Een voormalige Google-ingenieur is in de Verenigde Staten veroordeeld tot een jarenlange gevangenisstraf. Hij verkocht bedrijfsgeheimen over algoritmen en AI-hardware aan Chinese bedrijven. Het vonnis viel deze week in San Francisco. De rechter oordeelde dat de diefstal de nationale veiligheid en de innovatie van Alphabet schaadde, met gevolgen tot buiten de VS, ook voor Europa en Nederland.
Straf benadrukt spionagerisico
De zaak draait om het stelen en verkopen van technische documenten van Google, onderdeel van Alphabet. Het ging om ontwerpen voor AI-hardware en software die grote modellen aanstuurt. Zulke kennis geeft concurrenten en staten een voorsprong in rekenkracht en efficiƫntie.
De rechtbank legde een zware straf op om een signaal af te geven. Het vonnis moet anderen afschrikken die met handelsgeheimen willen handelen. Justitie benadrukte dat technologie rond generatieve AI en datacenters strategisch is.
De veroordeling past in een bredere lijn van strengere handhaving in de VS. Eerder werden ook medewerkers van andere techbedrijven vervolgd voor soortgelijke feiten. Dit vergroot de druk op grote platforms zoals Google, Microsoft en Meta om interne beveiliging verder op te voeren.
Hoe de diefstal werkte
De ingenieur had volgens het dossier toegang tot interne systemen van Google. Hij kopieerde code, ontwerpbestanden en documentatie naar privƩapparaten en online opslag. Dat materiaal ging vervolgens naar contactpersonen bij Chinese ondernemingen.
Onder de gestolen informatie zaten componenten rond Tensor Processing Units, speciale AI-chips van Google. Ook zou documentatie over trainingsclusters en orkestratiesoftware zijn meegenomen. Dat zijn systemen die het trainen van grote modellen over duizenden servers verdelen.
De handel verliep via schijnopdrachten en nevenprojecten, waardoor controles laat aansloegen. Interne monitoring bij Google vond afwijkingen in downloadpatronen. Daarna volgden huiszoekingen, inbeslagname van laptops en een strafrechtelijk onderzoek.
āEen handelsgeheim is informatie die niet algemeen bekend is, economische waarde heeft en redelijkerwijs geheim wordt gehouden.ā
Gevolgen voor bedrijven
Bedrijven met AI-onderzoek lopen groter risico op spionage, vooral rond datacenters en chipontwerp. Broncode en modelarchitecturen zijn moeilijk te beschermen als veel teams toegang hebben. Dat vraagt om strengere toegang per rol en actieve logging.
Praktische maatregelen horen daarbij, zoals dataminimalisatie en versleuteling. Dat betekent alleen toegang tot wat iemand echt nodig heeft, en gevoelige bestanden standaard versleutelen. Ook helpt het om downloads te beperken en afwijkend gedrag automatisch te melden.
Leveranciers en partners zijn een extra zwakke schakel. Contracten over geheimhouding werken pas als audits en technische controles volgen. Europese bedrijven doen er goed aan om dit standaard in te richten, zeker bij samenwerking met externe ontwikkelaars.
Europese regels en lessen
De EU heeft met de AI-verordening (AI Act) nieuwe plichten voor aanbieders van hoogrisico-systemen. Die regels vragen om documentatie, risicobeheer en traceerbaarheid van modellen. Een goed dossier maakt misbruik en lekken eerder zichtbaar en aantoonbaar.
De AVG geldt zodra persoonsgegevens in datasets of logbestanden staan. Dan zijn dataminimalisatie en toegang per rol verplicht, net als passende beveiliging. Een datalek met broncode kan zo ook een privacy-incident worden.
Nederland en de EU werken aan economische veiligheid rond strategische technologie. Exportregels en investeringsscreening moeten ongewenste overdracht voorkomen. De zaak bij Google bevestigt waarom die instrumenten nodig zijn.
Impact op Nederland
Nederlandse AI-start-ups en kennisinstellingen werken vaak met internationale partners. Zij moeten daarom duidelijke afspraken maken over intellectueel eigendom en dataopslag. Bij voorkeur blijft gevoelige code binnen Europese cloudomgevingen.
De Nederlandse overheid adviseert via het NCSC over digitale spionage en insider threats. Organisaties kunnen treden als functiescheiding en vierogenprincipe toepassen. Zo voorkom je dat ƩƩn medewerker alle kritieke systemen kan kopiƫren.
Voor publieke diensten kan de Europese AI-verordening gevolgen hebben bij inkoop. Overheden moeten controleren of leveranciers aan de eisen voldoen. Dat beperkt risicoās bij AI in zorg, mobiliteit en onderwijs.
Wat verandert er nu
Grote techbedrijven zullen hun interne beveiliging verder aanscherpen. Denk aan extra controles op broncode-toegang en real-time detectie van verdachte exporten. Ook kunnen gevoelige projecten in kleinere, streng bewaakte omgevingen draaien.
Investeerders en raden van bestuur vragen vaker om aantoonbare maatregelen. Security wordt onderdeel van due diligence bij AI-projecten en fusies. Dat kost tijd en geld, maar verkleint juridische en reputatierisicoās.
Voor ontwikkelaars betekent dit meer procedures en training. Bewustwording over handelsgeheimen en exportregels wordt onderdeel van onboarding. De veroordeling in de VS maakt duidelijk dat overtredingen niet onopgemerkt blijven.
