Meldplicht datalekken en de Uber-uitspraak: consequenties voor verwerkers

Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,- voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.

Wat was er aan de hand?

Uber Technologies Inc. (UTI), onderdeel van het Uber concern heeft op 14 November 2016 van (waarschijnlijk) een hacker vernomen dat zij bij een grote hoeveelheid data van Uber konden die op de back up servers stonden. UTI heeft deze hacker een flinke afkoopsom betaald, heeft een uitgebreid forensisch onderzoek gestart en allerlei stappen ondernomen om de beveiliging te verbeteren. UTI had een verwerkersovereenkomst met Uber BV in Nederland (UBV). Ongeveer een jaar later, namelijk op 25 oktober 2017 heeft UTI als verwerker dit datalek aan UBV als verantwoordelijke gemeld. UBV heeft dit datalek een maand later, op 21 november, gemeld bij de AP. UTI en UBV krijgen een gezamenlijke boete van 6 ton voor het te laat melden van dit datalek. De AP concludeert niet alleen dat de melding niet onverwijld is gedaan, maar ook dat UBV en UTI geen verwerker-verantwoordelijke relatie hebben, maar gezamenlijk verantwoordelijke zijn en dus gezamenlijk de boete krijgen.

Wat staat er in de wet?

In Nederland hadden we sinds 2016 de wet datalekken, als onderdeel van de Wbp. Die wet liep in feite vooruit op de Avg, die sinds mei 2018 geldt. De wetteksten zijn niet helemaal hetzelfde, maar lijken wel op elkaar. In de Wbp staat bijvoorbeeld dat datalekken onverwijld gemeld moeten worden bij de AP. Volgens de toenmalige beleidsregels van de AP betekende ‘onverwijld’: zo mogelijk binnen 72 uur na het moment dat het datalek (door de verwerker) was ontdekt. In de Avg is het meer getrapt. De verwerker moet ‘zonder onredelijke vertraging’ melden aan de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke dient vervolgens te melden aan de AP zonder onredelijke vertraging, en indien mogelijk uiterlijk binnen 72 uur nadat verantwoordelijke hiervan kennis heeft genomen. Ook de definitie van ‘datalek’ en de omschrijving van in welke gevallen je moet melden zijn een beetje anders. De AP concludeert zelf in de Uber-uitspraak dat er geen sprake is van een wezenlijke materiële wijziging van de regelgeving.

Welke conclusies trekt de AP in haar boetebesluit?

De AP concludeert dat er inderdaad sprake was van een datalek dat gemeld moest worden. Ook concludeert de AP dat die melding niet onverwijld gedaan is. De melding is immers 371 dagen na ontdekking gedaan, en dat kun je niet meer onverwijld noemen. Alhoewel er van alles valt af te dingen op de motivatie is de eindconclusie wel begrijpelijk. 371 dagen is niet ‘onverwijld’, of in de nieuwe terminologie niet ‘zonder onredelijke vertraging’. De meest opmerkelijke conclusie is echter dat UTI geen verwerker zou zijn voor UBV, maar dat beiden gezamenlijk verantwoordelijke zijn. De AP besteedt hier bijna acht pagina’s tekst aan. Waarom de AP hier zo veel aandacht aan besteedt is niet duidelijk. Ook zonder deze uitweiding had de AP een boete aan Uber in Nederland kunnen opleggen. De acht pagina’s motivatie hebben wel tot gevolg dat de scheidslijn tussen een verwerker en een verwerkingsverantwoordelijke nog grijzer is geworden. Dat lijkt mij voor de praktijk een lastige.

Waarom concludeert de AP dat UTI gezamenlijk verantwoordelijke is en geen verwerker?

De wet zegt dat de verantwoordelijke degene is die doel en middelen van de verwerking vaststelt. Alhoewel er een verwerkersovereenkomst was, waarbij formeel-juridisch de zeggenschap bij UBV lag, is dat volgens de AP niet per definitie doorslaggevend voor de vraag of UBV (alleen) verantwoordelijke is. Er moet gekeken worden naar waar de feitelijke invloed ligt. Daarbij kijkt de AP naar vier criteria:

  1. Wordt het doel van de verwerking gezamenlijk vastgesteld?
  2. Wie stelt het informatiebeveiligingsbeleid vast?
  3. Wie beslist over de opslag van gegeven?
  4. Wie ontwikkelt en biedt de Uber-app aan en verzorgt de updates?

Het eerste criterium gaat over het doel. Uber heeft een wereldwijd privacybeleid dat overal gelijk is. In dit geval hebben UBV en UTI verklaard dat de privacyverklaring gezamenlijk is opgesteld. De andere drie criteria betreffen vaststelling van de middelen. En daar wordt het lastig. De AP zegt – samengevat – dat naast het doel UTI ook (mede) de middelen vaststelt voor de verwerking. Iemand die louter de middelen vaststelt, kan verantwoordelijke zijn. Het moet dan gaan om de wezenlijke aspecten van de middelen. Het Uber-concern heeft een wereldwijd beveiligingsbeleid dat wordt vastgesteld door UTI. De AP concludeert dat UTI verantwoordelijk is voor alle aspecten van de beveiliging. Het gaat hier volgens het AP niet alleen om technische of organisatorische zaken die op zich aan een verwerker zouden kunnen worden gedelegeerd. Maar wat nu als je voor UTI in de tekst zou lezen: ‘een willekeurige SaaS-leverancier’. Een (goede) SaaS-leverancier stelt natuurlijk zelf een uitgebreid beveiligingsbeleid op en bepaalt hoe zijn product of dienst wordt beveiligd. Hij beslist ook zelf waar zijn software wordt gehost, en waar de back up wordt gemaakt en opgeslagen. Ook beslist hij welke nieuwe functionaliteit er ontwikkeld wordt en wanneer updates worden uitgeleverd. Hij geeft dus invulling aan de punten 2, 3 en 4 hierboven. Wanneer zijn dit nu wezenlijke aspecten? Daarin geeft de AP geen enkele guidance. De AP lijkt ook te suggereren dat de zelfstandige werkwijze van UTI waarmee het datalek is afgehandeld een teken is dat zij verantwoordelijke is. Maar zou een SaaS-leverancier die met een hack te maken krijgt niet zelf (ook) uitgebreid forensisch onderzoek doen naar dat lek, eventueel onderhandelen met de hackers en actie ondernemen om het lek zo snel mogelijk te stoppen en de beveiliging te verbeteren? In een rapport van bevindingen uit 2014 concludeert het CBP (= oude naam van AP) immers dat een verwerker een zelfstandige beveiligingsplicht heeft, ook als de klanten daar niet op zitten te wachten. Het is nog begrijpelijk dat het gezamenlijk vaststellen van de doelen van de verwerking ertoe leidt dat UTI in dit geval waarschijnlijk (gezamenlijk) verantwoordelijke wordt. Er is ook nog iets voor te zeggen dat, omdat beide partijen onderdeel zijn van hetzelfde concern, dit een aanwijzing kan zijn dat er wellicht een gezamenlijke verantwoordelijkheid is. Maar de uitgebreide nadruk op wie de middelen bepaalt, leidt ertoe dat de vraag of een SaaS-leverancier misschien gezamenlijk verantwoordelijke is veel moeilijker te beantwoorden wordt. Helaas heeft de AP de scheidslijn met deze uitspraak waziger gemaakt in plaats van scherper.


Deel via:

Het laaste nieuws

Rapport: ICT Markttoets Content Services Platform voor BZK

Eind februari organiseerde NLdigital een ICT Markttoets over een nieuw Content Services Platform (CSP). Dit in opdracht van het ministerie van BZK voor het programma Beter Samen Werken. Het rapport is vanaf nu beschikbaar.
Samenwerken met de overheid

Noodkreet bedrijfsleven en kennisorganisaties: sloop van innovatieklimaat dreigt

Het innovatie- en ondernemersklimaat staat onder druk in Nederland. Dit stelt een grote groep van bedrijven en kennisorganisaties. Zij uiten hun zorgen over de innovatiekracht en het verdienvermogen van Nederland in een brandbrief.
Politiek & wetgeving

Implementatie NIS2-richtlijn uitgesteld: dit betekent het voor jou

De Nederlandse overheid is niet op tijd klaar met de implementatie van de NIS2-richtlijn. Benieuwd wat dit voor jouw bedrijf betekent?
Cybersecurity

Denk mee over een Content Services Platform voor BZK

Op donderdag 29 februari van 13.00 tot 17.00 uur organiseert NLdigital namens het programma Beter Samen Werken voor het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties een ICT Markttoets over een nieuw Content Services Platform (CSP). 
Samenwerken met de overheid

De sterke positie van onze digitale infrastructuur vraagt om blijvende aandacht

Nederland heeft een digitale infrastructuur waar we trots op mogen zijn. Maar deze toppositie staat ook onder druk. Zo blijkt uit de Staat van de Digitale Infrastructuur die minister van Economische Zaken en Klimaat Micky Adriaansens vandaag naar de Tweede Kamer heeft gestuurd.