ECLI:NL:RBROT:2015:22

Rechtbank Rotterdam

Datum uitspraak
8 januari 2015
Publicatiedatum
5 januari 2015
Zaaknummer
ROT 14-4779
Instantie
Rechtbank Rotterdam
Type
Uitspraak
Rechtsgebied
Bestuursrecht
Uitkomst
Afwijzend
Procedures
  • Eerste aanleg - meervoudig
Rechters
Vindplaatsen
  • Rechtspraak.nl
Aangehaalde wetgeving Pro
Art. 11.2 TelecommunicatiewetArt. 11.3 lid 1 TelecommunicatiewetArt. 15.1 TelecommunicatiewetArt. 15.4 TelecommunicatiewetArt. 18.7 lid 3 Telecommunicatiewet
AI samenvatting door LexboostAutomatisch gegenereerd

Bevestiging bestuurlijke boete ACM wegens onvoldoende beveiligingsmaatregelen en overtreding zorgplicht Telecommunicatiewet

In januari 2012 werd bekend dat een hacker had ingebroken in het netwerk van eiseres, aanleiding voor ACM om een onderzoek te starten naar de naleving van de zorgplicht uit artikel 11.3 lid 1 in verbinding met artikel 11.2 van de Telecommunicatiewet. ACM concludeerde dat eiseres in de periode september 2010 tot en met 15 januari 2012 onvoldoende passende technische en organisatorische maatregelen had getroffen ter bescherming van persoonsgegevens en de persoonlijke levenssfeer van abonnees en gebruikers.

De rechtbank oordeelt dat de zorgplicht een verstrekkende inspanningsplicht inhoudt en dat ACM deze terecht heeft uitgelegd als een inspanningsverplichting en niet als een resultaatsverplichting. ACM heeft zich gericht op vijf essentiële onderwerpen binnen het beveiligingsbeleid, waaronder netwerkinrichting en patchmanagement, en constateerde meerdere kwetsbaarheden. Eiseres heeft deze tekortkomingen niet voldoende weersproken.

De rechtbank wijst het betoog van eiseres af dat ACM onvoldoende rekening heeft gehouden met de maatregelen die na het incident zijn genomen en dat de boete te hoog is. De boete is gebaseerd op de ernst van de overtreding, de verwijtbaarheid van eiseres en het feit dat een intern onderzoek niet tijdig aan ACM is verstrekt. De rechtbank bevestigt dat de boete binnen de beleidsvrijheid van ACM valt en dat de openbaarmaking van het besluit rechtmatig is.

Het beroep wordt ongegrond verklaard en een proceskostenveroordeling wordt niet opgelegd.

Uitkomst: Het beroep van eiseres wordt ongegrond verklaard en de bestuurlijke boete van €364.000 wordt bevestigd.

Uitspraak

Rechtbank Rotterdam

Team Bestuursrecht 1
zaaknummer: ROT 14/4779

uitspraak van de meervoudige kamer van 8 januari 2015 in de zaak tussen

[Naam], te [plaats], eiseres,

gemachtigden: mr. Chr. A. Alberdink Thijm en mr. D.M. Linders,
en

Autoriteit Consument & Markt (ACM), verweerster,

gemachtigden: mr. P.J. Schnezler, mr. R. Rodenrijs, mr. M.P. Man en drs. J. Morriën.

Procesverloop

Bij besluit van 13 juni 2014 (het bestreden besluit) heeft ACM het bezwaar van eiseres tegen het besluit van 16 december 2013, dat strekt tot de oplegging van een bestuurlijke boete aan eiseres van € 364.000,- wegens overtreding van artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Telecommunicatiewet (Tw), ongegrond verklaard. Voorts heeft ACM bij het bestreden besluit het bezwaar van eiseres tegen het besluit van 14 februari 2014, dat strekt tot openbaarmaking van een geschoonde versie van het besluit van 16 december 2013 ten dele gegrond verklaard, met dien verstande dat zij heeft besloten enkele passages in het besluit van 16 december 2013 alsnog als vertrouwelijk aan te merken en die niet openbaar te maken.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft – achter gesloten deuren – plaatsgevonden op 29 oktober 2014. Partijen hebben zich laten vertegenwoordigen door hun gemachtigden. Verschenen is verder prof. mr. dr. J.M. Smits (Smits), die door eiseres als deskundige is ingeschakeld.
Voorts zijn van de zijde van eiseres verschenen [Naam], [Naam],[Naam], [Naam] en [Naam], allen werkzaam bij eiseres.

Overwegingen

1.1.
In januari 2012 werd bekend dat een hacker had ingebroken in het netwerk van eiseres (het incident). Deze hack was voor ACM aanleiding om een onderzoek in te stellen naar de wijze waarop eiseres invulling gaf aan de op haar rustende wettelijke zorgplicht ten aanzien van de beveiliging van de persoonsgegevens die in haar systemen zijn opgeslagen. Dit onderzoek heeft geresulteerd in een onderzoeksrapport van 22 juli 2013. In het kader van het onderzoek heeft ACM bij brief van 29 februari 2012 op grond van artikel 18.7 van de Tw inlichtingen gevorderd van eiseres, waaraan binnen tien werkdagen diende te worden voldaan. Op 14 maart 2012 heeft eiseres een deel van de gevorderde informatie op een USB-stick aangeleverd. Bij brief van 8 maart 2013 heeft eiseres – in reactie op een latere informatievordering van ACM – documentatie ter zake van een intern onderzoek (de rapportage op basis van het intern onderzoek) aan ACM verstrekt.
1.2.
In het onderzoeksrapport heeft de directeur van de Directie Consumenten van ACM geconstateerd dat eiseres niet heeft voldaan aan de zorgplicht die op grond van artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Tw op haar rust, omdat zij in de periode september 2010 tot en met 15 januari 2012 (onderzoeksperiode I) onvoldoende passende, hoofdzakelijk organisatorische, maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees (en gebruikers). Bedoelde maatregelen betreffen de onderwerpen: het opzetten en het handhaven van beveiligingsbeleid, netwerkinrichting, afscherming, netwerk- en systeembewaking en patchmanagement. Ten aanzien van de periode kort na de hack, te weten de periode van 16 januari 2012 tot en met tot 15 maart 2012 (door ACM aangeduid als onderzoeksperiode II) heeft de directeur Consumenten in het onderzoeksrapport geconstateerd dat eiseres diverse maatregelen heeft getroffen in lijn met haar eigen procedures. In het rapport wordt ten aanzien van deze periode dan ook geen overtreding van artikel 11.3, eerste lid, van de Tw geconstateerd. Daarnaast heeft de directeur Consumenten in het onderzoeksrapport – voor zover thans nog van belang – geconstateerd dat eiseres artikel 18.7, derde en vijfde lid, van de Tw heeft overtreden. ACM heeft bij haar informatievordering op 29 februari 2012 eiseres verzocht om een volledig overzicht te geven van de geplande, nog door haar vanaf die datum op te stellen, rapporten, documentatie, tussenrapportages, bevindingen, presentaties, terugkoppelingen en gespreksverslagen. Gebleken is dat eiseres de rapportage op basis van het intern onderzoek van 15 maart 2012 niet onverwijld, dan wel binnen de door ACM gestelde termijn, heeft verstrekt en evenmin het bestaan ervan heeft gemeld in haar reactie op die informatievordering.
1.3.
ACM is tot de conclusie gekomen dat eiseres gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische, maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. Eiseres heeft daarmee niet voldaan aan de op haar rustende zorgplicht van artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Tw. Ten aanzien van onderzoeksperiode II heeft ACM geen aanleiding gezien om het handelen van eiseres in onderzoeksperiode II aan te merken als een overtreding van artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Tw. ACM is wel van mening dat eiseres artikel 18.7, derde lid, in verbinding met artikel 18.7, vijfde lid, van de Tw heeft overtreden. Zij heeft daarvoor een boete van in totaal € 364.000,- opgelegd.
1.4.
ACM heeft overwogen dat zij bij de vaststelling van de hoogte van de boete op grond van artikel 5:46, tweede lid, van de Awb in ieder geval rekening houdt met de ernst van de overtreding alsmede met de verwijtbaarheid van de overtreder. ACM heeft overeenkomstig hoofdstuk 4 van de Beleidsregels van de minister van Economische Zaken voor het opleggen van bestuurlijke boetes door de ACM (de Boetebeleidsregels) de ernst van de overtreding bepaald door eerst de zwaarte van de overtreding in abstracto te bezien en deze daarna in het licht van de economische context en de bijzondere omstandigheden van het geval. ACM is van mening dat sprake is van een zeer groot aantal betrokken abonnees en gebruikers (minstens 2 miljoen). ACM heeft overwogen dat misbruik van de elektronisch opgeslagen persoonsgegevens van abonnees en gebruikers had kunnen leiden tot aanzienlijk schade bij leden van die groep. Tevens meent ACM dat het geschonden belang in dit geval van zwaarwegende aard is, omdat de bescherming van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers raakt aan de fundamentele rechten en vrijheden van natuurlijke personen en de rechtmatige belangen van rechtspersonen. De in die sfeer aangerichte schade is vaak onomkeerbaar. Op grond daarvan heeft ACM deze overtreding als ernstig aangemerkt. Dit indiceert een boete van maximaal € 300.000,-. De omstandigheid dat over onderzoeksperiode II geen overtreding wordt vastgesteld, doet volgens ACM geen afbreuk aan de ernst van de in onderzoeksperiode 1 geconstateerde overtreding.
1.5.
ACM is verder van mening dat eiseres bewust het risico heeft genomen om de kwetsbaarheid in de beveiliging van het netwerk, die door bepaalde software is veroorzaakt, niet weg te nemen. Op 13 december 2011 werd namelijk ontdekt dat de website van een dochteronderneming was gehackt via diezelfde software, waarvan eiseres op de hoogte is gesteld. Eiseres heeft vervolgens nagelaten om maatregelen te treffen om de kwetsbaarheden in de software te verhelpen. Deze kwetsbaarheden zijn (mede) de oorzaak geweest van de hack die op 15 januari 2012 heeft plaatsgevonden. Daarnaast is eiseres er in 2009 al op gewezen dat het houden van penetratietesten was aan te bevelen, welke aanbeveling eiseres niet heeft opgevolgd. Bovendien had eiseres de beschikking over scansoftware, maar heeft zij rond 2008/2009 besloten deze software niet meer te gebruiken. Gelet hierop acht ACM de overtreding volledig verwijtbaar en rekent ACM deze toe aan eiseres. De periode waarin de overtredingen zijn begaan betreft ruim anderhalf jaar, namelijk van september 2010 tot en met 15 januari 2012. ACM is van mening dat eiseres gedurende deze periode structureel geen of onvoldoende maatregelen heeft getroffen om te voldoen aan de op haar rustende zorgplicht om persoonsgegevens voldoende te beschermen. Gelet hierop heeft ACM de basisboete in dit geval vastgesteld op € 280.000. Eiseres heeft verder in strijd gehandeld met artikel 18.7, derde lid, in verbinding met artikel 18.7, vijfde lid, van de Tw, door het bestaan van een cruciaal intern onderzoek (het interne onderzoek), in reactie op de informatievordering van 29 februari 2012 niet te melden aan ACM. ACM heeft deze overtreding in dit geval aangemerkt als een boeteverhogende omstandigheid en daarin aanleiding gezien de basisboete met 30% te verhogen, hetgeen resulteert in een boetebedrag van € 364.000,-.
2. De rechtbank stelt bij haar beoordeling voorop dat de algemeen geformuleerde stelling van eiseres dat zij de rechtbank verzoekt haar standpunten en bezwaren tegen het besluit van 16 december 2013 als herhaald en ingelast te beschouwen – zonder daarbij aan te geven in welk opzicht, in haar visie, de reactie van ACM in het bestreden besluit ontoereikend was – onvoldoende is om te spreken van een beroepsgrond waar de rechtbank op dient in te gaan (zie ABRvS 11 april 2012, ECLI:NL:RVS:2012:BW1591 en CBb 31 mei 2012, ECLI:NL:CBB:2012:BW7462).
3. Eiseres betoogt dat ACM ten onrechte een overtreding van artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Tw heeft aangenomen, omdat ACM bij de uitleg van deze bepalingen ten onrechte uitgaat van een resultaatsverplichting, ACM niet in haar beoordeling betrekt dat eiseres direct afdoende maatregelen heeft genomen na het incident en ACM bij de concrete invulling van de zorgplicht een aantal principiële fouten heeft gemaakt inzake beveiligingsonderwerpen. Voor zover de boete al mocht worden opgelegd, betoogt eiseres dat de boete te hoog is. Eiseres heeft in dit verband het volgende aangevoerd.
3.1.
ACM had volgens eiseres moeten onderzoeken of eiseres een passend niveau van beveiliging bood, hetgeen duidt op een inspanningsplicht. De enkele omstandigheid dat bestanden zijn gehackt, is daarom onvoldoende grondslag om een overtreding van deze zorgplicht vast te kunnen stellen. Bij de vraag of eiseres haar zorgplicht heeft betracht had ACM volgens eiseres dan ook acht moeten slaan op de maatregelen die zij heeft genomen direct na het incident. Zij wijst in dit verband op het vrijwel gelijkluidende artikel 13 van Pro de Wet bescherming persoonsgegevens (Wbp) en de door het College bescherming persoonsgegevens (CBP) opgestelde richtsnoeren, die veronderstellen dat beveiligingsincidenten plaatsvinden. Voorts wijst eiseres in dit verband op artikel 13bis, eerste lid, van de Kaderrichtlijn 2002/21/EG (Kaderrichtlijn) en op de ontwerprichtlijn netwerk- en informatiebeveiliging (COM (2013) 48 final).
3.2.
ACM heeft volgens eiseres in het kader van het onderzoek naar de stand van de techniek uitsluitend literatuuronderzoek gedaan, terwijl volgens eiseres vooral de praktijk bij vergelijkbare dienstverleners relevant is. Eiseres heeft er daarbij op gewezen dat de door ACM geraadpleegde literatuur, behoudens CISSP All-in-One Exam Guide uit 2010, verouderd is. In dit verband stelt eiseres voorts dat door ACM ten onrechte alleen is gekeken naar een bepaald deel van het netwerk van eiseres en dat ten onrechte niet in de beoordeling is betrokken dat eiseres dagelijks 26.000 aanvallen op haar systemen succesvol afweert. In dit verband heeft eiseres voorts een opinie overgelegd van Smits waarin wordt gesteld dat ACM in strijd met artikel 13bis, vierde lid, van de Kaderrichtlijn heeft gehandeld door in haar onderzoek geen rekening te houden met de stand van het beveiligingsbeleid van de EU-organisatie het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA).
3.3.
Met betrekking tot hetgeen ACM heeft onderzocht heeft eiseres nog het volgende aangevoerd. ACM stelt met betrekking tot het beveiligingsbeleid ten onrechte de eisen dat het beleid centraal wordt belegd, dat verantwoordelijkheden voor het beleid niet worden verschoven en dat het beveiligingsbeleid noodzakelijkerwijs herzien moet worden na een periodieke evaluatie. Met betrekking tot de netwerkinrichting stelt ACM ten onrechte als norm dat zekerheidshalve geen publieke Internet Protocol-adressen (IP-adressen) gebruikt mogen worden in bepaalde delen van het netwerk van eiseres omdat het anders vrijwel onmogelijk is een volledig betrouwbare afsluiting te realiseren. ACM vereist hier ten onrechte een 100% garantie van betrouwbaarheid, terwijl routering of filtering volgens eiseres goede alternatieve vormen om te zorgen dat IP-adressen niet rechtstreeks vanuit internet benaderbaar zijn. Verder heeft ACM ten onrechte het standpunt ingenomen dat eiseres de beveiligingsmaatregel van patchmanagement niet heeft uitgevoerd nu er een actief patchbeleid was. Bovendien zou patchmanagement door ACM ten onrechte tot een op zichzelf staand doel zijn verheven. Verder heeft Smits in zijn opinie nog opgemerkt dat het “indraaien” van een patch vanwege de handmatigheid vaak arbeidsintensief is, dat in de meeste gevallen het computerprogramma moet worden gestopt en herstart om de patch actief te maken en soms het hele systeem moet worden gereboot en dat een patch zelf ook storingen kan veroorzaken.
3.4.
Eisers beoogt over de hoogte van de boete dat ACM de overtreding ten onrechte als ernstig heeft beoordeeld omdat er uiteindelijk geen persoonsgegevens zijn onttrokken en dat onvoldoende is meegewogen dat eiseres direct maatregelen heeft genomen.
4. De rechtbank komt met betrekking tot de vraag of artikel 11.3, eerste lid, van de Tw door eiseres is overtreden tot de volgende beoordeling.
4.1.
Artikel 4 van Pro de Richtlijn 2002/58/EG (de e-Privacyrichtlijn) luidt:
“1. De aanbieder van een openbare elektronische-communicatiedienst treft passende technische en organisatorische maatregelen om de veiligheid van zijn diensten te garanderen, indien nodig in overleg met de aanbieder van het openbare communicatienetwerk wat de veiligheid van het netwerk betreft. Die maatregelen waarborgen een beveiligingsniveau dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van uitvoering ervan.
(…).”
4.2.
Artikel 11.2 van de Tw luidt:
“Onverminderd de Wet bescherming persoonsgegevens en het overigens bij of krachtens deze wet bepaalde dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk, onderscheidenlijk zijn dienst.”
Artikel 11.3 van de Tw luidt:
“1. De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.
(…)”
4.3.
Vaststaat dat eiseres een aanbieder is in de zin van artikel 1.2 van de Tw, zodat op haar artikel 11.3, eerste lid, van de Tw van toepassing is. Anders dan eiseres betoogt, heeft ACM de uit artikel 11.3, eerste lid, in verbinding met artikel 11.2 van de Tw voortvloeiende zorgplicht van eiseres niet uitgelegd als een resultaatsverplichting maar als een verstrekkende inspanningsplicht. Deze uitleg acht de rechtbank juist, gelet op met name de tweede volzin van het tweede lid van artikel 11.3, eerste lid, van de Tw. Deze luidt: “De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.” Gelet op de daarin voorkomende term “garanderen” in combinatie met de term “passend” betreft het een zorgplicht die een verstrekkende inspanningsplicht inhoudt. Deze uitleg is in overeenstemming met de tekst van artikel 4, eerste lid, van de e-Privacyrichtlijn, die is geïmplementeerd met artikel 11.3, eerste lid, van de Tw. Het is aan eiseres om bij het treffen van technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door haar aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers inhoud te geven aan deze zorgplicht.
4.4.
De stelling, dat ACM haar oordeel dat deze zorgplicht niet is nageleefd enkel heeft gebaseerd op het incident, is niet juist. Wel vormde het incident aanleiding voor ACM tot het verrichten van onderzoek naar naleving van de hiervoor bedoelde zorgplicht.
4.5.
ACM heeft zich bij haar onderzoek gericht op de vraag hoe het incident heeft kunnen plaatsvinden en heeft zich daarbij gericht op vijf onderwerpen: het opzetten en het handhaven van beveiligingsbeleid, netwerkinrichting, afscherming, netwerk- en systeembewaking en patchmanagement. Naar het oordeel van de rechtbank heeft ACM toereikend gemotiveerd dat deze onderwerpen essentieel zijn voor een goed veiligheidsbeleid. Het onderzoek is daarmee niet te beperkt, zolang in ogenschouw wordt genomen dat een mogelijke tekortkoming bij één van de genoemde onderwerpen kan worden opgeheven door adequate tegenmaatregelen die het risico op inbreuken zodanig beperken dat sprake blijft van een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.
De adviezen van ENISA als bedoeld in artikel 13bis, vierde lid, van de Kaderrichtlijn leiden niet tot het oordeel van ACM een onjuiste keuze van onderzoeksonderwerpen heeft gemaakt. Nog daargelaten dat de ENISA-adviezen bestemd zijn voor de Europese Commissie en aldus geen rechtstreekse betekenis voor ACM hebben, stelt de rechtbank vast dat het in deze zaak aan de orde zijnde artikel 11.3, eerste lid, van de Tw de implementatie van artikel 4 van Pro de e-Privacyrichtlijn behelst. Uit die richtlijn volgt niet op welke wijze lidstaten onderzoek dienen te verrichten naar de naleving van het in het nationale recht omgezette artikel 4 van Pro de e-Privacyrichtlijn.
4.6.
Bij de vraag hoe het incident heeft kunnen plaatsvinden heeft ACM diverse kwetsbaarheden geconstateerd op de onderwerpen netwerkinrichting, afscherming, netwerk- en systeembewaking en patchmanagement. Deze tekortkomingen zijn ook naar voren gekomen uit eigen onderzoek van eiseres. De audit in het interne onderzoek heeft belangrijke kwetsbaarheden ten aanzien van een bepaald deel van het netwerk geconstateerd: decentraal/onvolledig patchmanagement, het ontbreken van een adequate Configuratie Management Database, decentrale/ineffectieve logging en monitoring procedures en onvoldoende toepassing van basisprincipes voor netwerk- en security architectuur. In beroep heeft eiseres de geconstateerde kwetsbaarheden van ACM feitelijk niet weersproken, maar nuanceringen aangebracht bij drie van de vijf beveiligingsonderwerpen.
4.7.
De rechtbank neemt bij haar beoordeling in aanmerking dat ACM met betrekking tot de netwerkinrichting niet maatgevend heeft geacht dat publieke IP-adressen werden gebruikt in bepaalde netwerkdelen , maar dat die omstandigheid tezamen met het niet of in onvoldoende mate nemen van maatregelen op het gebied van andere beveiligingsonderwerpen, zoals afschermingsmaatregelen, wel een verhoogd risico heeft gecreëerd met betrekking tot het toegankelijk worden van de betrokken systemen via het internet. Niet weersproken is dat eiseres de indeling van haar beveiligingszones niet heeft nageleefd en haar netwerkbeheer niet op orde had. Voorts is niet weerlegd dat eiseres ten tijde in geding geen centrale coördinatie uitvoerde ter zake van patchmanagement, dat werkzaamheden met betrekking tot het vinden van kwetsbaarheden slechts voor een deel van het door ACM in het onderzoek centraal gestelde deel van het netwerk is uitgevoerd en dat de in rechtoverweging 1.5 genoemde software gedurende een periode niet is gepatcht.
4.8.
Het feit dat ACM niet heeft onderzocht welke maatregelen vergelijkbare dienstverleners hebben getroffen, maakt het onderzoek van ACM niet onzorgvuldig. Naar het oordeel van de rechtbank is voor de vraag naar uitleg en strekking van de van toepassing zijnde zorgplicht van eiseres niet maatgevend welke maatregelen derden hebben getroffen. Dat ACM beperkt literatuuronderzoek heeft verricht doet aan het voorgaande evenmin af.
4.9.
Het betoog van eiseres dat ACM bij de vraag of eiseres heeft voldaan aan haar zorgplicht, acht had moeten slaan op de maatregelen die zij heeft genomen direct na het incident, volgt de rechtbank niet. Anders dan artikel 13bis, eerste lid, van de Kaderrichtlijn, bevat de zorgplicht die is neergelegd in artikel 4, eerste lid, van de e-Privacyrichtlijn - en die zoals hiervoor is aangegeven is geïmplementeerd in artikel 11.3, eerste lid, van de Tw - niet mede het nemen van “maatregelen (…) om de impact van veiligheidsincidenten op gebruikers en onderling verbonden netwerken zo laag mogelijk te houden”. Ook het beroep dat eiseres doet op artikel 13 van Pro de Wbp gaat niet op. Artikel 11.3, eerste lid, van de Tw is een bijzondere wettelijke bepaling die voorrang heeft boven artikel 13 van Pro de Wbp, hetgeen volgt uit de zinsnede “Onverminderd de Wet bescherming persoonsgegevens” in artikel 11.2 van de Tw. Aan de richtsnoeren van het CBP komt in dit verband dus niet de betekenis toe die eiseres daaraan hecht. Ook de door eiseres genoemde ontwerprichtlijn netwerk- en informatiebeveiliging brengt een succesvol beroep niet dichterbij. De rechtbank wijst er op dat ook die ontwerprichtlijn geen wijzigingen met zich zal brengen op het gebied van bescherming van persoonsgegevens en de persoonlijke levenssfeer als hier aan de orde. De rechtbank wijst bovendien met ACM op de omstandigheid dat artikel 11.3a, derde lid, van de Tw ziet op herstelmaatregelen na een incident. Dit derde lid, dat ACM niet overtreden heeft geacht, betreft een afzonderlijke normstelling.
4.10.
Met ACM is de rechtbank van oordeel dat de tekortkomingen in samenhang bezien moeten leiden tot het oordeel dat eiseres tekort is geschoten in haar zorgplicht. De rechtbank neemt hierbij in aanmerking dat niet aannemelijk is geworden dat de opheffing van de tekortkomingen zodanige technische inspanningen en kosten met zich brengen dat die niet in een passende verhouding staan tot het desbetreffende risico en dat evenmin is gebleken dat destijds de stand van de techniek zodanig was dat de risico’s niet konden worden vermeden.
4.11.
Uit het voorgaande volgt dat eiseres artikel 11.3, eerste lid, van de Tw heeft overtreden.
5. Met betrekking tot de boeteoplegging komt de rechtbank tot het volgende oordeel.
5.1.
Uit artikel 15.4 in verbinding met artikel 15.1 van de Tw volgt dat ACM in dit geval een bestuurlijke boete kan opleggen van ten hoogste € 450.000,-.
5.2.
Eiseres betoogt, dat indien sprake is van enige overtreding, in aanmerking genomen moet worden dat eiseres direct maatregelen heeft genomen en dat de gevolgen van het incident voor de klanten van eiseres beperkt zijn gebleven en ten aanzien van hun persoonsgegevens nihil waren, zodat ACM niet in redelijkheid van haar boetebevoegdheid gebruik heeft kunnen maken. Voorts stelt eiseres zich op het standpunt dat analoge toepassing van beleid niet passend is bij een eerste overtreding.
5.3.
Naar het oordeel van de rechtbank is ACM op goede gronden tot de conclusie gekomen dat sprake is van een ernstige overtreding, die eiseres – mede gelet op een eerder incident bij een dochteronderneming – ten volle is te verwijten. De rechtbank is van oordeel dat de vaststelling van het boetebedrag voldoende door ACM is onderbouwd en blijft binnen haar beleidsvrijheid. ACM was niet gehouden eerst een waarschuwing te geven voordat de boete werd opgelegd. Voorts is de rechtbank niet gebleken dat het vastgestelde boetebedrag niet voldoet aan de eisen van artikel 5:46, tweede lid, van de Awb. Nu vaststaat dat een hacker het netwerk binnen heeft kunnen dringen en daarbij toegang heeft kunnen hebben tot persoonsgegevens, maakt het voor de ernst van de overtreding niet uit dat de hack wellicht niet specifiek gericht was op toegang tot persoonsgegevens. Dit zou anders zijn wanneer persoonsgegevens in een afgescheiden beveiligde omgeving zouden zijn opgeslagen. Dit is niet gesteld of gebleken. Dat eiseres direct maatregelen heeft genomen betekent dat eiseres haar verplichting op grond van artikel 11.3a, derde lid, van de Tw serieus heeft genomen. Het voldoen aan deze afzonderlijke normstelling heeft echter niet tot gevolg dat de overtreding van artikel 11.3, eerste lid, van de Tw minder ernstig moet worden geacht. Evenmin acht de rechtbank het onjuist dat ACM als boeteverhogende omstandigheid heeft laten meewegen dat het rapport op basis van het interne onderzoek niet in overeenstemming met artikel 18.7 van de Tw naar aanleiding van de informatievordering van ACM van 29 februari 2012 is overgelegd, maar pas na een herhaalde vordering.
6. Met betrekking tot de beslissing van ACM om een geschoonde versie van het besluit tot boeteoplegging te publiceren komt de rechtbank tot het volgende oordeel.
6.1.
Artikel 12u van de Instellingswet Autoriteit en Markt, dat voorziet in een openbaarmakingsplicht ter zake van bestuurlijke sancties, is op 1 augustus 2014 in werking getreden. De wetswijziging voorziet ter zake van deze openbaarmakingsplicht niet in enig overgangsrecht. Nu het bestreden besluit is genomen voor deze wetswijziging vormt in dit geval de Wet openbaarheid van bestuur (Wob) het toetsingskader voor de openbaarmaking van de bestuurlijke boete.
6.2.
Op grond van artikel 8 van Pro de Wob verschaft het bestuursorgaan dat het rechtstreeks aangaat, uit eigen beweging informatie over het beleid, de voorbereiding en de uitvoering daaronder begrepen, zodra dat in het belang is van een goede en democratische bestuursvoering. Op grond van artikel 10, eerste lid, aanhef en onder c, van de Wob blijft het verstrekken van informatie op grond van deze wet achterwege voor zover dit bedrijfs- en fabricagegegevens betreft, die door natuurlijke personen of rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld. Op grond van artikel 10, tweede lid, aanhef en onder g, van de Wob blijft het verstrekken van informatie op grond van deze wet eveneens achterwege voor zover het belang daarvan niet opweegt tegen het voorkomen van onevenredige bevoordeling of benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden.
6.3.
Artikel 8 van Pro de Wob vormt een toereikende wettelijke grondslag voor bestuursorganen om sanctiebesluiten te publiceren. Bij de toetsing van een openbaarmakingsbesluit zal (veelal) maatgevend zijn of naar het oordeel van de bestuursrechter het onderliggende besluit tot boeteoplegging stand zal kunnen houden (vgl. ABRvS 10 november 2010, ECLI:NL:RVS:2010:BO3468 en CBb (vzrnr.) 23 januari 2014, ECLI:NL:CBB:2014:7). Het oogmerk van de publicatie is gericht op voorlichting, niet op bestraffing (vgl. ABRvS 27 juni 2012, ECLI:NL:RVS:2012:BW9561). Mocht de openbaarmaking niettemin een “criminal charge” en een “penalty” opleveren dan heeft te gelden dat toegang heeft opengestaan tot een rechtbank met een zogenoemde “full jurisdiction” en dat geen sprake is van een ongeoorloofde dubbele bestraffing (vgl. CBb 11 februari 2013, ECLI:NL:CBB:2013:BZ1864). De openbaarmaking van een nog niet onherroepelijk besluit tot boeteoplegging komt dan ook niet in strijd met artikel 6 van Pro het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.
6.4.
Omdat de boeteoplegging stand houdt kan, gelet op hetgeen zojuist is overwogen, openbaarmaking in beginsel plaatshebben. Eiseres betoogt dat de gevolgen van de publicatie van de boeteoplegging onomkeerbaar zijn en eiseres onevenredige schade zal berokkenen, dit ook vanwege de toonzetting van dit besluit waaruit kan worden afgeleid dat eiseres haar zorgplicht niet serieus neemt. De rechtbank volgt dat betoog niet. De rechtbank acht de motivering in de hier aan de orde zijnde besluiten voldoende genuanceerd, ook voor wat betreft onderzoeksperiode II.
7. Het beroep is ongegrond.
8. Voor een proceskostenveroordeling ziet de rechtbank geen aanleiding.

Beslissing

De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. J.H. de Wildt, voorzitter, en mr. J. Bergen en
mr. C.A. Schreuder, leden, in aanwezigheid van mr. dr. R. Stijnen, griffier. De beslissing is in het openbaar uitgesproken op 8 januari 2015.
griffier voorzitter
Afschrift verzonden aan partijen op:

Rechtsmiddel

Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij het College van Beroep voor het bedrijfsleven.