Garanderen van passend beveiligingsniveau is een verstrekkende inspanningsplicht

Rechtbank Rotterdam 8 januari 2015, IT 1823; ECLI:NL:RBROT:2015:22 (X tegen ACM)
ACM heeft aan eiseres een bestuurlijke opgelegd van € 364.000 wegens overtreding van artikel 11.3 lid 1 in verbinding met artikel 11.2 Telecommunicatiewet (Tw) [IT 1776]. Anders dan eiseres betoogt, heeft ACM de uit artikel 11.3 lid 1 in verbinding met artikel 11.2 Tw voortvloeiende zorgplicht van eiseres niet uitgelegd als een resultaatsverplichting maar als een verstrekkende inspanningsplicht. Deze uitleg acht de rechtbank juist, gelet op met name de tweede volzin van het tweede lid van artikel 11.3 lid 1 Tw. Deze luidt: “De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.” Gelet op de daarin voorkomende term “garanderen” in combinatie met de term “passend” betreft het een zorgplicht die een verstrekkende inspanningsplicht inhoudt.

Deze uitleg is in overeenstemming met de tekst van artikel 4 lid 1 e-Privacyrichtlijn, die is geïmplementeerd met artikel 11.3 lid 1 Tw. Het is aan eiseres om bij het treffen van technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door haar aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers inhoud te geven aan deze zorgplicht. Het betoog van eiseres dat ACM bij de vraag of eiseres heeft voldaan aan haar zorgplicht, acht had moeten slaan op de maatregelen die zij heeft genomen direct na het incident , volgt de rechtbank niet.