Van 13 oktober 2016 tot 15 november 2016 was er bij Uber een datalek. Bij het datalek waren 57.383.315 Uber gebruikers betrokken, waarvan 25.606.182 Amerikaanse en 31.777.133 niet-Amerikaanse. Gebleken is dat ongeveer 174.000 Nederlandse Uber- gebruikers door het datalek zijn getroffen. Bij het datalek zijn maar liefst 31 soorten persoonsgegevens betrokken geweest. De Nederlandse en Britse privacywaakhonden hebben Uber inmiddels een boete opgelegd. Aan welke verplichtingen heeft u zich te houden in het geval van een datalek, en waar is het bij Uber fout gedaan?
Uber is op 14 november 2016 op de hoogte gesteld van het datalek door een hackersplatform. Uber heeft het datalek vervolgens binnen 1 dag verholpen en de hackers afgekocht met een bedrag van 100.000,00 EUR. Er is geheimhouding met de hackers overeengekomen en Uber ging er kennelijk daarmee vanuit dat er geen risico meer voor Uber en de betrokkenen aanwezig zou zijn, aangezien er ‘gepaste’ maatregelen waren genomen.
Ongeveer een jaar later heeft Uber het datalek pas bij de Autoriteit Persoonsgegevens gemeld. Naar aanleiding van een onderzoek heeft de Autoriteit Persoonsgegevens en de Britse evenknie (OIC) boetes opgelegd aan Uber van respectievelijk € 600.000,00 en € 434.000,00.
Als er sprake is van een datalek, dan dient het datalek zo snel mogelijk te worden ‘geïdentificeerd’. Onderzocht moet daarbij worden wat het risico is van de betrokkenen als de gelekte data beschikbaar is gesteld aan derden. Denk daarbij aan identiteitsfraude, doorverkoop of gebruik door derden voor activiteiten zoals phishing, ongewenste reclame (spam) en/of ongewilde telefonische colportage. Daarnaast moet het lek natuurlijk zo snel mogelijk worden gedicht en moeten er gepaste (technische en organisatorische) maatregelen worden genomen om een lek in de toekomst te voorkomen. Kortom is een datalek een serieuze zaak! Een draaiboek is dan ook aan te raden, zodat chaos bij een datalek kan worden voorkomen.
De omvang van de bij het Uber datalek betrokken persoonsgegevens is enorm te noemen. Door het type persoonsgegevens (namen, e-mailadressen en telefoonnummers) en het feit dat het om persoonsgegevens gaat van klanten van één specifieke – wereldwijd opererende – onderneming, is er een aanmerkelijke kans aanwezig dat het datalek ernstig is te noemen en een impact kan hebben op de betrokkenen. Uber heeft de ernst van het datalek kennelijk niet goed genoeg ingezien.
Zojuist heb ik redenen aangegeven waarom het datalek bij Uber een aanmerkelijke kans van impact kan hebben op betrokkenen. Vanwege deze aanwezige aanmerkelijke kans was Uber verplicht om het datalek te melden. Uber koos echter voor het verzwijgen van het datalek.
Uber heeft haar gedrag onderbouwd door tijdens het onderzoek door de toezichthouders o.a. te stellen dat er geen sprake was van een aanmerkelijke kans van impact op betrokkenen, aangezien Uber gepaste maatregelen zou hebben betroffen. Volgens Uber was het niet waarschijnlijk dat de bewuste gelekte persoonsgegevens voor spam of phishing zijn gebruikt en dat er een geheimhoudingsovereenkomst is getekend met de bij Uber bekende hackers. Daarom is Uber van mening dat er niet hoefde te worden gemeld. Dit argument van Uber neemt echter volgens de Autoriteit Persoonsgegevens niet weg da?t de persoonsgegevens toegankelijk waren voor onbevoegden (waaronder de hackers) en dat dit gelet op de periode van het datalek (5 weken), de omvang en het type persoonsgegevens een aanmerkelijk risico van verdere verspreiding inhield. Overigens valt ook op dit moment niet uit te sluiten dat de bewuste gegevens niet toch nog ergens – buiten Uber om – beschikbaar zijn.
De melding van het datalek moet zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, bij de Autoriteit Persoonsgegevens worden gedaan. Hoofdregel is dus dat de melding zonder onnodige vertraging moet worden gedaan, waarbij 72 uur in principe geldt als uiterste limiet. In dit verband moet worden opgemerkt dat ook een voorlopige melding kan worden gedaan. Deze melding kan worden aangepast of worden ingetrokken.
Uber had al op 15 november 2016 melding kunnen en moeten maken van het datalek, omdat een melding na? dat moment kan worden gekwalificeerd als een ‘onnodige vertraging’. Maar de melding had in elk geval uiterlijk binnen 72 uur na 14 november 2016 dienen plaats te vinden. Dit had óók redelijkerwijs moeten gebeuren als op dat moment de precieze omvang van het datalek nog niet bekend was, of nog niet kon worden overzien. Er kon ook een voorlopige melding worden gedaan. Uber heeft daar bewust niet voor gekozen. Uber heeft daardoor ernstig verwijtbaar nalatig gehandeld door het datalek niet onverwijld te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. De Autoriteit Persoonsgegevens is zelfs van mening dat het nalaten van Uber om het datalek tijdig te melden het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. Wellicht heeft dat ook te maken met het afkopen van de hackers en de zweem van een doofpot-affaire die daaromheen hangt. Kennelijk was het Uber alles aan gelegen om het datalek geheim te houden, althans om openbaarheid te voorkomen.
Tijdig informeren van de toezichthouders kan op een gemakkelijke wijze worden gedaan door middel van een door de Autoriteit Persoonsgegevens online beschikbaar gesteld formulier. De reden van Uber om geen melding te doen is, in mijn visie, een bewuste actie geweest. Het door Uber geheimhouden van een datalek om zo de reputatie en een mogelijk onderzoek van toezichthouders te voorkomen, wordt nu juist door de toezichthouders van Nederland en Engeland veroordeeld en terecht naar mijn mening. Jammer dat de AVG ten tijde van het datalek niet al het materiële recht was waaraan getoetst moest worden, want anders had de boete veel hoger kunnen uitpakken. Gezien het gedrag van Uber was een hogere boete wel passend geweest.
Het feit dat er een datalek is geweest bij Uber is niet direct een schending van privacywetgeving, maar tijdige melding aan de Autoriteit, tijdige melding aan betrokkenen en het treffen van gepaste maatregelen kunnen wel een schending opleveren van de privacywetgeving. De wijze van handelen na het datalek heeft nu juist een enorme schade veroorzaakt en dan heb ik het niet alleen over de boetes, maar de schade aan de reputatie van Uber is waarschijnlijk vele malen groter dan de opgelegde boetes.
Natuurlijk liggen de grote bedrijven als eerste onder de loep van de privacywaakhonden, maar zorg er voor dat ook uw onderneming bewust omgaat met de verwerking van persoonsgegevens. Weet wat te doen bij een datalek en zorg ervoor dat u een draaiboek voorhanden hebt.
Meer informatie?
Een optimale bescherming van privacy is niet alleen van belang voor uw onderneming, maar ook voor uw werknemers, klanten en leveranciers. Vragen? Neem vrijblijvend contact op met Steven van Kerkhof of één van de andere advocaten gespecialiseerd in het privacyrecht.
