Skip to main content

Op 27 november 2018 heeft de Autoriteit Persoonsgegevens (AP) het boetebesluit tegen Uber gepubliceerd. De AP heeft een boete opgelegd van EUR 600.000,-.

Boete

Uber heeft de meldplicht datalekken overtreden door een jaar na dato het datalek te melden bij de AP. Ook zijn de betrokkenen niet in kennis gesteld.

Dit deed zich voor eind 2016, dus voor inwerkingtreding van de AVG. Onder de AVG zou een boete kunnen worden opgelegd van EUR 20 miljoen of 4% van de wereldwijde jaaromzet indien de beveiliging niet voldoet volgens de eisen die de AVG stelt. Zo ver komt het echter niet omdat in 2016 de boete maximaal EUR 820.000,- kon bedragen. Daarmee vergeleken heeft Uber dus een forse boete gekregen.

Feiten

Het datalek betrof een kwetsbaarheid in de beveiliging bij Uber Technologies Inc. in de Verenigde Staten. Hierdoor was het mogelijk om alle persoonsgegevens in de database van Uber te bekijken. Er hebben ook daadwerkelijk downloads plaatsgevonden van de data. Dit bleek mogelijk te zijn in de maanden oktober en november 2016. Uber Technologies Inc. was op de hoogte gesteld van de kwetsbaarheid op 14 november 2016, maar het heeft dus meer dan een jaar geduurd voordat het datalek is gemeld. Uber Technologies heeft Uber BV ook pas in oktober 2017 op de hoogte gebracht.

Uber BV heeft op 21 november 2017 melding gemaakt van het datalek. Op die dag heeft Uber BV ook een verklaring gepubliceerd waarin uitleg is gegeven over het datalek.

Bij het datalek waren verschillende persoonsgegevens inzichtelijk van ongeveer 174.000 Nederlanders. In totaal ging het om 57 miljoen betrokkenen wereldwijd. Daarbij gaat het zowel om chauffeurs als om passagiers. Naast contactgegevens waren ook ratings, fraudemeldingen en betaalbewijzen zichtbaar.

Gezamenlijke verwerkingsverantwoordelijkheid

Naar de mening van de AP moet in ieder geval Uber BV worden aangemerkt als verwerkingsverantwoordelijke. Onder haar verantwoordelijkheid werden de persoonsgegevens verwerkt. Uber Technologies Inc. is in deze gezamenlijk verantwoordelijk omdat zij samen de omvang van de verwerking bepalen. Uber Technologies Inc. ziet zichzelf echter ‘slechts’ als verwerker.

De AP vindt daarin doorslaggevend dat Uber Technologies Inc. het beveiligingsbeleid heeft vastgesteld zoals dat geldt voor alle Uber-ondernemingen waaronder Uber BV. Uber Technologies Inc. op haar beurt is van mening dat het beveiligingsbeleid moet worden gezien als een detail van de verwerking en niet als het bepalen van de doeleinden van de verwerking. Voor die uitleg valt wel wat te zeggen.

Maar doordat Uber Technolgies Inc. niet alleen het beveiligingsbeleid heeft vastgesteld maar ook het geldende privacybeleid, verantwoordelijk is voor updates van de app en dat zij namens Uber BV heeft gehandeld in de afhandeling van het datalek zonder zelfs Uber BV op de hoogte te stellen, heeft zij ten minste de schijn tegen gekregen. De AP is dan ook van oordeel dat Uber Technologies Inc. ten minste gezamenlijk verantwoordelijk is en dus wordt de boete aan beide partijen samen opgelegd.

Overtreding verplichtingen

De AP concludeert dat zowel Uber BV als Uber Technologies Inc. een jaar te laat melding hebben gemaakt van het datalek.

Daarnaast hadden zij onverwijld de betrokkenen wiens persoonsgegevens het betrof, op de hoogte moeten brengen. Volgens de AP moeten de betrokkenen op de hoogte worden gesteld omdat er sprake is van een onrechtmatige verwerking (toegang voor onbevoegden) en het nadelige risico ook is voorgevallen (er zijn bestanden gedownload). Enkel dat is voor de AP voldoende om te spreken van ernstige nadelige gevolgen. Deze opvatting onderbouwt de AP door te stellen dat zo’n grote database, afkomstig van één speler in de markt, ook aantrekkelijk is om te worden doorverkocht. Hiermee lijkt de AP wel heel snel aan te nemen dat er sprake is van ernstige nadelige gevolgen, terwijl er geen gevoelige persoonsgegevens zijn gelekt.

Lessen voor de praktijk

Uit de in 2015 door de AP gepubliceerde beleidsregels maakten wij al op dat de meldplicht datalekken streng wordt geïnterpreteerd. Wellicht wel strikter dan dat de letter van de wet toelaat. De beleidsregels zien op toepassing van de meldplicht datalekken uit de Wbp, maar er is geen aanleiding om te oordelen dat zij niet zouden gelden onder de AVG.

Ook dit boetebesluit geeft hetzelfde beeld. In dit geval is de AP van mening dat betrokkenen op de hoogte moeten worden gebracht, terwijl de redenering uit het boetebesluit toch niet direct overtuigend is (zie hierboven). Met min of meer dezelfde redenering zou je tot de conclusie kunnen komen dat mededeling aan de betrokkenen niet noodzakelijk is. De AP denkt daar echter anders over, terwijl er in ieder geval wel een mededeling op de website van Uber was geplaatst om betrokkenen te informeren.

Wie weet tekent Uber bezwaar en beroep aan en wordt het besluit nog aan de rechter voorgelegd zodat we meer duidelijkheid krijgen over de vraag of de AP deze eisen zo strikt mag toepassen.