KPN dient een door toezichthouder ACM opgelegde boete van 364.000 euro te betalen. Dat heeft het College van Beroep voor het bedrijfsleven (CBb) in hoger beroep geoordeeld.
Volgens het CBb heeft de Autoriteit Consument & Markt in 2013 terecht de boete opgelegd, omdat KPN tekort was geschoten in de beveiliging van haar klantgegevens. De uitspraak is definitief, het CBb is de eindrechter in deze zaak.
Telecombedrijven moeten maatregelen nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen moeten, rekening houdend met de stand van de techniek en de kosten, een passend beveiligingsniveau garanderen dat in verhouding staat tot het risico, aldus het CBb.
KPN werd in januari 2012 getroffen door een digitale inbraak. Opta, destijds telecomtoezichthouder, stelde in het onderzoek daarna vast dat KPN de beveiliging niet voldoende op orde had, met schade voor de persoonsgegevens en de persoonlijke levenssfeer van klanten. De servers bevatten gegevens zoals adres, woonplaats, telefoonnummer en bankrekeningnummer en de hacker verschafte zich toegang tot deze gegevens.
Een gevolg had onder meer identiteitsfraude kunnen zijn. Dat de hacker de gegevens niet daadwerkelijk heeft gecompromitteerd, doet volgens ACM en CBb niet af aan de schending van de zorgplicht. Het doel is tenslotte dat zoveel mogelijk wordt voorkomen dat een inbreuk op de persoonlijke levenssfeer plaatsvindt.
KPN had na de boete van ACM bezwaar en beroep ingesteld en zich verzet tegen openbaarmaking van de boetebesluiten.Op 8 januari 2015 liet de Rechtbank Rotterdam de boete in stand. KPN voerde daarna nog hoger beroep bij het CBb. Het CBb had in kort geding (uitspraak 1 juni 2015) al bepaald dat ACM het bestaan van de boete openbaar mocht maken.
