• Nieuws

Een datalek, wat nu? Uitspraak AP m.b.t. Uber gaat alle bedrijven aan

14 december 2018
IT & privacy - Cyber security & datalek - Privacy - Technologie, media & telecom

“Eerste ‘AVG-boete’ is voor Uber” kopten verschillende media. Dit naar aanleiding van de recente uitspraak van de Autoriteit Persoonsgegevens (AP), waarin voor het eerst een hoge boete voor het overtreden van de privacywet wordt uitgedeeld. Het klopt niet helemaal, want het gaat hier om een zaak die speelde in 2016, ruim voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG). Desalniettemin biedt de uitspraak een aantal interessante inzichten die ik in een serie blogs zal behandelen. In deze eerste ga ik in op de meldingsplicht in geval van een datalek.

Datalek Uber in de VS

Maak je een account aan bij Uber dan moet je gegevens invullen, zoals naam, telefoonnummer en e-mailadres. Dat geldt zowel voor de klanten (‘riders’) als de chauffeurs (‘drivers’). Die gegevens stuurt Uber Nederland naar Uber in de Verenigde Staten. Laten we ze hierna UberNL en UberVS noemen. Hierover hebben beide partijen onderlinge afspraken gemaakt en vastgelegd.

Op 14 november 2016 ontvangt UberVS een melding van een persoon die laat weten dat hij toegang heeft gehad tot een groot aantal gegevens van klanten van Uber. Er is dus een datalek.

UberVS neemt onmiddellijk actie. Het datalek wordt verholpen en de melder wordt beloond met een fors bedrag. Daaraan wordt wel de voorwaarde verbonden dat de melder het datalek geheim houdt. De vervolgacties nemen iets langer. Pas ruim een jaar later huurt UberVS een expert in om onderzoek te doen. Nog weer een week later wordt UberNL op de hoogte gesteld. Bijna vier weken later plaatst UberNL een bericht op haar website waarin zij melding maakt van het datalek. Diezelfde dag wordt ook de AP geïnformeerd. De klanten worden niet geïnformeerd, in ieder geval niet rechtsreeks.

Al met al verstreken er dus 371 dagen tussen het moment dat UberVS op de hoogte raakte van het feit dat een derde mogelijk toegang had gehad tot haar klantgegevens en het moment dat het datalek door UberNL op haar website en bij de AP werd gemeld.

Meldingsplicht datalekken

Zijn gegevens van personen verloren geraakt of in verkeerde handen terecht gekomen? Of is er een kans dat gegevens van personen in verkeerde handen terecht zijn gekomen? Dan heeft dat (mogelijk) nadelige gevolgen voor die personen. In al dit soort gevallen is sprake van een datalek en dat moet worden gemeld bij de AP.

Is er een hoog risico voor de privacy? Dan moet niet alleen de AP worden geïnformeerd, maar ook alle betrokkenen. Het liefst door aan iedereen een e-mail te sturen.

Het is niet altijd mogelijk om direct de gevolgen van een datalek te bepalen. Daarom mag er best eerst onderzoek naar worden gedaan, maar later melden dan 72 uur na de ontdekking is toch echt niet de bedoeling. Is het onderzoek binnen 72 uur niet afgerond, dan moet een “voorlopige” melding worden gedaan. Die kan later eventueel weer worden ingetrokken.

In dit geval werd de AP door Uber pas ruim een jaar na dato op de hoogte gesteld van het datalek. Het zal geen verbazing wekken dat zij daarover ‘not amused’ was.

Verzachtende omstandigheden?

UberNL had natuurlijk redenen aan te voeren voor de vertraging. Zij hoorde zelf pas ruim een jaar na dato van het datalek. Maar dat maakt niet uit, oordeelde de AP. Als je een derde inschakelt om gegevens voor jou te verwerken dan begint de termijn te lopen op het moment dat die derde op de hoogte raakt. Je kunt je dan niet verschuilen achter het feit dat die derde jou daarover niet heeft ingelicht. Ook niet als je daarover afspraken hebt gemaakt met die derde, die hij niet is nagekomen.

Overigens waren tussen het moment dat UberNL op de hoogte raakte en het moment waarop zij het datalek meldde ook meer dan 72 uren verstreken.

Maar, zo betoogde Uber, misschien hoefde er wel helemaal niet gemeld te worden. Het ging in dit geval immers niet om gevoelige gegevens. En de gegevens waren bovendien niet gebruikt. Het lek is direct na ontvangst van de melding gedicht. Daarmee was van nadelige gevolgen of van een hoog risico voor de privacy, volgens Uber, geen sprake.

Onjuist, oordeelde de AP, als gegevens in verkeerde handen vallen dan zijn er altijd nadelige gevolgen of tenminste een kans daarop. Zo’n datalek moet daarom gemeld worden. Dat het niet gaat om gevoelige gegevens maakt daarbij niet uit. Net zomin als dat de gegevens niet zijn gebruikt. Daarnaast stelt de AP dat er ook moet worden gekeken naar zaken als het aantal gegevens waar toegang toe is verkregen.

In dit geval speelde verder een rol dat Uber een wereldwijd opererend concern is, dat het incident zelf ook zeer serieus had opgevat (hoge beloning plus geheimhouding) en een schikking had getroffen met de Amerikaanse autoriteiten voor maar liefst $ 148 mln. Kortom, een ernstig datalek, dat gemeld had moeten worden binnen 72 uur nadat het bij UberVS bekend was geworden.

Het niet melden ziet de AP als ernstig verwijtbaar. En dat leidde tot een hoge boete. Of twee eigenlijk, één voor het niet melden aan de AP en één voor het niet melden aan de betrokkenen.

Haastige spoed is wel zo goed!

Is er sprake van een datalek, of ontvang je signalen dat daarvan sprake kan zijn? Vraag door en doe vooral onderzoek, maar wacht niet te lang met melden. Neem het zekere voor het onzekere en doe, als het niet anders kan, een voorlopige melding. Schakel je een derde in om gegevens voor je te verwerken? Spreek dan heel duidelijk af dat ieder datalek altijd direct wordt gemeldt, ook al is het datalek al opgelost en zijn de gevolgen onduidelijk of gering.

Hoe die afspraken eruit zouden moeten zien? Ook daarover geeft de uitspraak meer duidelijkheid. Met name over de vraag wie in zo’n geval nu eigenlijk verwerker is en wie verantwoordelijke. In veel meer gevallen dan vaak gedacht zijn beide partijen verantwoordelijk. Maar daarover meer in de volgende blog.

Geschreven door: Marloes Koppelaars
Marloes procedeert en adviseert vooral op het gebied van privacy en IT. Zij heeft een ruime ervaring op het gebied van verwerking van persoonsgegevens, cookieregelgeving, privacy statements, bedrijfscodes, algemene voorwaarden, ICT-recht, consumentenrecht en mededingingsrecht.