28 november 2018

Autoriteit Persoonsgegevens legt boete van 6 ton op aan Uber!

Categorie: Privacyrecht

De Autoriteit Persoonsgegevens (AP) legt Uber een bestuurlijke boete van 600.000 euro op.

De boete van 6 ton werd opgelegd nadat Uber te laat bij de toezichthouder melding had gemaakt van een datalek. In 2016 werden wereldwijd de gegevens van zo’n 57 miljoen Uber gebruikers door hackers buitgemaakt. De buit bedroeg namen, telefoonnummers en mail adressen van Uber gebruikers, waaronder die van 174.000 Nederlanders. Naast de gegevens van gebruikers kwamen ook de persoonlijke gegevens van 7 miljoen chauffeurs in handen van hackers. Het is voor Uber niet de eerste keer dat ze een boete opgelegd krijgt door een toezichthouder. De Britse toezichthouder legde Uber eerder al een boete op van omgerekend 430.000 euro en in Amerika kwam Uber weg met een waarschuwing.

Boete van de Autoriteit Persoonsgegevens

De totale boete die de Autoriteit Persoonsgegevens aan Uber heeft opgelegd, valt op te splitsen in twee delen. Een voor niet melding maken van het datalek en een voor het niet op de hoogste stellen van haar gebruikers. De boete is opgelegd voor het overtreden van de Wet bescherming persoonsgegevens (Wbp). Deze is op 25 mei 2018 vervangen door de Algemene Verordening Persoonsgegevens (AVG). Op grond van de Wbp dient een datalek 72 uur na bekendwording te worden gemeld bij de AP. Het datalek bij Uber vond plaats op 15 november 2016 maar werd pas 21 november 2017 gemeld bij de AP. In plaats van meteen melding te maken van het lek betaalde Uber 85.000 euro aan derden om het incident stil te houden en werd getracht de data weer in handen te krijgen.

Datalek; inbreuk op de rechten en vrijheden van natuurlijke personen

Ook onder de nu geldende AVG dient een datalek binnen 72 uur gemeld te worden aan de AP. Melding van inbreuk van persoonsgegevens mag alleen achterwege blijven in het geval het onwaarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van natuurlijke personen. Onder het Wbp moest nog sprake zijn van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Uber betoogde in haar zienswijze nog dat vooralsnog niet blijkt dat de gegevens zijn doorverkocht en dat daardoor geen sprake kan zijn van ernstige gevolgen of de aanzienlijke kans daarop. In het geval van Uber was er zeker sprake van ernstige nadelige gevolgen. Het argument van Uber wordt dan ook door de AP van tafel geveegd. De AP neemt het handelen van Uber zeer kwalijk. Vooral wordt aangerekend dat bij het datalek de gebruikers niet meteen op de hoogte werden gebracht en noemt hetgeen heeft plaatsgevonden een zeer ernstig feit. Ook onder de AVG dient de verantwoordelijke zonder onredelijke vertraging de betrokkenen op de hoogte te stellen van de inbreuk in verband met de persoonsgegevens.

Tijdig melden datalek

Het is voor ondernemingen van groot belang om de persoonsgegevens van gebruikers goed te beschermen en een datalek tijdig te melden bij de toezichthouder. De toezichthouder treedt hard op indien hier te laat melding van wordt gemaakt.

Privacy-advocaat

Heeft u vragen met betrekking tot de AVG en bescherming van persoonsgegevens? Neem dan gerust contact op met onze privacy-advocaat.