OM eist 3 jaar cel voor Chinese softwarearchitect die ASML-data kopieerde

Het Nederlandse Openbaar Ministerie eist een celstraf van drie jaar voor een Chinese softwarearchitect die bij ASML werkte en geheime gegevens kopieerde naar zijn laptop en twee externe harde schijven. De man beweerde dat dit nodig was om zijn werk goed te doen.

De oud-medewerker gaf in de rechtbank enkele malen ongevraagd aan dat hij de gedownloade bestanden 'nooit had geopenbaard', schrijft het Eindhovens Dagblad. De officier van justitie reageerde daar laconiek op: "Daar moeten we maar op vertrouwen. We zullen het nooit weten". Het onderzoek van de politie naar de Chinese man leverde namelijk geen uitsluitsel op over wat hij deed met de gekopieerde gegevens.

Volgens de officier van justitie gaat het om gevoelige, geclassificeerde informatie van ASML. Het downloaden daarvan was een schending van de geheimhoudingsverklaring en de gedragscode die de verdachte had ondertekend voor zijn werk bij ASML. Het bedrijf geeft medewerkers ook de nadrukkelijke boodschap dat ze geen bedrijfsinformatie uit de beveiligde ASML-server mogen exporteren.

Geen beheerde bedrijfslaptop

Toch deed de man dit, volgens hem om zijn werk goed te kunnen doen en ter voorbereiding op een overstap naar een ander team binnen ASML. Hij werkte daar via het bedrijf ICT Group en kreeg als externe kracht geen beheerde laptop van ASML. Voor het uitvoeren van zijn werk moest hij op een server inloggen om daar benodigde informatie in te zien. Volgens de 37-jarige softwarearchitect werkte dat niet goed en had hij dat meerdere keren aangegeven bij ASML. Oudere collega's bij het Nederlandse chipmachinebedrijf zouden hem hebben gezegd dat zij informatie downloaden en dus dacht hij dit wel kon.

ASML ontdekte het downloaden in maart 2024 en deed toen aangifte. De officier van justitie eist nu drie jaar cel, waarvan een jaar voorwaardelijk.

ASML high-NA-euv-machine
ASML high-NA-euv-machine (beeld: ASML)

Door Jasper Bakker

Nieuwsredacteur

25-02-2026 • 17:28

25

Submitter: Ossebol

Reacties (25)

Sorteer op:

Weergave:

Dit zal een interessante kluif zijn voor de rechter. Als de de verdediging kan laten zien dat collega's van deze meneer vergelijkbare dingen hebben gedaan, dan zal het OM moeite hebben om te winnen. Als het OM kan laten zien dat deze meneer code had die hij nooit had mogen hebben en dat hij dit ook had moeten weten, dan wordt het zitten. Maar de waarheid ligt mogelijk in het midden. Misschien was er wel meer, dan dat je zou mogen verwachten, maar gezien zijn werkzaamheden ook weer niet onredelijk veel. Of misschien is het eenvoudiger om copy *.* in te typen.


De pest is dat we allemaal weten dat de systemen waar we mee moeten werken niet altijd rekening houden met bijvoorbeeld extern ingehuurde medewerkers. Ja, je moet wel de code schrijven, maar nee je hebt geen toegang tot onze interne systemen. "Hey, succes he, als het niet klaar is klagen we bij je baas."


Dat de meneer een Chinese achtergrond heeft moet eigenlijk geen rol spelen, tenzij het OM kan aantonen dat hij rechtstreeks in verbinding stond met Chinese concurrenten of spionnen. Maar, dat kunnen ze waarschijnlijk niet, want anders had het wel heel groot in de krant gestaan.
Ik denk voor iedereen een flinke kluif.

Stel die collega's deden dit ook en hebben dit off-the-record zo gezegd, dan is dat nog heel wat anders dan dit ter verdediging pleiten in een rechtzaal. Immers kan dat ook weer consequenties voor die collega's, dat kan immers ook hun baan (en de rest) kosten. Het is misschien wat hypocriet, maar persoonlijk zou ik dan denken: niet mijn probleem.

Ik denk dat meer het overtuigende bewijs moet zitten in de hoeveelheden data die is gekopieerd. 2 externe schijven helpt idd niet mee, en als die ook nog bomvol staan met gegevens die hij niet nodig heeft voor z'n werkzaamheden, dan heb je nog meer schijn tegen..
Daarnaast doet China ook al een decennia aan legale 'spionage'. Ze lokken expats die bij ASML hebben gewerkt met monstersalarissen naar China om daar in de lithografie te komen werken.

Het is alsnog wel een taaie kluif, want je collegas daar kunnen goed Engels, maar alles in het dagelijks leven is gewoon in Mandarijn. En gesproken en geschreven Mandarijn zijn ook nog eens twee losse werelden, dus als je de weg kan vragen en een brood kan bestellen kun je niet richtingsborden of menukaarten lezen.
( Ja, je moet wel de code schrijven, maar nee je hebt geen toegang tot onze interne systemen.)

Maar je kan gast accounts maken of iets dergelijks met bepaalde rechten ect en als ze meer willen bij een supervisor ect moeten aankloppen om dieper in te mogen gaan in het systeem. Dan is het aan de supervisor om controle uitoefen of iets rechtmatig is of niet?

Ik ben een leek op dit gebied, maar met mijn simpele kennis zou dit toch beter beheersbaar moeten zijn?

Of zie ik het helemaal verkeerd en zie ik dingen waar ik geen kaas van gegeten heb over het hoofd?
Dat zal wel mee vallen, collega's deden het ook verbreed alleen maar het onderzoek.


JIJ tekend de bedrijf regels, jij tekend de maandelijkse learnings, dus jij bent op de hoogte,.


Als iets niet mag moet je het niet doen, dat kan nooit aangedragen worden als werk weigering. Maar vaak is het omslagtig waardoor iemand iets verzint en dat is jouw moedwillige keuzen.


Dit zijn overigens precies de cases waarom je insider risk management configureer op M365. Die kan dit soort wangedrag precies I. Kaart brengen.
Ik heb ook wel eens een bestand van een server gedownload omdat de server brak was, dus ik snap de gedachte. Maar als je het dan ook nog naar 2 verschillende externe hdd's kopieert heb je de schijn wel tegen.

Als dit wel echt spionage was, ben ik benieuwd hoe hoog de straf zou zijn geweest als het zou zijn bewezen.

Nederland zijn USP is kennis. Ik denk dat spionage een item is waar we veel serieuzer mee bezig moeten zijn.
Elk document van ASML vertegenwoordigd waarde, wat als je zo snel geld kan maken? En het is wel degelijk spionage;

''Volgens de officier van justitie gaat het om gevoelige, geclassificeerde informatie van ASML. Het downloaden daarvan was een schending van de geheimhoudingsverklaring en de gedragscode die de verdachte had ondertekend voor zijn werk bij ASML. Het bedrijf geeft medewerkers ook de nadrukkelijke boodschap dat ze geen bedrijfsinformatie uit de beveiligde ASML-server mogen exporteren.''

Dit lijkt me duidelijk.
Tja, ik denk dan. Als het zo belangrijk is dat het niet mag, ok. Kan perfect. Maar waarom wordt dit dan niet geblokkeerd op server niveau? Waarom heeft hij het kunnen downloaden? Verwijder dan de download functionaliteit. Blokkeer copy slagen, enzovoort.

Inderdaad wel niet al te slim om er dan nog wat kopieën lokaal van te gaan nemen natuurlijk…

[Reactie gewijzigd door Powerblast op 25 februari 2026 18:11]

Ze hebben het achterhaald, dan zijn er dus blijkbaar checks en balances ... Je kan niet alles beschermen. Een foto van een scherm is gauw gemaakt.
Ja ok, maar externe schijven vol met data lijken mij geen paar fotos van het scherm meer :P . Het zou gaan over downloads van een server, als je niks mag downloaden van server x, dan blokkeer je dat toch lijkt mij. Maar ik snap je punt wel. Daarvoor zijn geheimhoudingsclausules natuurlijk.
Hoe ga je dat dan openen om je werk te doen? Er is altijd een lokale kopie of ze zeggen dat je bepaalde software moet gebuiken en daar dan al de bestanden in openen (of vm) dan heb je geen lokale kopie.
Ik denk dat je wat overdrijft..
Heb je wel eens met een Chinese partij te maken gehad? Kijk nou eens naar het Nexperia debacle, het grote publiek weet niet wat daar werkelijk gebeurde, maar het was vies en IP werd gewoon naar China verplaatst. Ik heb twee overnames meegemaakt van Chinese bedrijven en de Westerse manier van denken staat lijnrecht tegenover de Chinese denkwijzes(Top down besturen ipv reasoning en polderen, met teams to resultaten komen). Jonge Chinezen begrijpen het wel, maar het geld en de invloed komt altijd van de staat, als er een start-up in China opstaat, dan is de staat er razendsnel bij. 90% van de overnames van Westere bedrijven door Chinesen mislukt, en ik 'wil wel innoveren, maar het is goedkoper om even te leven van een westere concurrent cultuur' is nog steeds very much alive, waar alle data van innovatieve bedrijven een waarde vertegenwoordigd, en dat is geen overdrijving.
Maar niet alles heeft waarde
Dat zeg ik niet, maar het OM en ASML hebben het blijkbaar wel als zodanig gelabeld.
Een gedagscode (Code of Conduct) die na ondertekenen eenzijdig veranderd kan worden?
Ik vraag me ook af of die engineer echt op de hoogte was van het beleid.

https://edge.sitecorecloud.io/asmlnetherlaaea-asmlcom-prd-5369/media/project/asmlcom/asmlcom/asml/files/company/governance/code-of-conduct/code-of-conduct-2024.pdf

The Code is periodically reviewed by the Ethics Sub-Committee of the Compliance,
Ethics, Security and Risk Committee (CESR) as revisions may be required due
to changes in law or regulations or changes in our business or the business
environment.


The Code may be amended by the Board of Management.

[Reactie gewijzigd door xxs op 25 februari 2026 20:07]

Spionage pogingen heb je overal, maar de Chinezen hebben er een kunst van gemaakt. Oppassen maar, je belangrijkste bedrijfsgeheimen moeten goed beveiligd zijn en traceerbaar zijn. Klinkt als een tegeltjeswijsheid, maar adequate bescherming vergt het nodige qua investering in je IT, afschermings- en off-line maatregelen voor je kroonjuwelen. Heb er mee te maken gehad, er wordt het nodige gedaan om unieke IP uit het Westen naar China te krijgen.

[Reactie gewijzigd door Zappos op 25 februari 2026 17:47]

Los van alle geopolitieke meuk... En ik wil het niet goed praten, want ik weet niet wát voor discussies er gingen rondom het "werkt niet goed verhaal", maar als je soms ziet hoe Citrix gekscherend "shitrix" wordt genoemd, en alternatieven niet veel beter zijn, en veel van de 'muscle memory' keybinds die in toolkits zitten waar door gare remote desktop pollrate zelfs de drag/drop meuk niet werkt omdat "micro loss of input = muis los dus we droppen dingen elders neer" dan kan ik me er zowaar wat bij voorstellen. Ik ben zelf software architect, en ik heb te maken met dat soms dit betekend dat je zelf de high-end software/hardware/applicaties in moet gaan, en ik heb me toch high-end applicaties die op super-gedeelde App-V instanties waren dat je met 24 users tegelijkertijd de minimumsysteemvereisten moet draaien terwijl een opdrachtgever verwacht dat je een workflow moet uitvoeren die meer richting "optimal" gaat, dat ik echt misselijk wordt. Gelukkig zelf genoeg mandaat om te roepen:
  • Fix dit, geef me een werkplek, of ik ben weg/factureer niet-werkzame uren
    • >EN< dit is HOE je het kan fixen
  • Geef mijn eigenlijke werkgever een gegevensverwerkingsovereenkomst zodat ik wel degelijk mijn eigen werkplek mag gebruiken
Ik heb echter ook genoeg momenten gezien bij organisaties dat een bepaalde technische afdeling met veel externen de zaken niet op orden heeft (of zelfs met INTERNEN) dat je "shadow IT" oplossingen ziet verschijnen. Je weet wel, van die afdelingen die een externe rol hebben en verwacht worden met kleurechte representaties te werken of 3D-graphics/game engine producten te maken die dat niet voor elkaar krijgen op een Excel machine met 8GB RAM en vervolgens met de creditcard van het afdelingshoofd zelf maar wat op (insert specifieke winkel die rood of blauw is in de buurt) gaming rigjes haalt...

Nogmaals, ik praat het niet goed, maar ik begrijp het wel... en eenieder die CAD of GIS dingen (zeker als 3D er bij komt kijken) op Citrix/AppV/VDI's die NIET goed ingericht waren door standaard werkplekbeheerders (maar weinig toko's die technische applicaties snappen als zijnde anders dan office365), of zelfs tools als archimate snapt de plausibiliteit van het verhaal: "kan m'n werk niet goed doen"...
De strafmaat in Nederland blijft lastig uit te leggen als je zaken naast elkaar legt. In sommige geweldszaken, waarbij iemand daadwerkelijk het leven verliest, zien we lagere straffen omdat het juridisch geen “voorbedachte rade” zou zijn. Dat wringt bij veel mensen.

In deze zaak krijgt een ingehuurde medewerker binnen ASML tot drie jaar cel, terwijl er voor zover publiek bekend geen bewezen overdracht van bedrijfsgeheimen is vastgesteld, maar wel het ongeoorloofd kopiëren van gevoelige data naar een privé-apparaat. Dat is ernstig, zeker gezien de strategische waarde van technologie in deze sector. Maar het verschil in strafmaat met sommige geweldszaken roept vragen op over proportionaliteit.

Het gaat mij niet om afkomst of emotie (al was de straf lager was het geen Chinees persoon), maar om consistentie. De rechtspraak moet uitlegbaar en evenwichtig zijn. Als burgers het gevoel krijgen dat vergelijkbare impact totaal verschillend wordt bestraft, tast dat het vertrouwen aan.

Transparantie over hoe strafmaten tot stand komen zou helpen om dat vertrouwen te versterken.
Volgens de 37-jarige softwarearchitect werkte dat niet goed en had hij dat meerdere keren aangegeven bij ASML
Mijn gevoel zegt dat dit wel degelijk voorbedachte raden is geweest, maar dit argument kan ik nog ergens geloven.

Ik ervaar zelf ook bij klanten die gewoon te weinig waarde hechten aan een goede IT-omgeving. Meestal omdat de beleidsmakers of CFO geen kaas gegeten heeft van IT. Bijvoorbeeld door te developers een gemiddelde bedrijfslaptop te geven of zo. Het kost je uiteindelijk veel meer geld.
Hier zou je in China een taakstraf voor krijgen. Pun intended.
Ja van 25j in 1 of ander kamp
Wat zou nou de reden zijn om de data dan ook naar 2 externe schijven te kopiëren, dat hoeft toch helemaal niet als je je "Werk goed wil doen" :?


Ergens is het dan ook nog dom/ niet handig om het überhaupt te downloaden als dat helemaal niet mag |:(
Het eeuwige probleem van en gedoe met ingehuurde krachten - BYOD of tijdelijk bedrijfsmiddelen. Toch wel verbazend dat ASML dit schijnbaar niet strak geregeld heeft, en blijkbaar relatief vergaande en niet strak gemonitorde toegang via eigen apparatuur toeliet (toelaat?).
Tja waar een wil is om iets te vinden is een weg. Ook zoiets kan je niet voorspellen als je iemand aanwerft

Om te kunnen reageren moet je ingelogd zijn