Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 6 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

| AE 10468 | Innovatie | 60 reacties

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk blijkt dat de auto of haar bestuurder toch meer te verwijten valt. En meer algemeen, wat doen we met de aansprakelijkheid van zelfrijdende voertuigen?

Het ongeval van afgelopen maandag lijkt een lastig te voorkomen incident geweest te zijn. Een vrouw stak op een onverwacht moment plotseling over met een fiets waar een hoop tassen aan hingen. De auto remde niet (en bleek iets te hard te rijden). “Het is duidelijk dat het moeilijk was geweest om een aanrijding te voorkomen, afgaand op de manier waarop het slachtoffer uit de schaduw de weg op liep.” Aldus de voorlopige conclusie van de politie.

In die omstandigheden zou denk ik in Nederland voor een gewone auto met bestuurder denk ik toch wel aansprakelijkheid ontstaan. De lat ligt namelijk erg hoog, en je moet altijd rekening houden met onverwachte zaken zoals overstekende personen. Een strafrechtelijke vervolging lijkt me uitgesloten maar de schade zul je (via de verzekering) toch denk ik wel moeten betalen.

Hoe een autonome auto precies in dat plaatje past, is nog niet echt duidelijk. Onze wetgeving kent het concept niet van een auto die zelf rijdt, maar gaat er vanuit dat er altijd een mens het stuur vasthoudt en de pedalen bedient (behalve indien relevante ontheffingen zijn verleend bij gehandicapte bestuurders). Het zou dus geen argument zijn dat de auto zelf besloot te remmen of juist door te rijden.

Ik ben er nog niet uit wat voor wetswijziging nodig zou zijn om dit op te lossen. Het voelt raar dat we een autonome auto aansprakelijkheidstechnisch anders behandelen dan een mensenbestuurde auto. Maar ze hetzelfde behandelen voelt óók gek want de werking is wezenlijk anders.

Misschien moeten we gewoon de hele vraag van aansprakelijkheid loslaten. We eisen dat auto’s zorgvuldig geprogrammeerd zijn maar verklaren auto-ongelukken te allen tijde als overmacht, waarbij de schade wordt betaald uit een fonds waar iedereen verplicht aan meebetaalt. Dan ben je de hele discussie kwijt én is iedereen zeker van zorg en vergoeding bij schade.

Arnoud

Uber is een taxidienst, geen digitaal deelplatform

| AE 10165 | Ondernemingsvrijheid | 10 reacties

Het bedrijf Uber is een taxidienst met een app, geen bemiddelingsplatform. Dat blijkt uit het arrest van het HvJ van 20 december vorig jaar. De uitspraak volgt op vragen uit 2012 van de Spaanse rechter in een zaak aangespannen door een concurrent. Door deze uitspraak is het duidelijk dat de diensten van Uber als iedere andere taxidienst mogen worden gereguleerd, de hippe app-interface en alle mooie woorden over de deeleconomie ten spijt.

Uber is al jaren verwikkeld in een hevige strijd met taxibedrijven en toezichthouders. Zij ziet zichzelf als een exponent van de nieuwe economie, waarbij bedrijven bemiddelen tussen aanbieders en afnemers maar zelf inhoudelijk geen rol hebben bij de diensten die vervolgens worden afgenomen. Die discussie is een moeilijke, maar nu lijkt het Hof de knoop wel doorgehakt te hebben.

In deze Spaanse zaak was de vraag in essentie of Uber aan te merken was als een vervoersdienst, een in het EU-verdrag speciaal geregelde categorie van diensten. Normaal mogen diensten niet zomaar worden gereguleerd vanuit het oogpunt van een vrij verkeer van diensten, maar specifiek bij vervoers- en taxidiensten kan dat wel.

Uber verweerde zich met een beroep op de E-commercerichtlijn: zij bood immers een dienst waarbij op afstand mensen met elkaar informatie uitwisselden, waarbij Uber niet bepaalde welke informatie dat was. Een dienst van de informatiemaatschappij, in het jargon. Die kwalificatie heeft een aantal belangrijke gevolgen, zoals dat je niet aansprakelijk bent voor de inhoud, maar voor Uber ook belangrijk: zo’n informatiedienst is per definitie geen vervoersdienst (of andersom). En lidstaten mogen informatiediensten in principe niet aan nadere regulering onderwerpen.

Het Hof van Justitie prikt echter door die opstelling heen en ziet Uber gewoon als een vervoersbemiddelingsdienst, wat binnen de scope van “vervoersdiensten” valt.

the intermediation service provided by Uber is based on the selection of non-professional drivers using their own vehicle, to whom the company provides an application without which (i) those drivers would not be led to provide transport services and (ii) persons who wish to make an urban journey would not use the services provided by those drivers. In addition, Uber exercises decisive influence over the conditions under which that service is provided by those drivers. On the latter point, it appears, inter alia, that Uber determines at least the maximum fare by means of the eponymous application, that the company receives that amount from the client before paying part of it to the non-professional driver of the vehicle, and that it exercises a certain control over the quality of the vehicles, the drivers and their conduct, which can, in some circumstances, result in their exclusion.

Kort gezegd, Uber bemoeit zich inhoudelijk met wat er gebeurt en dat houdt niet op bij de informatie-uitwisseling op het platform. Daarmee is het zwaartepunt van wat Uber doet, gericht op het vervoer en niet op de informatiedienst. Uber is dus een taxicentrale met een app, en geen deelplatform.

(De uitspraak is in zoverre uniek dat hij specifiek hangt aan de regels over vervoer uit het EU-verdrag. Voor andere bemiddelingsapps zoals AirBNB (logies) of Peerby (spullen bij je buurt) gaat dit arrest dus niet meteen op.)

Arnoud

Mag een bedrijf zomaar alles in de privacyverklaring zetten?

| AE 9408 | Informatiemaatschappij | 9 reacties

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het… Lees verder

Uber in Californië nu werkgever

| AE 7770 | Ondernemingsvrijheid | 13 reacties

Taxidienst Uber moet een voormalig chauffeur een vergoeding betalen van meer dan vierduizend dollar omdat ze volgens de rechter een medewerkers was, en geen zzp’er. Dat las ik bij NRC. De California Labor Commission, de lokale toezichthouder op de arbeidswetgeving in die staat, is eigenlijk geen rechter maar wel bevoegd om zulke uitspraken te doen…. Lees verder

Inspectie legt boetes op aan Uberpop-chauffeurs in Amsterdam

| AE 7041 | Innovatie | 61 reacties

De Inspectie Leefomgeving en Transport heeft boetes opgelegd aan een viertal chauffeurs die via Uberpop taxiritjes aanboden, meldde Tweakers gisteren. Juridisch niet gek, want taxivervoer aanbieden zonder vergunning is een strafbaar feit. Maar kennelijk wel opmerkelijk omdat de taxi’s via een app zijn geboekt en de chauffeurs ook een account bij de appdienst hebben. Ik… Lees verder

Zijn vergunningsloze taxi’s echt anders wanneer je ze per app bestelt?

| AE 6569 | Innovatie | 32 reacties

Neelie Kroes is boos, meldde de NOS. De eurocommissaris vindt het belachelijk dat taxidienst Uber is verboden in Brussel. De Belgische rechter had Uber verboden haar “UberPop” dienst aan te bieden, omdat ze in strijd met de Belgische taxiwetgeving rijdt. Zo had men geen taxivergunning, toch een vrij basaal iets als je met taxi’s gaat… Lees verder