ECLI:NL:RBROT:2026:5480

Bestuursrecht

zaaknummer: ROT 25/3645

uitspraak van de meervoudige kamer van 8 mei 2026 in de zaak tussen

[Aanbieder 1], uit [plaats], eiseres (hierna: [aanbieder 1])

(gemachtigden: mrs. Q.J. Tjeenk Willink en I.A. Siskina)

en

de staatssecretaris van Economische Zaken, voorheen de minister van Economische Zaken , verweerder (hierna: de staatssecretaris )

(gemachtigden: mr. A.J. Boorsma en mr. M. Koppenol)

Samenvatting

Procesverloop

Wettelijk kader, voorgeschiedenis en besluitvorming van de staatssecretaris

8.1. Op basis van het rapport en de zienswijze stelt de staatssecretaris dat in de onderzoeksperiode een vijftal overtredingen heeft plaatsgevonden. Volgens het boetebesluit gaat het om de volgende vijf groepen overtredingen:

8.2. Bij deze overtredingen – die hieronder zijn uitgesplitst – heeft de staatssecretaris voor de overtredingen 1, 4 en 5 vastgesteld dat de overtredingen zich voordeden in de periode 5 oktober 2021 tot 15 december 2022 en dat de overtredingen 2 en 3 plaatsvonden in de periode 5 oktober 2021 tot en met 26 oktober 2022.

Overtreding 1: Artikel 3 van het Bbgt vereist dat de aanbieder zorg draagt voor een beveiligingsplan, waarin hij aangeeft op welke wijze uitvoering is gegeven aan zijn beveiligingsplicht. Dat plan dient ten minste aan te geven op welke wijze uitvoering is gegeven aan de maatregelen genoemd in de Bijlage. Bij [aanbieder 1] was dit plan volgens de staatssecretaris niet volledig en bovendien sterk verouderd.

Overtreding 2: Onderdelen van het proces van bevoegd aftappen kan een aanbieder buiten zijn organisatie beleggen. Artikel 8 van het Bbgt vereist in geval van uitbesteding dat de derde zich verplicht LI-gegevens te beveiligen tegen kennisneming door onbevoegden, dat geheimhouding met betrekking tot die gegevens wordt betracht en dat de ingevolge het Bbgt gestelde maatregelen worden nageleefd. [aanbieder 1] heeft onderdelen van haar LI-proces aan derden uitbesteed. Volgens de staatssecretaris heeft [aanbieder 1] daarbij de vereiste afspraken niet afdoende volledig en concreet met al haar leveranciers gemaakt.

Overtreding 3: Artikel 4, tweede lid, van het Bbgt vereist dat de medewerking aan taplasten uitsluitend mag worden verleend door personen die aan de aanbieder een Verklaring Omtrent Gedrag (VOG) hebben verstrekt. In onderdeel II van de Bijlage zijn verder concrete beveiligingseisen ten aanzien van personeel opgenomen. Zo is daarin bepaald:

 personeel dat niet belast was met de verwerking van LI-gegevens, had toegang tot LI-gegevens (onderdeel II, onder c, van de Bijlage);

 er ontbraken VOG’s of daarmee gelijk te stellen documenten van personeel dat belast was met de verwerking van LI-gegevens (artikel 4 van het Bbgt);

 er ontbraken functiebeschrijvingen van personeel belast met het verwerken van LI-gegevens (onderdeel II, onder a, van de Bijlage);

 er ontbraken geheimhoudingsverklaringen van personeel belast met het verwerken van LI-gegevens (onderdeel II, onder b, van de Bijlage).

Overtreding 4: In onderdeel III van de Bijlage staan concrete vereisten met betrekking tot de fysieke beveiliging en beveiliging van de omgeving waarin LI-gegevens zich bevinden opgenomen. De fysieke beveiliging van de ruimte waarin LI-gegevens aanwezig waren, was volgens de staatssecretaris onvoldoende, want:

 er kon eenvoudig toegang worden verkregen door onbevoegden tot de fysieke ruimte waarin LI-gegevens aanwezig waren (onderdeel III, onder b, van de Bijlage);

 toegang tot de fysieke ruimte was niet uitsluitend toegestaan voor geautoriseerde personen voor zover dit voor hun functie noodzakelijk was (onderdeel III, onder d, van de Bijlage);

 tijdens het onderzoek is gebleken dat er voor onderhoud door niet-geautoriseerde personen geen begeleiding was van eigen geautoriseerd personeel (onderdeel III, onder g, van de Bijlage);

 er was geen gecontroleerde en achteraf herleidbare toegang op individueel niveau (onderdeel III, onder e, van de Bijlage);

 er was geen detectie van toegang tot de fysieke ruimte en ook ontbrak de mogelijkheid tot het tijdig interveniëren (onderdeel III, onder c, van de Bijlage).

Overtreding 5: In onderdeel V van de Bijlage staan concrete maatregelen met betrekking tot toegangsbeveiliging van geautomatiseerde informatiesystemen opgenomen. De toegangsbeveiliging tot geautomatiseerde systemen waarin LI-gegevens worden verwerkt, was volgens de staatssecretaris onvoldoende, want:

 op drie systemen was geen sprake van een deugdelijke beveiliging, onder meer doordat persoonsgebonden authenticatie ontbrak (onderdeel V, onder a, van de Bijlage);

 op drie systemen was geen blokkering van kracht bij overschrijding van drie foutieve inlogpogingen (onderdeel V, onder c, van de Bijlage);

 op drie systemen was geen externe logging en detectie geactiveerd (onderdeel V, onder b, van de Bijlage);

 handelingen met betrekking tot de verwerking van de LI-gegevens werden niet persoonsgebonden vastgelegd om onderzoek mogelijk te maken (onderdeel V, onder e, van de Bijlage).

Beoordeling door de rechtbank

Inleidende overwegingen van de rechtbank over de omvang van het geschil

Lex certa en (gebrek aan) guidance

12.1. De kern van het betoog van [aanbieder 1] (tegen de vaststelling van de overtredingen 2, 3 en 4) is dat de Bbgt open normen bevat en de door de staatssecretaris gehanteerde invulling van die open normen onvoorzienbaar en onjuist is. [aanbieder 1] heeft in dit verband aangevoerd dat in de Bbgt sprake is van open normstellingen die aan haar de ruimte bieden om zelf invulling geven aan de toepasselijke zorgplichten en dat de staatssecretaris guidance behoort te geven alvorens hij tot handhaving mag overgaan. Daarbij neemt [aanbieder 1] verder het standpunt in dat de norminvulling door de staatssecretaris te vergaand is en afdoet aan de eigen beoordelingsruimte van [aanbieder 1].

12.2. De rechtbank komt tot de volgende beoordeling.

12.3. De Bbgt bevat inderdaad enige open normen, maar stelt daarnaast ook een reeks concrete eisen aan de beveiligingsmaatregelen die telecomaanbieders moeten nemen om kennisneming van LI-gegevens door onbevoegden te voorkomen. Voor zover sprake is van een open norm geldt het volgende. Van de wet- en regelgever wordt verlangd dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedraging omschrijft. Daarbij moet echter niet uit het oog worden verloren dat de wet- of regelgever soms met het gebruik van algemene termen verboden of geboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Dit kan onvermijdelijk zijn, omdat niet altijd is te voorzien op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden of geboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wet- of regelgeving schade lijdt (bijv. ECLI:NL:CBB:2012:BV6713, punt 4.3).

12.4. De vraag of een wettelijk voorschrift voldoet aan het lex certa-beginsel, moet mede worden beantwoord in het licht van wat de bedoeling van de wet- of regelgever met het wettelijk voorschrift is geweest. Uit de ook door [aanbieder 1] aangehaalde toelichting bij het Bbgt volgt onder meer het volgende (Stb. 2003, 472, blz. 7-9):

“Door het stellen van dergelijke regels kan worden bewerkstelligd dat bij elke aanbieder in ieder geval een op de aard van de gegevens toegesneden minimum-niveau van beveiligingsmaatregelen wordt getroffen. (…) In artikel 2, eerste lid, wordt aan de aanbieder de plicht opgelegd om alle noodzakelijke maatregelen van technische en organisatorische aard te treffen om kennisneming door onbevoegden te voorkomen van – kort gezegd – de gegevens welke aan een aanbieder worden verstrekt ten behoeve van het ten uitvoer kunnen leggen van een taplast en de informatie welke door de aanbieder aan de tot aftappen bevoegde instanties wordt verstrekt. Dergelijke maatregelen dienen ten minste te bestaan uit maatregelen gericht op de personen die werkzaam zijn voor de aanbieder, maatregelen gericht op de toegang tot gebouwen en ruimten waarin de gegevens en informatie, bedoeld in artikel 2, eerste lid, aanwezig zijn, maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de desbetreffende gegevens en informatie worden verwerkt, maatregelen voor het geval op de vertrouwelijkheid van de desbetreffende gegevens en informatie een inbreuk wordt gemaakt alsmede maatregelen voor het geval dat er calamiteiten optreden (artikel 2, tweede lid). Het is aan elke aanbieder afzonderlijk om – met inachtneming van hetgeen overigens in het besluit is bepaald – te bepalen op welke wijze invulling wordt gegeven aan de zorgplicht voor beveiliging en de daarin onderscheiden beveiligingsaspecten. Daarbij zal deze rekening kunnen houden met de specifieke omstandigheden van zijn organisatie. Een en ander zal naast implementatie van de daaruit voortvloeiende concrete maatregelen in de organisatie, tevens zijn weerslag dienen te krijgen in het in artikel 3 voorgeschreven beveiligingsplan.”

12.5. De rechtbank is van oordeel dat deze toelichting voldoende duidelijk maakt wat van [aanbieder 1] wordt verlangd. Daaruit volgt dat op haar primair de taak rust een beveiligingsplan op te stellen, wat raakt aan overtreding 1, en om daadwerkelijke risico’s op de fysieke en digitale toegang tot de gegevens en informatie te ondervangen en de vertrouwelijkheid ervan te waarborgen, wat raakt aan de overige overtredingen. Naast open normen stellen de artikelen 2, 3, 4 en 8 van het Bbgt in samenhang gelezen met de onderdelen II, III en V van de Bijlage ook een aantal zeer concrete eisen aan de aanbieder.

12.6. In onderdeel III, onder b en f, van de Bijlage komt de term ‘deugdelijk’ voor in relatie tot de fysieke beveiliging van de ruimte waarin gegevens en informatie die samenhangen met het uitvoeren van tapverzoeken zich bevinden en van opbergmiddelen waarin gegevensdragers met deze gegevens en informatie worden bewaard. Ook in artikel 2, tweede lid, aanhef en onder c, van het Bbgt en onderdeel V, onder a, van de Bijlage komt die term voor in relatie tot de beveiliging van de toegang tot geautomatiseerde informatiesystemen waarin de informatie en de gegevens worden verwerkt. De rechtbank volgt niet het standpunt van [aanbieder 1] dat de term ‘deugdelijk’ te vaag is. Wat deugdelijk is zal naar de stand der techniek moeten worden beoordeeld, terwijl het – zoals op blz. 7- 8 in de geciteerde toelichting is overwogen – gaat om minimumnormen. Daarbij zal – zoals op blz. 9 in de geciteerde toelichting is overwogen – de aanbieder rekening kunnen houden met de specifieke omstandigheden van zijn organisatie.

12.7. Voor zover het open normen betreft, voegt de rechtbank hieraan toe dat uit vaste rechtspraak volgt dat van een professionele marktpartij als [aanbieder 1] mag worden verwacht dat die de nodige inspanningen verricht om zich op de hoogte te stellen van de precieze inhoud van de norm en zich de nodige inspanningen getroost om daar ook daadwerkelijk aan te voldoen, desnoods door advies in te winnen (bijv. ECLI:NL:CBB:2020:419, punt 6.2). Ook volgt hieruit dat een professionele marktpartij als [aanbieder 1] zich niet kan verschuilen achter het uitblijven van guidance door de toezichthouder, omdat het primair de eigen verantwoordelijkheid van de marktdeelnemer betreft om zijn wettelijke verplichtingen na te komen en om in dit verband veiligheidsrisico’s te ondervangen (vgl. ECLI:NL:CBB:2017:274, punt 6.2). De toezichthouder is geen adviseur (ECLI:NL:CBB:2021:575, punt 5). Daarbij merkt de rechtbank op dat zorgplichten als hier aan de orde niet met zich brengen dat [aanbieder 1] die volledig naar eigen inzichten mag invullen, maar dat het – zoals uit de toelichting ook naar voren komt – gaat om na te leven minimumeisen.

12.8. Voor zover [aanbieder 1] specifiek per overtreding aanvoert dat de staatssecretaris de desbetreffende norm onjuist invult, zal de rechtbank hierna bij de bespreking van de meer specifieke beroepsgronden daarop ingaan.

Op welke personen zien de normen uit het Bbgt en de Bijlage?

13.1. [aanbieder 1] betoogt dat de normen uit het Bbgt en de Bijlage niet van toepassing zijn op de medewerkers van [naam bedrijf 1] ., [naam bedrijf 2] , [naam bedrijf 3] en Backoffice (een onderdeel van [aanbieder 1] România), omdat zij geen uitvoering geven aan de daadwerkelijke taplast, maar alleen worden ingezet voor support- en onderhoudswerkzaamheden aan de technische systemen. Uitvoering aan de in het Bbgt bedoelde taplast en de in het Bbgt neergelegde verplichting tot het verstrekken van informatie wordt uitsluitend gegeven door eigen medewerkers van [aanbieder 1]. [aanbieder 1] kan dus zonder de ondersteuning van deze leveranciers uitvoering geven aan (alle) bijzondere (tap)lasten. Alleen al om die reden zijn volgens [aanbieder 1] de overtredingen 2 en 3 – die zien op overeenkomsten en veiligheidsmaatregelen met betrekking tot personen die niet rechtstreeks zijn betrokken bij de uitvoering van de taplasten – niet komen vast te staan.

13.2. De rechtbank komt tot de volgende beoordeling.

13.3. Artikel 8, eerste lid, van het Bbgt vereist in geval van uitbesteding van werkzaamheden aan derden kortgezegd dat (a) de derde zich verplicht LI-gegevens te beveiligen tegen kennisneming door onbevoegden, (b) dat geheimhouding met betrekking tot die gegevens wordt betracht, (c) dat de in en bij het Bbgt gestelde maatregelen worden nageleefd en dat (d) alle informatie wordt verstrekt die voor het toezicht in dit verband noodzakelijk is. Uit het tweede lid volgt dat de verplichtingen van de derde als bedoeld in het eerste lid worden geregeld in een schriftelijke overeenkomst tussen aanbieder en derde.

13.4. Gelet op het eerste zinsgedeelte van het eerste lid van artikel 8 van het Bbgt zijn de normen van dat artikel van toepassing indien de aanbieder de uitvoering van werkzaamheden uitbesteedt aan een derde en in dat kader de derde kennis neemt of kan nemen van gegevens en informatie die samenhangen met het uitvoeren van tapverzoeken. Voor zover hier van belang volgt uit artikel 2 van het Bbgt dat de aanbieder zorg dient te dragen voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van die gegevens en informatie, dat die maatregelen mede zien op de personen die werkzaam zijn voor de aanbieder en dat onder die maatregelen in ieder geval worden gerekend de maatregelen, bedoeld in de Bijlage bij dit besluit. Uit het tweede lid van artikel 4 van het Bbgt volgt dat aan de uitvoering van tapverzoeken en het verstrekken van informatie, uitsluitend de medewerking wordt verleend door personen, die aan de aanbieder een VOG hebben overgelegd.

13.5. De staatssecretaris heeft uiteengezet dat het proces van [aanbieder 1] voor bevoegd aftappen – verkort weergegeven – bestaat uit de volgende zes stappen:

 Elk tapproces begint met een bijzondere last tot aftappen (tapverzoek) van een bevoegde autoriteit.

 Het tapverzoek wordt als aanvraag ingelezen in het [naam bedrijf 1] -systeem van [aanbieder 1]. Het [naam bedrijf 1] -systeem is het systeem dat tapverzoeken ontvangt en administreert. Het [naam bedrijf 1] -systeem wordt functioneel beheerd door het team ‘Lawful Intercept & Disclosure’. Dit team is binnen de afdeling Corporate Security van [aanbieder 1] verantwoordelijk voor de verwerking, validatie en goedkeuring van elk tapverzoek. [aanbieder 1] heeft het technische beheer van het [naam bedrijf 1] -systeem uitbesteed aan [naam bedrijf 1] .

 Na goedkeuring van het tapverzoek worden vanuit het [naam bedrijf 1] -systeem de benodigde technische identificatiegegevens van de af te tappen persoon doorgegeven aan het [naam bedrijf 2] -systeem. Het beheer van het [naam bedrijf 2] -systeem is uitbesteed aan [naam bedrijf 2] Het [naam bedrijf 2] -systeem vervult de rol van technisch hart binnen de aftapomgeving van [aanbieder 1].

 Het [naam bedrijf 2] -systeem stuurt de technische identificatiegegevens van de af te tappen persoon vervolgens door naar de aftapmodule ‘LI-IMS’, die onderdeel is van de Mobile Core van [naam bedrijf 3] . [aanbieder 1] heeft het beheer van het LI-IMS-systeem uitbesteed aan [naam bedrijf 3] . LI-IMS stuurt vervolgens een aantal van de systemen aan waar getapt moet worden.

 De afgetapte informatie (zoals gesprekken en internetverkeer) wordt aan de hand van de LI-gegevens verzameld binnen de Mobile Core van [naam bedrijf 3] .

 De afgetapte informatie wordt door LI-IMS en het [naam bedrijf 2] -systeem aangeboden aan de bevoegde autoriteit in het afgesproken bestandstype. De overgedragen informatie betreft zowel de inhoud van de telefoongesprekken als de bijbehorende metadata.

13.6. Uit deze – niet door [aanbieder 1] weersproken – beschrijving volgt dat het technisch beheer van alle systemen die zijn betrokken bij het tapverzoek, de verwerking daarvan en het aan het tapverzoek voldoen zijn uitbesteed. De stelling van [aanbieder 1] dat zonder de ondersteuning van deze leveranciers uitvoering kan worden geven aan (alle) bijzondere (tap)lasten, is in dit verband niet relevant. Het gaat erom of dit beheer door derden tot gevolg heeft dat derden kennisnemen of kunnen nemen van gegevens en informatie als bedoeld in artikel 2, eerste lid, van het Bbgt. Dat dit het geval is, volgt volgens de staatssecretaris uit de eerdere eigen verklaring van [aanbieder 1], namelijk dat het eerstelijnsbeheer kan neerkomen op het opnieuw activeren van een tap, terwijl bij complexere problemen de medewerkers in sommige gevallen diepgaand technisch onderzoek moeten doen, bijvoorbeeld naar het telefoonnummer waarop de tap is geplaatst. Ter zitting heeft [aanbieder 1], in afwijking van wat zij eerder aan de toezichthouder heeft verklaard, voor het eerst aangevoerd dat het eerstelijnsbeheer geen toegang heeft tot LI-informatie. De staatssecretaris heeft dat betwist en de toezichthouder heeft in dat verband uitgelegd dat bij het opnieuw activeren van een tap in elk geval het telefoonnummer of het IP-adres van de afgetapte persoon opnieuw moet worden ingevoerd. [aanbieder 1] heeft haar standpunt, ook na een schorsing waarin contact is gelegd met ‘de achterban’, niet kunnen onderbouwen. Gelet op de eerdere verklaring van [aanbieder 1] tegenover de RDI ziet de rechtbank aanleiding voorbij te gaan aan het door [aanbieder 1] terugkomen op een deel van haar eerdere verklaring, alleen al omdat [aanbieder 1] hiervoor geen enkele onderbouwing heeft gegeven.

13.7. Gelet hierop wordt het standpunt van [aanbieder 1] dat artikel 8 van het Bbgt niet van toepassing is op de door [aanbieder 1] uitbestede werkzaamheden niet gevolgd. Ook is de rechtbank van oordeel dat onder ‘personen die werkzaam zijn voor de aanbieder’ als bedoeld in artikel 2, tweede lid, aanhef en onder a van het Bbgt en onder ‘personeel’ in onderdeel II van de Bijlage tevens moeten worden verstaan: personen die in dienst zijn van een derde aan wie de aanbieder werkzaamheden heeft uitbesteed en die kennisnemen of kunnen nemen van gegevens en informatie als bedoeld in artikel 2, eerste lid, van het Bbgt. Dit betekent dat de normen van onderdeel II van de Bijlage van toepassing zijn op medewerkers van een derde als bedoeld in artikel 8 van het Bbgt. Artikel 2, tweede lid, aanhef en onder a, van het Bbgt en onderdeel II van de Bijlage zijn naar het oordeel van de rechtbank ook van toepassing op personen die indirect betrokken zijn bij de daarin genoemde verwerking van de informatie en gegevens als zij daarbij kennisnemen of kunnen nemen van gegevens en informatie als bedoeld in artikel 2, eerste lid, van het Bbgt. Ook voor die personen gelden dus de eisen van een functieomschrijving en geheimhoudingsverklaring. Artikel 8, eerste lid, van het Bbgt vereist verder de naleving van de (overige) maatregelen van het Bbgt, dus ook die welke volgen uit het tweede lid van artikel 4 van het Bbgt.

Overtreding 1

14.1. In artikel 3, eerste lid, van het Bbgt is de verplichting neergelegd zorg te dragen voor een beveiligingsplan waarin ten minste wordt aangegeven op welke wijze uitvoering is gegeven aan de maatregelen, bedoeld in de Bijlage. Dit zorgdragen houdt naar het oordeel van de rechtbank ook de verplichting in om een eerder opgesteld beveiligingsplan te actualiseren. Dit volgt niet alleen uit de aard van deze zorgplicht, maar ook uit de toelichting bij het Bbgt. Daarin is vermeld dat naast de eenmalige kosten die aan het opstellen van een beveiligingsplan zijn verbonden, ook kosten moeten worden gemaakt om de plannen actueel te houden, waarbij wordt uitgegaan van een jaarlijkse update (Stb. 2003, 472, blz. 16).

14.2. [aanbieder 1] heeft deze zorgplicht niet nageleefd. De staatssecretaris heeft namelijk onweersproken geconstateerd dat het door [aanbieder 1] verstrekte beveiligingsplan geen specifieke omschrijving bevatte van de wijze waarop uitvoering is gegeven aan de voornoemde maatregelen genoemd in de Bijlage. Zo wordt daarin niet vermeld dat gebruik wordt gemaakt van het [naam bedrijf 1] -systeem, ontbreekt een beschrijving van het 4G-tapproces (uitgegaan wordt van 2G en 3G), staan er feitelijke onjuistheden in, zien de omschreven fysieke beveiligingseisen slechts op een klein gedeelte van de LI-keten en ontbreekt een omschrijving van de beveiliging van de fysieke ruimte waarin geautomatiseerde LI-systemen zich bevinden. Verder heeft de staatssecretaris onweersproken vastgesteld dat het plan sterk was verouderd en inhoudelijk niet was geactualiseerd.

Overtreding 2

15.1. [aanbieder 1] stelt zich op het standpunt dat zij bij uitbesteding aan de eisen van artikel 8 van het Bbgt voldoet door in uitbestedingsovereenkomsten met derden de voorwaarde op te nemen dat wordt voldaan aan de toepasselijke wet- en regelgeving en daarin verder een algemene geheimhoudingsverplichting op te nemen. Deze verplichting is volgens [aanbieder 1] vormvrij, zodat niet expliciet naar wettelijke bepalingen hoeft te worden verwezen. Volgens [aanbieder 1] handelt de staatssecretaris in strijd met de onschuldpresumptie die voortvloeit uit artikel 6, tweede lid, van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) door te overwegen dat [aanbieder 1] in haar contracten niet de verplichte inhoud van artikel 8, eerste lid, aanhef en onder a tot en met d, van het Bbgt heeft opgenomen, dit nadat [aanbieder 1] in de zienswijzefase door de RDI was verzocht in de overeenkomsten aan te wijzen waar dit wel het geval is. De staatssecretaris had zelf concreet moeten aantonen op welke onderdelen van laatstgenoemd artikel de overeenkomsten tekort schoten.

15.2. De rechtbank komt tot de volgende beoordeling.

15.3. De verplichtingen van artikel 8 van het Bbgt brengen niet met zich dat [aanbieder 1] in haar overeenkomsten letterlijk verwijst naar die bepaling. De maatstaf is of [aanbieder 1] wel of niet heeft verzuimd de daaruit voortvloeiende verplichtingen op te nemen in haar contracten met haar leveranciers die in aanraking komen met LI-gegevens, terwijl die verplichting op grond van artikel 8, tweede lid, van het Bbgt wel op [aanbieder 1] rust. De staatssecretaris draagt de bewijslast aan te tonen dat [aanbieder 1] is tekortgeschoten deze verplichtingen op te nemen in haar overeenkomsten, waartoe volgens de rechtbank ook de bijlagen die daar onderdeel van uitmaken moeten worden gerekend.

15.4. In de overeenkomsten met haar leveranciers die in aanraking komen met LI-gegevens heeft [aanbieder 1] volgens de staatssecretaris geen verwijzing naar de verplichtingen uit het Bbgt opgenomen. Er zijn namelijk geen verwijzingen opgenomen naar of specifieke afspraken gemaakt over de invulling die aan artikel 8, eerste lid, aanhef en onder a tot en met d, van het Bbgt behoort te worden gegeven. Zo is bijvoorbeeld niet vastgelegd dat de leveranciers van [aanbieder 1] maatregelen dienen te treffen met betrekking tot hun personeel dat in aanraking komt met LI-gegevens (vergelijk onderdeel II, Bijlage).

15.5. De rechtbank komt aan de hand van de producties 18, 25f en 25g van de door de staatssecretaris overgelegde stukken (die onderdeel waren van de stukken die [aanbieder 1] in het kader van de voorlopige voorzieningprocedure hangende bezwaar heeft ingediend) tot de volgende beoordeling met betrekking tot de VPC Procurement Agreement van 21 februari 2014 (de overeenkomst) tussen [aanbieder 1] en [naam bedrijf 1] . en de daarbij behorende bijlagen (schedules). [aanbieder 1] heeft toegelicht dat en uit welke passages van stukken volgt dat zij artikel 8 van het Bbgt wel heeft nageleefd. De rechtbank stelt op grond van die stukken vast dat paragraaf 18 van de genoemde overeenkomst een algemene geheimhoudingsclausule bevat. Op basis van die overeenkomst maakt onder meer Schedule 2 (dat algemene voorwaarden bevat) onderdeel uit van die overeenkomst. Daarin staat in artikel 21.3 (Data Protection and Law Enforcement) onder meer aangegeven dat Supplier alle medewerking aan [aanbieder 1] dient te verlenen bij het voldoen aan verzoeken van (handhavings)autoriteiten (law enforcement authorities). Dat lijkt aan te sluiten bij artikel 8, eerste lid, onder d, van het Bbgt. Schedule 2 verwijst verder onder meer naar Schedule 7 dat een uitgebreide regeling bevat over het assisteren bij het tapproces, het betrachten van geheimhouding tot die data en de omstandigheid dat [naam bedrijf 1] . zich er rekenschap van geeft dat op [aanbieder 1] wettelijke verplichtingen rusten inzake onder meer LI. In de genoemde overeenkomst wordt verder onder meer verwezen naar Schedule 1 (dat definities bevat), dat op zijn beurt verwijst naar Schedule 4 voor wat betreft het product dat [naam bedrijf 1] . levert aan [aanbieder 1]. Ook in het amendement van de overeenkomst wordt (rechtstreeks) verwezen naar (amendering van) Schedule 4. Volgens [aanbieder 1] volgt uit de onder Schedule 4 vallende stukken dat [naam bedrijf 1] . en haar medewerkers de desbetreffende gegevens en informatie zullen beveiligen tegen kennisneming door onbevoegden. Zo staat op bladzijde 139 van productie 25f onder meer het volgende:

“All internal workflows are protected by a number of security measures to assure compliance to privacy laws by means of privileges, access control, encryption and full audit trails.”

15.6. Gelet hierop is de rechtbank van oordeel dat de staatssecretaris met haar enkele ontkenning dat [aanbieder 1] in enige overeenkomst heeft verwezen naar de verplichtingen van artikel 8 van het Bbgt niet heeft bewezen dat wat tussen [aanbieder 1] en [naam bedrijf 1] . is overeengekomen niet voldoet aan artikel 8 van het Bbgt. Gelet op de genoemde toelichting van [aanbieder 1], kon de staatssecretaris niet volstaan met de motivering dat de overeenkomst niets bevat ter voldoening aan de regeling. Dat, zoals [aanbieder 1] ter zitting heeft toegegeven, de overeenkomsten duidelijker hadden kunnen worden opgesteld, doet hier niet aan af. Het is aan de staatssecretaris om de overeenkomst als geheel te beoordelen op naleving aan artikel 8 van het Bbgt, ook als die bestaat uit veel verschillende bijlagen. Het is niet aan de rechtbank om vast te stellen of de overeenkomst volledig voldoet. Ook als de overeenkomst niet geheel zou voldoen, is het aan de staatssecretaris om dat te bewijzen, ook met het oog op de omvang en ernst van de overtreding.

15.7. Het voorgaande roept bij de rechtbank twijfel op of de staatssecretaris wat betreft de andere overeenkomsten wel daadwerkelijk heeft onderzocht of die voldoen aan het Bbgt. Omdat de bewijslast bij de staatssecretaris ligt en deze het dragend bewijs van een overtreding bij de voltooiing van de bestuurlijke besluitvorming dient te leveren (vgl. ECLI:NL:RVS:2017:1818, punt 6.1), ziet de rechtbank geen aanleiding om ambtshalve de overige overeenkomsten en verklaringen daarover na te lopen. De rechtbank legt haar twijfel in het voordeel van [aanbieder 1] uit, wat betekent dat de staatssecretaris niet in zijn bewijslast is geslaagd om aan te tonen dat [aanbieder 1] artikel 8 van het Bbgt heeft overtreden. Dit betekent dat het betoog van [aanbieder 1] dat die overtreding niet is komen vast te staan, slaagt.

Overtreding 3

16.1. Ten aanzien van overtreding 3 heeft [aanbieder 1] alle onderdelen betwist en daarbij het volgende aangevoerd.

16.2. In de eerste plaats stelt de staatssecretaris zich ten onrechte op het standpunt dat 72 medewerkers van Backoffice onbevoegd toegang hadden tot een verbinding tussen het LI-IMS- en het [naam bedrijf 2] -systeem via een monitoring/SPAN-poort van netwerkswitches en zij daarmee onbevoegd toegang kunnen hebben gehad tot LI-gegevens, omdat onderschepping van LI-gegevens via die functionaliteit niet zonder meer mogelijk is. Om de monitoring- en SPAN-functionaliteit te kunnen gebruiken, moeten meerdere commando’s handmatig worden ingevoerd. De staatssecretaris veronderstelt ten onrechte dat deze medewerkers kennis hebben van deze commando’s. Bovendien is niet onderzocht of de betreffende medewerkers daadwerkelijk toegang hebben gehad tot LI-gegevens.

16.3. In de tweede plaats stelt de staatssecretaris zich ten onrechte op het standpunt dat de verplichtingen die gaan over een VOG, de functiebeschrijving en geheimhoudingsverklaringen van toepassing zijn op de door [aanbieder 1] ingeschakelde derden. Die verplichtingen zijn volgens [aanbieder 1] alleen van toepassing op haar eigen medewerkers die medewerking verlenen aan de uitvoering van de taplast. [aanbieder 1] wijst er nog op dat bij Backoffice als onderdeel van de veiligheidscontrole de aanwezigheid van een criminele achtergrond van kandidaat medewerkers is nagegaan voor het in dienst treden. Omdat in Roemenië geen identiek equivalent van de Nederlandse VOG bestaat, vraagt de werkgever daar als alternatief een uittreksel van het strafregister (Cazier Judiciar) aan, waarin staat of de betreffende persoon strafrechtelijk is veroordeeld. Dit is vergelijkbaar met het VOG-onderzoek, waarbij de screeningsautoriteit van het Ministerie van Justitie en Veiligheid (Justis) beoordeelt of er relevante strafbare feiten zijn die een bezwaar vormen voor een bepaalde functie. Voor alle negen medewerkers van Backoffice is een uittreksel van het strafregister aangevraagd. Uit de overgelegde uittreksels volgt dat de medewerkers niet strafrechtelijk zijn veroordeeld. Er bestaan dus voor deze medewerkers geen bezwaren voor het vervullen van de functie binnen Backoffice.

16.6. De rechtbank komt tot de volgende beoordeling.

16.7. De inhoud van de artikelen 2 en 4 van het Bbgt is hiervoor verkort weergegeven onder 13.4. In onderdeel II van de Bijlage zijn concrete beveiligingseisen ten aanzien van personeel opgenomen. Daarin is bepaald:

16.8. Hiervoor heeft de rechtbank al geoordeeld dat de verplichtingen van het Bbgt die gelden voor de aanbieder op grond van artikel 8 ook gelden voor de door die aanbieder ingeschakelde derden die kennis nemen of kunnen nemen van LI-gegevens.

16.9. De rechtbank is op grond van het volgende van oordeel dat de staatssecretaris toereikend heeft aangetoond dat 72 medewerkers van Backoffice onbevoegd toegang hadden tot LI-gegevens. Zoals ter zitting is bevestigd door [aanbieder 1], was er onbedoeld een mogelijkheid tot toegang tot LI-gegevens op een verbinding tussen het LI-IMS- en het [naam bedrijf 2] -systeem via een monitoring/SPAN-poort van netwerkswitches. Die enkele mogelijkheid is al in strijd met de op [aanbieder 1] rustende verplichting te waarborgen dat personeel dat niet belast is met de verwerking van LI-gegevens in geen geval toegang heeft tot LI-gegevens. Of medewerkers gebruik hebben gemaakt van die mogelijkheid of daartoe technisch in staat waren, is in dat verband niet relevant nu [aanbieder 1] erkent dat de theoretische mogelijkheid bestond dat personeel dat niet belast is met de verwerking van LI-gegevens toegang had tot LI-gegevens. Verder is van belang dat de RDI tijdens het onderzoek aan [aanbieder 1] heeft gevraagd om een: “List of persons that have write access rights on the switches and access to the backoffice debug server (with the purpose of having access to the unencrypted plaintext LI-information as described in the path between [naam bedrijf 2] and LI-IMS servers)”. Hierop is de lijst met de 72 medewerkers door [aanbieder 1] aangeleverd. Onder die omstandigheden mag de staatssecretaris er naar het oordeel van de rechtbank behoudens – niet geleverd – tegenbewijs vanuit gaan dat de bedoelde 72 medewerkers van Backoffice toegang hadden tot LI-gegevens. Omdat deze medewerkers niet voldeden aan onderdeel II van de Bijlage, staat de overtreding in zoverre vast.

16.10. De staatssecretaris heeft vastgesteld dat negen (andere) medewerkers van Backoffice en een medewerker van [naam bedrijf 3] ongelimiteerd toegang hadden tot LI-gegevens in het LI-IMS-systeem en dat de negen medewerkers van Backoffice ook ongelimiteerd toegang tot LI-gegevens hadden in het [naam bedrijf 2] -systeem van [aanbieder 1]. Deze negen medewerkers van Backoffice waren belast met het eerstelijnsbeheer van het LI-IMS- en het [naam bedrijf 2] -systeem. De medewerker van [naam bedrijf 3] was belast met het tweedelijnsbeheer van het LI-IMS-systeem. Uit wat de rechtbank hiervoor heeft overwogen volgt dat voor deze personen een VOG voorhanden had moeten zijn als bedoeld in artikel 4, tweede lid, van het Bbgt.

16.11. Ten aanzien van de negen medewerkers van Backoffice heeft [aanbieder 1] in de bezwaarfase verklaringen overgelegd met betrekking tot met een VOG vergelijkbare screening door de Roemeense autoriteiten. Uit de verklaringen van [aanbieder 1] volgt verder dat zij ten tijde van de periode in geding geen beschikking had over die verklaringen, terwijl dit in artikel 4, tweede lid van het Bbgt expliciet wel een vereiste is. Daaruit volgt immers dat de VOG moet zijn overgelegd aan de aanbieder voorafgaand aan de werkzaamheden. Met betrekking tot de medewerker van [naam bedrijf 3] heeft [aanbieder 1] de constatering van de staatssecretaris dat een VOG ontbrak verder niet betwist. Daarmee staat de overtreding van artikel 4, tweede lid, van het Bbgt ook vast ten aanzien van de tien genoemde medewerkers.

16.12. Verder heeft de staatssecretaris vastgesteld en is door [aanbieder 1] niet betwist dat in de functiebeschrijving van 23 personen met toegang tot het LI-IMS- en [naam bedrijf 2] -systeem en van negen medewerkers met toegang tot het [naam bedrijf 1] -systeem geen verantwoordelijkheid voor verwerking en beveiliging van LI-gegevens is genoemd. Daarnaast heeft de staatssecretaris onbetwist vastgesteld dat voor één medewerker van [naam bedrijf 3] , negen Backoffice-medewerkers en negen [naam bedrijf 1] -medewerkers geen (toereikende) geheimhoudingsverklaring aanwezig was. Daarmee is artikel 2, eerste lid, aanhef en onder a van het Bbgt gelezen in samenhang met onderdeel II van de Bijlage overtreden.

Overtreding 4

17.1. Met betrekking tot overtreding 4 heeft [aanbieder 1] het volgende aangevoerd.

17.2. Een van de door de RDI bezochte locaties waar zich LI-gegevens bevinden is een back-up locatie in Eindhoven. De veronderstelde overtreding zou zich hier hebben voorgedaan. [aanbieder 1] heeft erop gewezen dat de inhoud van de afgetapte communicatie in Eindhoven niet beschikbaar is, maar heeft ter zitting desgevraagd aangegeven niet het standpunt in te nemen dat artikel 2 van het Bbgt en onderdeel III van de Bijlage niet van toepassing zijn op deze back-up locatie. Zij betwist echter dat sprake is van een overtreding en voert daarvoor het volgende aan.

17.3. Uit onderdeel III, onder b, van de Bijlage volgt dat de ruimte waarbinnen de informatie en de gegevens aanwezig zijn deugdelijk fysiek is beveiligd, maar wat precies onder ‘deugdelijk’ wordt verstaan, wordt niet uitgewerkt in het Bbgt, de Bijlage daarbij of in de nota van toelichting. Wel volgt uit die toelichting dat het aan elke aanbieder afzonderlijk is om – met inachtneming van hetgeen overigens in het besluit is bepaald – te bepalen op welke wijze invulling wordt gegeven aan de zorgplicht voor beveiliging en de daarin onderscheiden beveiligingsaspecten. Daarbij krijgt de aanbieder ruimte om rekening te houden met de specifieke omstandigheden van zijn organisatie. In de praktijk is het vrijwel onmogelijk om alle risico’s volledig uit te sluiten. [aanbieder 1] heeft zich daarom gericht op het reduceren van de beveiligingsrisico’s tot een acceptabel niveau. Daarbij heeft zij verschillende, met elkaar samenhangende en elkaar versterkende beveiligingsmaatregelen geïmplementeerd om impactvolle dreigingen tegen te houden. De staatssecretaris dient die beveiligingsmaatregelen in samenhang te bezien in plaats van iedere maatregel afzonderlijk te bezien. Daar komt bij dat de ‘eenvoudige manieren’ om de individuele beveiligingsmaatregelen te omzeilen die de staatssecretaris in haar besluitvorming suggereert, veelal zijn gebaseerd op vergezochte, hypothetische scenario’s en niet-getoetste aannames.

17.4. Uit onderdeel III, onder e, van de Bijlage volgt dat het binnentreden en verlaten van de ruimte zodanig moet zijn geregeld dat sprake is van gecontroleerde en achteraf herleidbare toegang op individueel niveau. De staatssecretaris stelt dat achteraf niet te herleiden is welke individuen toegang hebben gehad tot de betrokken zaal of de kabinetkast waarin de LI-server zich bevindt. [aanbieder 1] heeft in dit verband toegelicht dat alleen van te voren door [aanbieder 1] of de vier leveranciers van [naam bedrijf 4] aangemelde, door [naam bedrijf 4] geïdentificeerde personen de kooi kunnen betreden, nadat zij de volgende beveiligingsstappen hebben doorlopen: (i) legitimatie en identificatie vinden plaats bij de receptie waarbij een vingerafdruk wordt afgenomen door [naam bedrijf 4] , (ii) de vingerafdruk wordt gekoppeld aan een aan het bezoek gebonden autorisatie, en (iii) een toegangsbatch wordt afgegeven die bij ieder bezoek weer moet worden ingeleverd. Voor de van te voren door [aanbieder 1] aangemelde personen geldt dat deze op een whitelist staan en voldoen aan de certificeringen en eisen om het datacenter te bezoeken. Specifiek betekent dit dat personen die op de [aanbieder 1] whitelist staan gecontroleerde ESD/VCA-gecertificeerde personen zijn. De stelling van de staatssecretaris dat het hekwerk op zichzelf geen deugdelijke beveiligingsmaatregel is omdat deze ‘eenvoudig’ kan worden omzeild is volgens [aanbieder 1] onjuist en kan niet dienen ter onderbouwing van de overtreding. Bovendien zijn er verschillende camera’s die de buiten- en binnenkant van de kooi in beeld brengen en bewegingssensoren waarmee verlichting aangaat.

17.5. De rechtbank komt tot de volgende beoordeling.

17.6. Uit artikel 2, eerste lid, van het Bbgt volgt dat de aanbieder zorg dient te dragen voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van gegevens en informatie die samenhangen met het uitvoeren van tapverzoeken. Uit het tweede lid, aanhef en onder b, volgt dat de maatregelen, bedoeld in het eerste lid, ten minste dienen te bestaan uit maatregelen gericht op de toegang tot de gebouwen en ruimten waarin die gegevens en informatie aanwezig zijn. Uit het derde lid volgt dat tot de maatregelen, bedoeld in het eerste en tweede lid in ieder geval de maatregelen bedoeld in de Bijlage worden gerekend. In onderdeel III van de Bijlage staan concrete vereisten met betrekking tot de fysieke beveiliging en beveiliging van de omgeving waarin LI-gegevens zich bevinden opgenomen. Die eisen zijn:

17.7. In onderdeel III van de Bijlage staan concrete vereisten met betrekking tot de fysieke beveiliging en beveiliging van de omgeving waarin LI-gegevens en de op grond daarvan aan de autoriteiten verstrekte informatie zich bevinden. Omdat voor LI-gegevens overeenkomstig artikel 2, derde lid, van het Bbgt ten minste de beveiligingsmaatregelen uit de Bijlage moeten worden getroffen, moeten de fysieke beveiligingsmaatregelen voldoen aan artikel III van de Bijlage. Zoals hiervoor onder 12.6. is overwogen, volgt de rechtbank niet het standpunt van [aanbieder 1] dat de term ‘deugdelijk’ te vaag is. Juist omdat het minimumeisen betreffen en onderdeel III van de Bijlage verschillende opsommende eisen bevat, wordt [aanbieder 1] niet gevolgd in haar suggestie dat wanneer de fysieke maatregelen op een of meer onderdelen tekort schieten toch het geheel aan maatregelen voldoende kan zijn en dat [aanbieder 1] hierbij een ruime beoordelingsmarge toekomt. De rechtbank voegt hieraan toe dat zelfs wanneer [aanbieder 1] in haar standpunt gevolgd zou moeten worden dat naar het totaal van veiligheidsmaatregelen gekeken zou moeten worden, sprake is van een ernstige overtreding, omdat – zoals hierna wordt geoordeeld – de fysieke maatregelen op alle vlakken genoemd in onderdeel III, onder b tot en met e en onder g, van de Bijlage ernstig tekortschoten.

17.8. Omdat het datacenter van [naam bedrijf 4] in Eindhoven, waarin [aanbieder 1] ruimte huurt en een LI-server heeft ondergebracht, ook serverruimte huisvest die gehuurd wordt door andere klanten van [naam bedrijf 4] , kleurt dit mede in welke minimale veiligheidsvoorschriften [aanbieder 1] dient te treffen. De RDI heeft vastgesteld dat de fysieke buitenschil van [naam bedrijf 4] geen beveiliging van enige betekenis biedt. Een gerichte aanvaller kan, indien deze ook serverruimte huurt van [naam bedrijf 4] op dezelfde locatie, langs legale weg, zonder daarbij gehinderd te worden en zodoende zonder dat dit argwaan wekt, het gebouw binnenkomen en op de verdieping en in de gang komen waar de serverruimte zich bevindt die door [aanbieder 1] wordt gehuurd. In die situatie dienen adequate maatregelen te worden genomen om te waarborgen dat de kooi van [aanbieder 1] met de kabinetkast met de server met LI-gegevens niet toegankelijk is voor andere huurders van het datacenter of andere onbevoegden. Volgens de staatssecretaris ontbreken dergelijke adequate maatregelen en de rechtbank volgt dit standpunt. Daarbij neemt de rechtbank het volgende in aanmerking.

17.9. De RDI heeft onweersproken vastgesteld dat alle huurders van serverruimte in het gehele datacenter van [naam bedrijf 4] in Eindhoven legaal door de tourniquet bij de receptie van het gebouw kunnen binnenkomen. Dit zijn in ieder geval (minimaal) 280 personen, werkzaam bij 145 huurders die toegang hebben tot de tweede verdieping van het datacenter waar de kooi van [aanbieder 1] zich bevindt, maar daarnaast ook alle huurders van andere verdiepingen en datazalen van het datacenter. Na de beveiligingssluis zijn de eerste drie verdiepingen van het datacenter zonder toegangscontrole – dus vrij – bereikbaar via het trappenhuis. Bij aankomst bij de zaaldeur van de tweede verdieping dient zich een volgende beveiligingsmaatregel met persoonsgebonden authenticatie aan. Deze zaaldeur is voorzien van een paslezer die enkel kan worden betreden door geautoriseerde personen. Hiertoe hebben alle genoemde 280 personen geautoriseerde toegang. Na de zaaldeur bevindt zich een gezamenlijke gang die vrije toegang geeft tot de drie datazalen op de tweede verdieping, waaronder de middelste datazaal waarin [aanbieder 1] ruimte huurt. Tot aan het hekwerk van de kooi in de middelste zaal kunnen al deze 280 personen geautoriseerd komen. Vastgesteld is verder dat drie leveranciers en 39 medewerkers, waaronder twee directieleden, van [naam bedrijf 4] permanent geautoriseerde toegang hadden tot de kooi met de kabinetkast met de server met LI-gegevens van [aanbieder 1]. De functie van deze personen vergt volgens de toezichthouder echter niet dat zij permanent geautoriseerde toegang nodig hebben tot de kooi van [aanbieder 1]. Gelet op deze niet weersproken vaststellingen voldeed [aanbieder 1] niet aan onderdeel III, onder d en g, van de Bijlage.

17.10. De toezichthouder van de RDI heeft onweersproken vastgesteld dat het hekwerk van de kooi niet volledig was afgesloten. Het hekwerk was namelijk niet volledig tot het plafond sluitend, waardoor een persoon over het hekwerk zou kunnen klimmen met de in het datacenter aanwezige huishoudtrap. Daarnaast was de kooi niet ondergronds afgesloten, waren de vloertegels voor en achter het hekwerk uitneembaar en was de ondergrondse ruimte voor een persoon voldoende groot om te kunnen bewegen. Wanneer de toegangsdeur van de kooi eenmaal met een paslezer was geopend, konden daar meerdere personen door naar binnen. Vanaf de binnenkant is deze toegangsdeur te openen door middel van een draaiknop. Personen in de kooi kunnen door middel van deze draaiknop de kooi verlaten zonder enige autorisatie. De toezichthouder heeft vastgesteld dat deze knop van buiten de kooi door het hekwerk heen is te bedienen met een touw of ijzerdraad van ongeveer een meter. Het gebruik van deze knop werd niet geregistreerd. Ongeautoriseerde personen zouden daarmee ook van buiten de kooi toegang kunnen krijgen tot de kooi. Een kwaadwillend persoon heeft daarmee bij aankomst op de tweede verdieping drie mogelijkheden om ongeautoriseerd toegang te krijgen tot de kooi, namelijk (i) door over het hekwerk te klimmen, (ii) door na verwijdering van vloertegels onder het hekwerk door te kruipen of (iii) door van buiten de kooi de draaiknop te bedienen die aan de binnenkant van de kooi zit om de deur te openen. Anders dan de voorstelling van zaken die [aanbieder 1] geeft aan deze constateringen, is de rechtbank van oordeel dat hiermee voldoende is komen vast te staan dat [aanbieder 1] niet voldeed aan onderdeel III, onder b, d en e, van de Bijlage.

17.11. In de kooi staan verschillende rijen met kabinetkasten van [aanbieder 1], waaronder de kabinetkast met de server met LI-gegevens. Na het binnentreden van de kooi kan men zich volgens de toezichthouder van de RDI vrij bewegen naar de kabinetkast met de server met LI-gegevens van [aanbieder 1]. Tijdens het onderzoek van de toezichthouder verrichtte een persoon zonder begeleiding van geautoriseerd personeel onderhoudswerkzaamheden in de kooi met de kabinetkast met de server met LI-gegevens van [aanbieder 1]. Daaruit volgt al dat de beveiliging niet op orde was. De kabinetkast heeft een slot met paslezerfunctie. De toezichthouder heeft vastgesteld dat de toegangspas voor deze kast niet persoonsgebonden is. Voor de [naam bedrijf 1] -medewerkers geldt bovendien dat zij zich met een niet-persoonsgebonden toegangspas, uitgereikt door [naam bedrijf 1] , toegang tot de kabinetkast met LI-gegevens konden verschaffen. Door de toezichthouder is daarnaast vastgesteld dat deze kast is voorzien van een deur van dun materiaal die volgens de toezichthouder met eenvoudig gereedschap kan worden opengebroken. Er was geen certificering van het sluitwerk op de kabinetkast voorhanden, terwijl het slot evenmin is voorzien van enige certificeringsopdrukken. Volgens de toezichthouder is een dergelijke kabinetkast in korte tijd te openen met gebruikmaking van eenvoudig gereedschap. [aanbieder 1] heeft dit betwist maar heeft die betwisting niet onderbouwd door uit te leggen waarom de inschatting van de toezichthouder onjuist is. De rechtbank stelt vast dat niet zozeer het ontbreken van een sleutelcertificaat aan [aanbieder 1] wordt tegengeworpen, maar dat haar het verwijt treft dat het geheel aan veiligheidsmaatregelen rondom de kabinetkast niet voldoet. Gelet op de beschrijving hiervoor is ook de rechtbank van oordeel dat [aanbieder 1] niet voldeed aan onderdeel III, onder b, e en g, van de Bijlage.

17.12. Met betrekking tot cameratoezicht is onweersproken het volgende door de toezichthouder vastgesteld. In de kooi van [aanbieder 1] hangen camera’s, die door [aanbieder 1] worden beheerd. Deze camera’s hangen bij de toegangsdeur van de kooi, aan de binnenkant van de kooi. De lens van deze camera’s richt zich van de toegangsdeuren af, waardoor de toegangsdeuren en personen die via die deuren de kooi binnenkomen niet door deze camera's worden gefilmd. De camera’s richten zich op de gangen met kabinetkasten in de kooi. Daarbij heeft de toezichthouder vastgesteld dat een persoon met een lichaamslengte van minimaal 1,80 meter de camera’s kan vasthouden zonder hulpmiddelen. De camera’s kunnen met de hand worden gedraaid, de netwerkkabel kan eruit worden getrokken of het zicht van de lens van de camera kan worden belemmerd. Van deze camera’s had [aanbieder 1] bovendien niet de beschikking over de camerabeelden, ondanks dat [aanbieder 1] de camera’s beheert en daarmee niet op basis van camerabeelden ongeautoriseerde toegang of pogingen daartoe kon detecteren en daarop dus niet tijdig kan interveniëren. [aanbieder 1] heeft aangegeven dat deze camera’s ten tijde van de waarneming in het geheel niet functioneerden. Achterin de kooi (aan de andere kant dan de toegangsdeuren van de kooi) hangen nog twee camera’s van [naam bedrijf 4] . Achter de kooi zit een technische ruimte. De toezichthouder heeft vastgesteld dat de twee camera’s achterin de kooi gericht zijn op het hekwerk met deuren van de technische ruimte. Van deze camera’s heeft de toezichthouder vastgesteld dat ze niet in staat zijn om ongeautoriseerde toegang en pogingen daartoe (in realtime) te detecteren. Het cameratoezicht van de camera's van [naam bedrijf 4] is slechts passief van aard. Dit houdt in dat de beelden alleen in realtime worden bekeken en er geen verdere monitoring plaatsvindt. In de gangen aan de buitenkant van de kooi hangen ook nog camera’s van [naam bedrijf 4] . Deze camera’s worden 24/7 bekeken door de persoon achter de receptie. Ook het cameratoezicht van deze camera's is dus passief. Hierdoor valt of staat de effectiviteit van dit toezicht met de oplettendheid van de persoon die de beelden bekijkt. Daarbij is van belang dat de desbetreffende medewerker blijkens het onderzoek tegelijkertijd camerabeelden van meerdere camera's in meerdere zalen en op meerdere verdiepingen moet bekijken. De medewerker werkt bovendien niet uitsluitend voor [aanbieder 1], maar voor tenminste 145 klanten. [aanbieder 1] heeft met [naam bedrijf 4] geen afspraken gemaakt over dit cameratoezicht. Voor effectief cameratoezicht door de receptiemedewerker geldt dan dat die alle medewerkers van alle klanten dient te kennen en daarvan dient te weten wat ze wel en niet mogen doen in het datacenter van [naam bedrijf 4] . De toezichthouder heeft vastgesteld dat de desbetreffende medewerker bovendien de receptie bediende en dus niet voortdurend de camerabeelden bekeek. Ten tijde van het bezoek door de toezichthouder werd de receptie bemand door één medewerker. Gelet op dit alles is de rechtbank van oordeel dat [aanbieder 1] niet voldeed aan onderdeel III, onder c, van de Bijlage.

Overtreding 5

18.1. Uit artikel 2, eerste lid, van het Bbgt volgt dat de aanbieder zorg dient te dragen voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van gegevens en informatie die samenhangen met het uitvoeren van tapverzoeken. Uit het tweede lid, aanhef en onder d, volgt dat de maatregelen, bedoeld in het eerste lid, ten minste dienen te bestaan uit maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie. In het derde lid is bepaald dat tot de maatregelen, bedoeld in het eerste en tweede lid in ieder geval worden gerekend de maatregelen, bedoeld in de Bijlage bij dit besluit. Onderdeel V van de Bijlage ziet op de toegangsbeveiliging van geautomatiseerde informatiesystemen.

18.2. De rechtbank oordeelt dat [aanbieder 1] deze zorgplicht niet heeft nageleefd. De staatssecretaris heeft namelijk onweersproken geconstateerd dat op drie systemen geen sprake was van een deugdelijke beveiliging, onder meer doordat persoonsgebonden authenticatie ontbrak (onderdeel V, onder a, van de Bijlage), dat op drie systemen geen blokkering van kracht was bij overschrijding van drie foutieve inlogpogingen (onderdeel V, onder c, van de Bijlage), dat op drie systemen geen externe logging en detectie was geactiveerd (onderdeel V, onder b, van de Bijlage) en dat handelingen met betrekking tot de verwerking van de LI-gegevens niet persoonsgebonden werden vastgelegd om onderzoek mogelijk te maken (onderdeel V, onder e, van de Bijlage).

Is de staatssecretaris bevoegd tot boeteoplegging?

Is de inzet van het boete-instrument evenredig?

20.1. Met betrekking tot het tijdversloop tussen vaststelling van de overtredingen en de boeteoplegging heeft [aanbieder 1] aangevoerd dat sprake is van strijd met het uitoefenen van passend toezicht als bedoeld in artikel 5:13 van de Awb. [aanbieder 1] heeft in dit verband ook gewezen op het lange tijdsverloop tussen de afronding van het onderzoek en het boetevoornemen.

20.2. De rechtbank overweegt dat enkel tijdsverloop niet maakt dat bestraffende handhaving niet langer mogelijk of niet langer opportuun is. De inzet van het boete-instrument voor de hiervoor vastgestelde overtredingen heeft de wetgever immers slechts willen begrenzen door een vervaltermijn van vijf jaar (zie artikel 5:45, eerste lid, in verbinding met artikel 5:53, eerste lid, van de Awb). Die termijn vangt aan na afloop van de overtredingen (ECLI:NL:RVS:2020:2096, punt 3). Daarnaast bevat artikel 5:51, eerste lid, van de Awb een termijn van orde ten aanzien van de beslissing omtrent het opleggen van de bestuurlijke boete na de dagtekening van het rapport. Die termijn is dertien weken. Omdat sprake is van een termijn van orde ziet de rechtbank in de overschrijding van die termijn geen reden om daar gevolgen aan te verbinden voor wat betreft de bevoegdheid tot boeteoplegging (Kamerstukken II 2003/04, 29 702, nr. 3, blz. 150). Verderop zal de rechtbank stilstaan bij de vraag of die overschrijding tot een matiging van het boetebedrag moet leiden.

21.1. [aanbieder 1] betoogt dat de boeteoplegging niet geschikt, niet noodzakelijk en onevenwichtig is. In dit verband heeft zij onder meer aangevoerd dat punitieve handhaving niet langer opportuun is, omdat zij de overtredingen heeft opgeheven en eventuele tekortkomingen niet hebben geleid tot het weglekken van data. Met betrekking tot overtreding 4 heeft [aanbieder 1] ter zitting een beroep op het gelijkheidsbeginsel gedaan. [aanbieder 1] wijst in dit verband op een openbaar gemaakt boetebesluit ten aanzien van een andere aanbieder ([aanbieder 2]) waaruit volgt dat ondanks dat gebreken in de fysieke beveiliging met feitelijke beveiligingsrisico’s zijn geconstateerd, voor deze overtreding geen boete is opgelegd.

21.2. De rechtbank stelt vast dat de staatssecretaris in het bestreden besluit uitdrukkelijk het standpunt heeft ingenomen dat in boetezaken de drietrapstoets geschiktheid, noodzakelijkheid en evenwichtigheid niet van toepassing is. Dit standpunt is onjuist. Een grote kamer van de Afdeling bestuursrechtspraak van de Raad van State heeft op 2 februari 2022 in de zaak Harderwijk reeds geoordeeld dat het nieuwe toetsingskader met betrekking tot artikel 3:4, tweede lid, van de Awb ook ziet op de inzet van het boete-instrument (ECLI:NL:RVS:2022:285, punt 7.3). Dat de Afdeling verder onder punt 7.5 van haar uitspraak onder meer overweegt dat de wettelijke norm voor de hoogte van bestuurlijke boetes (artikel 5:46, tweede en derde lid, van de Awb) verbijzonderingen van het evenredigheidsbeginsel zijn en hieraan afzonderlijk wordt getoetst, doet daar niet aan af. De vraag naar de evenredigheid van de inzet van het boete-instrument moet worden onderscheiden van de vraag naar de evenredigheid van de boetehoogte. Het bestreden besluit lijdt dus onder een motiveringsgebrek. In zijn verweerschrift heeft de staatssecretaris dit onder verwijzing naar recente rechtspraak van het College van Beroep voor het bedrijfsleven (ECLI:NL:CBB:2025:353, punt 8.2 en ECLI:NL:CBB:2025:372, punt 6.2) onderkend.

21.3. De rechtbank zal gelet op het voorgaande hierna ingaan op de door [aanbieder 1] aangevoerde gronden met betrekking tot de geschiktheid, noodzakelijkheid en evenwichtigheid van de inzet van het boete-instrument.

21.4. Het opleggen van een boete is in dit geval een geschikt middel om het met het opleggen van een boete beoogde doel te bereiken. [aanbieder 1] heeft erop gewezen dat de verweten gedragingen zich in het verleden hebben afgespeeld, dat zij ten tijde van de overtredingen wel beschikte over een beveiligingsplan en dat zij daarin inmiddels verbeteringen heeft doorgevoerd. Met de staatssecretaris is de rechtbank van oordeel dat het destijds niet op orde hebben van het beveiligingsplan geen beperkte administratieve tekortkoming, maar een ernstige overtreding vormde. Ook de overige overtredingen zijn ernstig van aard. Dat deze overtredingen in het verleden zijn vastgesteld en niet is vastgesteld dat die nog voortduren, maakt niet dat een bestuurlijke boete niet meer geschikt zou zijn om het beoogde doel te bereiken, namelijk naleving van de wetgeving inzake beveiliging van tapgegevens. Vast staat verder dat de staatssecretaris ook de andere twee mobiele providers heeft beboet voor een of meer vergelijkbare overtredingen, wat bijdraagt aan het oordeel van de rechtbank dat de inzet van het boete-instrument voor deze overtredingen een geschikt handhavingsmiddel is.

21.5. Op de zitting heeft [aanbieder 1] een beroep op het gelijkheidsbeginsel gedaan onder verwijzing naar een gepubliceerd boetebesluit ten aanzien van een andere partij ([aanbieder 2]). [aanbieder 1] heeft dit punt naar het oordeel van de rechtbank onnodig laat aangevoerd omdat het besluit ten aanzien van [aanbieder 2] al op 17 oktober 2025 openbaar is geworden en [aanbieder 1] daar dus al ruim voor de zitting een beroep op had kunnen doen. De staatssecretaris heeft ter zitting niet inhoudelijk kunnen reageren op dit punt. Mede gelet op de zeer summiere onderbouwing van [aanbieder 1], ziet de rechtbank geen aanleiding om de staatssecretaris alsnog in de gelegenheid te stellen op dit punt schriftelijk te reageren. Bij globale lezing van het boetebesluit aan [aanbieder 2] springt niet in het oog dat wat betreft geconstateerde overtredingen sprake is van gelijke gevallen. In de zaak [aanbieder 2] gaat het namelijk om fysieke toegang tot kabels tussen de datacenters en niet om de fysieke beveiliging van de ruimte waar LI-gegevens worden bewaard. Verder springt al bij kennisneming van het slotgedeelte van het gepubliceerde boetebesluit in het oog dat de staatssecretaris ten aanzien van twee van de drie groepen overtredingen die zij in de door [aanbieder 1] genoemde zaak heeft vastgesteld juist het boetebasisbedrag met 25% heeft verhoogd, terwijl dit bij [aanbieder 1] achterwege is gebleven.

21.6. De rechtbank stelt verder vast dat de door de staatssecretaris vastgestelde groepen van overtredingen door [aanbieder 1] een structureel en veelomvattend karakter hebben. [aanbieder 1], die een professionele marktpartij is, heeft de eisen die het Bbgt aan haar stelt gedurende een lange periode geschonden. De staatssecretaris heeft terecht opgemerkt dat gezien de aard van de vastgestelde tekortkomingen – waaronder de afwezigheid van externe logging en detectie – het niet controleerbaar en dus onzeker is of ongeoorloofde toegang daadwerkelijk heeft plaatsgevonden. De precieze gevolgen van de vastgestelde tekortkomingen zijn dan ook niet in te schatten. Reeds gelet hierop valt niet in te zien dat geen sprake zou zijn van een noodzaak om een of meer boetes op te leggen. Een minder ingrijpend middel, zoals een waarschuwing, zal hier niet het gewenste, afschrikwekkende effect hebben. Wat [aanbieder 1] verder heeft aangevoerd, levert geen bijzondere omstandigheden op waarom het opleggen van een of meer boetes op zichzelf in dit concrete geval voor haar onevenwichtig zou uitpakken. Of het resterende totale boetebedrag wegens samenhang evenredig uitpakt is een vraag die aan de orde komt bij de beoordeling van boetehoogte en niet bij de inzet van het boete-instrument.

Is de boetehoogte evenredig?

22.1. [aanbieder 1] betoogt verder dat de totale boete onevenredig hoog uitpakt, waarbij zij erop wijst dat de vier resterende overtredingen zodanig met elkaar samenhangen dat het niet evenredig is om haar voor iedere overtreding een bestuurlijke boete op te leggen ter hoogte van de helft van het boetemaximum. Daarbij wijst [aanbieder 1] er verder op dat overtreding 3 korter duurde dan de staatssecretaris aanvankelijk heeft aangenomen. Hoewel in de besluitvorming wel steeds de duur per overtreding is genoemd, laat de staatssecretaris na om hieraan gewicht toe te kennen bij het vaststellen van de boete(hoogte). Volgens [aanbieder 1] valt zonder nadere motivering ook niet in te zien dat alle overtredingen even ernstig zijn. Ook in dit verband wijst [aanbieder 1] op de bewijslast van de staatssecretaris . Ter zitting heeft [aanbieder 1] met een beroep op artikel 5:8 van de Awb aangevoerd dat er doublures zijn tussen de overtredingen 3 en 5, zodat ook in dit verband een lagere boete is geboden. Zij wijst erop dat de staatssecretaris aan een andere aanbieder ([aanbieder 3]) slechts een boete van € 450.000 heeft opgelegd wegens een soortgelijke overtreding. Ten slotte wijst zij er op dat de staatssecretaris geen boetebeleid heeft vastgesteld.

22.2. De rechtbank komt tot de volgende beoordeling.

22.3. Bij het toepassen van deze bevoegdheid moet de staatssecretaris de hoogte van de boete(s) afstemmen op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Daarbij moet de staatssecretaris rekening houden met de omstandigheden waaronder de overtredingen zijn gepleegd. Dit volgt uit artikel 5:46, tweede lid, van de Awb.

22.4. Het ontbreken van beleidsregels brengt niet reeds met zich dat de staatssecretaris om die reden de boetes had moeten matigen (vgl. ECLI:NL:CBB:2016:346, punt 16.2). Overigens heeft de RDI inmiddels in mandaat boetebeleid vastgesteld (Stcrt. 2025, 3483). Toepassing van dit beleid leidt niet tot een gunstiger resultaat voor [aanbieder 1] omdat het beleid ook uit gaat van een basisboetebedrag van € 450.000 (categorie VI). De rechtbank is van oordeel dat het toepassen van dit basisbedrag per groep overtredingen in beginsel tot een evenredige boete leidt. Naar het oordeel van de rechtbank nopen de duur van de overtredingen (ook al is die duur niet voor alle overtredingen gelijk) en de mate van verwijtbaarheid niet tot matiging. Evenmin is sprake van een verminderde draagkracht van [aanbieder 1].

22.5. Wel ziet de rechtbank aanleiding om ten aanzien van overtreding 3 tot een beperkte matiging te komen. Daarbij betrekt de rechtbank dat negen personen van Backoffice wel waren gescreend voordat zij hun werkzaamheden uitoefenden. Dat [aanbieder 1] zelf niet beschikte over de benodigde verklaringen maakt dat weliswaar ten aanzien van dit onderdeel van overtreding 3 artikel 4, tweede lid, van de Bbgt niet was nageleefd. Maar de omstandigheid dat [aanbieder 1] Romania wel bij indiensttreding van deze medewerkers een screening had laten uitvoeren, maakt dit onderdeel van de overtreding minder ernstig. De rechtbank past daarom een korting van € 50.000 toe op het basisbedrag.

22.6. Omdat iedere overtreding bestaat uit meerdere ernstige tekortkomingen, ziet de rechtbank geen aanleiding om het resultaat van de cumulatie (door het optellen van driemaal een basisboete van € 450.000 voor de overtredingen 1, 4 en 5 en een boetebedrag van

€ 400.000 voor overtreding 3) niet als evenredig te beschouwen. In dit verband neemt zij met de staatssecretaris in aanmerking dat de staatsveiligheid en de integriteit en doelmatigheid van strafrechtelijke onderzoeken ernstig in het gedrang is of kan zijn gekomen door het grote aantal overtredingen in combinatie met de grote hoeveelheid taplasten die door [aanbieder 1] worden uitgevoerd. Dit geldt temeer nu het aantal vastgestelde overtredingen over de gehele linie van het Bbgt en de Bijlage zijn vastgesteld en een adequate beveiliging bestaat uit een combinatie van onder meer preventieve, detectieve, administratieve en personele maatregelen. De rechtbank verwerpt in dit verband de stelling van [aanbieder 1] ter zitting dat sprake is van een overlap tussen de groepen overtredingen 3 en 5 en dat daarom artikel 5:8 van de Awb in de weg staat aan cumulatie van de boetes voor die gedragingen. Het gaat bij elke overtreding om een groep gedragingen. De groepen overtredingen 3 en 5 vallen niet samen, zij kunnen afzonderlijk worden begaan. De rechtbank is verder van oordeel dat de staatssecretaris genoegzaam uiteen heeft gezet dat de overtreding van een andere aanbieder ([aanbieder 3]) slechts zag op één tekortkoming van de vereiste beveiligingsmaatregelen die meerdere separate overtredingen opleverde, terwijl de niet-naleving van het Bbgt en de Bijlage door [aanbieder 1] ziet op een veel groter aantal tekortkomingen. De beroepsgrond van [aanbieder 1] die ziet op gelijke beboeting gaat daarom niet op.

22.7. De tussenconclusie is dat een totale boete van € 1.750.000 voor de vier resterende overtredingen in beginsel passend en geboden is.

De wettelijke en de redelijke termijn

23.1. De bestuursrechter toetst in boetezaken ambtshalve of de redelijke termijn van artikel 6, eerste lid, van het EVRM is verstreken en welke gevolgen dit heeft voor de boetehoogte (bijv. ECLI:NL:CBB:2025:7). Verder heeft [aanbieder 1] gewezen op het lange tijdsverloop tussen de afronding van het onderzoek en het boetevoornemen en heeft zij aangevoerd dat een andere aanbieder ([aanbieder 2]) een korting kreeg vanwege tijdsverloop.

23.2. In een zaak als deze wordt aangenomen dat de redelijke termijn is overschreden als meer dan twee jaar is verstreken tussen het aanvangsmoment van de criminal charge en de uitspraak in eerste aanleg. Bij een overschrijding van de redelijke termijn van een half jaar of minder heeft een korting op de boete plaats van 5%. Als de overschrijding minder dan een jaar bedraagt, maar meer dan zes maanden, is de korting 10%. In beide gevallen geldt een maximum van € 2.500 (bijv. ECLI:NL:CBB:2025:353). Daarbij geldt dat die maximale korting wordt toegepast per boetebedrag en niet op het totaal aan opgelegde boetes (vgl. ECLI:NL:CBB:2010:BM1588). In een geval waarin de redelijke termijn met meer dan een jaar is overschreden, handelt de bestuursrechter voor de matiging van de boete naar bevind van zaken (bijv. ECLI:NL:RVS:2024:4761).

23.3. Over het aanvangsmoment van de redelijke termijn, dus de start van de criminal charge, overweegt de rechtbank het volgende. De stukken bieden geen aanknopingspunten om de charge eerder te laten aanvangen dan met de kennisgeving van het boetevoornemen van 26 juli 2023 (vgl. ECLI:NL:CBB:2026:67). [aanbieder 1] is weliswaar op 15 december 2022 door de RDI schriftelijk op de hoogte gesteld dat de definitieve versie van het rapport van bevindingen een dezer dagen zal worden afgerond en overgedragen aan het sanctiebureau van AT, maar ter zitting is gebleken dat het rapport eerst aan [aanbieder 1] ter kennis is gebracht met het boetevoornemen van 26 juli 2023. Gelet hierop is het boetevoornemen de eerste handeling namens de staatssecretaris waaraan [aanbieder 1] de verwachting mocht ontlenen dat het bestuursorgaan haar een boete zou opleggen (vgl. ECLI:NL:RBOBR:2026:978, punt 5).

23.4. Tussen het aanvangsmoment van de charge op 26 juli 2023 en de uitspraak ligt een termijn van bijna drie jaar. De rechtbank ziet in het procesgedrag van [aanbieder 1] aanleiding om in dit geval de redelijke termijn van twee jaar met ongeveer drie maanden te verlengen. In dit verband merkt de rechtbank op dat op verzoek van [aanbieder 1] langere termijnen zijn gegeven om een zienswijze en de gronden van bezwaar in te dienen en op haar verzoek de hoorzitting in bezwaar is uitgesteld. Maar ook indien dit uitstel wordt meegenomen, resteert een overschrijding van de redelijke termijn van meer dan een half jaar.

23.5. Tussen de dagtekening van het rapport van 15 december 2022 en het primaire boetebesluit van 21 mei 2024 zit een periode van ongeveer een jaar en vijf maanden. De in artikel 5:51 van de Awb gestelde termijn van dertien weken tussen de dagtekening van het rapport en de dagtekening van het primaire besluit is dus overschreden met ongeveer een jaar en twee maanden. In samenhang met de overschrijding van de redelijke termijn ziet de rechtbank hierin aanleiding om in dit geval op het bedrag van € 1.750.000 een korting van 5% toe te passen zonder nadere begrenzing.

23.6. Wat betreft de boetehoogte heeft de staatssecretaris in de zaak [aanbieder 2] een korting van 10% op het boetetotaal toegepast vanwege de lange periode die ligt tussen de start van het onderzoek (5 oktober 2021) en het uitbrengen van het boeterapport (4 februari 2025). In het geval van [aanbieder 1] is het onderzoek eveneens gestart op 5 oktober 2021, maar is het rapport veel eerder uitgebracht. Die gevallen zijn dus niet vergelijkbaar. Dit betekent dat [aanbieder 1] geen aanspraak maakt op een hogere korting.

23.7. De rechtbank komt gelet op het voorgaande tot de slotsom dat in dit geval een totale boete van € 1.662.500 passend en geboden is.

Conclusie en gevolgen

Beslissing

De rechtbank:

Deze uitspraak is gedaan door mr. A.C. Rop, voorzitter, en mr. S.E.C. Debets en

mr. C.J. Wolswinkel, leden, in aanwezigheid van mr. R. Stijnen, griffier.

Uitgesproken in het openbaar op 8 mei 2026.

Een afschrift van deze uitspraak is verzonden aan partijen op:

Informatie over hoger beroep

Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar het College van Beroep voor het bedrijfsleven waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden.

Digitaal hoger beroep instellen kan via “Formulieren en inloggen” op www.rechtspraak.nl. Hoger beroep instellen kan eventueel ook nog steeds door verzending van een brief aan het College van Beroep voor het bedrijfsleven, Postbus 20021, 2500 EA ’s-Gravenhage.

Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van het College van Beroep voor het bedrijfsleven vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen.

Bijlage

Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Nederlandse vertaling)

Artikel 6, dat ziet op het recht op een eerlijk proces, luidt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. De uitspraak moet in het openbaar worden gewezen maar de toegang tot de rechtszaal kan aan de pers en het publiek worden ontzegd, gedurende de gehele terechtzitting of een deel daarvan, in het belang van de goede zeden, van de openbare orde of nationale veiligheid in een democratische samenleving, wanneer de belangen van minderjarigen of de bescherming van het privé leven van procespartijen dit eisen of, in die mate als door de rechter onder bijzondere omstandigheden strikt noodzakelijk wordt geoordeeld, wanneer de openbaarheid de belangen van een behoorlijke rechtspleging zou schaden.

2. Een ieder tegen wie een vervolging is ingesteld, wordt voor onschuldig gehouden totdat zijn schuld in rechte is komen vast te staan.

(…)”

Algemene wet bestuursrecht (Awb)

In artikel 3:4, tweede lid, van de Awb is bepaald dat de voor een of meer belanghebbenden nadelige gevolgen van een besluit niet onevenredig mogen zijn in verhouding tot de met het besluit te dienen doelen.

Artikel 5:8 van de Awb bepaalt dat indien twee of meer voorschriften zijn overtreden, voor de overtreding van elk afzonderlijk voorschrift een bestuurlijke sanctie kan worden opgelegd.

Uit artikel 5:13 van de Awb volgt dat een toezichthouder van zijn bevoegdheden slechts gebruik maakt voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

Uit artikel 5:41 van de Awb volgt dat het bestuursorgaan geen bestuurlijke boete oplegt voor zover de overtreding niet aan de overtreder kan worden verweten.

Op grond van artikel 5:45, eerste lid, van de Awb vervalt de bevoegdheid tot het opleggen van een bestuurlijke boete vijf jaren nadat de overtreding heeft plaatsgevonden indien artikel 5:53 van toepassing is.

Uit artikel 5:46, tweede lid van de Awb volgt dat in gevallen waarin de hoogte van de bestuurlijke boete niet bij wettelijk voorschrift is vastgesteld, het bestuursorgaan de bestuurlijke boete afstemt op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten en daarbij zo nodig rekening houdt met de omstandigheden waaronder de overtreding is gepleegd.

Artikel 5:51 van de Awb luidt:

“1. Indien van de overtreding een rapport is opgemaakt, beslist het bestuursorgaan omtrent het opleggen van de bestuurlijke boete binnen dertien weken na de dagtekening van het rapport.

2. De beslistermijn wordt opgeschort met ingang van de dag waarop de gedraging aan het openbaar ministerie is voorgelegd, tot de dag waarop het bestuursorgaan weer bevoegd wordt een bestuurlijke boete op te leggen.”

Artikel 5:53, eerste lid, van de Awb bepaalt dat dit artikel van toepassing is indien voor de overtreding een bestuurlijke boete van meer dan € 340 kan worden opgelegd, tenzij bij wettelijk voorschrift anders is bepaald.

Telecommunicatiewet (Tw)

In artikel 13.2, derde lid, van de Tw is bepaald dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld met betrekking tot de te nemen organisatorische en personele maatregelen en te treffen voorzieningen met betrekking tot aftappen.

In artikel 13.5, eerste lid, van de Tw is bepaald dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten verplicht zijn gegevens met betrekking tot een bijzondere last dan wel toestemming op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 als bedoeld in artikel 13.2 dan wel een vordering of een verzoek als bedoeld in artikel 13.2b of artikel 13.4, eerste, tweede of derde lid, te beveiligen tegen kennisneming door onbevoegden alsmede geheimhouding te betrachten met betrekking tot deze gegevens.

In artikel 13.5, tweede lid, van de Tw is bepaald dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten met betrekking tot de gegevens die ingevolge artikel 13.2a, tweede lid, worden bewaard passende technische en organisatorische maatregelen nemen teneinde:

Uit artikel 13.5, vierde lid, van de Tw volgt dat op voordracht van de in die bepaling genoemde ministers bij algemene maatregel van bestuur regels kunnen worden gesteld met betrekking tot de te nemen maatregelen in verband met de beveiliging en de waarborging bedoeld in het eerste, tweede en derde lid.

Uit artikel 15.4, eerste lid, van de Tw volgt dat de staatssecretaris bevoegd is voor iedere overtreding een bestuurlijke boete op te leggen van maximaal € 900.000.

Besluit beveiliging gegevens telecommunicatie (Bbgt)

Artikel 2 van het Bbgt luidt:

“1. De aanbieder draagt zorg voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van de navolgende gegevens en informatie:

a. de gegevens welke in het kader van het verlenen van medewerking aan de uitvoering van een bevoegd gegeven bijzondere last dan wel een opdracht op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 tot het aftappen of opnemen van telecommunicatie door een bevoegde autoriteit aan de aanbieder zijn verstrekt;

b. de informatie welke door de aanbieder aan een bevoegde autoriteit is verstrekt op grond van de artikelen 13.2b en 13.4 van de wet alsmede de gegevens welke zijn vervat in het aan deze verstrekking ten grondslag liggende verzoek of in de aan deze verstrekking ten grondslag liggende vordering om informatie van de desbetreffende bevoegde autoriteit;

c. de gegevens die door de aanbieder worden geraadpleegd en verder worden verwerkt met het oog op het voldoen aan een verzoek of vordering op grond van de artikelen 13.2b en 13.4 van de wet.

2. De maatregelen, bedoeld in het eerste lid, dienen ten minste te bestaan uit:

a. maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;

b. maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;

c. maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;

d. maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;

e. maatregelen in het geval van calamiteiten.

3. Tot de maatregelen, bedoeld in het eerste en tweede lid worden in ieder geval gerekend de maatregelen, bedoeld in de Bijlage bij dit besluit.”

In artikel 3, eerste lid, van het Bbgt is bepaald dat de aanbieder zorg draagt voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven op welke wijze uitvoering is gegeven aan de maatregelen, bedoeld in de Bijlage.

Uit artikel 4, tweede lid, van het Bbgt volgt dat de aanbieder er zorg voor draagt dat aan de uitvoering van de in artikel 13.2, eerste en tweede lid, van de Tw bedoelde bevoegd gegeven bijzondere last en de in de artikelen 13.2b en 13.4 van de Tw neergelegde verplichting tot het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag als bedoeld in de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag hebben overgelegd.

Artikel 8 van het Bbgt luidt:

“1. Indien de aanbieder de uitvoering van werkzaamheden uitbesteedt aan een derde en in dat kader de derde kennis neemt of kan nemen van gegevens en informatie als bedoeld in artikel 2, eerste lid, draagt de aanbieder er zorg voor dat de derde zich verplicht:

a. de desbetreffende gegevens en informatie te beveiligen tegen kennisneming door onbevoegden;

b. met betrekking tot de desbetreffende gegevens en informatie geheimhouding te betrachten;

c. de ingevolge dit besluit gestelde maatregelen na te leven;

d. alle informatie te verstrekken die voor het toezicht op de naleving van de beveiligings- en geheimhoudingsverplichting noodzakelijk is.

2. De verplichtingen van de derde als bedoeld in het eerste lid worden geregeld in een schriftelijke overeenkomst tussen aanbieder en derde. Op een daartoe strekkend verzoek van de bevoegde autoriteit wordt inzage verleend in de overeenkomst.

3. De aanbieder is verantwoordelijk voor de naleving door de derde van de verplichtingen, bedoeld in het eerste lid.”

Bijlage bij het Bbgt

In de Bijlage zijn de volgende onderwerpen uitgewerkt:

I. Beveiligingseis algemeen;

II. Beveiligingseisen ten aanzien van personeel;

III. Fysieke beveiliging en beveiliging van de omgeving;

IV. Beheer van communicatie- en bedieningsprocessen;

V. Toegangsbeveiliging van geautomatiseerde informatiesystemen;

VI. Ontwikkeling, onderhoud en reparatie van geautomatiseerde informatiesystemen.

De onderdelen II, III en V luiden als volgt:

“II. Beveiligingseisen ten aanzien van personeel

a. In de functiebeschrijving van personeel dat belast is met de verwerking van de informatie en gegevens wordt de verantwoordelijkheid voor de beveiliging daarvan beschreven.

b. Personeel dat in aanraking komt met de informatie en gegevens tekent een geheimhoudingsverklaring.

c. Uitsluitend personeel dat overeenkomstig de functiebeschrijving belast is met de verwerking van de informatie en gegevens heeft toegang tot de informatie en de gegevens.