Engelse taal

Boete van zes ton voor Uber vanwege niet melden datalek

Deze maand heeft de Autoriteit Persoonsgegevens (“AP”) een boete van 600.000 euro opgelegd aan taxidienst Uber omdat deze heeft nagelaten een groot datalek tijdig te melden. Dat heeft de AP gisteren bekendgemaakt.

Wat is er gebeurd?
Op 14 november 2016 kreeg Uber een melding van hackers dat zij een grote kwetsbaarheid in de beveiliging van Uber hadden ontdekt. De hackers hebben gedurende de periode van 5 weken daarvoor toegang gehad tot de opslag van Uber waarop klant- en chauffeursgegevens stonden opgeslagen. Ook hebben zij diverse bestanden gedownload. Later onderzoek wees uit dat bij het datalek persoonsgegevens van meer dan 57 miljoen Uber gebruikers waren betrokken, waaronder persoonsgegevens van ongeveer 174.000 Nederlanders. Het betrof gegevens zoals namen, e-mailadressen en telefoonnummers.

Binnen enkele dagen nadat het lek door de hackers bij Uber was gemeld, sprak Uber met hen af dat zij een “beloning” van 100.000 dollar (circa 88.000 euro) zouden ontvangen. In ruil daarvoor moesten zij de gedownloade persoonsgegevens vernietigen en zich stilhouden.

Uber heeft pas op 21 november 2017 melding van het datalek gemaakt bij de AP en een nieuwsbericht over het lek op haar website geplaatst. Dit is ruim een jaar te laat. Melding moet immers onverwijld, maar uiterlijk binnen 72 uur na het bekend worden met het datalek plaatsvinden.

Oordeel AP
De AP vindt dat Uber ernstig verwijtbaar nalatig heeft gehandeld door het datalek niet onverwijld aan de AP en betrokkenen te melden. Nu het datalek nog plaatsvond onder de “oude” privacywetgeving moest de AP bij de bepaling van de boete aansluiten bij het boeteregime van de Wet bescherming persoonsgegevens (“Wbp”). Als het datalek onder de Algemene verordening persoonsgegevens (“AVG”) had plaatsgevonden, had de boete echter nog vele malen hoger kunnen zijn. Boetes onder de AVG voor overtreding van de meldplicht kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet.

Deze boete laat zien dat de verplichting om een datalek tijdig te melden buitengewoon serieus moet worden genomen. Heeft uw onderneming de procedures rondom datalekken op orde? Wij kunnen u hierbij helpen met praktisch advies. Daarnaast zullen wij u binnenkort informeren over de nieuwe Praktijkgroep Privacyrecht van Labré advocaten die u ook op andere terreinen van het privacyrecht kan adviseren en bijstaan.

 

Voor meer informatie of vragen over het bovenstaande kunt u contact opnemen met mr. Saskia Boonstra van de sectie Arbeidsrecht.

Nieuwsbericht d.d. 28 november 2018

Labré advocaten stelt haar nieuwsberichten zorgvuldig samen op basis van de op dat moment geldende regelgeving. Onze nieuwsberichten kunnen door de actualiteit worden achterhaald en hebben een algemeen karakter waardoor zij niet als juridisch advies kunnen worden beschouwd.

« Terug

Labré advocaten ook in 2017 opgenomen in lijst Top Vastgoedjuristen (PropertyNL)

PropertyNL, het grootste onafhankelijke researchcentrum voor vastgoed in Nederland, heeft onlangs
de lijst Top Vastgoedjuristen 2017 gepubliceerd.

Labré advocaten is met 6 vastgoedadvocaten voor de vierde keer op rij vermeld in deze lijst van Top Vastgoedjuristen.

PropertyNL vermeldt: