De Autoriteit Consument & Markt (ACM) legde de boete al in 2013 op, maar KPN ging meermaals in beroep. Het College van Beroep voor het bedrijfsleven (CBb) oordeelde woensdag dat de boete in stand blijft. Tegen dat oordeel kan KPN geen beroep meer aantekenen.
Volgens de rechtbank zijn telecombedrijven verplicht om hun gegevens te voorzien van een “passend beveiligingsniveau”. Uit het onderzoek van de ACM bleek dat daar in de periode voor de hack geen sprake van was.
Sindsdien heeft KPN wel “voortvarend” gereageerd en de beveiliging van zijn gegevens flink opgeschroefd, stelde de toezichthouder eerder.
Bij de hack werden de klantgegevens niet gestolen. Maar de hacker, die later werd veroordeeld tot een werkstraf van 100 uur, had dat wel kunnen doen.