KPN krijgt een boete van het Agentschap Telecom (AT) omdat de beveiliging van het aftapsysteem niet op orde is. Het gaat om een bedrag van 450.000 euro omdat delen van het systeem niet op orde waren. Onbevoegden waren in staat om lijsten in te zien met personen die afgetapt werden of zouden worden.
KPN geeft intussen wel aan dat zij de tekortkomingen inmiddels heeft verholpen. Het bedrijf accepteert de boete dan ook en gaat niet in verweer. Het systeem draait bij alle providers om na een opdracht van de geheime diensten of Officier van Justitie telefoongesprekken of sms-berichten af te luisteren en lezen. Het moet dan gaan om verdachte personen.
Uit het onderzoek van het AT bleek dat KPN de beveiliging “aan de voordeur” wel goed op orde had, maar intern klopte er dingen niet met de beveiliging. Zo bleek onder andere dat niet alle medewerkers die in het systeem konden een VOG (Verklaring Omtrent Gedrag) aan KPN overlegd hadden. Verder had het bedrijf niet voor iedereen een persoonlijk account. Daardoor kun je niet goed nagaan wie er toegang heeft. En dat moet volgens de wet wel.
Het AT wijst erop dat een aftapsysteem streng beveiligd moet zijn omdat informatie over wie er wordt afgeluisterd strikt geheim is. Alleen inlichtingendiensten, politie en justitie mogen erbij en slechts een zeer beperkt aantal KPN-medewerkers. Daarbij moet dus ook duidelijk zijn wie welk soort toegang heeft en moet. Het bedrijf moet dit precies vastleggen.
Het Agentschap bevestigt intussen wel dat KPN het probleem heeft opgelost en dat alles weer goed functioneert.
Aanleiding
Een artikel in de Volkskrant van 17 april 2021 was de directe aanleiding voor het onderzoek van het Agentschap. De krant baseerde zich op een rapport uit 2010, waaruit viel op te maken dat er ‘ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang was tot de systemen van KPN. Volgens de krant ging het vooral om mobiele netwerken.
Daarop startte het Agentschap een diepgaand onderzoek. En daaruit bleek dat het bedrijf niet genoeg deed om te zorgden dat onbevoegden niet konden meekijken en luisteren met de aftapgegevens. Verder bleek dat het bedrijf voor haar systemen gebruik maakt van diverse leveranciers, maar dat KPN het beheer wel zelf doet. Daar is op zich niets verkeerd aan, mits KPN zorgt voor streng gereguleerde toegang.
Volgens het AT werkte KPN volledig mee aan het onderzoek. Het bedrijf nam meteen na ontdekking van de maatregelen genomen.
Lees ook:
- ACM stelt lagere toegangstarieven KPN en Glaspoort vast
- Cloud platform optimaliseert technische gegevens
