EUR 600.000 boete voor overtreding meldplicht datalekken

In november 2017 heeft de AP een melding van een datalek ontvangen van Uber, waarna de AP een taskforce heeft opgericht. Vandaag maakte de AP bekend een boete te hebben uitgedeeld.

Het zal geen 4% van de jaaromzet betreffen voor Uber B.V. en Uber Technologies, desondanks is door de Autoriteit Persoonsgegevens een fikse boete opgelegd. De hoofdreden is het overtreden van de meldplicht datalekken.

Chauffeur- en klantgegevens gelekt

57 miljoen wereldwijde Uber-gebruikers zijn getroffen door het datalek. Hieronder vielen 174.000 Nederlandse gebruikers. Gelekte gegevens betroffen namen, telefoonnummers en e-mailadressen van zowel chauffeurs als ook klanten, meldt het AP.

Onderzoek Uber-datalek

Uber heeft naar aanleiding van het datalek verzuimd om de details van datalek binnen wettelijke termijn te melden bij de leidende privacy toezichthouder. Dit houdt in dat Uber de datalek niet binnen de gestelde termijn van 72 uur na constatering heeft gemeld bij een privacy toezichthouder.

Eén-loket mechanisme

Doordat Uber internationaal opereert en er persoonsgegevens verwerkt in verschillende EU lidstaten, kreeg Uber te maken met het één-loket mechanisme

Naar aanleiding van de datalek is in november 2017 een taskforce opgericht met privacytoezichthouders uit Verenigd Koninkrijk, Spanje, Italië, Frankrijk, Duitsland, België als ook Nederland, waar de Autoriteit Persoonsgegevens (AP) leidinggevend was. Dit hield in dat de Autoriteit Persoonsgegevens het onderzoek naar de datalek die Uber trof, coördineerde.

Wat te doen bij datalek

Het moge duidelijk zijn dat bovenstaand het signaal afgeeft dat er zorg gedragen dient te worden voor een gepaste afhandeling. Gezien de hoeveelheid gelekte gegevens, was het zeker op zijn plaats om de datalek te melden bij een privacy toezichthouder. 

Betrokkenen

De persoonsgegevens van de betrokkenen betroffen geen gevoelige persoonsgegevens, blijkt uit het bericht. Hierdoor is melding naar betrokkenen geen vereiste, alhoewel een afweging om het vanuit transparantie zelf te melden, gepast is. Het alternatief, dat betrokkenen het vanuit de media moet vernemen, valt niet altijd in goede aarde.

Register van datalekken

Onder de AVG wetgeving is het een aanvullende wettelijke verplichting dat datalekken in een eigen dossier genoteerd worden, ongeacht of een datalek bij de leidende privacy toezichthouder gemeld moet worden. Die overweging dient zelf gemaakt te worden, waarin zaken als hoeveelheid persoonsgegevens, type persoonsgegevens (gevoelig of bijzonder). 

Meldt in geval van twijfel altijd een datalek, uiteraard binnen de wettelijke termijn. Wanneer meer details bekend zijn kan een datalek immers altijd weer ingetrokken worden, als blijkt dat de melding niet noodzakelijk is.

Ondertussen kan binnen de AVG Cloud Register tooling, een register van datalekken worden bijgehouden, waarin men middels een questionnaire door de juiste vragen wordt geleid.