Eerste boete – AVG

BREAKING: AP deelt fikse boete uit aan Uber

Privacywaakhond bijt: eerste boete na invoering AVG opgelegd aan Uber wegens schending meldplicht datalekken.

De Autoriteit Persoonsgegevens (AP) heeft een bestuurlijke boete van €600.000,- opgelegd aan Uber voor het overtreden van de meldplicht datalekken. De meldplicht houdt in dat ondernemingen een ernstig datalek binnen 72 uur moeten melden bij de AP en eventueel de betrokkenen moeten inlichten. De meldplicht bestaat al sinds 2016, eerst onder het regime van de Wbp (de Wet bescherming persoonsgegevens) en nu onder de AVG (Algemene Verordening Gegevensbescherming).

Op 15 november 2016 werd Uber geconfronteerd met de gelekte persoonsgegevens. Pas een jaar na dato, op 21 november 2017, heeft Uber de AP van het datalek in kennis gesteld en een nieuwsbericht op haar website geplaatst om het publiek te informeren. Dit was echter niet in overeenstemming met wat de wet voorschrijft: een dergelijk datalek moet onverwijld (binnen 72 uur) aan de AP worden gemeld en aan de betrokkenen. Volgens de AP moet dit ook gebeuren als op dat moment de precieze omvang van het datalek nog niet bekend is. Er kan dan een voorlopige melding worden gedaan.

Daarnaast blijkt uit het besluit van de AP dat Uber $100.000 betaald heeft aan de melders die het datalek aan Uber hebben gemeld. Dit bedrag is wezenlijk hoger dan wat er gewoonlijk wordt betaald door Uber voor het melden van kwetsbaarheden en datalekken. De AP heeft dit opgevat als een sterke indicatie dat Uber zich bewust was van de ernst van het datalek.

Door het achterwege blijven van een tijdige melding van het datalek aan de AP en het tijdig in kennis stellen van de betrokkenen, is Uber volgens de AP ernstig verwijtbaar nalatig geweest.

Voor zover bij ons bekend, is dit de eerste bestuurlijke boete die de AP heeft opgelegd sinds de invoering van de AVG. De afgelopen maanden legde de AP nog enkel dwangsommen op, zoals recentelijk aan TGB.[1] Een last onder dwangsom is minder ingrijpend dan een boete. Het is een herstelsanctie die is gericht op het beëindigen van een bepaalde overtreding. De overtreder hoeft pas te betalen wanneer hij niet voldoet aan de gestelde voorwaarden van de last onder dwangsom.

De boete voor Uber had nog hoger kunnen uitvallen als de overtreding was begaan na invoering van de AVG. Maar omdat de overtreding vorig jaar was begaan, golden nog de oude regels uit de Wbp. De maximale boete onder de AVG kan namelijk oplopen tot €20 miljoen of 4% van de totale wereldwijde jaaromzet.

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/tgb-betaalt-dwangsom-na-niet-voldoen-aan-inzageverzoek

Wilt u meer weten? Neem dan contact op met onze privacyspecialisten Anne Coenders en Kim de Bonth

Dit artikel is geschreven door Katrien van de Wijdeven, Juridisch medewerker IE/ICT & Privacy .

< Vorige

Volgende >

Spring naar toolbar