Autoriteit Persoonsgegevens legt Uber boete op van € 600.000 wegens te laat melden datalek

29 november 2018

De Autoriteit Persoonsgegevens (“AP”) heeft recentelijk een besluit gepubliceerd waarin het Uber Technologies Inc. en Uber B.V. gezamenlijk een boete heeft opgelegd. Het boetebesluit is nog niet gebaseerd op de Algemene Verordening Gegevensverwerking (“AVG”) maar op haar voorganger de Wet bescherming persoonsgegevens (“Wbp”).

De AP heeft het boetebesluit uitgebreid gemotiveerd hetgeen een mooi inkijkje geeft in de wijze waarop Uber persoonsgegevens verwerkt.

Wat is er gebeurd?

Uit het boetebesluit volgt dat er van 13 oktober 2016 tot 15 november 2016 een datalek bij Uber Technologies Inc. (“UTI”) en Uber B.V. (“UBV”) heeft plaatsgevonden. Zo was het mogelijk om toegang te krijgen tot servers van Uber bij Amazon waar zowel persoonsgegevens van Uber chauffeurs en reiziger waren opgeslagen. Forensische experts hebben in opdracht van UTI vastgesteld dat in totaal 31 soorten persoonsgegevens van ruim 57 miljoen gebruikers wereldwijd waren betrokken, waarvan 174.000 Nederlandse Uber-gebruikers.
Pas op 21 november 2017 (ruim één jaar na het datalek) heeft UBV een melding van het datalek gedaan aan de AP. De AP is vervolgens een onderzoek gestart naar de omvang en impact inbreuk op de privacy van de betrokkenen die het slachtoffer zijn geworden van de datalek. Dat onderzoek heeft nu geresulteerd in een gezamenlijk boetebesluit van € 600.000 voor UTI en UBV.

Welke regels gelden er eigenlijk in geval van een datalek?

Op 1 januari 2016 is de meldplicht datalekken in werking getreden. Ten tijde van het datalek bij Uber was de AVG nog niet in werking getreden en gold de Wbp. In art. 34a Wbp. is bepaald dat de AP onverwijld in kennis wordt gesteld van een inbreuk op de beveiliging in de zin van art. 13 Wbp. die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Hieronder valt bijvoorbeeld het kwijtraken van een USB-stick, de diefstal van een laptop maar ook een inbraak door een hacker. Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene dient de betrokkene eveneens onverwijld in kennis gesteld te worden. De meldplicht is verder uitgewerkt in Beleidsregels meldplicht datalekken Wbp. In de Beleidsregels is bepaald dat een melding onverwijld, binnen 72 uur, dient te hebben plaatsgevonden. Indien een datalek niet of niet tijdig wordt gemeld dan kan de AP een boete opleggen.

Wie is verantwoordelijke voor de verwerking van persoonsgegevens de boete?

Op grond van de Wbp geldt dat de meldplicht datalekken zich richt tot de verantwoordelijke voor de verwerking van persoonsgegevens. Om vast te stellen wie verantwoordelijke is voor verwerking van persoonsgegevens dient onderzocht te worden wie het doel en het middel van de verwerking van de persoonsgegevens vaststelt. In dit geval speelt mee dat UTI en UBV in concernverhoudingen tot elkaar staan. In concernverhoudingen geldt dat de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt als de verantwoordelijke wordt gezien. Daar komt in dit geval bij dat UTI en UBV een verwerkersovereenkomst hebben opgesteld waarin is bepaald dat UTI verwerker is en UBV verantwoordelijk is voor verwerking van gegevens van Nederlandse betrokkenen in de V.S.

De AP is het hier echter niet mee eens en stelt vast dat sprake is van gezamenlijke verwerkingsverantwoordelijkheid. Volgens de AP zijn de volgende feiten en omstandigheden daarbij van belang:

  • Het gezamenlijk vaststellen van privacy statement door UTV en UBV waarin het doel van de gegevensverwerking is opgenomen;
  • UTI is verantwoordelijk voor het vaststellen van het informatiebeveiligingsbeleid daarmee wordt een wezenlijk aspect van de middelen van verwerking door haar bepaald;
  • UTI heeft een eigen overeenkomst met Amazon gesloten en grote mate van zeggenschap gehad bij het bepalen van de wijze waarop opslag van gegevens plaats zal vinden;
  • UTI is de ontwikkelaar van de Uber-app en eigenaar van Uber-app in Appstore en Google Play Store;

De AP stelt vast dat UTI en UBV gezamenlijk verwerkingsverantwoordelijke zijn en daarmee gezamenlijk aansprakelijk zijn voor het geheel van de gegevensverwerking. Beide zijn dus verantwoordelijk voor naleven van meldplicht datalekken.

Waarom krijgen UTI en UBV een boete?

AP stelt in haar boetebesluit vast dat UTI en UBV de betrokkene op grond van art. 34a lid 2 Wbp onverwijld hadden moeten informeren (per e-mail en via melding op haar website) aangezien de datalek ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene heeft. UTI en UBV hadden het datalek ook onverwijld aan AP moeten melden aangezien de directie van UTI zich bewust was van de ernst van de datalek en er substantiële bedragen zijn betaald aan een partij die het datalek aan Uber heeft gemeld. Ondanks het betalen van bovengemiddelde bedragen is besloten om het datalek toch niet te melden aan de AP en is geheimhouding betracht.

De AP stelt in niet mis te verstane bewoordingen vast dat UTI en UBV grof, aanzienlijk onzorgvuldig, onachtzaam en onoordeelkundig gehandeld waardoor sprake is van ernstige verwijtbare nalatigheid van UTI en UBV.

Hoe hoog is de boete?

Omdat de overtreding ernstig is (geen melding aan betrokkene, geen melding aan de AP, grote privacy risico’s voor veel betrokkenen) wordt het basis boetebedrag verhoogd. Omdat in dit geval ook sprake was van ernstige verwijtbaarheid aan het adres van UTI en UBV wordt het basisbedrag nogmaals verhoogd. Op grond van evenredigheidsbeginsel wordt de boete voor UTI en UBV vervolgens weer verlaagd omdat de boetes aan UTI en UBV grotendeels op hetzelfde feitencomplex zijn gebaseerd. De uiteindelijke boete voor UTI en UBV bedraagt € 600.000,–.

Wat leren we uit het boetebesluit?

Het boetebesluit laat zien dat de AP niet terugdeinst om van haar boetebevoegdheid in geval van een datalek gebruik te maken. In dit geval baseert de AP zich nog op het milde boeteregime van de Wbp. Indien het boeteregime uit de AVG van toepassing zou zijn geweest, dan was de boete waarschijnlijk substantieel hoger uitgevallen. Het is dus zaak om als verwerkingsverantwoordelijke/verwerker bij iedere verwerking van persoonsgegevens na te blijven gaan of de verwerking van persoonsgegevens in lijn is met de AVG. Concreet toegepast op dit geval zou het verstandig zijn geweest indien een protocol datalekken was opgesteld waarin is neergelegd op welke wijze dient te worden gehandeld Het boetebesluit laat zien dat de AP niet terugdeinst om van haar boetebevoegdheid in geval van een datalek gebruik te maken. In dit geval baseert de AP zich nog op het milde boeteregime van de Wbp. Indien het boeteregime uit de AVG van toepassing zou zijn geweest, dan was de boete waarschijnlijk substantieel hoger uitgevallen. Het is dus zaak om als verwerkingsverantwoordelijke/verwerker bij iedere verwerking van persoonsgegevens na te blijven gaan of de verwerking van persoonsgegevens in lijn is met de AVG. Concreet toegepast op dit geval zou het verstandig zijn geweest indien een protocol datalekken was opgesteld waarin is neergelegd op welke wijze dient te worden gehandeld.