EHRM 16 juni 2015, IT 1788; Application 64569/09 (Delfi tegen Estonia) - video - persbericht
Nieuwsportaal Delfi werd verantwoordelijk gehouden voor de lasterlijke anonieme commentaren op een artikel over bestuurder bij een ferrymaatschappij. Het EHRM oordeelde eerder [IT 1295] dat er geen schending van de vrijheid van meningsuiting plaatsvond (10 EVRM) en het nieuwsportaal verantwoordelijk is voor commentaren op een artikel. De Grote Kamer oordeelt wederom dat er geen schending is van artikel 10 EVRM door het verantwoordelijk houden van een (van de grootste, Estse) internetportals voor de anonieme lasterlijke commentaren.

The Grand Chamber agreed with the Chamber’s assessment of the question which had identified four key aspects: the context of the comments; the liability of the actual authors of the comments as an alternative to Delfi being held liable; the steps taken by Delfi to prevent or remove the defamatory comments; and the consequences of the proceedings before the national courts for Delfi.(...)

Firstly, as regards the context, the Grand Chamber attached particular weight to the extreme nature of the comments and the fact that Delfi was a professionally managed Internet news portal run on a commercial basis which sought to attract a large number of comments on news articles published by it. Moreover, as the Supreme Court had pointed out, Delfi had an economic interest in the posting of the comments. The actual authors of the comments could not modify or delete their comments once they were posted, only Delfi had the technical means to do this. The Grand Chamber therefore agreed with the Chamber and the Supreme Court that, although Delfi had not been the actual writer of the comments, that did not mean that it had no control over the comment environment and its involvement in making the comments on its news article public had gone beyond that of a passive, purely technical service provider.

Secondly, Delfi had not ensured a realistic prospect of the authors of the comments being held liable. The owner of the ferry company could have attempted to sue the specific authors of the offensive comments as well as Delfi itself. However, Delfi allowed readers to make comments without registering their names, and the measures to establish the identity of the authors were uncertain. Nor had Delfi put in place any instruments to identify the authors of the comments making it possible for a victim of hate speech to bring a claim.

Thirdly, the steps taken by Delfi to prevent or remove without delay the defamatory comments once published had been insufficient. Delfi did have certain mechanisms for filtering hate speech or speech inciting violence, namely a disclaimer (stating that authors of comments were liable for their content, and that threatening or insulting comments were not allowed), an automatic system of deletion of comments containing a series of vulgar words and a notice-and-take-down system (whereby users could tell the portal’s administrators about offensive comments by clicking a single button). Nevertheless, both the automatic word-based filter and the notice-and-take-down system had failed to filter out the manifest expressions of hatred and blatant threats to the owner of the ferry company by Delfi’s readers and the portal’s ability to remove offending comments in good time had therefore been limited. As a consequence, the comments had remained online for six weeks. The Grand Chamber considered that it was not disproportionate for Delfi to have been obliged to remove from its website, without delay, clearly unlawful comments, even without notice from the alleged victims or from third parties whose ability to monitor the Internet was obviously more limited than that of a large commercial Internet news portal such as Delfi.

Finally, the Grand Chamber agreed with the Chamber that the consequences of Delfi having been held liable were small. The 320 euro fine was by no means excessive for Delfi, one of the largest Internet portals in Estonia, and the portal’s popularity with those posting comments had not been affected in any way – the number of comments posted had in fact increased. Registered comments are now a possibility but anonymous comments are still predominant, with Delfi even having set up a team of moderators for their follow-up. Furthermore, the tangible result for Internet operators in post-Delfi cases before the national courts has been that they have taken down offending comments but have not been ordered to pay compensation.

Op andere blogs:
Dirkzwager
Media Report

Bijdrage ingezonden door Fulco Blokhuis, Boekx. Verzoeker had Facebook NL verzocht om inzage. De rechtbank verklaart verzoeker niet ontvankelijk, omdat Facebook NL geen verantwoordelijke is. verzoeker had er verstandig aan gedaan om ook Facebook Inc. en Facebook Ierland aan te spreken.

Facebook NL verkoopt advertentieruimte (volgens kvk: Het verkopen van advertentieruimte , commerciële ontwikkeling, marketing en, meer in het algemeen , alle commerciële, industriële, financiële, zakelijke of persoonlijke transactie welke, direct of indirect, verband houden met vorengenoemd doel of het tot stand brengen daarvan bevorderd, alsmede houdster- en financieringsactiviteiten)

In het Costeja-arrest oordeelde het Europese Hof al eens dat het hebben van een vestiging die advertenties verkoop voldoende is om locaal recht van toepassing te verklaren. zie ro 44.-60 Google Inc had een vestiging in Spanje, omdat Google Spain een vestiging was van Google Inc., die gebruikt werd in het kader van de activiteiten van Google Inc.

Die redenering had ook kunnen worden toegepast door de rechtbank in deze zaak tegen Facebook.

Echter, de rechtbank overweegt [red IT 1784]: "Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland."

De zaak strandt dus op de feiten en matig procederen door verzoeker. De verzoeker had moeten stellen dat de activiteiten van Facebook Nederland onlosmakelijk verbonden is met die van Facebook Ierland, daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken website economisch rendabel te maken. Daarmee zou Facebook Nederland verantwoordelijk kunnen worden gehouden voor de verwerking.

Overigens vindt het College Bescherming Persoonsgegevens dat Facebook en Google onderworpen zijn aan haar toezicht.

Ik gaf ook mijn commentaar op Computerworld.

Er is nog tijd voor hoger beroep om de omissie te herstellen.

Prejudiciële vragen gesteld aan HvJ EU 29 april 2015, IT 1786 (Tele2 Sverige tegen Post- och telestyrelsen)
Vragen gesteld door Kammarrätten i Stockholm, Zweden. Verzoekster deelt de dag nadat het HvJEU arrest heeft gewezen in zaak C-293/12; IT 1479 (Digital Rights Ireland) per brief aan de Zweedse toezichthouder PTS (verweerster) mede dat zij niet langer gegevens bewaart zoals vereist op grond van de ZWE wet, en eerder bewaarde gegevens gaat wissen. Zij onderneemt deze actie omdat zij van mening is dat de Zweedse wet (tot omzetting RL 2006/24) niet verenigbaar is met het Handvest grondrechten. De Zweedse politie laat verweerster weten dat deze actie grote gevolgen heeft voor de opsporing. De Zweedse regering geeft opdracht de zaak te onderzoeken. De daartoe aangewezen Commissie komt tot de conclusie dat de Zweedse regelgeving niet in strijd met EURrecht en/of EVRM. Verzoekster ontvangt dan een bevel van verweerster vanaf 25 juli-2014 tot gegevensbewaring over te gaan.

Zij gaat tegen dat besluit in beroep, dat op 13 oktober 2014 wordt verworpen. De bestuursrechter oordeelt dat de Zweedse bepalingen inzake gegevensbewaring vallen onder de door artikel 15, lid 1, van RL 2002/58 geboden mogelijkheid om nationale wettelijke maatregelen te treffen ter beperking van de omvang van bepaalde in de richtlijn bedoelde rechten en plichten. Hij benadrukt dat arrest C-293/12 aldus dient te worden begrepen dat RL 2006/24 ongeldig is verklaard omdat de geconstateerde tekortkomingen van de RL, in hun geheel beschouwd, impliceren dat de RL niet voldoet aan het Unierechtelijke vereiste van evenredigheid van beperkingen van de rechten en vrijheden. Verzoekster stelt hoger beroep in bij de verwijzende rechter. Zij stelt dat de Zweedse regelgeving strijdig is met het EVRM en bijgevolg de Zweedse Gw. Zij acht de omvang van de bewaarplicht onevenredig. Daarnaast wijst zij op een ernstige tekortkoming in de ZWE regelgeving, namelijk dat toegang tot de bewaarde gegevens niet vereist dat de gegevens verband houden met verdenking van ernstige strafbare feiten. Verweerster stelt dat de ongeldigheid van RL 2006/24 niet impliceert dat de Zweedse regelgeving ook ongeldig is, zolang maar is voldaan aan de eisen van RL 2002/58 en overig EUrrecht.

De verwijzende Zweedse rechter (bestuursrechter in hoger beroep) is met verweerster van oordeel dat het arrest C-293/12 de mogelijkheid om verkeersgegevens te bewaren onverlet laat, zolang is voldaan aan de genoemde eisen. Maar hij vindt ook zowel argumenten voor als tegen de opvatting dat de ruime bewaarplicht die wordt opgelegd door de Zweedse regelgeving verenigbaar is met RL 2002/58 en het Handvest. Om een eenduidig antwoord te krijgen op de vraag of het HvJEU in arrest C-293/12 een afgewogen beoordeling heeft verricht van de omvang van de bewaarplicht en de bepalingen inzake toegang tot gegevens, bewaartermijn en beveiliging legt hij de volgende vragen aan het HvJEU voor:

1) Is een algemene verplichting, zoals beschreven [in de punten 1 tot en met 6 infra], om met het oog op wetshandhaving op strafrechtelijk gebied verkeersgegevens te bewaren, welke verplichting zich zonder enig onderscheid, enige beperking of uitzondering uitstrekt tot alle personen, alle elektronische communicatiemiddelen en alle verkeersgegevens, verenigbaar met artikel 15, lid 1, van richtlijn 2002/58/EG, gelezen in samenhang met de artikelen 7, 8 en 52, lid 1, van het Handvest van de Grondrechten van de Europese Unie?
2) Indien de eerste vraag ontkennend wordt beantwoord, kan de bewaring dan niettemin toegestaan zijn
a) wanneer de toegang van de nationale instanties tot de gegevens die worden bewaard, is geregeld zoals [beschreven in de punten 7 tot en met 24 infra];
b) wanneer de veiligheidseisen worden geregeld zoals [beschreven in de punten 26 tot en met 31 infra], en
c) alle relevante gegevens moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd, en daarna moeten worden gewist, zoals [beschreven in punt 25 infra]?

HR 22 mei 2015, IT 15024 (Staat der Nederlanden tegen Stichting Privacy First)
Privacy. Wijziging Paspoortwet. (De)centrale opslag vingerafdrukken. Geen inbreuk op privacy, art. 8 EVRM. Collectieve actie, art. 3:305a BW. Ontvankelijkheid, taakverdeling burgerlijke rechter en bestuursrechter. Rechtsingang voor belanghebbenden bij bestuursrechter, art. 46 Paspoortwet. Afgeleid belang. HR vernietigt het arrest van het Hof Den Haag [IT 1431] en bekrachtigt het vonnis van de rechtbank [ECLI].

3.4.3. Deze klacht is gegrond. Wil sprake zijn van een eigen belang als hiervoor in 3.4.1 bedoeld, dan moet het gaan om een belang dat zelfstandig wordt beschermd door de norm(en) waarop de vordering van de belangenorganisatie is gebaseerd - in dit geval de door Privacy First ingeroepen normen die strekken tot bescherming van de persoonlijke levenssfeer (zie hiervoor in 3.1 onder (v)) -, en dus niet om een belang dat enkel voortvloeit uit het opkomen voor de gebundelde belangen, en dat uitsluitend van die belangen is afgeleid. Anders zou een belangenorganisatie immers vrijwel steeds bij de burgerlijke rechter ontvankelijk zijn in een vordering als de onderhavige, nu zij vrijwel steeds zal kunnen wijzen op een dergelijk afgeleid belang, wat zou leiden tot een doorkruising van de hiervoor in 3.3.4 en 3.3.5 vermelde behoorlijke taakverdeling tussen bestuursrechter en burgerlijke rechter. Het door het hof vastgestelde belang van Privacy First betreft onmiskenbaar een dergelijk afgeleid belang en is daarom onvoldoende omhaar in haar onderhavige vorderingen ontvankelijk te doen zijn bij de burgerlijke rechter.

Op andere blogs:
Cassatieblog

Rechtbank Amsterdam 28 mei 2015, IT 1783; ECLI:NL:RBAMS:2015:3659 (Facebook Netherlands)
Privacy. Artikel 35 Wbp. Aan de orde is de vraag of de Ierse of de Nederlandse wetgeving van toepassing is op de verwerking via (Ierse) Facebook-servers van persoonsgegevens van Nederlandse inwoners. De rechtbank oordeelt dat het aan beantwoording van deze vraag niet toekomt omdat Facebook NL niet kwalificeert als “verantwoordelijke”.

2.4. Het volgende wordt tot uitgangspunt genomen. De servers van Facebook Ireland Ltd. (hierna Facebook Ierland) in Ierland hosten voor de Europese markt de diverse Facebook diensten. Gebruik van Facebook door gebruikers in Nederland kan leiden tot verwerking van persoonsgegevens. Facebook NL houdt zich bezig met verkoopondersteuning en heeft geen bevoegdheden met betrekking tot activiteiten die tot verwerking van persoonsgegevens kunnen leiden.

2.7 (...) Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland. [verzoeker] zal dan ook niet ontvankelijk worden verklaard in zijn verzoek.

Hof 's-Hertogenbosch 9 juni 2015; IT 1783; ECLI:NL:GHSHE:2015:2080 (Houtverwerkingsindustrie)
Tussenarresten ECLI:NL:GHSHE:2014:673 en 20 mei 2014; ECLI:NL:GHSHE:2014:1413. Een deskundigenonderzoek in boekhouding van gedaagde om vast te stellen of gedaagde in de betreffende periode zaken heeft gedaan met vaste relaties van de concurrent, bevestigt verdenkingen dat er onrechtmatig is gehandeld door gebruik te maken van vertrouwelijke bedrijfsgegevens van concurrent, terwijl die via een werknemer van de concurrent zijn verkregen. Er wordt thans een schadevergoeding van ruim € 49.000,-- toegewezen.

9.4.3. [geïntimeerde] heeft in haar memorie na deskundigenbericht betoogd dat zij (ook ten aanzien van de jaren 2008 en 2009) niet onrechtmatig jegens [houtverwerkingsindustrie] heeft gehandeld. Bij de beoordeling van dat verweer roept het hof in herinnering dat [medewerker van Houtverwerkingsindustrie] in 1999 in dienst is getreden bij [houtverwerkingsindustrie], dat [medewerker van Houtverwerkingsindustrie] en [geïntimeerde] in 2005 [Arts] Arts hebben opgericht, dat [medewerker van Houtverwerkingsindustrie] in elk geval vanaf januari 2007 bedrijfsgevoelige informatie over onder meer door [houtverwerkingsindustrie] uitgebrachte offertes aan [Arts] Arts is gaan doorspelen, dat de omzet van [Arts] Arts uit de levering van door [houtverwerkingsindustrie] gevoerde producten aan klanten/relaties van [houtverwerkingsindustrie] vanaf dat moment is begonnen en sterk is toegenomen en dat [houtverwerkingsindustrie] in dezelfde periode een terugloop heeft ondervonden in de omzet die zij bij diezelfde relaties placht te realiseren. Deze feiten duiden er reeds op dat [geïntimeerde] in het kader van [Arts] Arts gebruik heeft gemaakt van de betreffende informatie die [medewerker van Houtverwerkingsindustrie] aan hem heeft verstrekt.

9.4.4. Het standpunt van [geïntimeerde] dat hij dienaangaande passief is geweest en dat van enige samenspanning geen sprake is geweest, is niet te verenigen met de tekst van de e-mail die [geïntimeerde] op 23 januari 2007 om 7:51 uur aan [medewerker van Houtverwerkingsindustrie] heeft gezonden en waarvan zich een afschrift bij prod. 11 bij de inleidende dagvaarding bevindt. Gelet op de bewoordingen van die e-mail probeert [geïntimeerde] in samenspraak met [medewerker van Houtverwerkingsindustrie] zodanige e-mailinstellingen te realiseren dat hij, [geïntimeerde], tijdens kantooruren op zijn werkplek bij [Arts] Arts de e-mails kan lezen die [medewerker van Houtverwerkingsindustrie] hem vanaf diens werkplek bij [houtverwerkingsindustrie] zal zenden. Dit duidt zonder meer op een welbewuste samenspanning tussen [geïntimeerde] en [medewerker van Houtverwerkingsindustrie] waarbij [geïntimeerde] op eenvoudige wijze en onmiddellijk kan beschikking over de concurrentiegevoelige gegevens die [medewerker van Houtverwerkingsindustrie] hem vanaf de werkplek van [houtverwerkingsindustrie] zou mailen. Dat daarvan vervolgens op grote schaal gebruik is gemaakt blijkt uit de vele e-mails die [houtverwerkingsindustrie] in eerste aanleg heeft overgelegd nadat zij daarover met hulp van haar systeembeheerder de beschikking had gekregen. Het hof wijst in dit kader als voorbeeld op het e-mailbericht van augustus 2007 dat is weergegeven in rov. 4.5.2 van tussenarrest van 11 maart 2014 en het e-mail van januari 2007 dat hiervoor is weergegeven in rov. 9.4.2. De bewoordingen van deze berichten laten naar het oordeel van het hof niets aan duidelijkheid te wensen over.

CBP ontwerpbesluit 20 mei 2015, IT 1782 (Randstad / Adecco)
Het College bescherming persoonsgegevens (CBP) is voornemens om een door Randstad Nederland B.V. (en Adecco Group Nederland) gemelde verwerking van persoonsgegevens rechtmatig te verklaren. De gemelde verwerking houdt in dat Randstad (en Adecco Group Nederland) strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens. Randstad (en Adecco Group Nederland) verwerkt deze gegevens voor pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken.

Rapport 28 april 2015, z2014-00135; IT 1781 (Interactieve digitale televisie Ziggo)
Uit het persbericht: Ziggo, de grootste aanbieder van digitale televisie in Nederland, heeft na onderzoek van het College bescherming persoonsgegevens (CBP) overtredingen van de Wet bescherming persoonsgegevens beëindigd. Het CBP constateerde tijdens het onderzoek bij Ziggo dat het bedrijf klanten die gebruikmaken van interactieve diensten onvoldoende informeerde en geen ondubbelzinnige toestemming vroeg voor het verzamelen en gebruiken van persoonsgegevens over het tv-kijkgedrag. Ziggo heeft daarop maatregelen getroffen en de overtredingen beëindigd.

De Autoriteit Consument & Markt (ACM) nodigt u uit om deel te nemen aan een seminar over de netwerkregulering van de toekomst op de middag van 1 juli 2015. De vraag die ACM daarbij stelt is: welke netwerkregulering draagt het meeste bij aan innovatieve en concurrerende elektronische communicatiemarkten in Nederland?
Lees verder

Besluit ACM 16 december 2013, IT 1776; zaaknr. 13.0503.32 (Zorgplicht KPN)
Telecom. Persoonsgegevens. Data security. In januari 2012 werd bekend dat een hacker had ingebroken in het netwerk van KPN B.V. (hierna: KPN). Deze hack was aanleiding om een onderzoek in te stellen naar de wijze waarop KPN invulling geeft aan de op haar rustende wettelijke zorgplicht ten aanzien van de beveiliging van de persoonsgegevens die in haar systemen zijn opgeslagen. Uit dit onderzoek kwam naar voren dat KPN gedurende de onderzoeksperiode onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van haar abonnees en gebruikers. KPN heeft daarmee niet voldaan aan de op haar rustende zorgplicht van artikel 11.3, eerste lid, juncto artikel 11.2 van de Telecommunicatiewet (hierna: Tw). Voor deze overtreding legt ACM KPN een boete op van in totaal EUR 364.000.

Overwegingen ACM

44. Hoewel de hack niet het op zichzelf staande onderwerp is geweest van het onderhavige onderzoek, is dat incident wel richtinggevend geweest voor de inrichting van dat onderzoek, zo blijkt uit het onderzoeksrapport. Er is bijvoorbeeld voor gekozen het onderzoek te beperken tot het deel van het netwerk van KPN dat door de hacker is benaderd (het “[vertrouwelijk]”). Ook is niet onderzocht of KPN mogelijk ook het tweede lid van artikel 11.3 Tw heeft overtreden en heeft het onderzoek zich beperkt tot de technische en organisatorische beveiligingsmaatregelen in of met betrekking tot het [vertrouwelijk] in het kader van de bescherming van de daarin elektronisch opgeslagen persoonsgegevens en de daarmee gemoeide persoonlijke levenssfeer. Ten slotte heeft het onderzoek zich beperkt tot de informatiebeveiliging bij KPN. In het onderzoeksrapport is daarbij aangesloten bij praktijk en literatuur, waarbij bij informatiebeveiliging de aspecten beschikbaarheid, integriteit en vertrouwelijkheid van informatie van belang zijn. Beschikbaarheid van persoonsgegevens komt in het geding bij het optreden van storingen en uitval. Aangezien daarvan bij KPN in dit geval geen sprake was, is dit aspect bij het onderzoek buiten beschouwing gelaten.

45. ACM volgt KPN niet in haar stelling dat zij de informatieplicht, zoals bedoeld in het tweede lid van artikel 11.3 Tw ten onrechte buiten de reikwijdte van het onderzoeksrapport gelaten. In de optiek van ACM is van ‘communicerende vaten’ – zoals KPN meent10 – geen sprake, en zijn het eerste en tweede lid bepalingen die afzonderlijk kunnen worden overtreden. De stelling dat het zou gaan om bepalingen die niet los van elkaar kunnen worden bezien, vindt geen steun in de onderhavige wetgeving, noch in de daarbij behorende wetsgeschiedenis.[...]

Overige bedenkingen KPN

119. Dat ACM haar conclusies vooral baseert op de gebreken die zijn geconstateerd ten aanzien van beveiligingsonderwerpen waarop KPN haar eigen onderzoek heeft geconcentreerd, rechtvaardigt niet de conclusie dat ACM onvoldoende onderzoek heeft verricht.[...]

120. Het enkele feit dat onvoldoende maatregelen zijn genomen ter beveiliging van persoonsgegevens en eventuele andere informatie betreffende de persoonlijke levenssfeer van abonnees, hetgeen in dit geval een beveiligingslek heeft opgeleverd, kan al voldoende aanleiding vormen voor de conclusie dat aan de zorgplicht niet is voldaan, zelfs als het lek nadien heel grondig wordt gedicht.

Conclusie

133. ACM komt op grond van het vorenstaande tot de conclusie dat KPN gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. KPN heeft daarmee niet voldaan aan de op haar rustende zorgplicht van artikel 11.3, eerste lid, juncto artikel 11.2 Tw.

134. Ten aanzien van onderzoeksperiode II, 16 januari 2012 tot en met 15 maart 2012, waarin het onderzoek zag op de maatregelen die KPN heeft genomen ná de hack, stelt ACM vast dat KPN heeft gehandeld in lijn met haar eigen procedures. ACM ziet geen aanleiding om het handelen van KPN in onderzoeksperiode II aan te merken als een overtreding van
artikel 11.3, eerste lid, juncto artikel 11.2 Tw.

135. ACM stelt op grond van het vorenstaande vast dat KPN artikel 18.7, derde lid, juncto artikel 18.7, vijfde lid, Tw heeft overtreden.

Hoogte boete

163. Gelet op het vorenstaande zal ACM de basisboete in dit geval vaststellen op EUR 280.000.

168. Dat ACM heeft moeten constateren dat KPN zich niet compliant heeft gedragen door in het onderzoek dat naar aanleiding van de hack heeft plaatsgevonden geen melding te maken van een relevant intern onderzoek, doet afbreuk aan het door ACM in KPN gestelde vertrouwen. 169. Gelet op het vorenstaande zal ACM de in paragraaf 8.3 bepaalde basisboete met 30% verhogen.

170. ACM stelt tevens vast dat KPN voor het overige goed heeft medegewerkt. Deze medewerking ging echter niet verder dan waartoe KPN op grond van de wet gehouden was en leidt in de optiek van ACM niet tot boeteverlaging.