Boete wegens niet goed beveiligen van klantgegevens

donderdag, 4 juni 2015

In een persbericht van 2 juni 2015 heeft de Autoriteit Consument & Markt (ACM) bekend gemaakt dat zij KPN in december 2013 een boete van 364.000 euro heeft opgelegd voor het onvoldoende beveiligen van klantgegevens. Een hacker had in 2012 ingebroken in het netwerk van KPN en zich toegang verschaft tot de klantgegevens van KPN. Naar aanleiding daarvan heeft de ACM (voorheen OPTA) een onderzoek ingesteld naar de beveiliging van deze gegevens. De conclusie van dat onderzoek was dat de beveiliging van de klantgegevens en het veiligheidsbeleid van KPN op dat moment onvoldoende waren. Het boetebesluit is nu pas openbaar gemaakt omdat KPN zich tegen eerdere openbaarmaking had verzet, maar het College van beroep voor het bedrijfsleven (CBb) heeft op 1 juni 2015 geoordeeld dat de ACM het boetebesluit mag publiceren.

Telecomaanbieders moeten op grond van de Telecommunicatiewet (Tw) hun klantgegevens, zoals NAW, IP-adres en bankrekeningnummer, op een passend niveau beveiligen, rekening houdend met de stand van de techniek, de kosten van de te nemen maatregelen en het risico op doorbreking van de bescherming. Let wel, op grond van de Wet bescherming persoonsgegevens (Wbp) geldt dit vereiste voor alle ondernemingen.

KPN had beroep ingesteld tegen de het boetebesluit, maar de rechtbank Rotterdam heeft op 8 januari 2015 geoordeeld dat de ACM terecht een boete had opgelegd. Tegen deze uitspraak heeft KPN hoger beroep ingesteld bij het CBb.