Kruimelpad

Nieuwsbericht

ACM beboet KPN voor onvoldoende beveiliging klantgegevens

02-06-2015

De Autoriteit Consument & Markt (ACM) heeft al in december 2013 aan KPN B.V. een boete opgelegd voor het onvoldoende beveiligen van systemen waarin de persoonsgegevens van klanten zijn opgeslagen. Op telecomaanbieders rust de wettelijke plicht om de persoonsgegevens en de persoonlijke levenssfeer van hun klanten voldoende te beschermen, zodat derden daartoe geen toegang hebben.

Nadat een hacker in januari 2012 had ingebroken in het netwerk van KPN heeft ACM (voorheen OPTA) een onderzoek ingesteld naar de wijze waarop KPN de persoonsgegevens van haar klanten beveiligde. Uit het onderzoek bleek dat in de periode voorafgaand aan de hack de beveiliging van deze gegevens van KPN-klanten en de wijze waarop het veiligheidsbeleid in de organisatie was geborgd onvoldoende was. Hiervoor heeft ACM een boete opgelegd aan KPN van in totaal 364.000 euro. Nadat de hack was ontdekt heeft KPN voortvarend gereageerd om de beveiliging van haar netwerken en systemen op orde te brengen.

Het boetebesluit van ACM wordt nu pas openbaar gemaakt omdat KPN zich tegen eerdere openbaarmaking heeft verzet bij de voorzieningenrechters van de rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven (CBb). De voorzieningenrechter van het CBb heeft zich op 1 juni 2015 uitgesproken over de zaak. Deze uitspraak maakt het nu mogelijk het boetebesluit en de beslissing op bezwaar te publiceren.

ACM-bestuurslid Anita Vegter: “Klanten stellen hun persoonsgegevens beschikbaar aan telecombedrijven om van hun diensten gebruik te kunnen maken. Zij doen dit in het vertrouwen dat deze bedrijven zorgvuldig met hun gegevens omgaan en goed beschermen. Gebeurt dat onvoldoende, zoals in dit geval bij KPN, dan schaadt dat het vertrouwen van consumenten in de telecommarkt. Dit is een ongewenste situatie waar wij tegen optreden”.

Op 8 januari 2015 heeft de rechtbank Rotterdam geoordeeld dat ACM terecht aan KPN een boete heeft opgelegd. Tegen deze uitspraak van de rechtbank heeft KPN hoger beroep ingesteld bij het CBb.

Zorgplicht telecomaanbieders

Op alle telecomaanbieders rust de plicht (‘zorgplicht’) om de persoonsgegevens en de persoonlijke levenssfeer van hun klanten op een passend niveau te beveiligen. De maatregelen die de telecomaanbieders treffen, garanderen een passend beveiligingsniveau, rekening houdend met de stand van de techniek, de kosten van de te nemen maatregelen en het risico op doorbreking van de bescherming.