ACM legt KPN boete op voor schending beveiligingsmaatregelen

Terug naar articles

5 juni, 2015

Op dinsdag 2 juni heeft ACM het boetebesluit aan KPN openbaar gemaakt. In december 2013 heeft ACM KPN een boete opgelegd voor het onvoldoende beveiligen van systemen waarin persoonsgegevens zijn opgeslagen. Dat dit besluit nu pas openbaar wordt, komt doordat KPN bezwaar had gemaakt tegen openbaring. Op 1 juni heeft het College van Beroep echter een oordeel geveld, waardoor het nu mogelijk is het besluit openbaar te maken. Deze blog analyseert kort het ACM besluit en maakt inzichtelijk wat dit besluit mogelijk voor gevolgen heeft voor uw organisatie.

Analyse besluit
ACM heeft KPN beboet omdat het haar zorgplicht in het kader van de Telecommunicatiewet heeft geschonden. KPN is als aanbieder van openbare elektronische communicatiediensten en een openbaar elektronisch communicatienetwerk verplicht om op grond van art. 11.2 Telecommunicatiewet (Tw) zorg te dragen voor de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van haar diensten. Volgens ACM heeft KPN verzaakt voldoende passende, met name organisatorische, maatregelen te treffen met betrekking tot het opzetten en handhaven van beveiligingsbeleid, de netwerkinrichting, de afscherming, de netwerk- en systeembewaking en het patchmanagement.

KPN is van oordeel dat de ACM de zorgplicht bepalingen verkeerd heeft toegepast en bij de invulling van de zorgplicht onvoldoende rekening heeft gehouden met de context, de aard van de diensten en de stand van de techniek. Ook vindt KPN dat ACM haar conclusies niet enkel kan baseren op de interne onderzoeken van KPN zelf en de onderwerpen die hierin aan de orde zijn gekomen. KPN is van mening dat het opleggen van een boete niet op zijn plaats is nu de gevolgen van de hack beperkt zijn gebleven en de hoogte van de boete onevenredig is nu KPN adequaat heeft gehandeld na de hack en alle medewerking aan ACM heeft verleend.

ACM kan zich niet vinden in de opmerkingen van KPN. Het is onder meer van oordeel dat er geen fundamentele rechtsbeginselen zijn die zich verzetten tegen het trekken van conclusies op basis van onderzoeken die door KPN zelf zijn verricht. De enkele niet naleving van 1 beveiligingsonderwerp kan al leiden tot de conclusie dat de zorgplicht is geschonden. Een overtreding van de plicht om persoonsgegevens te beschermen wordt als een zware overtreding aangemerkt, ongeacht of door de betreffende personen schade is geleden. Het criterium is dat deze personen schade hadden kunnen ondervinden.

ACM heeft de boete ook nog met 30% verhoogd, gezien KPN heeft verzuimd bij de eerste vordering een cruciaal intern onderzoek te melden. Voor het overige heeft KPN goed meegewerkt, maar gezien deze medewerking niet verder ging dan wat KPN op grond van de wet was verplicht, is er geen aanleiding tot boeteverlaging.

KPN is nog in bezwaar gegaan tegen het boetebesluit. De bezwaren die zich richtten tot de openbaarmaking van bepaalde passages uit het besluit zijn gegrond verklaard. De overige bezwaren echter niet, waardoor het eerste besluit voor dat deel in stand is gebleven.

Te trekken conclusies uit dit ACM besluit voor organisaties die vallen onder de zorgplicht uit de Telecommunicatiewet

  • Zorg ervoor dat je altijd een Privacy Impact Assessment (PIA) laat uitvoeren op je systemen. Dit brengt in kaart waar mogelijke privacy risico’s zitten. Hiermee kun je tijdig maatregelen nemen om deze risico’s te verkleinen, beheersen of voorkomen.
  • Zorg ervoor dat je op regelmatige basis een PIA uitvoert om te voorkomen dat je systemen niet zijn aangepast op nieuwe beveiligingsrisico’s.
    Ook is het belangrijk een goede documentatie te voeren over welke maatregelen zijn genomen en waarom. Hiermee maak je inzichtelijk welke afwegingen voor bepaalde keuzes je hebt gemaakt.
  • Overigens valt er ook nog wel wat aan te merken op het besluit van de ACM. Het kan ervoor zorgen dat organisaties geen interne onderzoeken meer laten uitvoeren bij datalekken of andere beveiligingsinbreuken, omdat ze bang zijn ze straks door hun eigen onderzoeken te worden veroordeeld tot een hoge boete.

In het kader van de onlangs door de Eerste Kamer aangenomen Wet meldplicht datalekken kan dit gaan leiden tot een ongewenst “carrot and stick” effect: een organisatie is verplicht een datalek te melden, maar krijgt hierdoor wellicht ook een boete opgelegd.

Benieuwd wat dit ACM besluit en de meldplicht datalekken betekenen voor uw organisatie? Neem vrijblijvend contact op met de privacy experts van Considerati.

, ,

Iris koetsenruijter
Iris Koetsenruijter

Senior Juridisch Adviseur

Gerelateerde blogs

Meldplicht datalekken en uitbreiding boetebevoegdheid CBP vanaf 1 januari 2016 van kracht

Vanaf 1 januari 2016 is de wetswijziging Meldplicht datalekken en de uitbreiding van de...

Lees meer

Nog een jaar tot de AVG | Considerati

Nog een jaar tot de AVG: bent u er klaar voor?

Het aftellen is begonnen: vanaf vandaag zal een klok op onze website de dagen tot de...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.