Huawei heeft toegang tot vertrouwelijke klantdata van KPN

Het Chinese technologiebedrijf Huawei beheert de software voor klantgegevens van KPN. Dat komt doordat het Nederlandse telecombedrijf voor de klantendatabase volledig in zee is gegaan met Huawei. In de Chinese software staan persoonsgegevens, gebruikersdata en factuurgegevens van miljoenen Nederlanders. 

Het afgelopen jaar is de angst gegroeid dat Huawei kan meekijken via achterdeurtjes, bijvoorbeeld in apparatuur voor snel mobiel internet. De Verenigde Staten beschuldigen Huawei van spionage voor de Chinese staat, al is daarvoor geen openbaar bewijs. KPN heeft intussen ook het veiligheidsbeleid aangescherpt. Ondertussen gaat het Chinese bedrijf bij KPN door de voordeur naar binnen.

KPN noemt Huawei ‘solution provider’, een partner die cruciale software levert en onderhoudt. Het betreft onder meer de systemen voor bestellingen, facturatie en beheer van klantgegevens. Huawei is momenteel ook betrokken bij verdere ontwikkeling van de IT-systemen van KPN. Nederlandse technici werken daarvoor direct samen met technici in China.

Huawei beschrijft in een document in handen van deze krant hoe de ‘digitale transformatie’ van KPN in zijn werk is gegaan. In 2013 verloor KPN marktaandeel en had het bedrijf te maken met ontevreden klanten. Kern van het probleem was een inefficiënte IT-architectuur. Hierdoor werden bestellingen bijvoorbeeld traag afgehandeld. Van de tachtig gebruikte computerprogramma’s was driekwart verouderd, schrijft Huawei. Er waren overlappende klantsystemen, wat erg kostbaar was.

KPN liet de oude systemen overzetten naar Huawei’s eigen software. Het bedrijf kon hierdoor veel efficiënter werken. Topmanager Bouke Hoving noemde de samenwerking met Huawei ‘de hoeksteen’ van de transformatie. Er kwam één klantsysteem, namelijk dat van Huawei.

Technici die een softwaresysteem onderhouden hebben vaak vergaande bevoegdheden, bijvoorbeeld om te testen of een database bij een zoekopdracht de juiste data teruggeeft. Kan een Chinese Huawei-technicus meekijken in de klantendatabase van KPN?

‘Strikte toegangsafspraken’

KPN wil niet ingaan op de details, maar zegt dat het strikte toegangsafspraken heeft met leveranciers van interne softwaresystemen. De veiligheidseisen zijn bovendien recentelijk aangescherpt. Ook zegt KPN dat het, na jaren van outsourcing van IT, ‘het beheer van netwerken en systemen weer in toenemende mate zelf’ gaat doen. 

“Zulke verwevenheid met deze partij op deze plek is heel risicovol”, zegt Frank Groenewegen, chief security expert bij cybersecurity bedrijf Fox-IT. “De vraag is hoe het in de praktijk is geregeld. Welke bevoegdheden hebben de externe technici die het systeem onderhouden. Kunnen zij zomaar grasduinen in de klantendatabase? Valt het op als die technici veel meer bekijken of downloaden dan noodzakelijk? Wordt er actie ondernomen na zo’n melding en wat zijn de consequenties? En is daar onafhankelijke controle op?” 

Huawei staat op de zwarte lijst in de Verenigde Staten. Ook in Nederland en de Europese Unie is de twijfel gegroeid over samenwerking met Chinese bedrijven bij belangrijke infrastructuur. KPN maakte vorige maand bekend bij de vernieuwing van het mobiele kernnetwerk niet voor Huawei te kiezen. 

“De 5G-discussie gaat voorbij aan het feit dat Huawei-apparatuur allang deel uitmaakt van de Nederlandse 3G en 4G-netwerken”, zegt China-deskundige Frans-Paul van der Putten van Instituut Clingendael. “Nu blijkt dat Huawei ook IT-systemen aan KPN levert, moeten we goed kijken wat deze samenwerking precies inhoudt.” 

Groenewegen van Fox-IT vindt dat de overheid voor onafhankelijke toetsing moet zorgen voor organisaties binnen de kritieke infrastructuur. “De enorme afhankelijkheid van veelal buitenlandse technologie, of die nu uit China of een ander land komt, maakt onze samenleving kwetsbaar”, zegt hij. “Het commerciële belang van bedrijven in de kritieke infrastructuur overlapt niet altijd met het nationale veiligheidsbelang. Als het gaat om kritieke infrastructuur, kun je een bedrijf niet zomaar vertrouwen.”

Reactie van KPN

“Met welke leverancier wij op welk domein samenwerken specificeren we niet. Al onze leveranciers, of ze nu uit Azië, Amerika of Europa komen, ­voldoen aan onze strenge ­veiligheidseisen en worden continu gemonitord. Al onze klantdata en systemen draaien op KPN-servers in Nederland. De veiligheidseisen zijn recentelijk aangescherpt, ook voor de verschillende leveranciers van de Business Support ­Systemen. Onze aanvullende security-maatregelen kunnen we vanwege vertrouwelijkheid niet toelichten. Met elke leverancier hebben wij strikte ­identificatie- en toegangs­afspraken, die ook door ons gemonitord worden.” 

Huawei hielp KPN naar de 21ste eeuw

Ook voor Huawei was het een mooie bekroning dat KPN in 2016 een prijs won voor de beste zakelijke transformatie van het jaar. Het Nederlandse telecombedrijf was veranderd van een logge organisatie met verouderde ICT-systemen naar een modern bedrijf waarin de klant centraal staat. Kern van die omschakeling was de samenwerking met Huawei, de Chinese technologiegigant die inmiddels onder vuur ligt vanwege veiligheidsrisico’s.

De nieuwe technologie van Huawei maakte KPN veel efficiënter. De hardnekkige onderverdeling in internet, vaste telefonie en mobiel, met afzonderlijke klantsystemen, werd doorbroken. Er kwam één klantmanagementsysteem. Alle processen gingen sneller, wat voor innovatie en een fikse kostenreductie zorgde.

In het document waarin Huawei de belangrijkste resultaten opsomt, noteert het ook die Business Transformation of the Year Award voor KPN. Er staat een foto bij van KPN-topmanager Bouke Hoving met de award in zijn handen. Hoving was de chief information officer (cio) van KPN en leidde de digitale modernisering. Een jaar later werd hij verkozen tot Nederlands cio van het jaar, en weer een jaar later tot Europees cio van het jaar. Het zijn onderscheidingen die afstralen op Huawei.

Huawei citeert Hoving: “Tijdens een transformatie kun je nooit voorspellen wat de echte uitdagingen zullen zijn. Met Huawei zijn we erin geslaagd die uitdagingen te managen en te overwinnen.” Dat noemt Hoving de sleutel van een succesvolle samenwerking.

Huawei behaalde harde resultaten 

Het was Hoving die in 2013 voor zijn project  ‘simplificatie en innovatie’ Huawei in huis haalde. KPN zat in 2013 een lastige situatie. De marktaandelen daalden geleidelijk en de tevredenheid van klanten nam af. KPN verving alle oude interne computersystemen door een pakket van Huawei, een zogenoemd business support system. Daaronder vallen ook de database voor klantgegevens en het factureringsysteem. 

Huawei noemt harde resultaten. Dankzij de nieuwe organisatie kan KPN een prijs binnen drie dagen aanpassen, eerder duurde dat veel langer. De tijd die het kost om een bestelling af te handelen is met 80 procent gedaald. De efficiënte IT-structuur zorgt voor een enorme kostenbesparing. Dankzij de totale renovatie van KPN bespaarde het bedrijf  sinds 2013 685 miljoen euro aan kosten, schrijft Hoving op zijn LinkedIn-pagina.

De relatie tussen KPN en Huawei op dit terrein gaat al langer terug. In 2008 meldde Huawei dat KPN Nederland het factureringssysteem van Huawei gebruikt. In zo’n systeem staan de gebruiksgegevens die je kunt vinden op een gespecificeerde rekening. Niet lang daarna ging Huawei ook voor KPN International aan de slag. KPN was toen nog actief in andere Europese landen, inmiddels niet meer.

Magnum heette dat project, naar het populaire ijsje dat in elk land in bepaalde varianten te koop is. ‘De zoete smaak van succes’, schreef Huawei over dit project in een werkverslag, in handen van deze krant. KPN International liet Huawei zo’n business support system aanleggen voor Spanje, Frankrijk, België en Duitsland.

Een uitdaging vormden de taal- en cultuurverschillen tussen de Chinese en de westerse ontwikkelingsteams. Om elkaar beter te leren kennen werden er gezamenlijke avondmaaltijden en voetbalwedstrijden georganiseerd. Bij het overzetten van alle data werden de complexe onderdelen door Huawei-technici in China afgehandeld, de rest was voor het Huawei-team in Nederland.

Samenwerking met Huawei ‘hoeksteen van transformatie KPN’

Technologische ontwikkelingen gaan snel, en toen KPN het in 2013 moeilijk had, moest het wat betreft de interne systemen ‘from scratch’ beginnen, zei Hoving later in een interview. Huawei nam die taak op zich, zowel de aanleg als het onderhoud.

Hoving noemde de samenwerking met Huawei de ‘hoeksteen’ van de transformatie die KPN doormaakte. Het partnerschap met het Chinese techbedrijf heeft ook nieuwe zakelijke kansen gebracht. Zoals een samenwerking met het Chinese tech-concern Tencent, dat het sociale-media-platform WeChat bezit. KPN begon in 2017 met de verkoop van simkaarten met het WeChat-logo aan Chinese toeristen in de EU en Australië.

Hoving is sinds 1 maart aan de slag gegaan bij de ING-bank als wereldwijde ICT-topman, na twintig jaar KPN. Eind april maakte KPN bekend het veiligheidsbeleid aan te scherpen en Huawei uit te sluiten voor de aanleg van het mobiele kernnetwerk. KPN zegt nu in een reactie een stringent veiligheidsbeleid te voeren en ook de veiligheidseisen te hebben aangescherpt voor leveranciers van business support systemen. 

In het laatste jaarverslag benoemt KPN enkele risico’s voor het bedrijf. Een daarvan is de afhankelijkheid van leveranciers van telecommunicatie-apparatuur die veiligheidszorgen opwekken, vanwege internationale geopolitieke ontwikkelingen. 

Correctie: in de oorspronkelijke versie van dit artikel stond dat Huawei de klantgegevens van KPN beheert. Dit is aangepast. Huawei beheert de software voor klantgegevens van KPN.

Lees ook: 

Huawei uitsluiten? Dure spullen kopen of wachten met 5G

Als westerse landen Huawei willen uitsluiten, moeten ze dure Europese spullen kopen, of nog even wachten met 5G. Google is de eerste die hierin een stap zet en beperkt toegang tot Google-apps voor telefoons van Huawei.

Wint de Chinese draak of de Amerikaanse adelaar?

Vergeet raketten, bommen, vliegdekschepen en tanks. Het strijdperk van de Verenigde Staten en China, die allebei het machtigste land ter wereld willen zijn, is technologie.En de centrale vraag is: wie van beide lukt het om de communicatiemiddelen te beheersen?