16 nov 2016
CBb: Boete KPN voor onvoldoende beveiliging klantgegevens blijft in stand
CBb 16 november 2016, IT 2173; ECLI:NL:CBB:2016:346 (KPN – ACM) Persoonsgegevens. Bestuurlijke boete. De boete van ACM waartegen KPN beroep had aangetekend blijft in stand. Hierdoor wordt de zorgplicht die bedrijven hebben om klantgegevens goed te beveiligen, bevestigd. De boete was door ACM opgelegd omdat de systemen van KPN waarin persoonsgegevens van klanten zijn opgeslagen, onvoldoende beveiligd zijn. Op grond van de Telecomwet heeft KPN de plicht om persoonsgegevens en de persoonlijke levenssfeer van klanten voldoende te beschermen, zodat derden er geen toegang tot hebben.
6.2 Het College overweegt als volgt. Zoals hierboven onder randnummer 4.2 al is besproken, vormen de artikelen 11.2 en 11.3 van de Tw een aanvulling op artikel 13 van de Wbp. Dat betekent dat wat geldt voor artikel 13 van de Wbp niet onverkort van toepassing is voor de uitleg van artikel 11.2 en 11.3 van de Tw. Het College stelt vast dat de reikwijdte van de Wbp ruim is, zodat het in de rede ligt bij de beoordeling van de zorgplicht de aard van de persoonsgegevens te betrekken. Artikel 11.2 en 11.3 van de Tw hebben echter uitsluitend betrekking op de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers op het netwerk. Het College overweegt daarnaast dat ook volgens de uitgangspunten van KPN sprake is van een schadelijke inbreuk. Blijkens het onderzoeksrapport (p. 29) bevatten de in geding zijnde servers in het ISP-domein gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Ook blijkt dat de hacker toegang had tot deze gegevens. Het gevolg hiervan had – gelet op de gegevens op de servers – bijvoorbeeld identiteitsfraude kunnen zijn. Dat de hacker de gegevens niet daadwerkelijk heeft gecompromitteerd, doet daaraan niet af. Voor zover KPN meent dat de zorgplicht van artikel 11.2 en artikel 11.3, eerste lid, van de Tw (pas) is overtreden indien vaststaat dat daadwerkelijk schade voor de persoonlijke levenssfeer van de abonnees ten gevolge van de hack is ontstaan, volgt het College dat standpunt niet. Het doel van de zorgplicht is immers dat zoveel mogelijk wordt voorkomen dat een inbreuk op de persoonlijke levenssfeer plaatsvindt. Het betoog faalt daarom.
10.2 Het College overweegt als volgt. De zorgplicht in de zin van artikel 11.3, eerste lid van de Tw is ingevolge artikel 11.2 van de Tw van toepassing op de aanbieder van een openbaar elektronisch communicatienetwerk en op de aanbieder van een openbare elektronische communicatiedienst in de zin van de Tw. ACM heeft onderzocht en vastgesteld dat de door KPN aangeboden diensten KPN-mail, Resolving, Internet en MISP geheel of hoofdzakelijk bestaan in het overbrengen van signalen via elektronische communicatienetwerken en dat dit soort diensten gewoonlijk tegen vergoeding wordt aangeboden. De diensten zijn beschikbaar voor het publiek, zodat zij vallen onder de definitie van een openbare elektronische communicatiedienst. Deze diensten maken gebruik van het ISP Infradomein van KPN. KPN is dan ook een aanbieder is in de zin van artikel 11.2 van de Tw. De enkele stelling van KPN dat sprake is van een intern bedrijfsnetwerk, is in dit licht onvoldoende om tot een ander oordeel te komen. Voor zover KPN betoogt dat uit artikel 3, eerste lid, van de e-Privacyrichtlijn volgt dat ACM moet aantonen dat de persoonsgegevens die zich op het ISP Infradomein bevonden ten tijde van belang werden verwerkt in verband met de levering van elektronische communicatiediensten over openbare communicatienetwerken en niet vanwege andere doeleinden, faalt haar betoog eveneens. Op grond van artikel 2, aanhef, van de e-Privacyrichtlijn, in samenhang met artikel 2, aanhef en onder b, van de Privacyrichtlijn wordt verstaan onder “verwerking van persoonsgegevens”, hierna “verwerking” te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Niet betwist is dat de persoonsgegevens op het ISP Infradomein ook klantgegevens van de afnemers van bovengenoemde aangeboden diensten betreffen. Niet valt in te zien dat KPN deze gegevens heeft vastgelegd, bewaart, wijzigt en gebruikt met een ander doel dan in verband met de levering van elektronische communicatiediensten aan de betreffende klanten. De beroepsgrond faalt.
11.1 KPN betoogt dat ACM en de rechtbank in wezen KPN hebben voorgeschreven dat KPN vijf specifieke maatregelen moet nemen en dat zij bij gebreke daarvan de zorgplicht schendt. Daarmee is geen acht geslagen op het recht van vrij ondernemerschap, dat is neergelegd in artikel 16 van het Handvest van de grondrechten van de Europese Unie
11.2 ACM heeft meerdere zwakke plekken geconstateerd in de beveiliging. Daarbij wordt KPN echter voldoende ruimte gelaten om (zelf) passende technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door haar aangeboden netwerken en diensten. Het College volgt daarom niet de stelling van KPN dat ACM en de rechtbank ‘in wezen’ KPN hebben voorgeschreven dat KPN vijf specifieke maatregelen moet nemen.
12.1 KPN stelt dat de rechtbank ten onrechte bij haar beoordeling heeft betrokken dat KPN geen centrale coördinatie uitvoerde ter zake van het patchmanagement en dat de HP software gedurende een periode niet is gepatcht.
12.2 Deze grond berust naar het oordeel van het College op een verkeerde lezing van de uitspraak en het besluit, omdat het voeren van een centrale coördinatie van het patchmanagement respectievelijk het uitvoeren van een specifieke HP software patch hierin niet als eis is gesteld. De grond faalt.
13.1 KPN meent voorts dat ACM en de rechtbank bij de beoordeling van de schending van de zorgplicht de beveiligingsmaatregelen die KPN heeft getroffen na de hack ten onrechte niet hebben meegewogen. KPN stelt bovendien dat een zorgvuldige beoordeling van de zorgplicht vereist dat het algehele niveau van beveiliging door ACM had moeten worden beoordeeld. Daarbij hadden ACM en de rechtbank mede de maatregelen die KPN wel had getroffen, moeten betrekken. KPN betoogt voorts dat ACM geen, dan wel onvoldoende onderzoek heeft gedaan naar de kosten van de vereiste maatregelen.
13.2 Het College overweegt dat niet in geding is dat KPN naar aanleiding van de hack maatregelen heeft getroffen. Naar aanleiding hiervan heeft ACM geen schending van de zorgplicht vastgesteld voor onderzoeksperiode II. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. De na de hack getroffen maatregelen kunnen dan ook niet afdoen aan de geconstateerde tekortkomingen in onderzoeksperiode I. KPN heeft voorts niet onderbouwd dat zij met het treffen van de door haar gestelde (andere) organisatorische en technische maatregelen de door ACM geconstateerde knelpunten heeft weggenomen. Daarom heeft ACM deze maatregelen bij zijn oordeel terecht buiten beschouwing gelaten. Nu de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren acht het College, op grond van hetgeen ACM heeft aangevoerd, aannemelijk dat de opheffing van de tekortkomingen niet zodanige kosten met zich brengen dat deze niet in een passende verhouding staan tot het desbetreffende risico. KPN heeft nagelaten voldoende concrete gegevens te overleggen waaruit het tegendeel blijkt. Uit het vorenstaande volgt dat ACM zich terecht op het standpunt gesteld dat KPN de zorgplicht heeft overtreden, zodat de grond faalt.
14.1 KPN betoogt dat de zorgplicht van artikel 11.3, eerste lid, van de Tw een open norm is, die weinig tot geen richting biedt over de invulling daarvan. ACM had eerst beleidsregels op moeten stellen waarbij de zorgplicht nader wordt uitgewerkt. Nu ACM (bewust) geen beleidsregels heeft opgesteld, is het opleggen van een sanctie in strijd met het rechtszekerheidsbeginsel en legaliteitsbeginsel. KPN kon niet voorzien, noch begrijpen, dat haar handelen of nalaten in strijd was met de zorgplicht van artikel 11.3, eerste lid, van de Tw.
Op andere blogs: www.acm.nl