Boete Uber van €600.000 voor te laat melden datalek

27 november 2018

De Autoriteit persoonsgegevens heeft Uber een boete opgelegd van €600.000 in verband met een te laat gemeld datalek uit 2016. Zo blijkt uit een bericht van de privacy toezichthouder – de Autoriteit Persoonsgegevens (AP) –  op haar website vandaag.

Op 14 november 2016 werd Uber in kennis gesteld van een datalek. Bij dat datalek zijn zeer veel persoonsgegevens gelekt van ruim 57 miljoen gebruikers wereldwijd waarvan 174.000 Nederlanders. De melding aan de toezichthouder vond plaats op 21 november 2017 (ruim een jaar later). De meldplicht voor het datalek valt daarmee binnen de werkingsfeer van de oude privacywet, de Wet bescherming persoonsgegevens (Wbp).

In die (oude) wet stond dat de verantwoordelijke (lees: Uber) de AP “onverwijld” in kennis stelt van “een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Als uitgangspunt werd daarbij gehanteerd dat uiterlijk binnen 72 uur na ontdekking van het datalek, het datalek gemeld moet zijn bij de Autoriteit Persoonsgegevens. Die 72-uurstermijn staat inmiddels ook in de nieuwe/huidige wet, de Algemene Verordening Gegevensbescherming (AVG).

Ook schreef de Wbp voor dat de betrokkene onverwijld wordt geïnformeerd “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”

Uber heeft beide verplichtingen nagelaten en is daarom beboet. Interessant is de overweging van de AP in dit verband ten aanzien van de hoogte van de boete:

  • “Zoals de AP hierboven reeds uiteen heeft gezet, is de AP van oordeel dat sprake is van ernstig verwijtbare nalatigheid aan de zijde van UTI en UBV. Kort samengevat komt het erop neer dat men binnen de top van het Uber-concern op de hoogte was van het datalek, men doordrongen was van de ernst daarvan en er geen misverstand over kon bestaan dat de AP en betrokkenen onverwijld van het datalek in kennis hadden moeten worden gesteld. Desondanks was het Uber-concern er alles aan gelegen om het datalek geheim te
    houden, waartoe Uber bereid is geweest om een substantieel hoger geldbedrag dan normaal gebruikelijk aan melders te betalen en met de melders aanvullende geheimhoudingsverplichtingen overeen te komen. Pas ruim een jaar na ontdekking van het datalek bij UTI is het datalek op 21 november 2017 door UBV gemeld aan de AP en is op de website van Uber een nieuwsbericht gepubliceerd door de huidige CEO van UTI waarin het publiek wordt ingelicht over het datalek. Gezien het voorgaande is de AP van oordeel dat sprake is van een aanzienlijke mate van verwijtbaarheid.”

De vraag is hoe de boete zou uitpakken met toepassing van de AVG die sinds 25 mei 2018 geldt. De toezichthouder heeft dan namelijk de mogelijkheid om in deze situatie boetes op te leggen van maximaal 10 miljoen euro of 2% van de wereldwijde omzet als dat bedrag hoger is. Met een omzet van Uber van 20 miljard dollar in 2016 tikt dat behoorlijk aan.

Voor de praktijk is van belang om te realiseren dat er onder de AVG eerder sprake is van een “datalek” en de verantwoordelijke daarom eerder moet melden binnen de 72-uurstermijn. Bereidt u dus goed voor op een eventueel datalek. Sluit in ieder geval goede verwerkersovereenkomsten, hanteer een register van verwerkingsactiviteiten, hanteer een register voor datalekken en stel iemand in de organisatie aan als aanspreekpunt zodat er snel intern en extern geschakeld kan worden.

Heeft u hier vragen over, neemt u dan gerust contact met mij op.

Willem Timmers
Advocaat IE/ICT/Privacy