Onvoldoende maatregelen KPN ter beveiliging van persoonsgegevens

Besluit ACM 16 december 2013, IT 1776; zaaknr. 13.0503.32 (Zorgplicht KPN)
Telecom. Persoonsgegevens. Data security. In januari 2012 werd bekend dat een hacker had ingebroken in het netwerk van KPN B.V. (hierna: KPN). Deze hack was aanleiding om een onderzoek in te stellen naar de wijze waarop KPN invulling geeft aan de op haar rustende wettelijke zorgplicht ten aanzien van de beveiliging van de persoonsgegevens die in haar systemen zijn opgeslagen. Uit dit onderzoek kwam naar voren dat KPN gedurende de onderzoeksperiode onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van haar abonnees en gebruikers. KPN heeft daarmee niet voldaan aan de op haar rustende zorgplicht van artikel 11.3, eerste lid, juncto artikel 11.2 van de Telecommunicatiewet (hierna: Tw). Voor deze overtreding legt ACM KPN een boete op van in totaal EUR 364.000.

Overwegingen ACM

44. Hoewel de hack niet het op zichzelf staande onderwerp is geweest van het onderhavige onderzoek, is dat incident wel richtinggevend geweest voor de inrichting van dat onderzoek, zo blijkt uit het onderzoeksrapport. Er is bijvoorbeeld voor gekozen het onderzoek te beperken tot het deel van het netwerk van KPN dat door de hacker is benaderd (het “[vertrouwelijk]”). Ook is niet onderzocht of KPN mogelijk ook het tweede lid van artikel 11.3 Tw heeft overtreden en heeft het onderzoek zich beperkt tot de technische en organisatorische beveiligingsmaatregelen in of met betrekking tot het [vertrouwelijk] in het kader van de bescherming van de daarin elektronisch opgeslagen persoonsgegevens en de daarmee gemoeide persoonlijke levenssfeer. Ten slotte heeft het onderzoek zich beperkt tot de informatiebeveiliging bij KPN. In het onderzoeksrapport is daarbij aangesloten bij praktijk en literatuur, waarbij bij informatiebeveiliging de aspecten beschikbaarheid, integriteit en vertrouwelijkheid van informatie van belang zijn. Beschikbaarheid van persoonsgegevens komt in het geding bij het optreden van storingen en uitval. Aangezien daarvan bij KPN in dit geval geen sprake was, is dit aspect bij het onderzoek buiten beschouwing gelaten.

45. ACM volgt KPN niet in haar stelling dat zij de informatieplicht, zoals bedoeld in het tweede lid van artikel 11.3 Tw ten onrechte buiten de reikwijdte van het onderzoeksrapport gelaten. In de optiek van ACM is van ‘communicerende vaten’ – zoals KPN meent10 – geen sprake, en zijn het eerste en tweede lid bepalingen die afzonderlijk kunnen worden overtreden. De stelling dat het zou gaan om bepalingen die niet los van elkaar kunnen worden bezien, vindt geen steun in de onderhavige wetgeving, noch in de daarbij behorende wetsgeschiedenis.[...]

Overige bedenkingen KPN

119. Dat ACM haar conclusies vooral baseert op de gebreken die zijn geconstateerd ten aanzien van beveiligingsonderwerpen waarop KPN haar eigen onderzoek heeft geconcentreerd, rechtvaardigt niet de conclusie dat ACM onvoldoende onderzoek heeft verricht.[...]

120. Het enkele feit dat onvoldoende maatregelen zijn genomen ter beveiliging van persoonsgegevens en eventuele andere informatie betreffende de persoonlijke levenssfeer van abonnees, hetgeen in dit geval een beveiligingslek heeft opgeleverd, kan al voldoende aanleiding vormen voor de conclusie dat aan de zorgplicht niet is voldaan, zelfs als het lek nadien heel grondig wordt gedicht.

Conclusie

133. ACM komt op grond van het vorenstaande tot de conclusie dat KPN gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. KPN heeft daarmee niet voldaan aan de op haar rustende zorgplicht van artikel 11.3, eerste lid, juncto artikel 11.2 Tw.

134. Ten aanzien van onderzoeksperiode II, 16 januari 2012 tot en met 15 maart 2012, waarin het onderzoek zag op de maatregelen die KPN heeft genomen ná de hack, stelt ACM vast dat KPN heeft gehandeld in lijn met haar eigen procedures. ACM ziet geen aanleiding om het handelen van KPN in onderzoeksperiode II aan te merken als een overtreding van
artikel 11.3, eerste lid, juncto artikel 11.2 Tw.

135. ACM stelt op grond van het vorenstaande vast dat KPN artikel 18.7, derde lid, juncto artikel 18.7, vijfde lid, Tw heeft overtreden.

Hoogte boete

163. Gelet op het vorenstaande zal ACM de basisboete in dit geval vaststellen op EUR 280.000.

168. Dat ACM heeft moeten constateren dat KPN zich niet compliant heeft gedragen door in het onderzoek dat naar aanleiding van de hack heeft plaatsgevonden geen melding te maken van een relevant intern onderzoek, doet afbreuk aan het door ACM in KPN gestelde vertrouwen. 169. Gelet op het vorenstaande zal ACM de in paragraaf 8.3 bepaalde basisboete met 30% verhogen.

170. ACM stelt tevens vast dat KPN voor het overige goed heeft medegewerkt. Deze medewerking ging echter niet verder dan waartoe KPN op grond van de wet gehouden was en leidt in de optiek van ACM niet tot boeteverlaging.