Column


IT-jurist Peter van Schelven over…

KPN’s security-verplichting: hoe hoog ligt de lat?

Het College van Beroep voor het bedrijfsleven, een hoog rechtscollege in ons land op het gebied van het sociaal-economisch bestuursrecht, heeft vorige week een in 2013 aan KPN opgelegde geldboete wegens benedenmaatse security gehandhaafd. Het ging daarbij om een zogeheten bestuurlijke boete van de Autoriteit Consument en Markt (ACM) van 364.000 euro.

De opmaat voor de zaak waarover dit rechtscollege in hoger beroep moest oordelen, was een tamelijk eenvoudige hack in januari 2012 op de servers van het zogeheten ISP-infradomein, onderdeel van het netwerk van KPN. Op de servers bevonden zich gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer.

Die inbraak vormde voor telecomwaakhond Opta (inmiddels opgegaan in de ACM) aanleiding tot het uitvoeren van een onderzoek naar naleving van de securitybepalingen uit de Telecommunicatiewet. Die wet verplicht KPN niet alleen tot het naleven van een zorgplicht inzake de privacy, maar ook moet zij met het oog daarop ‘passende technische en organisatorische maatregelen (…) treffen ten behoeve van de veiligheid en beveiliging’ van haar netwerken en diensten. ACM constateerde in haar onderzoeksrapport een reeks overtredingen aan de zijde van KPN, met name rondom vijf onderwerpen: het opzetten en het handhaven van een beveiligingsbeleid, de netwerkinrichting, het afschermen van gegevens, netwerk- en systeembewaking en het patchmanagement. Die bevindingen, die zowel de technische als organisatorische security betroffen, resulteerden in de boete.

Verstrekkende inspanningsverplichting?
KPN kon zich daar echter niet mee verenigen. In de rechtszaak die zij na tevergeefs bezwaar tegen de ACM bij de rechtbank in Rotterdam aanspande, trok KPN in januari vorig jaar evenwel aan het kortste eind. De boete werd onverkort gehandhaafd, met de opmerkelijke overweging in de uitspraak van de rechtbank dat de wettelijke securityverplichting van KPN een ‘verstrekkende’ inspanningsverplichting is. In het hoger beroep dat vervolgens bij het College van Beroep voor het bedrijfsleven volgde, heeft KPN nogmaals stevige kritiekpunten ter tafel gelegd, doch zonder succes. Alle argumenten van KPN zijn in de uitspraak van 16 november door het College tamelijk rücksichtslos van tafel geveegd.

Een van de dingen die bij lezing van de uitspraak opvalt, is dat het College van Beroep voor het bedrijfsleven – anders dan de Rotterdamse rechtbank – heel bewust in het midden laat of de security-verplichtingen uit de Telecommunicatiewet als een verstrekkende inspanningsverplichting moeten worden opgevat. Aan beantwoording van de principiële vraag hoe hoog de lat ligt bij de securityverplichting komt het rechtscollege niet toe, want KPN zat met de geconstateerde overtredingen sowieso fout, aldus de uitspraak. In vrij algemene termen wordt geoordeeld dat het ‘niet onjuist’ is dat ACM gelet heeft op ‘wat in de wereld van informatievoorziening als minimaal noodzakelijke maatregelen worden gezien’. Op dit punt geeft de uitspraak helaas dus weinig juridische guidance aan het niveau van security dat van een telecommunicatie-aanbieder verwacht mag worden.

Stand der techniek
De Telecommunicatiewet geeft aan dat bij securitymaatregelen die moeten worden getroffen, rekening dient te worden gehouden met ‘de stand der techniek’. Mr. Alberdingk Thijm, advocaat van KPN, heeft in de procedure op creatieve wijze bepleit dat die regel inhoudt dat ACM een vergelijking had moeten maken met de mate van beveiliging van andere telecompartijen. Dit was door ACM ten onrechte nagelaten, waardoor het ACM-onderzoek in zijn visie ondeugdelijk was. Het College van Beroep voor het bedrijfsleven volgt die gedachte echter niet en oordeelt dat ACM heeft kunnen volstaan met een analyse van de literatuur over informatiebeveiliging en van NEN-normen. En dat onderzoek kon als zodanig de toets der kritiek wel doorstaan, aldus de uitspraak.

Boeterisico
Het gebeurt niet vaak dat een bestuurlijke boete voor schending van securityverplichtingen wordt uitgedeeld. Vrij algemeen wordt verwacht dat dit in de toekomst gaat veranderen, met name bij grootschalige datalekken die het resultaat zijn van gebrekkige security. De uitspraak in de KPN-kwestie laat zien dat het boeterisico zeker serieus genomen moet worden. Temeer nu het in deze kwestie om een tamelijk eenvoudige en onschuldige hack zonder echte slachtoffers ging.


Lees meer over