KPN krijgt bijna half miljoen euro boete wegens beveiliging afluisteropties

KPN heeft een boete van 450.000 euro gekregen van toezichthouder Agentschap Telecom, vanwege de beveiliging van de aftapvoorziening. Volgens de toezichthouder voldeed die beveiliging namelijk niet op alle onderdelen aan de wettelijke eisen. De tekortkomingen zijn inmiddels verholpen.

Eveline MeijerRedacteurMeer van deze auteur

KPN

Het Agentschap Telecom (AT) startte zijn onderzoek na berichtgeving in de Volkskrant in 2021, waarin stond dat het Chinese Huawei klanten van KPN kon afluisteren of klantgegevens kon stelen. De Volkskrant baseerde zich op een intern rapport van KPN dat de krant in handen had. Volgens dat rapport had Huawei specifiek in 2010 ongeautoriseerde toegang tot gevoelige systemen, aldus de krant.

Beveiligingsmaatregelen niet voldoende

De toezichthouder zegt nu dat het "diepgaand technisch onderzoek" heeft gedaan naar de huidige beveiliging van het systeem dat informatie bevat over personen die 'getapt' worden. Daaruit blijkt dat 'de voordeur' tot de systemen voldoende beveiligd is, omdat alleen KPN bepaalt wie toegang krijgt tot de systemen, zegt John Derksen, hoofd Toezicht van Agentschap Telecom, in een bericht op de website van AT.

"Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd.''

Daarom concludeert het AT dat KPN onvoldoende zorg heeft gedragen "voor het treffen van noodzakelijke beveiligingsmaatregelen om kennisneming van aftapgegevens door onbevoegden te voorkomen".

Problemen verholpen

De toezichthouder benadrukt dat KPN volledig heeft meegewerkt aan het onderzoek. Ook heeft de telecomprovider al tijdens het onderzoek maatregelen genomen om de veiligheid van het aftapsysteem op het vereiste niveau te brengen. Ook is het autorisatieproces verbeterd en beschikken alle beheerders over de vereiste documenten. "Agentschap Telecom heeft essentiële delen van de verbeteringen gezien en de overige verbeteringen worden gecontroleerd in het reguliere inspectieproces onder de aangescherpte zorgplicht", aldus AT.

KPN zegt in een reactie op de eigen website dat het de beveiliging van de aftapketen uiterst serieus neemt en daarom de boete van AT niet aanvecht. "We nemen de bevindingen van het Agentschap Telecom serieus en hebben de registratie direct op orde gebracht. We zijn een intern verbeterprogramma gestart om te zorgen dat de beveiliging van de aftapketen altijd aan alle eisen voldoet, iets wat we zelf ook kritisch zullen blijven toetsen. De aftapketen bij KPN moet veilig zijn en blijven", aldus Paul Slot, verantwoordelijk voor de infrastructuur bij KPN.