Onlangs werd bekend dat de Autoriteit Consument en Markt (ACM) een boete van 364.000 euro heeft opgelegd aan KPN. De rechter heeft bevestigd dat deze boete terecht is opgelegd. Opvallend is dat de ACM de boete direct mocht opleggen. Zij hoefde niet eerst een waarschuwing te geven.
Daarnaast hebben de maatregelen die KPN heeft genomen na de hack geen invloed op de hoogte van de boete. Kan het College bescherming persoonsgegevens (Cbp) straks ook direct een boete opleggen bij overtredingen op grond van de nieuwe wet meldplicht datalekken? En moet het Cbp bij de hoogte van de boete rekening houden met de maatregelen die zijn getroffen na de ontdekking van het lek?
De ACM heeft niet dezelfde bevoegdheden als het Cbp. In de KPN-zaak is het onderzoek ingesteld door de ACM, omdat deze waakhond bevoegd is bij 'aanbieders van een elektronisch openbaar communicatienetwerk', zoals telecomproviders. Deze organisaties zijn op grond van de Telecommunicatiewet al langere tijd verplicht om datalekken te melden. De ACM mag bij deze partijen boetes opleggen. Het Cbp mag vanaf 1 januari 2016 bij datalekken ook boetes opleggen aan alle andere Nederlandse organisaties en overheidsinstanties die persoonsgegevens verwerken.
Zoals gezegd zijn er twee punten uit het arrest die opvallen. Allereerst mocht de ACM direct, zonder waarschuwing een boete opleggen aan KPN. Mag het Cbp dan straks ook direct een boete opleggen bij een datalek? Opmerking verdient allereerst dat niet alle datalekken hoeven te worden gemeld bij het Cbp. Dit hoeft alleen als de datalek leidt tot 'ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Ten tweede geldt voor bijna alle overtredingen dat het Cbp eerst een zogenaamde ‘bindende aanwijzing’ moet geven. Met deze aanwijzing krijgen organisaties en overheidsinstanties de opdracht om aanpassingen door te voeren. Wordt deze bindende aanwijzing van het Cbp niet opgevolgd, dan mag het Cbp een boete opleggen. Is er sprake van opzet of ‘ernstige verwijtbare nalatigheid’, dan hoeft het Cbp niet eerst een bindende aanwijzing te geven, maar kan het direct een boete opleggen. Wanneer daarvan sprake is, is nu nog niet duidelijk.
Een tweede punt uit het arrest dat opvalt is dat de maatregelen die KPN had genomen na de hack door de rechter niet werden meegewogen. Onduidelijk is of het Cbp dat wel zal doen. Wettelijk gezien is het Cbp daar straks in ieder geval niet toe verplicht. Het is mogelijk dat het Cbp hier straks in de praktijk wel rekening mee zal houden bij het opleggen van de boete. Overigens is er Europese wetgeving in de maak waarin het Cbp wél verplicht lijkt te zijn om te kijken naar de maatregelen die zijn getroffen na het lek. Deze wetgeving is nog niet vastgesteld of in werking getreden.
Het lijkt er tot nu toe op dat het Cbp alleen direct een boete zal opleggen als het heel bont wordt gemaakt. Een enkele fout in de software zal in ieder geval nog niet kunnen leiden tot een boete. Bij KPN was er wel een hele hoop mis: er was onvoldoende onderhoud, intrusion detection systemen ontbraken, er was op essentiële punten geen veiligheidsbeleid, enzovoorts. Pas bij zulke "ernstige verwijtbare nalatigheid" of "opzet" zal ook het Cbp direct een boete kunnen opleggen. In andere gevallen zal het Cbp eerst een bindende aanwijzing geven. Voor hoge boetes lijken we dus niet te hoeven vrezen.
Anna Maj Drenth is afgestudeerd voor de masters Recht & ICT en criminologie aan de Rijksuniversiteit Groningen. Zij houdt zich voornamelijk bezig met juridische vraagstukken rond privacy en intellectuele eigendom. Anna Maj Drenth is tot eind september 2015 verbonden als stagiair bij ICTRecht.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Deze posting is gelocked. Reageren is niet meer mogelijk.