Op 6 november 2018 heeft de Autoriteit Persoonsgegevens een boete opgelegd aan Uber wegens het niet tijdig melden van een datalek. Hoe is deze boete tot stand gekomen en hoe moet je wel handelen bij een datalek?
De boete die op 6 november 2018 werd opgelegd, betrof een boete van € 600.000,- aan Uber wegens het niet tijdig melden van een datalek aan de Autoriteit Persoonsgegevens en aan de betrokkenen. Bij dit datalek waren namen, telefoonnummers en e-mailadressen van ongeveer 57 miljoen personen betrokken. Het datalek vond plaats in oktober en november 2016 en werd pas een jaar later gemeld aan de Autoriteit Persoonsgegevens. Op de dag van de melding aan de Autoriteit Persoonsgegevens werd een nieuwsbericht op de website van Uber geplaatst. Van een onverwijlde melding was volgens de Autoriteit geen sprake. Het alsnog te laat melden kon een boete niet voorkomen.
Hierbij moet vermeld worden dat het opleggen van deze boete niet het gevolg is van de inwerkingtreding van de AVG. Ten tijde van het datalek bij Uber was de Wet bescherming persoonsgegevens (“Wbp”) nog van toepassing. Op grond van de Wbp was er ook een verplichting om een datalek te melden en had de toezichthoudende autoriteit ook de bevoegdheid om het niet melden van een datalek te beboeten. De Autoriteit Persoonsgegevens heeft bij het handhavingsbesluit het boeteregime van de Wbp toegepast. Als het nu geldende boeteregime van de AVG was toegepast, had de boete hoger kunnen zijn. Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (“AVG”) van toepassing. Mijn collega schreef in april 2018 een artikel over wat je als organisatie moet doen om klaar te zijn voor de AVG. Dit artikel kunt u hier teruglezen.
Maar, hoe moet het dan wel?
Indien een datalek heeft plaatsgevonden, moet de verwerkingsverantwoordelijke dit zonder onredelijke vertraging melden aan de Autoriteit Persoonsgegevens, indien mogelijk uiterlijk 72 uur nadat hij van het datalek heeft kennis genomen. Alleen als het niet waarschijnlijk is dat het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, hoeft het lek niet aan de Autoriteit Persoonsgegevens gemeld te worden. Daarnaast kan het ook verplicht zijn om het datalek te melden aan de personen van wie de gegevens betrokken zijn bij het datalek (de betrokkenen). Dit is verplicht als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Als er wordt geconstateerd dat er een datalek heeft plaatsgevonden, is het daarom van groot belang om snel te handelen. Zoek uit wat er precies gebeurd is en – als het nog gaande is – hoe dit zo snel mogelijk gestopt kan worden. Beoordeel bovendien of er een melding moet worden gedaan aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Wanneer u vragen heeft hierover of advies wenst over de toepassing van de AVG, neem dan gerust vrijblijvend contact met mij op.
Thema's:
Overheid en onderwijs, Zorg en welzijn, Ondernemen, Bestuursrecht en Onderwijs
Auteur:
mr. José Kemper
