakt aan computervredebreuk dan wel aan het wederrechtelijk overnemen van niet-openbare gegevens, doordat hij vertrouwelijke bedrijfsbestanden heeft gedownload naar zijn werklaptop en vervolgens naar externe harde schijven heeft gekopieerd.

Tenlastelegging en wettelijk kader

De verdachte wordt twee feiten verweten, elk in een primaire en een subsidiaire variant. Onder feit 1 primair wordt de verdachte verweten dat hij zich in de periode van 4 maart 2024 tot en met 21 maart 2024 schuldig heeft gemaakt aan computervredebreuk als bedoeld in artikel 138ab van het Wetboek van Strafrecht, door met behulp van een valse sleutel wederrechtelijk binnen te dringen in een geautomatiseerd werk van het bedrijf. De valse sleutel bestaat in dit geval uit het gebruiken van inloggegevens voor een ander doel dan waarvoor dat gebruik was toegestaan. Subsidiair wordt de verdachte verweten dat hij opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk voor zichzelf heeft overgenomen, strafbaar gesteld in artikel 138c Sr. Onder feit 2 wordt de verdachte hetzelfde verweten, maar dan met betrekking tot 21 december 2021, toen bestanden op een externe harde schijf van het merk Samsung zijn gezet. Ook hier kent de tenlastelegging een primaire variant (computervredebreuk) en een subsidiaire variant (wederrechtelijk overnemen van gegevens).

Standpunt van het Openbaar Ministerie

De officier van justitie heeft zich op het standpunt gesteld dat de primaire varianten van beide feiten wettig en overtuigend bewezen kunnen worden verklaard. Het Openbaar Ministerie heeft een gevangenisstraf voor de duur van drie jaren gevorderd, waarvan een jaar voorwaardelijk. Bij het bepalen van de strafeis heeft de officier van justitie aansluiting gezocht bij de richtlijnen voor fraude.

Standpunt van de verdediging

De verdediging heeft bepleit dat geen sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk als bedoeld in artikel 138ab Sr. Ten aanzien van feit 1 primair heeft de verdachte verklaard dat hij de bestanden bekeek ter voorbereiding op een mogelijke overstap naar een ander cluster, na overleg met de projectleider van dat cluster. De raadsman heeft chats van 7 maart en 13 maart 2024 overgelegd waaruit dit contact blijkt. De verdachte heeft verklaard dat hij als technicus interesse had in technische bestanden die te maken hadden met dat functiecluster en dat hij reeds toegang had tot de softwarecode. Ten aanzien van feit 2 primair heeft de verdachte verklaard dat het voor zijn taken in zijn functiecluster en zijn functiecluster overstijgende werkzaamheden en advisering nodig was om de betreffende bestanden te bekijken, omdat de code steeds moest worden afgestemd. Ten aanzien van de subsidiair ten laste gelegde feiten heeft de verdediging zich gerefereerd aan het oordeel van de rechtbank. Bij een bewezenverklaring van de subsidiaire feiten heeft de verdediging betoogd dat volstaan dient te worden met de oplegging van een taakstraf.

Oordeel gerecht

De rechtbank stelt vast dat de dagvaarding geldig is, dat zij bevoegd is en dat de officier van justitie ontvankelijk is in de vervolging. Er zijn geen gronden voor schorsing van de vervolging.

Ten aanzien van de primair ten laste gelegde computervredebreuk past de rechtbank het toetsingskader toe dat de Hoge Raad heeft uiteengezet in het zogeheten politiemol-arrest (HR 30 november 2021, ECLI:NL:HR:2021:1691). In die zaak was eveneens een autorisatie verstrekt om in te loggen in het beveiligde systeem. Het gerechtshof oordeelde destijds dat de politiemol zijn autorisatie had misbruikt, aangezien die was verstrekt om in het kader van zijn werk naspeuringen te verrichten, terwijl hij het systeem bevroeg zonder dat daarvoor in zijn politietaak enige aanleiding bestond. De Hoge Raad liet dat oordeel in stand. De rechtbank haalt tevens de conclusie van P-G Spronken aan, die waarschuwde dat de reikwijdte van artikel 138ab Sr potentieel zeer groot wordt, nu een werknemer die uit nieuwsgierigheid grasduint in voor hem toegankelijke systemen al snel onbevoegd kan handelen. P-G Spronken ging aan die overpeinzingen voorbij omdat in de politiemol-zaak overduidelijk sprake was van de intentie tot oneigenlijk gebruik.

Voor feit 1 primair oordeelt de rechtbank dat de alternatieve verklaring van de verdachte, namelijk dat hij bestanden bekeek ter voorbereiding op een mogelijke overstap naar een ander cluster, niet is weerlegd. Er is sprake van een situatie die zich het beste laat omschrijven als "grasduinen". Niet is gebleken dat de verdachte de intentie heeft gehad om het systeem oneigenlijk te gebruiken, zodat niet gesproken kan worden van wederrechtelijk binnendringen.

Voor feit 2 primair oordeelt de rechtbank dat uit de bewijsmiddelen niet ondubbelzinnig blijkt dat de betreffende bestanden niet noodzakelijk waren voor de functie-uitoefening van de verdachte. Hiervoor had meer onderzoek gedaan moeten worden naar de inhoud van de bestanden en de relatie daarvan tot de functie-uitoefening.

Ten aanzien van de subsidiair ten laste gelegde feiten acht de rechtbank beide feiten wel wettig en overtuigend bewezen. Uit de bewijsmiddelen blijkt dat de verdachte in de periode van 4 maart 2024 tot en met 21 maart 2024 een groot aantal vertrouwelijke computerbestanden heeft gedownload vanuit het systeem naar zijn werklaptop, waarna bestanden zijn gekopieerd naar een externe harde schijf van het merk Western Digital. Daarnaast zijn op 21 december 2021 bestanden op een externe harde schijf van het merk Samsung gezet. De bestanden omvatten vertrouwelijke design documenten en softwarecode die behoren tot de bedrijfsgeheimen. Door deze bestanden te downloaden en op harde schijven te zetten, heeft de verdachte ze buiten de virtual desktop infrastructure van het bedrijf gebracht. De verdachte moet, gelet op de door hem getekende geheimhouderverklaring met bijlagen, een gevolgde training en een instructie, hebben geweten dat dit niet was toegestaan.

Bewezenverklaring

De rechtbank verklaart bewezen dat de verdachte:

• feit 1 subsidiair: in de periode van 4 maart 2024 tot en met 21 maart 2024 in Nederland meermalen opzettelijk en wederrechtelijk niet-openbare gegevens, te weten vertrouwelijke computerbestanden van het bedrijf, die waren opgeslagen door middel van een geautomatiseerd werk, voor zichzelf heeft overgenomen;

• feit 2 subsidiair: op 21 december 2021 in Nederland opzettelijk en wederrechtelijk niet-openbare gegevens, te weten vertrouwelijke computerbestanden van het bedrijf, die waren opgeslagen door middel van een geautomatiseerd werk, voor zichzelf heeft overgenomen.

De verdachte wordt vrijgesproken van de onder feit 1 primair en feit 2 primair ten laste gelegde computervredebreuk.

Strafoplegging en maatregelen

De rechtbank legt een aanzienlijk lagere straf op dan de door het Openbaar Ministerie gevorderde gevangenisstraf van drie jaren, waarvan een jaar voorwaardelijk. De rechtbank wijkt af van de eis omdat de verdachte wordt vrijgesproken van de primair ten laste gelegde computervredebreuk en slechts wordt veroordeeld voor het subsidiair ten laste gelegde wederrechtelijk overnemen van gegevens. De rechtbank volgt het Openbaar Ministerie niet in het zoeken van aansluiting bij de richtlijnen voor fraude, nu niet kan worden vastgesteld dat de verdachte heeft gehandeld uit financiele motieven of dat het bedrijf door het handelen van de verdachte substantieel is benadeeld. De rechtbank weegt in het voordeel van de verdachte mee dat hij niet eerder is veroordeeld, dat hij zijn baan is kwijtgeraakt en niet langer werkzaam is in de ICT, het werkgebied waarvoor hij heeft gestudeerd, en dat niet is gebleken dat hij voornemens was de gegevens te verspreiden of er enig voordeel uit heeft genoten. De rechtbank acht een taakstraf voor de duur van 60 uren, subsidiair 30 dagen hechtenis, passend en geboden. De rechtbank ziet geen aanleiding een gedeelte van de straf voorwaardelijk op te leggen. De beslissing is gegrond op de artikelen 9, 22c, 22d, 57 en 138c van het Wetboek van Strafrecht.

Lees hier de volledige uitspraak.