ECLI:NL:CBB:2016:346

Uitspraak

uitspraak

COLLEGE VAN BEROEP VOOR HET BEDRIJFSLEVEN

zaaknummer: 15/109

15354

uitspraak van de meervoudige kamer van 16 november 2016 op het hoger beroep van:

Koninklijke KPN B.V., (KPN), gevestigd te Den Haag, appellante

(gemachtigde: mr. Chr.A. Alberdingk Thijm),

tegen de uitspraak van de rechtbank Rotterdam van 8 januari 2015, kenmerk ROT 14/4779, in het geding tussen

appellante

en

de Autoriteit Consument en Markt, (ACM), verweerster

(gemachtigden: mr. P.J. Schnezler, mr. M.P. Man, mr. R. Rodenrijs en B. Stuut).

Procesverloop in hoger beroep

Appellante heeft hoger beroep ingesteld tegen de uitspraak van de rechtbank Rotterdam (rechtbank) van 8 januari 2015 (ECLI:NL:RBROT:2015:22).

ACM heeft een reactie op het hoger beroepschrift ingediend.

Het onderzoek ter zitting heeft plaatsgevonden op 1 juni 2016. Partijen hebben zich laten vertegenwoordigen door hun gemachtigden. Voor KPN zijn verder verschenen [naam 1] , [naam 2] en [naam 3] .

Grondslag van het geschil

1.1

Voor een uitgebreide weergave van het verloop van de procedure, het wettelijk kader en de in dit geding van belang zijnde feiten en omstandigheden, voor zover niet bestreden, wordt verwezen naar de aangevallen uitspraak. Het College volstaat met het volgende.

1.2

Op 16 januari 2012 heeft een hacker ingebroken in het ISP Infradomein, onderdeel van het netwerk van KPN. Naar aanleiding van deze hack heeft ACM onderzoek gedaan naar de naleving door KPN van artikel 11.3, eerste lid, in samenhang met artikel 11.2 van de Telecommunicatiewet (Tw) in de periode september 2010 tot en met 15 januari 2012 (onderzoeksperiode I) en in de periode 16 januari 2012 tot en met 15 maart 2012 (onderzoeksperiode II). Dit onderzoek heeft geresulteerd in een onderzoeksrapport van 22 juli 2013 (onderzoeksrapport). Geconstateerd is dat KPN in onderzoeksperiode I artikel 11.3, eerste lid, in samenhang met artikel 11.2 van de Tw voor meerdere beveiligingsonderdelen heeft overtreden, omdat zij onvoldoende passende maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers, betreffende:

het opzetten en het handhaven van beveiligingsbeleid;
netwerkinrichting;
afscherming;
netwerk- en systeembewaking; en
patchmanagement.

1.3

ACM heeft bij haar informatievordering van 29 februari 2012 KPN verzocht om een volledig overzicht te geven van de geplande, nog door haar vanaf die datum op te stellen, rapporten, documentatie, tussenrapportages, bevindingen, presentaties, terugkoppelingen en gespreksverslagen. Op 14 maart 2012 heeft KPN een deel van de gevorderde informatie geleverd en op 8 maart 2013 heeft zij – na nog een nadere informatievordering van ACM – het rapport van haar intern onderzoek Victor verstrekt (rapport Victor).

1.4

Bij besluit van 16 december 2013 (het boetebesluit) heeft ACM aan KPN een boete opgelegd van € 364.000 wegens overtreding van de zorgplicht in de zin van artikel 11.3, eerste lid, juncto artikel 11.2 van de Tw. ACM heeft geconcludeerd dat KPN gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische, maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. ACM heeft geen aanleiding gezien om het handelen van KPN in onderzoeksperiode II aan te merken als een overtreding van artikel 11.3, eerste lid, juncto artikel 11.2 van de Tw. ACM heeft voorts geconstateerd dat KPN de rapportage op basis van het intern onderzoek van 15 maart 2012 (rapport Victor) niet onverwijld, dan wel binnen de door ACM gestelde termijn, heeft verstrekt en evenmin het bestaan ervan heeft gemeld in haar reactie op die informatievordering. ACM heeft daarom geconcludeerd dat KPN artikel 18.7, derde lid, juncto artikel 18.7, vijfde lid, van de Tw heeft overtreden. ACM heeft daarom de door haar op € 280.000 bepaalde basisboete verhoogd met 30 procent.

1.5

Bij besluit van 13 juni 2014 (bestreden besluit) heeft ACM de bezwaren van KPN tegen het boetebesluit ongegrond verklaard.

1.6

KPN heeft tegen het bestreden besluit beroep ingesteld.

Uitspraak van de rechtbank

2.1

De rechtbank heeft het beroep van KPN ongegrond verklaard.

Beoordeling van het geschil in hoger beroep

3.1

De Tw luidde voor zover hier en ten tijde van belang als volgt:

“Artikel 11.2

Onverminderd de Wet bescherming persoonsgegevens en het overigens bij of krachtens deze wet bepaalde dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk, onderscheidenlijk zijn dienst.

Artikel 11.3

1. De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

(…)

Artikel 18.7

(…)

3. Degene van wie krachtens het eerste lid inlichtingen zijn gevorderd, is verplicht deze onverwijld te geven, maar in elk geval binnen de daartoe door Onze Minister, onderscheidenlijk het college [thans de Autoriteit Consument en Markt; toevoeging College], te stellen termijn.

(…)

5. Degene van wie de verstrekking van inlichtingen is gevorderd, is verplicht binnen de door Onze Minister, onderscheidenlijk het college [thans de Autoriteit Consument en Markt; toevoeging College], te bepalen redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij het uitoefenen van zijn, onderscheidenlijk haar, bevoegdheden. Artikel 5:20, tweede lid, van de Algemene wet bestuursrecht (http://wetten.overheid.nl/jci1.3:c:BWBR0005537&artikel=5:20&g=2014-06-13&z=2016-08-03) is van toepassing.

(…)”.

4.1

KPN betoogt dat de rechtbank bij haar beoordeling van artikel 11.3, eerste lid, van de Tw in het bijzonder artikel 17 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Privacyrichtlijn) en het daarop gebaseerde artikel 13 van de Wet bescherming persoonsgegevens (Wbp) alsmede artikel 13bis van Richtlijn 2002/21/EG inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (Kaderrichtlijn) en het daarop gebaseerde artikel 11a.1 van de Tw had moeten betrekken, omdat deze bepalingen nadere invulling geven aan de inhoud en reikwijdte van de zorgplicht van artikel 11.3, eerste lid, van de Tw. Daarbij komt volgens KPN met name betekenis toe aan de invulling die het College bescherming persoonsgegevens (thans Autoriteit Persoonsgegevens) heeft gegeven aan artikel 13 Wbp in haar richtsnoeren en aan de Technical Guideline for Minimum Security Measures for Article 4 and Article 13a van december 2014 (Guideline) van de European Network and Information Security Agency (ENISA).

4.2

Gelet op de bewoording “in aanvulling op” is het College anders dan de rechtbank van oordeel dat artikel 11.2 en artikel 11.3, eerste lid, van de Tw geen lex specialis ten opzichte van artikel 13 van de Wbp vormen, maar een aanvulling daarop zijn. Het College volgt KPN in haar standpunt dat in de door haar genoemde bepalingen van de Wbp en de Privacyrichtlijn, in het nieuwe artikel 13bis van de Kaderrichtlijn en in artikel 11a.1 van de Tw vergelijkbare terminologie wordt gebezigd zoals “passende technische en organisatorische maatregelen”. De verplichtingen die met deze bepalingen worden geïntroduceerd hebben echter een andere optiek, namelijk bij artikel 13bis van de Kaderwet de continuïteit van de netwerken en dienstverlening met behulp van deze netwerken en bij artikel 17 van de Privacyrichtlijn de beveiliging van de verwerking. Deze grond faalt zodoende nu hiermee de verhouding tussen de wettelijke bepalingen wordt miskend. Daarmee komt ook aan de richtsnoeren inzake artikel 13 Wbp niet de betekenis toe die KPN daaraan gehecht wenst te zien. Het College gaat voorts voorbij aan de Guideline van ENISA over artikel 4 van Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (e-Privacyrichtlijn), nu deze dateert van na het bestreden besluit.

5.1

KPN betoogt voorts dat de Rechtbank ten onrechte heeft geoordeeld dat sprake is van een “verstrekkende” inspanningsverplichting. Volgens KPN is een adequate beveiliging afdoende.

5.2

Met partijen is het College van oordeel dat de zorgplicht die is neergelegd in artikel 11.3 van de Tw een inspanningsverplichting is. Het College gaat voorbij aan de beantwoording van de vraag of deze inspanningsverplichting verstrekkend is, omdat, zoals blijkt uit het navolgende, ook indien dit niet zo is, KPN niet aan de zorgplicht heeft voldaan.

6.1

Volgens KPN blijkt uit de parlementaire geschiedenis bij artikel 13 van de Wbp en de Europeesrechtelijke context dat voor de beoordeling van de zorgplicht relevant is wat de aard van de persoonsgegevens is, en met name of deze gevoelig zijn of niet. KPN meent bovendien dat ten onrechte niet bij de beoordeling is betrokken wat de (nadelige) gevolgen zijn geweest voor de persoonlijke levenssfeer ten gevolge van de geconstateerde organisatorische en technische gebreken in de beveiliging.

6.2

Het College overweegt als volgt. Zoals hierboven onder randnummer 4.2 al is besproken, vormen de artikelen 11.2 en 11.3 van de Tw een aanvulling op artikel 13 van de Wbp. Dat betekent dat wat geldt voor artikel 13 van de Wbp niet onverkort van toepassing is voor de uitleg van artikel 11.2 en 11.3 van de Tw. Het College stelt vast dat de reikwijdte van de Wbp ruim is, zodat het in de rede ligt bij de beoordeling van de zorgplicht de aard van de persoonsgegevens te betrekken. Artikel 11.2 en 11.3 van de Tw hebben echter uitsluitend betrekking op de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers op het netwerk. Het College overweegt daarnaast dat ook volgens de uitgangspunten van KPN sprake is van een schadelijke inbreuk. Blijkens het onderzoeksrapport (p. 29) bevatten de in geding zijnde servers in het ISP-domein gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Ook blijkt dat de hacker toegang had tot deze gegevens. Het gevolg hiervan had – gelet op de gegevens op de servers – bijvoorbeeld identiteitsfraude kunnen zijn. Dat de hacker de gegevens niet daadwerkelijk heeft gecompromitteerd, doet daaraan niet af. Voor zover KPN meent dat de zorgplicht van artikel 11.2 en artikel 11.3, eerste lid, van de Tw (pas) is overtreden indien vaststaat dat daadwerkelijk schade voor de persoonlijke levenssfeer van de abonnees ten gevolge van de hack is ontstaan, volgt het College dat standpunt niet. Het doel van de zorgplicht is immers dat zoveel mogelijk wordt voorkomen dat een inbreuk op de persoonlijke levenssfeer plaatsvindt. Het betoog faalt daarom.

7.1

KPN betoogt dat ACM bij haar onderzoek in ieder geval de maatregelen genoemd in het nieuwe tweede lid van artikel 4 van de e-Privacyrichtlijn had moeten betrekken en beroept zich daarbij op rechtstreekse werking.

7.2

Het College overweegt dat ingevolge artikel 4, eerste lid, van de richtlijn Burgerrechten artikel 4, tweede lid van de e‑Privacyrichtlijn op uiterlijk 25 mei 2011 omgezet had moeten zijn in nationaal recht. Bij wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen (Stb. 2012, 235), is artikel 4, tweede lid, van de e‑Privacyrichtlijn als volgt geïmplementeerd in de Telecommunicatiewet:

“Artikel 11.3, tweede lid (nieuw) van de Tw
De maatregelen als bedoeld in het eerste lid omvatten in elk geval:
a. waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens,
b. de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en
c. de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens.”

7.3

Het College stelt vast dat deze bepaling een niet-limitatieve opsomming bevat van maatregelen die KPN als normadressaat ten minste had moeten treffen. Al om die reden komt het College niet toe aan de beoordeling van het beroep op rechtstreekse werking. Daarnaast overweegt het College dat het onderzoek van ACM, gelet op wat is overwogen in 1.2, de maatregelen van artikel 11.3, tweede lid, van de Tw in ieder geval deels heeft omvat. Deze grond faalt derhalve.

8.1

KPN betoogt dat de rechtbank ten onrechte heeft overwogen dat het onderzoek van ACM niet te beperkt is geweest, gelet op de vijf beveiligingsonderwerpen die ACM heeft onderzocht.

8.2

Het College overweegt als volgt. ACM heeft zich bij haar onderzoek gericht op de volgende vijf beveiligingsonderwerpen: het opzetten en het handhaven van beveiligingsbeleid, netwerkinrichting, afscherming, netwerk- en systeembewaking en patchmanagement. Deze onderwerpen zijn in de vakliteratuur wereldwijd erkende beveiligingsonderwerpen. ACM heeft aldus aangehaakt bij hetgeen volgens de algemene standaarden binnen het vakgebied van informatiebeveiliging in algemene zin wordt gezien als de minimaal noodzakelijke maatregelen die een organisatie, die zich bedient van netwerken en systemen die in verbinding staan met het internet, moet treffen om de daarin voorkomende persoonsgegevens naar behoren te beschermen. ACM heeft voldoende gemotiveerd dat de toetsing aan deze vijf onderwerpen met betrekking tot de informatiebeveiliging redelijk en voorzienbaar is. Deze grond faalt daarom.

9.1

KPN betoogt dat artikel 11.3, eerste lid, van de Tw voorschrijft dat rekening moet worden gehouden met de stand der techniek en dat dat impliceert dat ACM een vergelijking had moeten maken met de mate van beveiliging die andere aanbieders hanteren. ACM had daarom voor de bepaling van de stand der techniek haar onderzoek niet mogen baseren op (beperkt) literatuuronderzoek, maar had (ook) moeten onderzoeken wat de mate van beveiliging bij andere aanbieders was. Door dit na te laten, heeft ACM volgens KPN gehandeld in strijd met het gelijkheidsbeginsel.

9.2

Het College overweegt als volgt. Uit de parlementaire geschiedenis volgt dat de wetgever voor ogen heeft gehad dat iedere aanbieder belast is met een afweging tussen het veiligheidsrisico enerzijds en het beveiligingsniveau anderzijds, waarbij de aanbieder rekening moet houden met de stand van de techniek en de kosten van de uitvoering. Artikel 11.3, eerste lid, van de Tw geeft zodoende de nodige vrijheid. Het stelt aanbieders in staat diverse netwerken en diensten met elkaar te laten concurreren op het punt van de beveiliging (Memorie van Toelichting, Kamerstukken II 1996/1997, 25 533, nr. 3, pagina 119). In dat licht is een vergelijking met andere aanbieders niet aan de orde. Het College stelt vast dat ACM heeft gekeken naar wat in de wereld van informatievoorziening als minimaal noodzakelijke maatregelen worden gezien. ACM heeft zich daarbij gebaseerd op NEN‑normen en op vakliteratuur op het gebied van informatiebeveiliging. Ter zitting heeft ACM toegelicht dat bewust niet is uitgegaan van de meest recente informatie, omdat daarmee de eisen die aan KPN zouden worden gesteld te hoog zouden zijn. Het College acht de door ACM gehanteerde uitgangspunten niet onjuist. Deze beroepsgrond faalt daarom.

10.1

KPN heeft aangevoerd dat ACM haar geen boete had mogen opleggen omdat zij geen aanbieder is in de zin van artikel 11.2 van de Tw en dat de zorgplicht in de zin van artikel 11.2 en artikel 11.3, eerste lid, van de Tw daarom niet op haar van toepassing is. ACM heeft onderzoek gedaan op het ISP Infradomein van KPN. Dit netwerk is volgens KPN onderdeel van het interne bedrijfsnetwerk van KPN. Bovendien heeft ACM niet onderzocht of aangetoond dat de persoonsgegevens die zich ten tijde van belang op het ISP Infradomein bevonden, werden verwerkt in verband met de levering van elektronische communicatiediensten over openbare communicatienetwerken.

10.2

Het College overweegt als volgt. De zorgplicht in de zin van artikel 11.3, eerste lid van de Tw is ingevolge artikel 11.2 van de Tw van toepassing op de aanbieder van een openbaar elektronisch communicatienetwerk en op de aanbieder van een openbare elektronische communicatiedienst in de zin van de Tw. ACM heeft onderzocht en vastgesteld dat de door KPN aangeboden diensten KPN-mail, Resolving, Internet en MISP geheel of hoofdzakelijk bestaan in het overbrengen van signalen via elektronische communicatienetwerken en dat dit soort diensten gewoonlijk tegen vergoeding wordt aangeboden. De diensten zijn beschikbaar voor het publiek, zodat zij vallen onder de definitie van een openbare elektronische communicatiedienst. Deze diensten maken gebruik van het ISP Infradomein van KPN. KPN is dan ook een aanbieder is in de zin van artikel 11.2 van de Tw. De enkele stelling van KPN dat sprake is van een intern bedrijfsnetwerk, is in dit licht onvoldoende om tot een ander oordeel te komen. Voor zover KPN betoogt dat uit artikel 3, eerste lid, van de e-Privacyrichtlijn volgt dat ACM moet aantonen dat de persoonsgegevens die zich op het ISP Infradomein bevonden ten tijde van belang werden verwerkt in verband met de levering van elektronische communicatiediensten over openbare communicatienetwerken en niet vanwege andere doeleinden, faalt haar betoog eveneens. Op grond van artikel 2, aanhef, van de e-Privacyrichtlijn, in samenhang met artikel 2, aanhef en onder b, van de Privacyrichtlijn wordt verstaan onder “verwerking van persoonsgegevens”, hierna “verwerking” te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Niet betwist is dat de persoonsgegevens op het ISP Infradomein ook klantgegevens van de afnemers van bovengenoemde aangeboden diensten betreffen. Niet valt in te zien dat KPN deze gegevens heeft vastgelegd, bewaart, wijzigt en gebruikt met een ander doel dan in verband met de levering van elektronische communicatiediensten aan de betreffende klanten. De beroepsgrond faalt.

11.1

KPN betoogt dat ACM en de rechtbank in wezen KPN hebben voorgeschreven dat KPN vijf specifieke maatregelen moet nemen en dat zij bij gebreke daarvan de zorgplicht schendt. Daarmee is geen acht geslagen op het recht van vrij ondernemerschap, dat is neergelegd in artikel 16 van het Handvest van de grondrechten van de Europese Unie

11.2

ACM heeft meerdere zwakke plekken geconstateerd in de beveiliging. Daarbij wordt KPN echter voldoende ruimte gelaten om (zelf) passende technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door haar aangeboden netwerken en diensten. Het College volgt daarom niet de stelling van KPN dat ACM en de rechtbank ‘in wezen’ KPN hebben voorgeschreven dat KPN vijf specifieke maatregelen moet nemen.

12.1

KPN stelt dat de rechtbank ten onrechte bij haar beoordeling heeft betrokken dat KPN geen centrale coördinatie uitvoerde ter zake van het patchmanagement en dat de HP software gedurende een periode niet is gepatcht.

12.2

Deze grond berust naar het oordeel van het College op een verkeerde lezing van de uitspraak en het besluit, omdat het voeren van een centrale coördinatie van het patchmanagement respectievelijk het uitvoeren van een specifieke HP software patch hierin niet als eis is gesteld. De grond faalt.

13.1

KPN meent voorts dat ACM en de rechtbank bij de beoordeling van de schending van de zorgplicht de beveiligingsmaatregelen die KPN heeft getroffen na de hack ten onrechte niet hebben meegewogen. KPN stelt bovendien dat een zorgvuldige beoordeling van de zorgplicht vereist dat het algehele niveau van beveiliging door ACM had moeten worden beoordeeld. Daarbij hadden ACM en de rechtbank mede de maatregelen die KPN wel had getroffen, moeten betrekken. KPN betoogt voorts dat ACM geen, dan wel onvoldoende onderzoek heeft gedaan naar de kosten van de vereiste maatregelen.

13.2

Het College overweegt dat niet in geding is dat KPN naar aanleiding van de hack maatregelen heeft getroffen. Naar aanleiding hiervan heeft ACM geen schending van de zorgplicht vastgesteld voor onderzoeksperiode II. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. De na de hack getroffen maatregelen kunnen dan ook niet afdoen aan de geconstateerde tekortkomingen in onderzoeksperiode I. KPN heeft voorts niet onderbouwd dat zij met het treffen van de door haar gestelde (andere) organisatorische en technische maatregelen de door ACM geconstateerde knelpunten heeft weggenomen. Daarom heeft ACM deze maatregelen bij zijn oordeel terecht buiten beschouwing gelaten. Nu de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren acht het College, op grond van hetgeen ACM heeft aangevoerd, aannemelijk dat de opheffing van de tekortkomingen niet zodanige kosten met zich brengen dat deze niet in een passende verhouding staan tot het desbetreffende risico. KPN heeft nagelaten voldoende concrete gegevens te overleggen waaruit het tegendeel blijkt. Uit het vorenstaande volgt dat ACM zich terecht op het standpunt gesteld dat KPN de zorgplicht heeft overtreden, zodat de grond faalt.

14.1

KPN betoogt dat de zorgplicht van artikel 11.3, eerste lid, van de Tw een open norm is, die weinig tot geen richting biedt over de invulling daarvan. ACM had eerst beleidsregels op moeten stellen waarbij de zorgplicht nader wordt uitgewerkt. Nu ACM (bewust) geen beleidsregels heeft opgesteld, is het opleggen van een sanctie in strijd met het rechtszekerheidsbeginsel en legaliteitsbeginsel. KPN kon niet voorzien, noch begrijpen, dat haar handelen of nalaten in strijd was met de zorgplicht van artikel 11.3, eerste lid, van de Tw.

14.2

Het College wijst er, onder verwijzing naar het arrest van de Hoge Raad van 31 oktober 2000 (ECLI:NL:HR:2000:AA7954) en de uitspraak van het College van 22 februari 2012
(ECLI:NL:CBB:2012:BV6713), op dat een zekere vaagheid en het gebruik van algemene termen in regelgeving onvermijdelijk kunnen zijn, omdat niet altijd te voorzien is op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, delictsomschrijvingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van de wetgeving schade lijdt.

De wetgever heeft er blijkens de reeds in 9.2 aangehaalde passage uit de Memorie van Toelichting, ten aanzien van de zorgplicht bewust voor gekozen dat aanbieders van een openbaar elektronisch communicatienetwerk en aanbieders van een openbare elektronische communicatiedienst zelf aan de hand van algemeen aanvaarde standaarden bepalen op welke wijze zij binnen hun specifieke infrastructuur optimaal vorm geven aan de zorgplicht. Het betoog van KPN dat ACM beleidsregels had moeten opstellen, strookt dan ook niet met de bedoeling van de wetgever. Uit de aard en de dynamiek van de te regelen materie volgt bovendien dat een dergelijke beleidsregel alvorens deze in werking kan treden, zeer waarschijnlijk al weer zou zijn verouderd. De vereiste up to date kennis wordt van de aanbieders zelf verwacht. Hoewel de wijze waarop aanbieders binnen hun specifieke infrastructuur optimaal vorm kunnen geven aan de zorgplicht voortdurend in ontwikkeling is, betekent dit niet dat de onderhavige overtreding van KPN van de zorgplicht niet voorzienbaar was voor KPN. Ook hier geldt dat ACM bij zijn beoordeling als uitgangspunt heeft gehanteerd wat in de wereld van informatievoorziening als minimaal noodzakelijke maatregelen worden gezien. KPN kon en moest hiervan op de hoogte zijn. Het betoog faalt daarom.

15. KPN heeft het College in overweging gegeven prejudiciële vragen te stellen over de invulling van de zorgplicht. Het College ziet hiertoe geen aanleiding, omdat er, gelet op het voren overwogene, redelijkerwijs geen twijfel bestaat over de beantwoording van de vraag of het handelen van KPN moet worden aangemerkt als een overtreding van de zorgplicht.

16.1

Ten aanzien van de boete stelt KPN primair dat ACM deze niet had mogen opleggen, maar eerst een waarschuwing had moeten geven. KPN betoogt subsidiair dat de boete niet evenredig is in verhouding met de geconstateerde overtreding en dat de boete dient te worden gematigd naar aanleiding van de door KPN aangevoerde beroepsgronden.

16.2

Uit overweging 13.2 volgt dat KPN artikel 11.3, eerste lid, juncto 11.2 van de Tw heeft overtreden. Ingevolge artikel 15.4, vierde lid, juncto artikel 15.1, derde lid van de Tw is ACM bevoegd een boete op te leggen van ten hoogste € 450.000. Met betrekking tot de vraag of ACM bij afweging van de betrokken belangen in redelijkheid van zijn bevoegdheid gebruik heeft kunnen maken, overweegt het College dat ACM niet verplicht is eerst een waarschuwing te geven. Het College ziet in dit geval geen aanleiding te oordelen dat ACM eerst een waarschuwing zou moeten hebben geven. Ook zijn het College geen feiten of omstandigheden gebleken op grond waarvan ACM bij afweging van de betrokken belangen niet in redelijkheid van zijn bevoegdheid tot het opleggen van een boete gebruik heeft kunnen maken. Van bijzondere omstandigheden die leiden tot het oordeel dat ACM het bedrag van de boete had behoren te matigen, is het College in deze zaak evenmin gebleken. Het College volgt KPN niet in haar standpunt dat uit artikel 15bis van de e-Privacyrichtlijn volgt dat een sanctie in het geval dat de overtreding is beëindigd slechts bij uitzondering dient te worden opgelegd. Uit de betreffende bepaling volgt slechts dat het beëindigen van de overtreding niet in de weg staat aan het opleggen van een sanctie. Nu voor KPN voldoende duidelijk was waaraan zij moest voldoen, ziet het College ook in het ontbreken van beleidsregels geen grond voor het oordeel dat ACM had moeten afzien van het opleggen van een boete of de boete had moeten matigen. Het College stelt voorts vast dat de hack weliswaar niet heeft geleid tot daadwerkelijke schade bij gebruikers en dat KPN zodra de hack haar bekend is geworden maatregelen heeft getroffen, maar dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Onder deze omstandigheden acht het College de aan KPN opgelegde boete evenredig aan de aard en ernst van de overtreding. De grond faalt.

17. Daargelaten of hetgeen KPN ter zitting heeft aangevoerd, tijdig is aangevoerd, bevat het geen elementen die niet bij de bespreking van de gronden aan de orde zijn geweest of die bij de beoordeling van de zorgplicht van belang zijn.

19. Gelet op het voorgaande is het hoger beroep ongegrond. De aangevallen uitspraak komt voor bevestiging in aanmerking.

20. Voor een proceskostenveroordeling bestaat geen aanleiding.

Beslissing

Het College bevestigt de aangevallen uitspraak.

Deze uitspraak is gedaan door mr. H.O. Kerkmeester, mr. M. van Duuren en mr. H.B. van Gijn, in aanwezigheid van mr. S.M.M. Bolt-Hulsen, griffier. De beslissing is in het openbaar uitgesproken op 16 november 2016.

w.g. H.O. Kerkmeester w.g. S.M.M. Bolt-Hulsen