De Autoriteit Persoonsgegevens (AP) legt boete op aan Uber

Blog

De Autoriteit Persoonsgegevens (AP) heeft de Nederlandse besloten vennootschap Uber B.V. en haar Amerikaanse moedervennootschap Uber Technologies Inc. (hierna gezamenlijk ‘Uber’) een boete opgelegd van € 600.000,– voor het overtreden van de meldplicht datalekken. Deze zaak laat zien dat het onverstandig is om een datalek onder de pet te houden. In dit geval heeft het geleid tot een hogere boete.

Het datalek

In de periode van 13 oktober 2016 tot en met 15 november 2016 was er bij Uber sprake van een data-lek. Door een kwetsbaarheid in de gegevensbeveiliging van Uber, hadden onbevoegden (hackers) toegang tot de op de servers van Uber opgenomen persoonsgegevens van klanten en chauffeurs van Uber. De hackers hebben zelf de kwetsbaarheid in de gegevensbeveiliging aan Uber gemeld. Op 15 november 2016 heeft Uber het datalek verholpen. Uber heeft het datalek pas op 21 november 2017 gemeld.

Uit onderzoek is gebleken dat bij het datalek 57.383.315 Uber gebruikers waren betrokken, waarvan 25.606.182 Amerikaanse- en 31.777.133 niet-Amerikaanse. Uit de informatie blijkt dat ongeveer 174.000 Nederlandse klanten van Uber zijn getroffen door het datalek. Bij het datalek zijn 31 soorten persoonsgegevens betrokken geweest.

Overtreding meldplicht datalek

In de periode waarin het datalek zich voordeed was de Wet bescherming persoonsgegevens (Wbp) nog van kracht. Op grond van artikel 34a lid 1 en lid 2 Wbp moet de verantwoordelijke de AP en alle betrokkenen onverwijld in kennis te stellen van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens.

De AP concludeert dat hier sprake was van een meldingsplichtig datalek. Uber was verplicht onverwijld, doch ten minste binnen 72 uur na ontdekking daarvan, het datalek te melden aan de AP en de betrokkenen. De melding heeft pas plaats gevonden op 21 november 2017 en is daarmee bepaald niet onverwijld gedaan. De AP komt tot de conclusie dat sprake is van een overtreding van artikel 34a lid 1 Wbp.

De boete

De AP sluit voor wat betreft de hoogte van de boete aan bij het boeteregime van de Wbp. Bij het opleggen van de boete houdt de AP rekening met een aantal factoren, te weten: de ernst van de overtreding, de mate van verwijtbaarheid van de overtreder en de evenredigheid.

De AP acht het feit dat Uber heeft nagelaten om het datalek aan de betrokkenen te melden, waardoor zij niet (tijdig) in staat waren om de gevolgen te overzien of voorzorgsmaatregelen konden treffen ernstig. Ook de omvang van het datalek, het gaat wereldwijd om 57 miljoen betrokkenen, vindt de AP een omstandigheid die leidt tot de conclusie dat sprake is van een ernstige overtreding. Daarbij overweegt de AP ook nog dat zij, door het handelen van Uber, gedurende een lange periode niet op de hoogte is geweest van het datalek.

Het management van Uber was op de hoogte van het datalek en daarmee samenhangend de ernst van het datalek. Toch heeft Uber er gezien het besluit blijkbaar alles aan gedaan om het datalek geheim te houden. Zij heeft hiervoor zelfs een substantieel bedrag betaald aan de melders (hackers), op voorwaarde dat de hackers het datalek geheim zouden houden. De AP concludeert dat sprake is van een aanzienlijke mate van verwijtbaarheid.

De AP legt een boete op voor zowel de overtreding van artikel 34a lid 1, als 34a lid 2 Wbp. Omdat in feite twee gelijkwaardige bepalingen zijn, ziet de AP reden om de boete op grond van de evenredigheid te matigen.

De AP legt op grond van het vorenstaande aan Uber een bestuurlijke boete op tot een bedrag van € 600.000,-.

Slot

De AP heeft er in deze zaak voor gekozen om aan te sluiten bij het boeteregime van de Wbp. Uber komt daar in feite goed mee weg. Onder de Wbp bedroeg het maximum van de boete € 820.000,-. Dit is onder de Algemene Verordening Gegevensbescherming (AVG) wel anders, daar kunnen de boetes met een maximum van € 10.000.000,- of 2% van de wereldwijde jaaromzet respectievelijk € 20.000.000,- of 4% van de wereldwijde jaaromzet een stuk hoger uitvallen.

Uit het besluit van de AP blijkt dat de verwijtbaarheid van het handelen van Uber zwaar wordt meegewogen. Dit bestaat niet alleen uit het feit dat ze te laat hebben gemeld, maar vooral ook dat ze hebben geprobeerd om het datalek geheim te houden.

Ons advies is om niet te proberen een datalek (wat op basis van de AVG moet worden gemeld) te negeren of te verbergen. Dit leidt tot een hogere mate van verwijtbaarheid en een hogere boete. Twijfelt u of u een datalek moet melden (dat hoeft immers niet altijd), of heeft u naar aanleiding van het vorenstaande nog vragen, neemt u dan contact met ons op.

Het besluit van de AP vindt u hier.