Autoriteit Consument & Markt (ACM) heeft KPN een boete opgelegd van 364.000 euro voor het onvoldoende beveiligen van systemen waarin de persoonsgegevens van klanten zijn opgeslagen. De instantie legde de telecomaanbieder in december 2013 een boete op maar KPN ging in hoger beroep tegen de uitspraak.
Het gaat om een zaak uit 2012 waarbij een hacker inbrak in het netwerk van KPN. ACM (voorheen OPTA) startte een onderzoek naar de wijze waarop KPN de persoonsgegevens van haar klanten beveiligde.
ACM: ‘Uit het onderzoek bleek dat in de periode voorafgaand aan de hack de beveiliging van deze gegevens van KPN-klanten en de wijze waarop het veiligheidsbeleid in de organisatie was geborgd onvoldoende was.’ De autoriteit stelt overigens dat KPN, nadat de hack was ontdekt, ‘voortvarend heeft gereageerd om de beveiliging van zijn netwerken en systemen op orde te brengen.’
Het boetebesluit van ACM wordt nu pas openbaar gemaakt, omdat KPN zich tegen eerdere openbaarmaking heeft verzet bij de voorzieningenrechters van de rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven (CBb). Het CBb heeft zich op 1 juni 2015 uitgesproken over de zaak. Daarop heeft ACM besloten het boetebesluit en de beslissing op bezwaar te publiceren.
Op 8 januari 2015 heeft de rechtbank Rotterdam geoordeeld dat ACM terecht aan KPN een boete heeft opgelegd. Tegen deze uitspraak van de rechtbank heeft KPN hoger beroep ingesteld bij het CBb.
Zorgplicht telecomaanbieders
ACM licht verder toe: ‘Op alle telecomaanbieders rust de plicht (‘zorgplicht’) om de persoonsgegevens en de persoonlijke levenssfeer van hun klanten op een passend niveau te beveiligen. De maatregelen die de telecomaanbieders treffen, garanderen een passend beveiligingsniveau, rekening houdend met de stand van de techniek, de kosten van de te nemen maatregelen en het risico op doorbreking van de bescherming.’
ACM-bestuurslid Anita Vegter: ‘Klanten stellen hun persoonsgegevens beschikbaar aan telecombedrijven om van hun diensten gebruik te kunnen maken. Zij doen dit in het vertrouwen dat deze bedrijven zorgvuldig met hun gegevens omgaan en goed beschermen. Gebeurt dat onvoldoende, zoals in dit geval bij KPN, dan schaadt dat het vertrouwen van consumenten in de telecommarkt. Dit is een ongewenste situatie waar wij tegen optreden.’
Opnieuw in beroep
Een KPN-woordvoerder meldt aan de NOS: ‘Het is duidelijk dat in 2012 iemand in onze systemen kon inbreken. Wij betreuren dat.’ Hij wijst erop dat er geen klantgegevens op straat zijn komen te liggen en dat er is geïnvesteerd in verbetering van de beveiliging. KPN gaat opnieuw in beroep tegen de boete.
Een goede zaak dat KPN een boete heeft gehad, nu moet er ook nog een meldingsplicht komen zodat mogelijk gedupeerde klanten gewaarschuwd moeten worden om hun toegangscodes zo snel mogelijk na een security incident kunnen wijzigen. Door het incident nu pas in de publiciteit te brengen is natuurlijk tegen het klantbelang in handelen. De ACM heeft daarme de dader, wellicht ongewild, boven het hoofd te houden.
@Willem: die meldplicht is er in elk geval wettelijk al: https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en