KPN hoge boete wegens tekortschietende gegevensbeveiliging

vrijdag, 5 juni 2015

KPN kreeg een hoge boete wegens het onvoldoende beveiligen van persoonsgegevens. De basisboete werd met 30% verhoogd wegens het verzwijgen voor de toezichthouder van een intern onderzoek.

In een persbericht van 2 juni 2015 heeft de Autoriteit Consument & Markt (ACM) bekend gemaakt dat zij KPN in december 2013 een boete van 364.000 euro heeft opgelegd voor het onvoldoende beveiligen van klantgegevens. Een hacker had in 2012 ingebroken in het netwerk van KPN en zich toegang verschaft tot de klantgegevens van KPN. Naar aanleiding daarvan heeft de ACM (voorheen OPTA) een onderzoek ingesteld naar de beveiliging van deze gegevens. De conclusie van dat onderzoek was dat de beveiliging van de klantgegevens en het veiligheidsbeleid van KPN op dat moment onvoldoende waren. Het boetebesluit is nu pas openbaar gemaakt omdat KPN zich tegen eerdere openbaarmaking had verzet, maar het College van beroep voor het bedrijfsleven (CBb) heeft op 1 juni 2015 geoordeeld dat de ACM het boetebesluit mag publiceren.

Telecomaanbieders moeten op grond van de Telecommunicatiewet (Tw) hun klantgegevens, zoals NAW, IP-adres en bankrekeningnummer, op een passend niveau beveiligen, rekening houdend met de stand van de techniek, de kosten van de te nemen maatregelen en het risico op doorbreking van de bescherming. Let wel, op grond van de Wet bescherming persoonsgegevens (Wbp) geldt dit vereiste voor alle ondernemingen.

KPN had beroep ingesteld tegen de het boetebesluit, maar de rechtbank Rotterdam heeft op 8 januari 2015 geoordeeld dat de ACM terecht een boete had opgelegd. Tegen deze uitspraak heeft KPN hoger beroep ingesteld bij het CBb.

Pas op: nieuwe meldplicht datalekken

Recentelijk is het wetsvoorstel Meldplicht datalekken en uitbreiding boetebevoegdheid CBP aangenomen, waarmee bedrijven hoge boetes opgelegd kunnen krijgen tot EUR 810.000 per overtreding. Deze wet zal binnenkort in werking treden. Meer informatie hier.