Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

7 reacties

  1. Zeer nette beschrijving en ben het met je eens met betrekking tot de aanname dat het bedrijf niet als verwerker maar controller kan worden gezien. Het gebeurt helaas maar al te vaak dat men op deze manier met data en hosting omgaat, laat staan dat men denkt dat een document / contractueel vastgelegde documentatie / verwerkersovereenkomst daadkrachtig is, als het gaat om de toestand van een bedrijf ten aanzien van hun posititie…

    Ik vind dat de boete veel hoger had mogen zijn. Aanleiding is het achterhouden en de betaling…

  2. “Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren.” Dat lijkt mij bij vele inhuur en grotere niet standaard hosting gevallen zo. Ik heb geen verstand van beveiliging van de opslag dus dat besteed ik uit. Wordt die ingehuurde partij daarmee medeverantwoordelijk? (de genoemde zaken na de geciteerde tekst als aanbieder van de App maken medeverantwoordelijke wel aannemelijk)

    En als ik een ZZP’er inhuur? Die moet zelfstandig beslissen van de belastingdienst. Ook medeverantwoordelijk? Ik heb zelfs gehoord (juristenkantoor) dat als je niet ‘slaafs’ een contract uitvoert, je automatisch medeverantwoordelijke bent. Ik vind en lees dat ‘AVG rollen’ en ‘AVG middelen’ gewoon niet duidelijk genoeg zijn gedefinieerd in de AVG.

    1. Een zzp’er beslist zelf over hoe hij de klus uitvoert, maar de opdrachtgever mag zeker wel de acceptatiecriteria vaststellen. Als ik een schilder inhuur, dan mag ik zeggen welke wand en in welke kleur lijkt me. Hij moet de vrijheid hebben om te zeggen, ik begin dinsdag om 10 uur en u moet de stopcontacten eraf hebben, als ik zeg dat hij maandag om 8:30 er moet staan en pas om 17:00 naar huis mag en ik ga er naast staan dat hij met een vachtroller bezig moet, dan wordt het een werknemer (even heel kort door de bocht).

      1. Dat de zzp’er zelf beslist over… kan ik niet anders zien als de zzp’er bepaalt o.a. de middelen. Dat strookt niet met gezamenlijk de middelen bepalen met een medeverantwoordelijke en strookt ook niet met ‘slaafs’ uitvoeren, hetgeen een ander advocatenkantoor uitdraagt als criterium voor verwerker of medeverantwoordelijke.

        Ik heb moeite met het woord ‘en’ in de definitie van verantwoordelijke ‘het doel van EN de middelen voor de verwerking’. Tenzij middel ook ‘de hosting partij inhuren’ mag zijn. Dan is het middel niet technisch van aard. Dan zou in het artikel het deel ‘Wat volgens mij de doorslag gaf…..’ de reden zijn, niet het inhuren van een hosting partij met zijn beslissingen over opslag en beveiliging.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.