Datalek Uber: € 600.000,- boete

Datalek Uber

Gebruikers (waaronder: chauffeurs) van de Uber-app buiten de Verenigde Staten moeten hun gegevens invoeren op die app. Die gegevens worden vanuit Nederland naar de Verenigde Staten doorgestuurd en daar opgeslagen op de servers van Uber bij Amazon. En daar worden dan back-ups van gemaakt. Op
14 november 2016 krijgt Uber bericht van een hack op haar server: al een maand lang konden kennelijk gegevens zoals rijbewijs, locatie- en betaalgegevens van Uber-gebruikers en chauffeurs worden ingezien. Uber verhelpt het datalek snel, namelijk op 15 november 2016. Bij het lek waren ruim
57 miljoen gebruikers betrokken, waaronder 174.000 Nederlandse Uber-gebruikers. Op 21 november 2017, dus pas een jaar na dato, meldt Uber het datalek aan de Autoriteit Persoonsgegevens (AP). De hackers die het lek hadden ontdekt ontvingen van Uber $ 100.000,- in Bitcoins.

Wbp/AVG

Zowel de Wbp als de AVG kennen de verplichting tot passende beveiligingsmaatregelen om onwettige verzameling en verdere verwerking van persoonsgegevens te voorkomen. En zowel de Wbp als de AVG kennen een meldplicht bij een datalek (“onverwijld”). De beleidsregels van de Autoriteit Persoonsgegevens definiëren onverwijld: “binnen 72 uur”. Uber was dus ruim een jaar te laat met haar melding. En Uber heeft het lek niet aan de personen wier gegevens “op straat hadden kunnen liggen” gemeld, maar volstond met een persbericht. De vraag is of dat wel voldoende was.

Boete

De Autoriteit Persoonsgegevens (AP) acht het niet-tijdig melden ernstig verwijtbaar en legt op
6 november 2018 een boete van € 600.000,- op
. Dit dan op basis van gelding van de Wbp. Hoe zou dit onder de AVG uitpakken? Onder de vanaf 25 mei 2018 toepasselijke AVG zou de boete € 10 miljoen of, als de jaaromzet hoger is, 2% van de wereldwijde jaaromzet kunnen bedragen. We zullen dergelijke hoge boetes vanaf nu wel snel zien verschijnen. Datalekken zijn immers niet verdwenen per 25 mei 2018; alleen al in het vierde kwartaal 2017 zijn er 2.787 datalekken bij de AP gemeld.

Datalek

Niet ieder datalek hoeft gemeld te worden aan de AP. Er moet een melding worden gedaan als het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokken personen (artikel 33 lid 1 AVG). En niet ieder datalek levert meteen een boete op; er moet sprake zijn van opzet of ernstig verwijtbare nalatigheid. Bij een grote multinational is daar volgens de AP eerder sprake van… Uber betwist dat en zal ongetwijfeld in bezwaar en beroep gaan. Dat levert dan leerzame jurisprudentie op. To be continued.