Datadiefstal door werknemers gebeurt vaker dan je misschien denkt. Uit onderzoek blijkt dat ruim één op de zeven Nederlandse ondernemers hiermee te maken krijgt.
In driekwart van de gevallen zijn het zelfs de eigen werknemers die de dader blijken. Dit varieert van het meenemen van klantenbestanden tot het doorverkopen van gevoelige bedrijfsinformatie.
Het stelen van data van je werkgever is altijd strafbaar en kan leiden tot ontslag op staande voet, strafrechtelijke vervolging en schadevergoeding.
De gevolgen zijn pittig voor zowel werknemer als bedrijf. Voor werknemers betekent het niet alleen ontslag, maar ook kans op boetes en een strafblad.
Het herkennen van datadiefstal en weten hoe je moet reageren is cruciaal voor werkgevers. Er zijn duidelijke stappen die organisaties kunnen nemen om dit te voorkomen.
Ook werknemers moeten snappen wat strafbaar is en welke juridische consequenties dat kan hebben.
Wat valt onder diefstal van data bij je werkgever?
Diefstal van data betekent het stelen van digitale informatie zoals klantgegevens, bedrijfsdocumenten of persoonsgegevens. Je kunt dit doen door bestanden te kopiëren, databases te downloaden of gevoelige informatie door te geven aan anderen.
Definitie van persoonsgegevens en data
Persoonsgegevens zijn alle gegevens die je direct aan een persoon kunt koppelen. Deze vallen onder de Algemene Verordening Gegevensbescherming (AVG).
Voorbeelden van persoonsgegevens:
- Namen en adressen
- Telefoonnummers en e-mailadressen
- BSN-nummers
- Medische gegevens
- Financiële informatie
Bedrijfsdata bestaat uit alle digitale informatie die het bedrijf bezit. Denk aan vertrouwelijke documenten, prijslijsten, klantendatabases en strategische plannen.
Ook interne communicatie zoals e-mails en rapporten hoort hierbij. Werknemers hebben vaak toegang tot deze gegevens voor hun werk.
Verschillende vormen van datadiefstal
Fysieke diefstal gebeurt als je bestanden op een USB-stick zet of documenten uitprint. Sommige werknemers nemen zelfs laptops of computers met gevoelige data mee.
Digitale diefstal zie je bijvoorbeeld via e-mail, cloud-opslag of externe servers. Medewerkers sturen dan bestanden naar hun privé-account of downloaden ze op hun eigen apparaten.
Doorverkoop van gegevens aan concurrenten of andere partijen is misschien wel de zwaarste vorm van datadiefstal. Dit zorgt direct voor schade aan het bedrijf.
Het komt voor dat werknemers data kopiëren vlak voor hun ontslag. Ze nemen klantbestanden mee naar een nieuwe werkgever of starten er zelf een bedrijf mee.
Voorbeelden van overtredingen
Klantgegevens doorspelen aan concurrenten gebeurt vaker dan je denkt. Bijvoorbeeld een verkoper die zijn klantenlijst meeneemt naar een ander bedrijf.
Financiële informatie zoals prijslijsten of kostenstructuren doorgeven kan de concurrentiepositie flink schaden. Dit zie je vooral bij commerciële functies.
Personeelsbestanden met salarissen en evaluaties zijn ook gevoelig. HR-medewerkers hebben hier vaak toegang toe.
Bedrijfsgeheimen zoals recepten, formules of ontwikkelingsplannen stelen kan miljoenen euro’s schade veroorzaken. Vooral R&D-afdelingen zijn kwetsbaar.
Ook het fotograferen van schermen of documenten met je telefoon valt onder datadiefstal. Het klinkt misschien onschuldig, maar het is echt strafbaar.
Strafbare feiten: wanneer is datadiefstal bij je werkgever illegaal?
Datadiefstal door werknemers valt onder verschillende wetten. De AVG beschermt persoonsgegevens en legt boetes op voor overtredingen.
Ook het strafrecht en arbeidsrecht kennen sancties voor diefstal van bedrijfsgegevens.
Overtredingen volgens de AVG
De AVG maakt onderscheid tussen soorten gegevens. Persoonsgegevens van klanten, collega’s of anderen vallen onder strenge bescherming.
Als je deze gegevens steelt, overtreed je artikel 6 van de AVG. Voor verwerking van persoonsgegevens heb je een rechtmatige reden nodig.
Strafbare handelingen onder de AVG:
- Ongeautoriseerd kopiëren van klantenbestanden
- Doorverkopen van personeelsgegevens
- Gegevens gebruiken voor je eigen bedrijf
- Data delen met derden
De werkgever blijft verantwoordelijk voor datalekken door medewerkers. Beide partijen kunnen dus juridische gevolgen ondervinden.
Boetes voor bedrijven kunnen oplopen tot €820.000. Grote ondernemingen riskeren zelfs boetes tot €20 miljoen of 4% van de jaaromzet.
Arbeidsrechtelijke en strafrechtelijke aspecten
Het strafrecht ziet datadiefstal als gewone diefstal volgens artikel 310 van het Wetboek van Strafrecht. Gegevens hebben economische waarde en tellen dus als “goed”.
Als werknemer schend je bij datadiefstal je arbeidscontract. De werkgever kan je dan op staande voet ontslaan vanwege wanprestatie volgens artikel 611 van het Burgerlijk Wetboek.
Mogelijke strafrechtelijke gevolgen:
- Geldboete tot €8.700
- Gevangenisstraf tot 4 jaar
- Schadevergoeding aan de werkgever
- Strafblad dat je toekomstige banen lastig kan maken
Het maakt niet uit of je de data echt gebruikt. Alleen het kopiëren of meenemen van vertrouwelijke gegevens is al strafbaar.
Werkgevers kunnen ook een civiele procedure starten voor schadevergoeding. Zo’n procedure loopt los van een strafzaak.
Rol van de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) handhaaft de AVG in Nederland. Zij kan boetes uitdelen aan werkgevers die hun beveiliging niet op orde hebben.
De AP onderzoekt meldingen van datalekken door medewerkers. Werkgevers moeten ernstige inbreuken op persoonsgegevens binnen 72 uur melden.
Taken van de Autoriteit Persoonsgegevens:
- Onderzoek naar privacy-inbreuken
- Boetes en sancties opleggen
- Advies geven over gegevensbescherming
- Klachten van betrokkenen behandelen
De AP kan werkgevers verplichten om extra beveiligingsmaatregelen te nemen. Vooral als er vaker incidenten zijn met medewerkers gebeurt dit.
Werknemers kunnen trouwens ook zelf een klacht indienen bij de AP. Dat kan leiden tot een onderzoek naar zowel werkgever als werknemer.
De autoriteit werkt samen met het Openbaar Ministerie bij strafzaken. Informatie uit AP-onderzoeken kan gebruikt worden in strafzaken tegen werknemers.
Gevolgen van diefstal van data voor werknemer en werkgever
Diefstal van data heeft flinke gevolgen voor medewerkers en werkgevers. Je kunt denken aan hoge boetes, ontslag op staande voet en langdurige reputatieschade voor iedereen die erbij betrokken is.
Juridische consequenties en mogelijke boetes
Werkgevers lopen flinke financiële risico’s als medewerkers data stelen. De Autoriteit Persoonsgegevens (AP) kan boetes uitdelen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.
Boetes voor werkgevers:
- GDPR-overtredingen: tot €20 miljoen
- Inadequate beveiliging: €5-10 miljoen
- Onvoldoende toezicht: €1-5 miljoen
De werkgever moet een datalek binnen 72 uur melden bij de AP. Doen ze dat niet, dan volgen er extra boetes.
Als er risico’s zijn voor de rechten van betrokkenen, moeten zij ook direct op de hoogte worden gebracht.
Medewerkers die data stelen, plegen een strafbaar feit. Justitie kan hen vervolgen voor diefstal of verduistering.
De straffen lopen uiteen van geldboetes tot gevangenisstraffen, afhankelijk van hoe ernstig het is.
Werkgevers kunnen daarnaast civielrechtelijk schadevergoeding eisen van medewerkers. Denk aan directe kosten, boetes en schade aan de reputatie van het bedrijf.
Arbeidsrechtelijke sancties en ontslag
Diefstal van data geldt als dringende reden voor ontslag op staande voet. Medewerkers raken dan direct hun baan en recht op loon kwijt.
Het arbeidscontract stopt meteen, zonder opzegtermijn.
Gevolgen voor medewerkers:
- Ontslag op staande voet
- Verlies van WW-uitkering
- Schadevergoeding aan werkgever
- Negatieve referenties
Wie wordt ontslagen wegens diefstal, krijgt geen WW-uitkering. Het UWV wijst zo’n aanvraag af omdat het ontslag verwijtbaar is.
Werkgevers kunnen een schadeloosstelling eisen ter hoogte van het loon over de opzegtermijn. Voor iemand met twee maanden opzegtermijn betekent dat twee maanden salaris mislopen.
Een medewerker kan het ontslag aanvechten, maar moet dat binnen twee maanden doen. De werkgever moet dan aantonen dat er echt sprake was van datadiefstal.
Gevolgen voor betrokkenen en privacy
Diefstal van data raakt de privacy van betrokkenen hard. Zij kunnen slachtoffer worden van identiteitsfraude, financiële schade of zelfs persoonlijke problemen.
Betrokkenen mogen schadevergoeding eisen van de werkgever. Dat kan gaan om materiële én immateriële schade.
Werkgevers blijven vaak jarenlang aansprakelijk voor de gevolgen.
Reputatieschade voor werkgevers:
- Verlies van klantvertrouwen
- Negatieve mediaberichtgeving
- Dalende omzet en winst
- Problemen met nieuwe klanten
Reputatieschade blijft soms jarenlang hangen. Klanten trekken hun vertrouwen terug.
Dat leidt tot minder opdrachten en teruglopende inkomsten.
Medewerkers merken het ook. Hun werkzekerheid komt onder druk te staan en de sfeer op de werkvloer verslechtert snel.
Wantrouwen en extra controles maken het er niet gezelliger op.
Wat te doen bij (vermoedelijke) diefstal of datalek?
Bij een vermoeden van diefstal of een datalek moet je snel schakelen. Melden aan leidinggevenden, interne procedures starten en eventueel binnen 72 uur de Autoriteit Persoonsgegevens informeren—dat is de volgorde.
Melden van incidenten binnen de organisatie
Direct melden is cruciaal als je denkt dat er data is gestolen of gelekt. Geef het meteen door aan je leidinggevende of de beveiligingsafdeling.
Organisaties hebben meestal een meldprocedure die je moet volgen. Je vindt die in het personeelshandboek of op het intranet.
Geef bij de melding duidelijk aan:
- Wat er is gebeurd
- Wanneer het incident plaatsvond
- Welke gegevens betrokken zijn
- Wie toegang had tot de gegevens
De leidinggevende of privacy officer moet direct worden ingeschakeld. Zij beoordelen of het om een meldplichtig datalek gaat.
Bewijs veiligstellen is essentieel. Zet computers niet uit en gooi geen documenten weg.
Interne procedures en opsporing
Na de melding start de organisatie een intern onderzoek. Dat moet duidelijk maken wat er precies is gebeurd en hoe groot de schade is.
Beveiligingsmaatregelen komen meteen in actie:
- Toegang tot systemen blokkeren
- Wachtwoorden veranderen
- Accounts uitschakelen
- Apparaten innemen
Een onderzoeksteam wordt samengesteld. Vaak zitten daar HR, IT’ers en juristen in.
Het team onderzoekt:
- Welke gegevens zijn gestolen of gelekt
- Hoeveel mensen zijn getroffen
- Hoe het incident kon gebeuren
- Of er opzet in het spel was
Externe hulp kan nodig zijn bij lastige zaken. Soms schakelt de organisatie forensische experts in voor digitaal onderzoek.
Alle bevindingen komen in een onderzoeksrapport. Dat rapport is belangrijk voor eventuele juridische stappen.
Externe meldplicht bij de Autoriteit Persoonsgegevens
Je moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens als er privacyrisico’s zijn. Dit geldt ook bij diefstal van persoonsgegevens door medewerkers.
Meldplicht geldt als:
- Persoonsgegevens onbevoegd zijn ingezien
- Gegevens zijn gewijzigd of verwijderd
- Toegang tot gegevens is verloren
- Er risico is voor de rechten van personen
De melding moet deze info bevatten:
- Aard van het datalek
- Aantal getroffen personen
- Mogelijke gevolgen voor betrokkenen
- Genomen maatregelen
Slachtoffers informeren is verplicht bij grote risico’s. Doe dit zo snel mogelijk, liefst binnen 72 uur na ontdekking.
De organisatie houdt het incident bij in het datalekregister. Hierin staan alle datalekken, ook de niet-gemelde.
Boetes kunnen oplopen tot €20 miljoen of 4% van de jaaromzet als je je niet aan de meldplicht houdt.
Stappenplan na ontdekking van diefstal van data
Ontdek je datadiefstal, dan moet je direct handelen. Neem acute beveiligingsmaatregelen, informeer betrokkenen en herstel systemen met betere beveiliging.
Directe maatregelen en afscherming
Onmiddellijke beveiligingsacties zijn nu prioriteit. Trek de toegang van de verdachte medewerker direct in.
Dat betekent meestal:
- Accountgegevens en wachtwoorden wijzigen
- Toegangspassen en sleutels innemen
- Toegang tot gebouwen en systemen blokkeren
Forensisch onderzoek moet meteen beginnen. IT’ers zoeken uit welke bestanden zijn gekopieerd of gedownload.
Ze maken back-ups van alle belangrijke computergegevens. Dat bewijs kan later nodig zijn in rechtszaken.
Interne documentatie van het incident is verplicht onder de AVG. Noteer:
- Welke persoonsgegevens zijn gestolen
- Hoeveel mensen zijn getroffen
- Wanneer de diefstal plaatsvond
- Welke beveiligingsmaatregelen je hebt genomen
Communicatie met getroffen personen
Meldplicht bij autoriteiten geldt binnen 72 uur. De Autoriteit Persoonsgegevens moet op de hoogte worden gebracht van de diefstal.
De melding bevat details over de aard van de inbreuk. Je beschrijft ook de mogelijke gevolgen voor de privacy van betrokkenen.
Politieaangifte doen is meestal nodig. Diefstal van data door een medewerker is strafbaar.
De politie start een onderzoek. Dat helpt bij het verzamelen van bewijs tegen de dader.
Informatie aan getroffen personen hangt af van het risico. Dreigt identiteitsdiefstal, dan moet je iedereen waarschuwen.
De communicatie legt uit:
- Welke gegevens zijn gestolen
- Wat de mogelijke gevolgen zijn
- Welke maatregelen de organisatie neemt
- Hoe betrokkenen zichzelf kunnen beschermen
Herstel van de situatie en preventie
Systeemherstel start zodra het forensisch onderzoek klaar is. Eerst dichten experts alle beveiligingslekken, en pas daarna pakken ze de normale werkzaamheden weer op.
Ze voeren nieuwe toegangscodes en strengere beveiligingsprotocollen in. Kwetsbare systemen krijgen extra bescherming, want niemand wil nóg een incident.
Juridische stappen tegen de medewerker volgen meestal snel. Soms betekent dat ontslag op staande voet.
Een civiele rechtszaak voor schadevergoeding kan ook op tafel komen. Zo probeert de organisatie kosten voor herstel en imagoschade te verhalen.
Preventieve maatregelen zijn essentieel om herhaling te voorkomen. Denk aan strengere toegangscontroles en betere monitoring van gevoelige bestanden.
Regelmatige beveiligingstrainingen voor personeel vergroten het bewustzijn. Achtergrondchecks bij nieuwe medewerkers helpen risico’s te beperken.
De organisatie kijkt kritisch naar hoe het incident kon gebeuren. Ze pakken zwakke plekken in de beveiliging direct aan.
Hoe kunnen organisaties en medewerkers datadiefstal voorkomen?
Organisaties kunnen datadiefstal tegengaan met helder beleid, goede training en stevige technische beveiliging. Zo beschermen ze gevoelige bedrijfsgegevens en voorkomen ze juridische ellende.
Beleid en procedures voor gegevensbescherming
Het helpt als organisaties duidelijke regels maken voor het omgaan met bedrijfsdata. In die regels staat welke informatie vertrouwelijk is en wie erbij mag.
Het beleid moet de AVG-wetgeving volgen. Bedrijven leggen vast hoe ze persoonsgegevens verzamelen, gebruiken en bewaren.
Belangrijke onderdelen van het beleid zijn:
- Wie toegang krijgt tot welke gegevens
- Hoe medewerkers hun wachtwoorden beheren
- Welke apparaten je voor werk mag gebruiken
- Wat er gebeurt als iemand het bedrijf verlaat
Ook moeten er afspraken zijn over externe partijen. Als een derde partij persoonsgegevens verwerkt, hoort daar een verwerkersovereenkomst bij.
Het beleid moet je regelmatig updaten. Nieuwe technologieën en veranderende wetten maken dat eigenlijk onvermijdelijk.
Training en bewustwording van medewerkers
Medewerkers zijn vaak het zwakke punt in de beveiliging. Het is dus echt belangrijk om ze goed te instrueren.
Training moet duidelijk maken wat gevoelige informatie is. Denk aan klantdata, financiële cijfers of bedrijfsplannen.
Belangrijke trainingsonderwerpen:
- Phishing herkennen
- Veilig omgaan met wachtwoorden
- Wat je doet bij verdachte situaties
- Regels voor het meenemen van gegevens
Gebruik vooral praktische voorbeelden in de training. Medewerkers moeten weten wat ze wel en niet mogen doen tijdens hun werk.
Opfriscursussen zijn geen overbodige luxe. Bedreigingen veranderen, en procedures soms ook, dus medewerkers moeten bijblijven.
Technische maatregelen
Goede technische beveiliging is de basis tegen datadiefstal. Je hebt gewoon meerdere lagen nodig.
Essentiële technische maatregelen:
- Sterke wachtwoorden en tweestapsverificatie voor alle systemen
- Regelmatige updates van software op alle apparaten
- Beperkte toegangsrechten per medewerker
- Versleuteling van gevoelige bestanden
Gebruik een wachtwoordmanager voor veilige opslag van inloggegevens. Zo voorkom je dat mensen zwakke wachtwoorden kiezen.
Houd het netwerk in de gaten om verdachte activiteiten snel te zien. Automatische systemen kunnen waarschuwen bij ongebruikelijke toegang tot bestanden.
Maak altijd back-ups van belangrijke gegevens en sla ze veilig op. Mocht er iets misgaan, dan kun je snel herstellen zonder alles kwijt te raken.
Veelgestelde vragen
Datadiefstal op de werkplek roept allerlei juridische en praktische vragen op. De strafbaarheid hangt af van wat voor data het is en hoe iemand die heeft meegenomen.
Wat zijn de wettelijke strafbaarstellingen voor het stelen van data van je werkgever?
Het stelen van bedrijfsdata valt onder verschillende strafbare feiten in het Wetboek van Strafrecht. Artikel 310 maakt diefstal strafbaar, en dat geldt ook voor digitale gegevens.
Computervredebreuk uit artikel 138ab geldt als iemand zonder toestemming inlogt op systemen. De straf kan oplopen tot twee jaar cel of een flinke boete.
Het schenden van vertrouwelijke informatie valt onder artikel 272. Dat gaat over het openbaren van geheimen die je via je werk hebt gekregen.
Welke juridische gevolgen kan iemand verwachten als die betrapt wordt op het stelen van bedrijfsgeheimen?
Ontslag op staande voet is meestal het eerste gevolg van datadiefstal. De werkgever kan het arbeidscontract direct beëindigen, zonder opzegtermijn of uitkering.
Strafrechtelijke vervolging kan tot vier jaar gevangenisstraf opleveren. De rechter kijkt naar de waarde van de gestolen data en de schade die is ontstaan.
Civiele claims kunnen flink oplopen. Werkgevers verhalen verlies van klanten, concurrentievoordeel en reputatieschade op de dader.
Hoe kan een werkgever zich beschermen tegen diefstal van gevoelige informatie door werknemers?
Technische beveiligingsmaatregelen zijn de eerste verdedigingslinie. Toegangscontrole, encryptie en monitoring van dataverkeer helpen diefstal te voorkomen of op te sporen.
Contractuele afspraken zoals geheimhouding en non-concurrentie bieden juridische bescherming. Leg goed vast wat vertrouwelijk is en welke sancties gelden.
Het personeel bewust maken en trainen blijft cruciaal. Werknemers moeten snappen welke informatie gevoelig is en hoe ze daarmee omgaan.
Welke stappen moet je ondernemen als je per ongeluk bedrijfsgegevens hebt meegenomen na het beëindigen van je dienstverband?
Neem direct contact op met je voormalige werkgever. Leg uit hoe het is gebeurd en bied aan om de gegevens terug te geven.
Verwijder alle kopieën van de data, echt overal: computers, telefoons, cloudopslag, papieren—alles.
Vraag om schriftelijke bevestiging van de teruglevering en verwijdering. Zo zijn beide partijen beschermd en is alles netjes vastgelegd.
Op welke manier kan digitaal forensisch onderzoek bijdragen aan het bewijzen van datadiefstal?
Digitale sporen op computers en servers laten precies zien wanneer bestanden zijn gekopieerd of gedownload. Forensische experts kunnen die activiteiten tot in detail terughalen.
Logbestanden houden bij wie wanneer toegang had tot systemen en bestanden. Die technische bewijzen zijn vaak sterker dan getuigenissen in de rechtszaal.
E-mailverkeer en chatberichten kunnen de intentie van iemand aantonen. Communicatie over het doorspelen van informatie aan concurrenten is natuurlijk krachtig bewijs van opzet.
Wat kun je doen als je valselijk beschuldigd wordt van het stelen van data van je werkgever?
Juridische hulp inschakelen is echt het eerste wat je moet doen. Een arbeidsrechtadvocaat kijkt met je mee en helpt om beschuldigingen te weerleggen.
Verzamel bewijs dat je onschuldig bent. Denk aan e-mails, getuigen of technische logs die laten zien dat je niets verkeerd deed.
Je kunt disciplinaire procedures ook aanvechten bij de rechter. Blijkt ontslag onterecht, dan kun je soms terug in dienst of een schadevergoeding krijgen.
