Boete van 364000 euro voor KPN wegens datalek
Het College van Beroep voor het bedrijfsleven (CBb) heeft geoordeeld dat een eerder door de Autoriteit Consument en Markt (ACM) aan KPN opgelegde boete van 364.000 euro in stand blijft. Dit naar aanleiding van een hack in 2012 door een 17-jarige inwoner van Barendrecht.
In 2012 wist een 17-jarige hacker uit Barendrecht bijna het gehele KPN-netwerk te kraken waarbij hij zich volgens de ACM toegang verschafte tot de systemen waarin de persoonsgegevens van klanten waren opgeslagen. De jongeman deed het naar verluidt ‘voor de lol’. Voor hem bleef de schade beperkt tot een voorwaardelijke celstraf van acht maanden en een werkstraf van 100 uur. Voor KPN heeft de hack, na het instellen van alle mogelijke beroepen en bezwaren, uiteindelijk nadeliger uitgepakt.
Zorgplicht
Op grond van 11.2 en 11.3 lid 3 Telecommunicatiewet heeft de aanbieder van een openbare communicatiedienst de zorg voor de bescherming van persoonsgegevens en bescherming van de persoonlijk levenssfeer van de abonnees en gebruikers van zijn netwerk. De toezichthouder op naleving van de Tw, destijds de OPTA, stelde naar aanleiding van de hack een onderzoek in naar de stand van beveiliging van persoonsgegevens bij KPN. De OPTA concludeerde dat KPN onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen had getroffen. De opgelegde boete is dus terecht, aldus het CBb. Dat er niets is gebeurd met de persoonsgegevens, doet volgens de instantie niets af aan de zorgplicht van KPN jegens zijn klanten. Wel werd het telecombedrijf geprezen voor het op orde brengen van de beveiliging ná de hack.