De Autoriteit Consument & Markt (ACM) heeft KPN een boete van € 364.000,- opgelegd omdat KPN minimaal twee miljoen (!) klantgegevens niet voldoende heeft beveiligd. De boete is al in december 2013 opgelegd, maar nu pas openbaar geworden omdat KPN zich tegen eerdere openbaarmaking heeft verzet. Wat ging er mis en waarom heeft de ACM een boete opgelegd?
Naar aanleiding van een hack in 2012 heeft de toenmalige OPTA (nu ACM) een onderzoek in gesteld naar de beveiliging van KPN. Dit onderzoek is ingesteld door de OPTA en niet door het College Bescherming Persoonsgegevens omdat KPN een aanbieder van een elektronisch openbaar communicatienetwerk is en daarmee onder de Telecommunicatiewet valt. Naast de Wet bescherming persoonsgegevens kent ook deze wet een bepaling die stelt dat persoonsgegevens goed beschermd moeten worden. Aanbieders hebben een zorgplicht, zo zegt de Telecommunicatiewet.
Bij KPN ging het volgende mis:
Zo was voor een aantal essentiële beveiligingsmaatregelen geen centraal beleid opgesteld en heeft het onderhoud van het opgestelde beleid onvoldoende plaatsgevonden. Ook had KPN haar netwerkbeheer niet op orde en had zij op het gebied van netwerk- en systeembewaking onvoldoende passende maatregelen getroffen.
En meer concreet heeft KPN onvoldoende passende maatregelen genomen betreffende:
- het opzetten en het handhaven van beveiligingsbeleid in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers;
- netwerkinrichting in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en;
- afscherming in het belang van de bescherming van persoonsgegevens en de persoonlijke levenssfeer van abonnees en gebruikers;
- netwerk- en systeembewaking in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers;
- patchmanagement in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers.
In het boetebesluit licht de ACM deze tekortkomingen toe. Opvallend is bijvoorbeeld dat er bij KPN ter bescherming van de klantgegevens geen intrusion detection en intrusion prevention systemen aanwezig waren, de firewalls niet afdoende geconfigureerd waren en eigen beveiligingsbeleid niet of niet voldoende nageleefd werd.
De ACM heeft KPN hiervoor een boete opgelegd van € 280.000,- en heeft deze boete verhoogd met 30% omdat KPN nagelaten heeft om haar eigen interne onderzoek naar de hack tijdig te delen met de ACM.
Inmiddels heeft de rechtbank op 8 januari geoordeeld dat de boete terecht was. Daartegen heeft KPN echter beroep aangetekend bij het College van Beroep voor het bedrijfsleven, dus het laatste woord is hier nog niet over gesproken.
