Volg ons op sociale media

Uit de praktijk: boete vanwege niet melden van een datalek

Geplaatst op 10 december 2018 om 09:45

Taxibedrijf Uber heeft in Nederland een boete van € 600.000 gekregen vanwege het te laat melden van een datalek. Het betreffen persoonsgegevens van klanten en chauffeurs. 

Uber is in 2016 het slachtoffer geweest van een hacker. De hacker heeft namen, e-mailadressen en telefoonnummers van gebruikers van de app weten te achterhalen. Het datalek heeft ruim 57 miljoen Uber-gebruikers getroffen. In Nederland zijn ongeveer 174.000 chauffeurs en klanten het slachtoffer van dit datalek. 

Wat zegt de AVG over het melden van een datalek?
Artikel 33 en 34 AVG beschrijven de handelswijze in het geval zich een datalek voordoet. In deze artikelen wordt niet expliciet gesproken van een ´datalek´ maar van ´een inbreuk in verband met persoonsgegevens´. In beginsel moet een datalek op grond van artikel 33 AVG binnen 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen door deze worden gemeld aan de Autoriteit Persoonsgegevens (AP). Wanneer de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke ook de betrokkenen (degenen om wiens persoonsgegevens het gaat) in te lichten over het datalek. Deze verplichting geldt niet wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. 

Wat kan de sanctie zijn bij het niet melden van een datalek?
Een overtreding als het niet melden van een datalek kan op grond van artikel 83 lid 4 sub a AVG worden bestraft met een maximale boete van € 10.000.000 of, wanneer dit hoger ligt, met 2% van de totale wereldwijde jaaromzet. 

Hoe oordeelde de Autoriteit Persoonsgegevens in deze zaak?
Op grond van de AVG dient Uber het datalek binnen 72 uur na kennisneming te melden aan de AP en de betrokkenen. Uber heeft de kwestie echter pas in november 2017 bij de AP gemeld. Hierdoor voldeed zij niet aan haar wettelijke verplichting. Uber heeft voorafgaande aan de melding bij de AP eerstens getracht de hacker te stoppen door deze een bedrag van 100.000 dollar te betalen. Er is door de hacker een geheimhoudingsovereenkomst getekend. Ook heeft Uber de computer van de hacker onderzocht om te controleren of alle gestolen data ook daadwerkelijk is verwijderd. 

Uber is niet alleen in Nederland gesanctioneerd. In Groot-Brittannië heeft Uber een boete van 385.000 pond (omgerekend zo’n € 434.000) opgelegd gekregen. Daar zijn 2,7 miljoen klanten en bijna 82.000 chauffeurs het slachtoffer van het datalek.

Uber heeft in een verklaring laten weten blij te zijn om een punt te kunnen zetten achter ‘het incident’. Zij stelt directieleden te hebben aangesteld die zich met privacy, databescherming en veiligheid bezighouden. Uber stelt hard te werken om het vertrouwen van de gebruikers terug te winnen.

Wat is wijsheid?
Het is een cliché maar, voorkomen is beter dan genezen. Zorg voor goede technische en organisatorische maatregelen te treffen en  licht uw personeel in over de te volgen procedures in geval van een datalek. Zo wordt de kans vergroot om een datalek te voorkomen, dan wel juist te handelen wanneer zich een datalek voordoet. Twijfelt u of er sprake is van een datalek? U kunt dan altijd voorafgaand overleg met de AP voeren. Hiermee laat u zien dat u de situatie serieus neemt en kan een eventuele boete in een vroegtijdig stadium voorkomen worden.

Heeft u vragen? Neem dan gerust contact met mij op via juridisch@ictwaarborg of telefonisch via 088-77 300 79. 

Meer nieuws & blogs, december 2018

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73