De Autoriteit Persoonsgegevens heeft een boete van € 600.000,- opgelegd aan Uber voor het overtreden van de meldplicht datalekken. Daarmee maakt de Autoriteit Persoonsgegevens voor het eerst gebruik van de boetebevoegdheid die sinds 2016 aan haar is toegekend! Tot nu toe heeft zij namelijk op een andere wijze handhavend opgetreden. Bijvoorbeeld door het uitdelen van waarschuwingen of het opleggen een dwangsom waarbij de overtreder een bepaalde termijn wordt gegund om de overtreding te beëindigen.
Datalek Uber
Bij Uber vond in 2016 een datalek plaats, waarbij onbevoegden toegang kregen tot de persoonsgegevens van klanten en chauffeurs. Het datalek had betrekking op onder andere de namen, e-mailadressen en telefoonnummers. Wereldwijd zijn er ruim 57 miljoen Uber-gebruikers, onder wie ongeveer 174.000 Nederlanders, door dit datalek getroffen.
De Autoriteit Persoonsgegevens heeft deze boete aan Uber opgelegd omdat zij dit datalek niet op tijd aan haar had gemeld. Het is namelijk verplicht om een datalek binnen 72 uur na ontdekking daarvan te melden aan de Autoriteit Persoonsgegevens. Daarnaast heeft Uber de betrokkenen hierover niet tijdig geïnformeerd. Sterker nog, Uber heeft zelfs geprobeerd dit datalek te verzwijgen. Uber heeft de hackers, die het lek aan het licht brachten, ter geheimhouding forse bedragen betaald.
Boete Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens heeft de aan Uber opgelegde boete nog gebaseerd op de regels die golden onder de voormalige Wet bescherming persoonsgegevens (Wbp). Het datalek vond immers plaats in 2016, toen de Wbp nog van toepassing was. Onder de Wbp kon de Autoriteit Persoonsgegevens een boete van maximaal € 820.000,- opleggen voor de overtreding van de meldplicht datalekken. Uiteindelijk heeft de Autoriteit Persoonsgegevens op grond van haar boetebeleidsregels aan Uber een boete van € 600.000,- opgelegd.
Sinds 25 mei 2018 is echter de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Is dit boetebesluit van de Autoriteit Persoonsgegevens nu dan nog wel relevant? Ja, dit boetebesluit is relevant omdat de AVG vergelijkbare regels rondom de meldplicht datalekken kent als de Wbp destijds. De Autoriteit Persoonsgegevens zet bovendien in haar boetebesluit uiteen dat er in deze specifieke situatie van Uber ook onder de AVG sprake zou zijn van een datalek. Indien dit datalek plaats zou hebben gevonden nadat de AVG van toepassing was (dus na 25 mei 2018), dan had de Autoriteit Persoonsgegevens voor deze overtreding een boete kunnen opleggen van maximaal € 10.000.000,- of 2% van de wereldwijde jaaromzet. Oftewel, onder de AVG was gelet op dit maximum de aan Uber opgelegde boete voor deze overtreding misschien wel nog hoger geweest dan nu op grond van de Wbp aan haar is opgelegd. In dit specifieke geval komt Uber er eigenlijk nog goed vanaf door het ‘gunstigere’ boeteregime dat op dit datalek van toepassing is.
Afronding
Kortom, de Autoriteit Persoonsgegevens deinst er niet voor terug om boetes op te leggen. Zij treedt handhavend op tegen organisaties die in strijd met de privacywet- en regelgeving handelen. De sinds 2016 bestaande boetebevoegdheid voor de Autoriteit Persoonsgegevens wordt niet meer geschuwd. Met de toepasselijkheid van de AVG kan de Autoriteit Persoonsgegevens zelfs nog hogere boetes opleggen. Het is dan ook van belang om AVG-compliant te zijn.
Wilt u meer informatie? Neemt u gerust contact met ons op!