Uitspraak
RECHTBANK ROTTERDAM
Zittingsplaats Rotterdam
Bestuursrecht
zaaknummer: ROT 24/5312
uitspraak van de voorzieningenrechter van 21 oktober 2024 in de zaak tussen
[Naam vennootschap], uit [Plaats] (verzoekster)
(gemachtigden: mr. Q.J. Tjeenk Willink en mr. I.A. Siskina),
en
de Minister van Economische Zaken en Klimaat(de minister)
(gemachtigden: mr. A.J. Boorsma en mr. M. Koppenol)
Inleiding
1. In deze uitspraak beslist de voorzieningenrechter op het verzoek om een voorlopige voorziening van verzoekster tegen het besluit van de minister van 24 mei 2024 tot openbaarmaking (het publicatiebesluit) van het gelijktijdige besluit tot oplegging van een bestuurlijke boete (het boetebesluit) aan verzoekster van € 2.250.000 wegens vijf overtredingen van de artikelen 2, 3, 4 en 8 van het Besluit beveiliging gegevens telecommunicatie (Bbgt) in samenhang gelezen met de onderdelen II, III en V van de bijlage bij het Bbgt. Tegen het boete- en publicatiebesluit is bezwaar gemaakt.
2. De minister heeft toegezegd het boetebesluit niet openbaar te maken voordat de voorzieningenrechter uitspraak heeft gedaan.
3. De minister heeft een verweerschrift en – naar aanleiding van het aanvullende bezwaarschrift – een aanvullend verweerschrift ingediend.
4. De voorzieningenrechter heeft het verzoek op 14 oktober 2024 – achter gesloten deuren – op zitting behandeld. Namens partijen zijn verschenen hun gemachtigden. Voorts zijn namens verzoekster verschenen mr. H.A. Bergsma, en mr. R. Barendsen.
Namens de minister zijn voorts verschenen mr. S.P. Janssen, mr. F. de Jong, R. den Ouden, allen werkzaam bij Rijksinspectie Digitale Infrastructuur (RDI).
Wettelijk kader, voorgeschiedenis en besluitvorming van de minister
5. In de bijlage is het wettelijk kader opgenomen.
6. Een toezichthouder van het Agentschap Telecom, de voorloper van de RDI, heeft onderzoek gedaan naar de naleving door verzoekster van de in het Bbgt gestelde regels in de periode van 5 oktober 2021 tot en met 15 december 2022. Het doel van dit onderzoek was om na te gaan of verzoekster alle noodzakelijke beveiligingsmaatregelen heeft getroffen om kennisneming door onbevoegden te voorkomen van de aan haar verstrekte LI-gegevens – waarbij LI staat voor lawful interception, het bevoegd aftappen – en of verzoekster voldoende waarborgen heeft getroffen ter zake de geheimhouding van deze gegevens. Dit onderzoek heeft de toezichthouder verricht ten aanzien van de diverse systemen van verzoekster waarin LI-gegevens worden verwerkt. De bevindingen van de toezichthouder hebben geleid tot het Rapport van Bevindingen Bbgt van 15 december 2022 (het rapport). Volgens het rapport hebben in de onderzoeksperiode een aantal overtredingen plaatsgehad. Een boetevoornemen is gevolgd door een zienswijze van verzoekster.
7. Op basis van het rapport en de zienswijze meent de minister dat in de onderzoeksperiode een vijftal overtredingen heeft plaatsgevonden. Volgens het boetebesluit gaat het om de volgende vijf groepen overtredingen:
I. Tekortkomingen ten aanzien van het beveiligingsplan;
II. Tekortkomingen met betrekking tot de verplichtingen rondom
uitbesteding;
III. Tekortkomingen met betrekking tot het personeel;
IV. Tekortkomingen met betrekking tot de fysieke beveiliging;
V. Tekortkomingen met betrekking tot de toegangsbeveiliging van geautomatiseerde informatiesystemen.
8. De minister acht de overtredingen zeer ernstig. Een belangrijke kerntaak van de overheid is het garanderen van een veilig land waarin in vrijheid kan worden geleefd en de democratische rechtsorde is gewaarborgd. Een essentieel onderdeel is het werk dat de inlichtingendiensten, de politie en het openbaar ministerie verrichten om de samenleving te beschermen tegen dreigingen. Daartoe hebben de inlichtingendiensten onder meer de bevoegdheid om communicatie te onderscheppen. Ten behoeve van de opsporing van zware criminaliteit komt ook de officier van justitie dit middel toe. In hoofdstuk 13 van de Telecommunicatiewet (Tw) is de uitwerking van de bovengenoemde bevoegdheden opgenomen. Aanbieders van openbare communicatiediensten en -netwerken dienen gehoor te geven aan de bevoegd gegeven lasten om communicatie te onderscheppen. De aanbieder dient gegevens die verband houden met bevoegd aftappen geheim te houden. De Tw en het daarop gebaseerde Bbgt verplichten de aanbieders daartoe de LI-gegevens behoorlijk te beveiligen tegen onbevoegde kennisname. Zonder een goede beveiliging kan de vertrouwelijkheid en daarmee ook de effectiviteit van het onderscheppen van communicatie niet worden gegarandeerd.
9. Volgens de minister waren bij verzoekster niet alleen de organisatorische maatregelen niet op orde. De toezichthouder heeft ook geconstateerd dat de beveiliging daadwerkelijk niet op orde was. De overige hoofdovertredingen – de beveiligingseisen ten aanzien van het personeel, de fysieke ruimte en de geautomatiseerde systemen – bestaan volgens de minister uit meerdere zeer ernstige overtredingen. Gelet op de ernst, duur en verwijtbaarheid van de groepen overtredingen acht de minister het passend en gerechtvaardigd verzoekster per hoofdovertreding een bestuurlijke boete op te leggen van
€ 450.000. De minister weegt hierbij mee dat verzoekster zich meewerkend heeft opgesteld ten tijde van de inspectie. Verder heeft de toezichthouder in april 2023 geconstateerd dat verzoekster de meeste overtredingen inmiddels ongedaan heeft gemaakt en zij aan de resterende punten hard bezig is. Voor de geconstateerde overtredingen vind de minister het daarom passend om aan verzoekster, op basis van de vastgestelde aard, ernst, duur en verwijtbaarheid van de overtredingen, een bestuurlijke boete op te leggen van in totaal
€ 2.250.000.
10. De minister meent voorts dat publicatie van het boetebesluit en het uitbrengen van een persbericht op de website van de RDI van groot belang is. In de eerste plaats kan van openbaarmaking in het kader van generale preventie een waarschuwend effect van de openbaarmaking naar andere marktpartijen uitgaan en wordt voor hen inzichtelijk welke gedragingen kunnen leiden tot handhaving en welke invulling de minister aan bepaalde normen geeft. Openbaarmaking dient daarmee het doel dat de wetgever met artikel 13.5 van de Tw en het Bbgt voor ogen had, namelijk dat aanbieders ook daadwerkelijk LI-gegevens die aan haar worden verstrekt beveiligen tegen kennisneming door onbevoegden. In de tweede plaats hebben burgers en overheid (waaronder de inlichtingendiensten en het openbaar ministerie) er belang bij om te weten of de LI-gegevens die berusten bij de aanbieders in voldoende mate tegen ongeoorloofde toegang afgeschermd zijn. Dat weegt te meer nu ongeoorloofde toegang tot LI-gegevens grote risico’s voor de nationale veiligheid en de doelmatigheid van strafrechtelijke onderzoeken met zich brengt. Zij moeten ook kunnen weten welke onderzoeken de RDI heeft verricht en welke bevindingen, overtredingen en maatregelen naar voren zijn gekomen en of gedurende welke periode de overtredingen voortduurden. Deze belangen zijn volgens de minister het meest gediend bij een zo ruime mogelijke openbaarmaking. Daarom is het uitgangspunt om in beginsel boetebesluiten wel te publiceren, ook als zij betrekking hebben op onderzoeken naar de beveiliging van LI-gegevens. Voor publicatie is het boetebesluit geschoond van gegevens als bedoeld in artikel 5.1 van de Woo.
Beoordeling door de voorzieningenrechter: toetsingskader
11. Het oordeel van de voorzieningenrechter heeft een voorlopig karakter en bindt de rechtbank in een (eventueel) bodemgeding niet.
12. Gelet op vaste rechtspraak is openbaarmaking van een sanctiebesluit onevenredig of ondoelmatig indien de boeteoplegging aan verzoekster – in zijn geheel – geen stand zal kunnen houden. Het gaat er dus vooral om of verzoekster op goede gronden als een overtreder is aangemerkt en of de inzet van het sanctiemiddel redelijk is (bijv. ECLI:NL:RVS:2019:3106, punt 5.1 en ECLI:NL:CBB:2014:163, punt 4.4.4). Naar vaste rechtspraak van de voorzieningenrechter bestaat gelet op de zojuist genoemde rechtspraak in beginsel slechts aanleiding voor het schorsen van de publicatie van een sanctiebesluit indien naar voorlopig oordeel van de voorzieningenrechter de overtredingen niet zijn komen vast te staan en de sanctieoplegging daarom onterecht is (bijv. ECLI:NL:RBROT:2010:BO3707, punt 2.3.9.3 en ECLI:NL:RBROT:2016:7231, punt 8.1). Deze lijn is in overeenstemming met de toetsing door de voorzieningenrechter van het College van Beroep voor het bedrijfsleven (ECLI:NL:CBB:2014:7 en ECLI:NL:CBB:2015:179). Onder artikel 3.1 van de hier van toepassing zijnde Wet open overheid (Woo) geldt geen andere toetsingsmaatstaf (zie ECLI:NL:RBROT:2023:5912, punt 25).
13. Daarbij gelden bij zowel een verplichte als discretionaire bevoegdheid tot openbaarmaking van een sanctiebesluit de volgende nuanceringen en uitzonderingen. Indien de sanctie ziet op verschillende overtredingen dan kan wanneer de voorzieningenrechter betwijfelt of alle overtredingen hebben plaatsgehad een voorlopige voorziening er uit bestaan dat alleen publicatie van het sanctiebesluit kan plaatsvinden na het onleesbaar maken van de daarin door het bestuursorgaan gestelde overtredingen waarover de genoemde twijfel bestaat (bijv. ECLI:NL:RBROT:2024:6906). Als er twijfels bij de voorzieningenrechter zijn gerezen ten aanzien van het gros van de overtredingen kan ook een volledige schorsing van het publicatiebesluit in beeld komen (ECLI:NL:RBROT:2023:6642). Voorts kan een schorsing in beeld komen indien de voorzieningenrechter op voorhand meent dat de sanctieoplegging wegens schending van fundamentele rechtsbeginselen of vanwege onrechtmatig verkregen bewijs onredelijk is (bijv. ECLI:NL:RBROT:2023:3953, punt 18). Indien de voorzieningenrechter voorshands aanzienlijke twijfel heeft over de hoogte van de boete dan kan een voorlopige voorziening er uit bestaan dat alleen publicatie van het boetebesluit kan plaatsvinden na het onleesbaar maken van het boetebedrag en van de berekening van de boete (bijv. ECLI:NL:RBROT:2023:3953, punt 34). Indien er slechts enige twijfel zou kunnen bestaan over de boetehoogte dan vormt dit geen reden voor het slechts toestaan van publicatie indien het boetebedrag onleesbaar wordt gemaakt, want het gaat er om of de boeteoplegging naar verwachting in essentie stand kan houden (ECLI:NL:RBROT:2019:10401, punt 10).
14. Gelet hierop gaat de voorzieningenrechter voorbij aan het betoog van verzoekster dat om de door haar aangevoerde redenen – waaronder de complexiteit en omvang van het bestreden besluit en de lange duur van de bezwaarfase –schorsing op basis van een zuivere belangenafweging dient plaats te hebben (vgl. ECLI:NL:RBROT:2019:10399 en ECLI:NL:RBROT:2023:5209).
15. De voorzieningenrechter zal daarom hierna ingaan op wat verzoekster in haar aanvullende verzoekschrift van 18 juni 2024 heeft aangevoerd tegen de door de minister vastgestelde overtredingen, tegen de boeteoplegging en tegen de boetehoogte. Voor zover de voorzieningenrechter oordeelt dat het boetebesluit naar verwachting in essentie in stand zal blijven in bezwaar en beroep, zal de voorzieningenrechter voorts ingaan op de vraag of gelet op artikel 5.2 van de Woo meer passages in het te publiceren boetebesluit geschoond moeten worden dan de minister heeft gedaan.
Beoordeling van de gronden tegen de overtredingen
De door de minister vastgestelde overtredingen
16. Overtreding 1: Artikel 3 van het Bbgt vereist dat de aanbieder zorg draagt voor een beveiligingsplan, waarin hij aangeeft op welke wijze uitvoering is gegeven aan zijn beveiligingsplicht. Dat plan dient ten minste aan te geven op weke wijze uitvoering is gegeven aan de maatregelen genoemd in de bijlage. Bij verzoekster was dit plan volgens de minister niet volledig en bovendien sterk verouderd.
17. Overtreding 2: Onderdelen van het proces van bevoegd aftappen kan een aanbieder buiten zijn organisatie beleggen. Artikel 8 van het Bbgt vereist in geval van uitbesteding dat de derde zich verplicht LI-gegevens te beveiligen tegen kennisneming door onbevoegden, dat geheimhouding met betrekking tot die gegevens wordt betracht en dat de ingevolge het Bbgt gestelde maatregelen worden nageleefd. Verzoekster heeft onderdelen van haar LI-proces aan derden uitbesteed. Volgens de minister heeft verzoekster daarbij de vereiste afspraken niet afdoende volledig en concreet met al haar leveranciers gemaakt.
18. Overtreding 3: Artikel 4, tweede lid, van het Bbgt vereist dat de medewerking aan taplasten uitsluitend mag worden verleend door personen aan wie een Verklaring Omtrent Gedrag (VOG) is verstrekt. In onderdeel II van de bijlage bij het Bbgt zijn voorts concrete beveiligingseisen ten aanzien van personeel opgenomen. Zo is daarin bepaald (a) dat in de functiebeschrijving van personeel dat belast is met de verwerking van LI-gegevens de verantwoordelijkheid voor de beveiliging daarvan is beschreven, (b) dat personeel dat in aanraking komt met LI-gegevens een geheimhoudingsverklaring tekent en (c) dat uitsluitend personeel dat overeenkomstig de functiebeschrijving belast is met de verwerking van LI-gegevens toegang tot die gegevens heeft. De beveiligingseisen van verzoekster ten aanzien van het personeel waren volgens de minister onvoldoende, want:
personeel dat niet was belast met verwerking van LI-gegevens had toegang tot de LI-gegevens;
er ontbraken VOG’s of daarmee gelijk te stellen documenten van personeel dat belast is met het verwerken van LI-gegevens;
er ontbraken functieomschrijvingen van personeel belast met het verwerken van LI-gegevens;
er ontbraken geheimhoudingsverklaringen van personeel belast met het verwerken van LI-gegevens.
19. Overtreding 4: In onderdeel III van de bijlage bij het Bbgt staan concrete vereisten met betrekking tot de fysieke beveiliging en beveiliging van de omgeving waarin LI-gegevens zich bevinden opgenomen. De fysieke beveiliging van de ruimte waarin LI-gegevens aanwezig waren was volgens de minister onvoldoende, want:
er kon door onbevoegden eenvoudig toegang worden verkregen tot de fysieke ruimte waarin LI-gegevens aanwezig waren;
toegang tot die fysieke ruimte was niet uitsluitend toegestaan voor geautoriseerde personen voor zover dit voor hun functie noodzakelijk was;
tijdens het onderzoek is gebleken dat er voor onderhoud door niet-geautoriseerde personen geen begeleiding was van een geautoriseerd persoon;
er was geen gecontroleerde en achteraf herleidbare toegang op individueel niveau;
er was geen detectie van toegang tot de fysieke ruimte en ook ontbrak de mogelijkheid tot het tijdig interveniëren.
20. Overtreding 5: In onderdeel V van de bijlage bij het Bbgt staan concrete maatregelen met betrekking tot toegangsbeveiliging van geautomatiseerde informatiesystemen opgenomen. De toegangsbeveiliging tot geautomatiseerde systemen waarin LI-gegevens worden verwerkt was volgens de minister onvoldoende, want:
op drie systemen was geen sprake van een deugdelijke beveiliging,
onder meer doordat persoonsgebonden authenticatie ontbrak;
op drie systemen zat geen blokkering bij overschrijding van drie foutieve inlogpogingen;
op drie systemen was geen externe logging en detectie geactiveerd;
handelingen met betrekking tot de verwerking van de LI-gegevens werden niet persoonsgebonden vastgelegd om onderzoek mogelijk te maken.
Standpunten van partijen
21. De kern van het betoog van verzoekster is dat de Bbgt open normen bevat en de door de minister gehanteerde invulling van open normen onvoorzienbaar en onjuist is. Verzoekster heeft in dit verband kortgezegd aangevoerd dat in de Bbgt sprake is van open normstellingen die aan haar de ruimte biedt om zelf invulling geven aan de toepasselijke zorgplichten en dat de minister guidance behoort te geven alvorens hij tot handhaving mag overgaan. Daarbij heeft verzoekster drie voorbeelden gegeven van norminvulling door de minister die volgens verzoekster te vergaand is en afdoet aan de eigen beoordelingsruimte van verzoekster.
22. In zijn verweerschriften heeft de minister de standpunten van verzoekster weersproken.
Het oordeel van de voorzieningenrechter
23.1. De [voorzieningenrechter] stelt allereerst vast dat de Bbgt inderdaad open normen bevat maar dat het daarnaast ook een reeks concrete eisen stelt aan de beveiligingsmaatregelen die telecomaanbieders moeten nemen om kennisneming door onbevoegden te voorkomen. Wat betreft de open normen stelt de voorzieningenrechter met de minister vast dat de gedachtegang van verzoekster hinkt op tegenstijdige uitgangspunten doordat zij enerzijds ondertekent dat sprake is van open normen waaraan zij zelf – naar beste kunnen – invulling zal moeten geven, terwijl zij anderzijds meent dat de minister pas tot handhaving van die open normen mag overgaan nadat hij guidance heeft gegeven over de invulling daarvan. Het betoog en de argumenten die verzoekster daarbij heeft aangevoerd slagen niet. De voorzieningenrechter legt hieronder uit waarom.
23.2. Van de wet- en regelgever wordt verlangt dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedraging omschrijft. Daarbij moet echter niet uit het oog worden verloren dat de wet- of regelgever soms met het gebruik van algemene termen verboden of geboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Dit kan onvermijdelijk zijn, omdat niet altijd is te voorzien op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden of geboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wet- of regelgeving schade lijdt (bijv. ECLI:CE:ECHR:2011:0628DEC000057711 (Het Financieele Dagblad), punt 65; ECLI:NL:RVS:2014:2493, punt 7.1; ECLI:NL:RVS:2019:109, punt 4.2; ECLI:NL:CBB:2013:CA3716, punt 3.4.5 en ECLI:NL:CBB:2019:207, punt 4.8).
23.3. In dit verband dient de vraag of een wettelijk voorschrift voldoet aan het lex certa-beginsel mede te worden bezien in het licht van wat de bedoeling van de wet- of regelgever met het wettelijk voorschrift is geweest. Uit de ook door verzoekster aangehaalde toelichting bij het Bbgt volgt onder meer het volgende (Stb. 2003, 472, blz. 9 ):
“In artikel 2, eerste lid, wordt aan de aanbieder de plicht opgelegd om alle noodzakelijke maatregelen van technische en organisatorische aard te treffen om kennisneming door onbevoegden te voorkomen van – kort gezegd – de gegevens welke aan een aanbieder worden verstrekt ten behoeve van het ten uitvoer kunnen leggen van een taplast en de informatie welke door de aanbieder aan de tot aftappen bevoegde instanties wordt verstrekt. Dergelijke maatregelen dienen ten minste te bestaan uit maatregelen gericht op de personen die werkzaam zijn voor de aanbieder, maatregelen gericht op de toegang tot gebouwen en ruimten waarin de gegevens en informatie, bedoeld in artikel 2, eerste lid, aanwezig zijn, maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de desbetreffende gegevens en informatie worden verwerkt, maatregelen voor het geval op de vertrouwelijkheid van de desbetreffende gegevens en informatie een inbreuk wordt gemaakt alsmede maatregelen voor het geval dat er calamiteiten optreden (artikel 2, tweede lid). Het is aan elke aanbieder afzonderlijk om – met inachtneming van hetgeen overigens in het besluit is bepaald – te bepalen op welke wijze invulling wordt gegeven aan de zorgplicht voor beveiliging en de daarin onderscheiden beveiligingsaspecten. Daarbij zal deze rekening kunnen houden met de specifieke omstandigheden van zijn organisatie. Een en ander zal naast implementatie van de daaruit voortvloeiende concrete maatregelen in de organisatie, tevens zijn weerslag dienen te krijgen in het in artikel 3 voorgeschreven beveiligingsplan.”
De voorzieningenrechter is van oordeel dat deze toelichting voldoende duidelijk maakt wat van verzoekster wordt verlangd. Daaruit volgt dat op haar primair de taak rust een veiligheidsplan op te stellen en om daadwerkelijk risico’s op digitaal- en personeelsvlak te ondervangen, hetgeen haar continue aandacht vraagt. Naast open normen stellen de artikelen 2, 3, 4 en 8 van het Bbgt in samenhang gelezen met de onderdelen II, III en V van de bijlage bij het Bbgt ook een aantal zeer concrete eisen aan de aanbieder.
23.4. Voor zover het open normen betreft, voegt de voorzieningenrechter hier aan toe dat uit vaste rechtspraak volgt dat van een professionele marktpartij als verzoekster mag worden verwacht dat die de nodige inspanningen verricht om zich op de hoogte te stellen van de precieze inhoudt van de norm en zich de nodige inspanningen getroost om daar ook daadwerkelijk aan te voldoen, desnoods door advies in te winnen (bijv. ECLI:CE:ECHR:1996:1115JUD001786291 (Cantoni/Frankrijk), punt 35; ECLI:CE:ECHR:2009:0120JUD007590901 (Sud Fondi SRL e.a./Italië), punt 109; ECLI:NL:CBB:2012:BV6713, punt 4.3; ECLI:NL:CBB:2019:207, punten 4.10 en 4.11; en ECLI:NL:CBB:2020:419, punt 6.2). Ook volgt in het verlengde hiervan dat een professionele marktpartij als verzoekster zich niet kan verschuilen achter het uitblijven van guidance door de toezichthouder, omdat het primair de eigen verantwoordelijkheid betreft van de marktdeelnemer zijn wettelijke verplichtingen na te komen en om in dit verband veiligheidsrisico’s te ondervangen (vgl. ECLI:NL:CBB:2017:274, punt 6.2 en ECLI:NL:CBB:2024:223, punt 4.7.3).
23.5. Daarbij merkt de voorzieningenrechter op dat het College in een met deze zaak vergelijkbare – ook door de minister aangehaalde – uitspraak van 16 november 2016 (ECLI:NL:CBB:2016:346) heeft geoordeeld dat een zorgplicht als hier aan de orde (zie ook de tekst van artikel 2, eerste lid, van het Bbgt) betekent dat dat verzoekster zich inderdaad zal dienen te richten op internationale standaarden. Verzoekster kan dus niet met succes het standpunt innemen dat zij zich bij haar beveiligingsmaatregelen niet hoeft te richten op nieuwe ontwikkelingen en met haar verouderde beveiligingsplan en verouderde software voldeed aan haar zorgplichten. Daaruit volgt ook dat ze deze normstelling niet volledig naar eigen inzichten mocht invullen en evenmin dat zij eerst met handhaving kan worden geconfronteerd nadat zij door de RDI is gewaarschuwd.
23.6. Voorts is de voorzieningenrechter van oordeel dat verzoekster in de drie door haar voor haar standpunt gegeven illustratieve voorbeelden onjuiste standpunten inneemt. Daartoe overweegt de voorzieningenrechter het volgende.
23.7. Verzoekster meent – ten aanzien van overtreding 2 – dat zij bij uitbesteding aan de eisen van artikel 8 van het Bbgt voldoet door in uitbestedingsovereenkomsten met derden de voorwaarde op te nemen dat wordt voldaan aan de toepasselijke wet- en regelgeving en daarin voorts een algemene geheimhoudingsverplichting op te nemen. In de overeenkomsten met haar leveranciers die in aanraking komen met LI-gegevens heeft verzoekster geen verwijzing naar de verplichtingen uit het Bbgt opgenomen. Er zijn zodoende geen verwijzingen opgenomen naar of afspraken gemaakt over de invulling die aan artikel 8, eerste lid, aanhef en onder a tot en met d, van het Bbgt behoort te worden gegeven. Ook is bijvoorbeeld niet vastgelegd dat de leveranciers van verzoekster maatregelen dienen te treffen met betrekking tot hun personeel dat in aanraking komt met LI-gegevens (vergelijk onderdeel II, bijlage bij het Bbgt). De minister heeft vastgesteld dat de leveranciers dat in de praktijk ook niet deden. In het boetebesluit is immers toegelicht dat over de hele linie, ook ten aanzien van de leveranciers van verzoekster, tekortkomingen in de naleving van het Bbgt zijn vastgesteld. Daar komt bij dat de leverancier geen normadressaat van het Bbgt is. Om die reden vallen de leveranciers volgens de minister strikt genomen ook niet onder de verplichtingen uit het Bbgt. De algemene verplichting in de overeenkomsten dat de leveranciers gehouden zijn zich aan wet- en regelgeving te houden en dat een geheimhoudingsplicht van toepassing is, is hiervoor dan ook onvoldoende. De voorzieningenrechter voegt hier aan toe dat – anders dan verzoekster suggereert – de minister verzoekster niet het verwijt maakt dat zij niet letterlijk verwijst naar artikel 8, eerste lid, van het Bbgt, maar dat zij heeft verzuimd de daaruit voortvloeiden voorwaarden op te nemen in haar contracten met haar leveranciers die in aanraking komen met LI-gegevens terwijl die verplichting op grond van artikel 8, tweede lid, van het Bbgt wel op verzoekster rust.
23.8. Met betrekking tot overtreding 4 suggereert verzoekster dat de minister in strijd met de voorschriften van onderdeel III van de bijlage bij het Bbgt meent dat datacenters waarin LI-servers zich bevinden in eigendom zouden moet zijn van verzoekster en dat de minister te hoge eisen stelt aan cameratoezicht. De voorzieningenrechter merkt in de eerste plaats op dat in onderdeel III van de bijlage bij het Bbgt concrete vereisten staan met betrekking tot de fysieke beveiliging en beveiliging van de omgeving waarin LI-gegevens zich bevinden. Uit het boetebesluit volgt niet dat de minister het standpunt inneemt dat verzoekster de locatie van datacenters waarin LI-servers zich bevinden zelf in eigendom dient te hebben, maar wel dat de locatie, inrichting en toegang een rol speelt bij de vraag of is voldaan aan de veiligheidsvoorschriften. Voor wat betreft het cameratoezicht geldt dat de toezichthouder heeft vastgesteld dat de camerabeelden voor verzoekster niet beschikbaar waren en dat het cameratoezicht bovendien niet deugdelijk was, omdat onderdeel c van onderdeel III van de bijlage bij het Bbgt vereist dat de fysieke beveiliging zodanig is ingericht dat ongeautoriseerde toegang en pogingen daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
23.9. Hetgeen verzoekster heeft opgemerkt met betrekking tot overtreding 5 en de volgens haar in onderdeel V, onder a, van de bijlage bij het Bbgt vervatte ruimte voor de aanbieder om zelf te bepalen wanneer sprake is van het op deugdelijke wijze beveiligen van de toegang tot geautomatiseerde informatiesystemen waarin LI-gegevens worden verwerkt, gaat niet op. Haar stellingname stuit reeds af op hetgeen het College heeft overwogen in zijn genoemde uitspraak van 16 november 2016 (ECLI:NL:CBB:2016:346), omdat daaruit volgt dat bij een zorgplicht als hier aan de orde mag worden verwacht dat door de normadressaat wordt aangesloten bij algemene, in de markt erkende, internationale standaarden. De verwijzing van verzoekster naar de Regeling veiligheid en integriteit telecommunicatie (Rvit) kan haar in dit verband evenmin baten. In het aanvullende verweerschrift heeft de minister in dit verband op blz. 23 niet ten onrechte het volgende opgemerkt:
“Ten aanzien van de stelling van Vodafone dat de Rvit het gebruik van TripleDES ten tijde van de overtreding nog zou hebben toegestaan, merk ik allereerst op dat de normen in de Rvit die gaan over TripleDES allen toezien op encryptie in transport. Deze normering ziet niet toe op encryptie at rest of in use. Conform het citaat op pagina 45 van het RvB “Gevoelige gegevens (b.v. de request parameters zoals target id) worden geëncrypt opgeslagen. Hierbij maken we gebruik van het PBEWithMD5AndTripleDES algoritme...” geeft Vodafone aan dat deze vorm van encryptie wordt gebruikt voor opslag (dus at rest). Opslag is iets anders dan transport, dus reeds hierom gaat de parallel die Vodafone met de Rvit trekt niet op.
Voorts geldt dat de normering uit de Rvit van toepassing is op een (vertrouwelijk) aan Vodafone aangereikte lijst met systemen die voor een groot gedeelte bestaat uit Mobile Core componenten (waarop dit onderzoek geen betrekking had). De Mobile Core componenten die aanwezig zijn bij mobiele providers bevatten verschillende generaties (2G, 3G, 4G en 5G). Omdat Vodafone 3G heeft uitgefaseerd heeft Vodafone op dit moment drie generaties mobiele telefonie (en internet) actief; 2G, 4G en 5G. 2G werd in Nederland als eerste geïmplementeerd omstreeks 1994. Deze techniek is doorontwikkeld tot de komst van 3G omstreeks 2003. Het is algemeen bekend dat wanneer een nieuwe generatie wordt geadopteerd, oude generaties niet meer worden doorontwikkeld. De door-ontwikkeling van 2G stopte dus omstreeks 2003, nu meer dan 20 jaar geleden. Security in de telecomsector was 20 jaar geleden niet wat het nu is en daar heeft de wetgever rekening mee gehouden bij de totstandkoming van Rvit. De Rvit, zeker ten aanzien van beveiligingsaspecten zoals encryptie (ten behoeve van TripleDES/3DES), moet dus ook toepasbaar zijn op 20 jaar oude techniek in de wetenschap dat deze techniek uiteindelijk ook zal worden uitgefaseerd. Dat TripleDES nog is toegestaan voor encryptie in transport ten aanzien van 2G, maakt met andere woorden niet dat die (20 jaar oude) standaard ook een afdoende beveiliging vormt voor moderne systemen. Ook hierom valt de vergelijking moet de standaarden uit Rvit niet goed te maken: het onderzoek van mijn toezichthouder zag immers op de generieke ICT systemen, waarbij er geen technische onmogelijkheden bestaan met betrekking tot het updaten naar de moderne standaarden.”
Beoordeling van de gronden tegen de boeteoplegging en boetehoogte
24. Gelet op artikel 14.5, eerste lid, van de Tw is de minister bevoegd om verzoekster voor iedere overtreding een bestuurlijke boete op te leggen van maximaal € 900.000.
25. Verzoekster heeft aangevoerd dat boeteoplegging niet geschikt, ondoelmatig en onevenwichtig is. In dit verband heeft zij onder meer aangevoerd dat punitieve handhaving niet langer opportuun is omdat zij de overtredingen heeft opgeheven en eventuele tekortkomingen niet hebben geleid tot het weglekken van data. Zij meent voorts dat de boete onevenredig hoog uitpakt, waarbij zij er op wijst dat de overtredingen zodanig met elkaar samenhangen dat het niet evenredig is om haar vijfmaal een bestuurlijke boete op te leggen ter hoogte van de helft van het boetemaximum. In verband met de evenredigheid van het totale boetebedrag heeft verzoekster ter zitting gesteld dat zij ook in het kader van deze voorlopige voorzieningprocedure alle overtredingen betwist. Voorts doet verzoekster een beroep op het gelijkheidsbeginsel. Zij wijst er op dat de minister aan een andere aanbieder slechts een boete van € 450.000 heeft opgelegd wegens een soortgelijke overtreding. Ten slotte wijst zij er op dat de minister geen boetebeleid heeft vastgesteld.
26. De voorzieningenrechter is voorshands van oordeel dat bestraffende handhaving door de minister hier op zijn plaats is. Hij ziet daarom geen aanleiding om in te gaan op het uitgebreide discours van verzoekster waarin de zogenoemde Harderwijkcriteria worden nagelopen. Naar het voorlopig oordeel van de voorzieningenrechter heeft de minister terecht aangenomen dat verzoekster als professionele marktpartij de eisen die het Bbgt aan haar stelt gedurende een lange periode heeft geschonden, wat naar voren komt uit de onzorgvuldige wijze waarop zij haar verplichtingen heeft uitbesteed. De minister heeft in zijn verweerschrift in dit verband terecht opgemerkt dat gezien de aard van de vastgestelde tekortkomingen – waaronder de afwezigheid van externe logging en detectie – het niet controleerbaar en dus onzeker is of ongeoorloofde toegang daadwerkelijk heeft plaatsgevonden. De precieze gevolgen van de vastgestelde tekortkomingen zijn dan ook niet in te schatten. Dit betekent dat een aanzienlijke bestuurlijke boete ter afschrikking passend en geboden is.
27. Voor zover verzoekster – gelet op haar standpunt(wijziging) aan het slot van de zitting – ook de overige door de minister aan het boetebesluit ten grondslag gelegde overtredingen wil bestrijden met het oog op de boetevaststelling, is de voorzieningenrechter vooralsnog van oordeel dat de minister de stellingen van verzoekster in zijn aanvullende verweerschrift in essentie afdoende heeft weersproken en dus heeft kunnen aannemen dat verzoekster in de onderzoeksperiode een groot aantal – samenhangende – overtredingen heeft begaan.
28. De voorzieningenrechter is verder van oordeel dat de minister genoegzaam uiteen heeft gezet dat de overtreding van de andere aanbieder slechts zag op een onderdeel van de vereiste beveiligingsmatregelen, terwijl de niet-naleving van de Bbgt door verzoekster op een veel groter aantal onderdelen tekort schoot. En hoewel de voorzieningenrechter het met verzoekster eens is dat de (groepen van) overtredingen met elkaar samenhangen, en dat de optelsom van vijf maal de helft van het boetemaximum tot een hoge cumulatieve boete leidt en beleidsregels ontbreken, is de voorzieningenrechter vooralsnog van oordeel dat niet op voorhand sprake is van een wanverhouding tussen het totale boetebedrag en de aan verzoekster verweten ernstige gedragingen. De voorzieningenrechter brengt hierbij in herinnering dat hij hier niet ten volle de evenredigheid van het boetebedrag toetst, maar slechts dient te beoordelen of het publicatiebesluit geschorst dient te worden.
Verdere beoordeling over de publicatie
29. Omdat de voorzieningenrechter meent dat verzoekster in het boetebesluit terecht als overtreder is aangemerkt en het boetebesluit naar verwachting in essentie in stand kan blijven, is publicatie niet onevenredig belastend voor verzoekster. Voorts kan de voorzieningenrechter de hiervoor onder 9 weergegeven motivering van de minister om tot publicatie over te gaan volgen, zodat verzoekster – anders dan zij betoogt – geen aanspraak kan maken op artikel 5.1, eerste lid, aanhef en onder b, of artikel 5.1, vijfde lid, van de Woo dan wel enige andere bepaling om publicatie als zodanig tegen te gaan.
30. Gelet op het voorgaande ziet de voorzieningenrechter geen aanleiding om het publicatiebesluit als zodanig te schorsen. De voorzieningenrechter stelt vast dat de te publiceren versie van het boetebesluit is geschoond van gegevens als bedoeld in artikel 5.1 van de Woo. Wel heeft verzoekster er terecht op gewezen dat op enige plaatsen in het te publiceren boetebesluit is verzuimd de namen van systemen onleesbaar te maken. Omdat dit onmiskenbare omissies zijn, er geen reden is om niet aan te nemen dat de minister deze omissies niet zou hebben hersteld indien verzoekster de minister daar buiten deze procedure om had gevraagd en de minister ook de toezegging heeft gedaan deze omissies voor publicatie te herstellen, ziet de voorzieningenrechter geen aanleiding tot het treffen van een voorziening.
31. De voorzieningenrechter stelt verder vast dat verzoekster in een bijlage bij haar aanvullende bezwaarschrift heeft verzocht de te publiceren versie van het boetebesluit in verregaande mate onleesbaar te maken. Verzoekster beroept zich er daarbij op dat verregaand weglakken van gegevens nodig is in het belang van de veiligheid van de Staat en vanwege bedrijfsvertrouwelijkheid van bepaalde informatie. De voorzieningenrechter kan verzoekster daar niet in volgen. De minister heeft locaties, derde leveranciers en in de meeste gevallen de namen van de systemen onleesbaar gemaakt en zal voor zover hij dit nog niet had gedaan dit alsnog doen. Indien nog meer onleesbaar wordt gemaakt – zoals verzoekster voorstaat – dan komt daarmee grotendeels de feitelijke grondslag van de overtredingen te ontbreken. Daarmee is de openbaarmaking niet gediend.
32. De voorzieningenrechter heeft er voorts kennis van genomen dat de minister heeft aangekondigd het persbericht aan te passen door daarin te vermelden dat verzoekster inmiddels actie heeft ondernomen naar aanleiding van de vastgestelde tekortkomingen en dat de risico’s van ongeoorloofde toegang tot LI-gegevens zijn weggenomen.
Conclusie en gevolgen
33. De voorzieningenrechter wijst het verzoek af.
34. Omdat de voorzieningenrechter het verzoek afwijst hoeft de minister niet het griffierecht aan verzoekster vergoeden. Om dezelfde reden krijgt verzoekster geen vergoeding van haar proceskosten.
Beslissing
De voorzieningenrechter wijst het verzoek af.
Deze uitspraak is gedaan door mr. T. Boesman, voorzieningenrechter, in aanwezigheid van mr. R. Stijnen, griffier. De uitspraak is uitgesproken in het openbaar op 21 oktober 2024.
De voorzieningenrechter is verhinderd de uitspraak te ondertekenen.
griffier
voorzieningenrechter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Tegen deze uitspraak staat geen hoger beroep of verzet open.
Bijlage
Telecommunicatiewet (Tw)
In artikel 13.2, derde lid, van de Tw is bepaald dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld met betrekking tot de te nemen organisatorische en personele maatregelen en te treffen voorzieningen met betrekking tot aftappen.
In artikel 13.5, eerste lid, van de Tw is bepaald dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten verplicht zijn gegevens met betrekking tot een bijzondere last dan wel toestemming op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 als bedoeld in artikel 13.2 dan wel een vordering of een verzoek als bedoeld in artikel 13.2b of artikel 13.4, eerste, tweede of derde lid, te beveiligen tegen kennisneming door onbevoegden alsmede geheimhouding te betrachten met betrekking tot deze gegevens.
In artikel 13.5, tweede lid, van de Tw is bepaald dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten met betrekking tot de gegevens die ingevolge artikel 13.2a, tweede lid, worden bewaard passende technische en organisatorische maatregelen nemen teneinde:
a. de gegevens te beveiligen tegen vernietiging, tegen verlies of wijziging en niet toegelaten opslag, verwerking, toegang of openbaarmaking;
b. te waarborgen dat toegang tot de gegevens, bedoeld in onderdeel a, slechts geschiedt door speciaal daartoe bevoegde personen;
c. de gegevens te kunnen vernietigen na afloop van de periode, bedoeld in artikel 13.2a, derde lid.
Uit artikel 13.5, vierde lid, van de Tw volgt dat op voordracht van de in die bepaling genoemde ministers bij algemene maatregel van bestuur regels kunnen worden gesteld met betrekking tot de te nemen maatregelen in verband met de beveiliging en de waarborging bedoeld in het eerste, tweede en derde lid.
Besluit beveiliging gegevens telecommunicatie (Bbgt)
Artikel 2 van het Bbgt luidt:
“1. De aanbieder draagt zorg voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van de navolgende gegevens en informatie:
a. de gegevens welke in het kader van het verlenen van medewerking aan de uitvoering van een bevoegd gegeven bijzondere last dan wel een opdracht op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 tot het aftappen of opnemen van telecommunicatie door een bevoegde autoriteit aan de aanbieder zijn verstrekt;
b. de informatie welke door de aanbieder aan een bevoegde autoriteit is verstrekt op grond van de artikelen 13.2b en 13.4 van de wet alsmede de gegevens welke zijn vervat in het aan deze verstrekking ten grondslag liggende verzoek of in de aan deze verstrekking ten grondslag liggende vordering om informatie van de desbetreffende bevoegde autoriteit;
c. de gegevens die door de aanbieder worden geraadpleegd en verder worden verwerkt met het oog op het voldoen aan een verzoek of vordering op grond van de artikelen 13.2b en 13.4 van de wet.
2. De maatregelen, bedoeld in het eerste lid, dienen ten minste te bestaan uit:
a. maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;
b. maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;
c. maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;
d. maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;
e. maatregelen in het geval van calamiteiten.
3. Tot de maatregelen, bedoeld in het eerste en tweede lid worden in ieder geval gerekend de maatregelen, bedoeld in de bijlage bij dit besluit.”
In artikel 3, eerste lid, van het Bbgt is bepaald dat de aanbieder zorg draagt voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven op welke wijze uitvoering is gegeven aan de maatregelen, bedoeld in de bijlage.
Uit artikel 4, tweede lid, van het Bbgt volgt dat de aanbieder er zorg voor draagt dat aan de uitvoering van de in artikel 13.2, eerste en tweede lid, van de Tw bedoelde bevoegd gegeven bijzondere last en de in de artikelen 13.2b en 13.4 van de Tw neergelegde verplichting tot het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag als bedoeld in de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag hebben overgelegd.
Artikel 8 van het Bbgt luidt:
“1. Indien de aanbieder de uitvoering van werkzaamheden uitbesteedt aan een derde en in dat kader de derde kennis neemt of kan nemen van gegevens en informatie als bedoeld in artikel 2, eerste lid, draagt de aanbieder er zorg voor dat de derde zich verplicht:
a. de desbetreffende gegevens en informatie te beveiligen tegen kennisneming door onbevoegden;
b. met betrekking tot de desbetreffende gegevens en informatie geheimhouding te betrachten;
c. de ingevolge dit besluit gestelde maatregelen na te leven;
d. alle informatie te verstrekken die voor het toezicht op de naleving van de beveiligings- en geheimhoudingsverplichting noodzakelijk is.
2. De verplichtingen van de derde als bedoeld in het eerste lid worden geregeld in een schriftelijke overeenkomst tussen aanbieder en derde. Op een daartoe strekkend verzoek van de bevoegde autoriteit wordt inzage verleend in de overeenkomst.
3. De aanbieder is verantwoordelijk voor de naleving door de derde van de verplichtingen, bedoeld in het eerste lid.”
Bijlage bij het Bbgt
In de bijlage bij het Bbgt zijn de volgende onderwerpen uitgewerkt:
I. Beveiligingseis algemeen;
II. Beveiligingseisen ten aanzien van personeel;
III. Fysieke beveiliging en beveiliging van de omgeving;
IV. Beheer van communicatie- en bedieningsprocessen;
V. Toegangsbeveiliging van geautomatiseerde informatiesystemen;
VI. Ontwikkeling, onderhoud en reparatie van geautomatiseerde informatiesystemen.
De onderdelen II, III en V luiden als volgt:
“
II. Beveiligingseisen ten aanzien van personeel
II. Beveiligingseisen ten aanzien van personeel
a. In de functiebeschrijving van personeel dat belast is met de verwerking van de informatie en gegevens wordt de verantwoordelijkheid voor de beveiliging daarvan beschreven.
b. Personeel dat in aanraking komt met de informatie en gegevens tekent een geheimhoudingsverklaring.
c. Uitsluitend personeel dat overeenkomstig de functiebeschrijving belast is met de verwerking van de informatie en gegevens heeft toegang tot de informatie en de gegevens.
III. Fysieke beveiliging en beveiliging van de omgeving
a. De informatie en de gegevens worden zoveel mogelijk binnen één ruimte geconcentreerd.
b. De ruimte waarbinnen de informatie en de gegevens aanwezig zijn is deugdelijk fysiek beveiligd.
c. De fysieke beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
d. Toegang tot de ruimte waar de gegevens of de informatie zich bevindt is uitsluitend toegestaan aan daartoe geautoriseerde personen voorzover dit voor hun functie noodzakelijk is.
e. Het binnentreden en verlaten van de ruimte moet zodanig zijn geregeld dat er sprake is van gecontroleerde en achteraf herleidbare toegang op individueel niveau.
f. Documenten waarin, dan wel verwisselbare gegevensdragers waarop, de informatie en de gegevens zijn vastgelegd worden in deugdelijk beveiligde opbergmiddelen bewaard.
g. Personen belast met onderhouds- en reparatiewerkzaamheden in de ruimte waarin de informatie en de gegevens zich bevinden worden door eigen geautoriseerd personeel begeleid.
(…)
V. Toegangsbeveiliging van geautomatiseerde informatiesystemen
a. De toegang tot geautomatiseerde informatiesystemen waarin de informatie en de gegevens worden verwerkt is op deugdelijke wijze beveiligd, onder meer door middel van persoonsgebonden authenticatie.
b. De logische beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
c. Het aantal foutieve inlogpogingen is beperkt tot drie. Overschrijding van het aantal foutieve inlogpogingen leidt tot definitieve blokkering, welke uitsluitend door de functionaris, bedoeld in onderdeel I van deze bijlage, kan worden opgeheven. Het voorgaande is niet van toepassing op de systeembeheerder, met dien verstande dat bij drie foutieve inlogpogingen een hernieuwde inlogpoging slechts kan plaatsvinden via een voor noodsituaties ingericht account en persoonsgebonden authenticatie voor het gebruik waarvan door de functionaris, bedoeld in onderdeel I van deze bijlage toestemming moet worden verleend.
d. Het geautomatiseerde systeem, waarin de gegevens en de informatie worden verwerkt, wordt niet eerder verlaten dan nadat een (handmatig of automatisch) toegangsbeveiligingsmechanisme in werking is gesteld.
e. Alle handelingen met betrekking tot de verwerking van de informatie en de gegevens in het geautomatiseerde informatiesysteem worden persoonsgebonden vastgelegd teneinde onderzoek mogelijk te maken.
f. Toegang tot het geautomatiseerde informatiesysteem is uitsluitend voorbehouden aan daartoe geautoriseerd personeel.
g. De toegangsrechten van de gebruikers worden periodiek geëvalueerd.
h. De autorisaties van alle gebruikers worden vastgelegd.”