Ministerie van Justitie klaagt voormalig directeur aan in strafzaak wegens vermeende fraude op het gebied van cyberbeveiliging

Een recente aanklacht onderstreept de focus van het Amerikaanse ministerie van Justitie (DOJ) op naleving van cyberbeveiliging bij federale contracten en de bereidheid van het DOJ om de handhaving verder te escaleren dan de civiele False Claims Act (zie eerdere rapportages van Foley hier en hier) om strafrechtelijke vervolging in te stellen tegen individuen. Op 10 december 2025 kondigde het DOJ aan dat een federale grand jury in het District of Columbia Danielle Hillmer, een voormalig senior manager bij een in Virginia gevestigde overheidsaannemer, heeft aangeklaagd op beschuldiging van ernstige overheidsfraude, telegraaffraude en belemmering van een federale audit. Het DOJ beweert dat Hillmer ten onrechte heeft verklaard dat het cloudgebaseerde platform van haar bedrijf – dat door meerdere federale instanties wordt gebruikt – voldeed aan de verplichte cyberbeveiligingsnormen, en dat zij het toezicht heeft belemmerd door ernstige beveiligingsfouten te verbergen. Het gedrag lijkt te hebben plaatsgevonden toen Hillmer in dienst was bij Accenture en leiding gaf aan de clouddienstenproducten van dat bedrijf.

De aanklacht tegen Hillmer

Volgens de aanklacht zou Hillmer hebben deelgenomen aan een meerjarig plan om de Verenigde Staten te bedriegen door auditprocessen te belemmeren en federale instanties te misleiden over de vereiste cyberbeveiligingsmaatregelen en -bescherming voor het cloudgebaseerde platform van Accenture dat door ten minste zes federale instanties wordt gebruikt, waaronder het Amerikaanse leger, het ministerie van Buitenlandse Zaken, het ministerie van Veteranenzaken en andere overheidsklanten. Het Amerikaanse ministerie van Justitie beweert met name dat Hillmer:

Ten onrechte beweerd dat het platform voldeed aan de beveiligingsmaatregelen van FedRAMP High en Impact Levels 4 en 5 van het Amerikaanse Ministerie van Defensie, ondanks herhaalde waarschuwingen dat het systeem niet beschikte over de vereiste toegangscontroles, logboekregistratie, monitoring en andere cruciale functies, evenals de middelen om aan de vereisten te voldoen.
Probeerde tijdens de verplichte audits in 2020 en 2021 invloed uit te oefenen op en obstructie te plegen tegen externe beoordelaars door ernstige tekortkomingen te verbergen en anderen op te dragen de werkelijke toestand van het systeem tijdens tests en demonstraties te verbergen.
Valse en misleidende verklaringen afgelegd aan het Amerikaanse leger om het ertoe te bewegen het platform te sponsoren voor een voorlopige vergunning van het ministerie van Defensie.
Ze heeft materiaal ingediend of anderen ertoe aangezet materiaal in te dienen waarvan ze wist dat het wezenlijk onjuiste informatie bevatte, om lucratieve overheidscontracten en systeemautorisaties te verkrijgen en te behouden. Deze overheidscontracten "vereisten een beveiligingsniveau dat het platform in werkelijkheid niet bood".

Hillmer wordt beschuldigd van twee gevallen van telegraaffraude (met een maximale straf van 20 jaar per geval), één geval van ernstige overheidsfraude (met een maximale straf van 10 jaar) en twee gevallen van belemmering van een federale audit (met een maximale straf van 5 jaar per geval).

Handhavingslandschap

De Hillmer-zaak is een duidelijk voorbeeld van de voortdurende focus van het Amerikaanse ministerie van Justitie op cyberbeveiligingsvereisten, hoewel deze zaak ook opmerkelijk is vanwege het gebruik van traditionele fraudewetten met obstructieaanklachten om gedrag te vervolgen dat betrekking heeft op niet-naleving van vereiste beveiligingsmaatregelen bij overheidscontracten.

Deze zaak toont ook aan dat het Amerikaanse ministerie van Justitie zelfs wanneer er geen daadwerkelijke datalekken waren, toch aanklachten kan indienen. Het ministerie van Justitie gaat ervan uit dat onjuiste voorstellingen met betrekking tot vereiste beveiligingsmaatregelen, indien de overheid daarop vertrouwt, voldoende zijn om strafrechtelijke vervolging met aanzienlijke straffen te rechtvaardigen, zelfs als er geen datalek is opgetreden.

Het onderzoek weerspiegelt een gecoördineerde, multi-institutionele inspanning waarbij inspecteurs-generaal en militaire onderzoeksafdelingen betrokken zijn. Een dergelijke samenwerking vergroot de onderzoekscapaciteit, expertise en jurisdictie, wat resulteert in een strengere controle van aannemers en de lat hoger legt voor zowel bedrijfs- als individuele verantwoordingsplicht.

Aanbevelingen voor overheidscontractanten en andere ontvangers van federale fondsen

De Hillmer-zaak illustreert hoe serieus het Amerikaanse ministerie van Justitie (DOJ) het niet naleven van cyberbeveiligingsvoorschriften bij federale contracten neemt. De volgende maatregelen kunnen de technische, nalevings- en governancecontroles van uw organisatie versterken en het risico op aansprakelijkheid voor zowel het bedrijf als individuele leidinggevenden helpen verminderen.

Zorg voor een top-downbenadering van compliance. Cybersecuritycompliance moet worden gestimuleerd door het senior management en worden beschouwd als een cruciale organisatorische waarde. Leidinggevenden moeten regelmatig gestructureerde updates ontvangen over de prestaties van interne controles, tekortkomingen, voortgang van herstelmaatregelen en resterende kwetsbaarheden. Governanceprotocollen moeten ervoor zorgen dat problemen onmiddellijk worden geëscaleerd in plaats van verborgen te blijven, en dat medewerkers die te goeder trouw hun bezorgdheid uiten, worden beschermd tegen represailles.
Controleer contractuele cyberbeveiligingsverplichtingen. Ontwikkel en onderhoud een actuele inventaris van alle contractuele cyberbeveiligingsnormen en de systemen waarop deze van toepassing zijn. Zorg ervoor dat het verantwoordelijke personeel deze vereisten begrijpt, controleer continu de prestaties en neem corrigerende maatregelen wanneer er tekortkomingen worden geconstateerd. Effectieve nalevingsprogramma's vereisen doorgaans een nauwe samenwerking tussen nalevings-/juridische functies en informatiebeveiligings-/IT-personeel.
Zorg voor robuuste interne controles. Voer strenge interne controles uit of vraag onafhankelijke validatie door derden voordat u certificeringen, auditresponsen of autorisatiemateriaal indient bij federale instanties, om te bevestigen dat deze accuraat en volledig zijn en worden ondersteund door documentatie.
Corrigeer onjuistheden onmiddellijk. Als verklaringen, rapporten of inzendingen aan de overheid achteraf onvolledig of onjuist blijken te zijn, onderneem dan onmiddellijk actie om de gegevens te corrigeren. Overweeg proactieve openbaarmaking wanneer dat gepast is. Door onmiddellijk corrigerende maatregelen te nemen wanneer onjuistheden worden vastgesteld, kan mogelijke civiele of strafrechtelijke aansprakelijkheid worden beperkt en kan aan toezichthouders worden duidelijk gemaakt dat de organisatie te goeder trouw handelt om nalevingskwesties aan te pakken.
Gerichte voorlichting en bewustmaking. Geef functiespecifieke training over toepasselijke cyberbeveiligingsnormen voor overheidscontracten en over gepaste, transparante samenwerking met federale instanties, auditors en beoordelaars. De training moet benadrukken dat opzettelijke verkeerde voorstellingen of obstructie tijdens audits kunnen leiden tot ernstige persoonlijke en zakelijke gevolgen, waaronder strafrechtelijke aansprakelijkheid.