Meldplicht datalekken en de Uber-uitspraak: consequenties voor verwerkers

Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,- voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.

Wat was er aan de hand?

Uber Technologies Inc. (UTI), onderdeel van het Uber concern heeft op 14 November 2016 van (waarschijnlijk) een hacker vernomen dat zij bij een grote hoeveelheid data van Uber konden die op de back up servers stonden. UTI heeft deze hacker een flinke afkoopsom betaald, heeft een uitgebreid forensisch onderzoek gestart en allerlei stappen ondernomen om de beveiliging te verbeteren. UTI had een verwerkersovereenkomst met Uber BV in Nederland (UBV). Ongeveer een jaar later, namelijk op 25 oktober 2017 heeft UTI als verwerker dit datalek aan UBV als verantwoordelijke gemeld. UBV heeft dit datalek een maand later, op 21 november, gemeld bij de AP. UTI en UBV krijgen een gezamenlijke boete van 6 ton voor het te laat melden van dit datalek. De AP concludeert niet alleen dat de melding niet onverwijld is gedaan, maar ook dat UBV en UTI geen verwerker-verantwoordelijke relatie hebben, maar gezamenlijk verantwoordelijke zijn en dus gezamenlijk de boete krijgen.

Wat staat er in de wet?

In Nederland hadden we sinds 2016 de wet datalekken, als onderdeel van de Wbp. Die wet liep in feite vooruit op de Avg, die sinds mei 2018 geldt. De wetteksten zijn niet helemaal hetzelfde, maar lijken wel op elkaar. In de Wbp staat bijvoorbeeld dat datalekken onverwijld gemeld moeten worden bij de AP. Volgens de toenmalige beleidsregels van de AP betekende ‘onverwijld’: zo mogelijk binnen 72 uur na het moment dat het datalek (door de verwerker) was ontdekt. In de Avg is het meer getrapt. De verwerker moet ‘zonder onredelijke vertraging’ melden aan de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke dient vervolgens te melden aan de AP zonder onredelijke vertraging, en indien mogelijk uiterlijk binnen 72 uur nadat verantwoordelijke hiervan kennis heeft genomen. Ook de definitie van ‘datalek’ en de omschrijving van in welke gevallen je moet melden zijn een beetje anders. De AP concludeert zelf in de Uber-uitspraak dat er geen sprake is van een wezenlijke materiële wijziging van de regelgeving.

Welke conclusies trekt de AP in haar boetebesluit?

De AP concludeert dat er inderdaad sprake was van een datalek dat gemeld moest worden. Ook concludeert de AP dat die melding niet onverwijld gedaan is. De melding is immers 371 dagen na ontdekking gedaan, en dat kun je niet meer onverwijld noemen. Alhoewel er van alles valt af te dingen op de motivatie is de eindconclusie wel begrijpelijk. 371 dagen is niet ‘onverwijld’, of in de nieuwe terminologie niet ‘zonder onredelijke vertraging’. De meest opmerkelijke conclusie is echter dat UTI geen verwerker zou zijn voor UBV, maar dat beiden gezamenlijk verantwoordelijke zijn. De AP besteedt hier bijna acht pagina’s tekst aan. Waarom de AP hier zo veel aandacht aan besteedt is niet duidelijk. Ook zonder deze uitweiding had de AP een boete aan Uber in Nederland kunnen opleggen. De acht pagina’s motivatie hebben wel tot gevolg dat de scheidslijn tussen een verwerker en een verwerkingsverantwoordelijke nog grijzer is geworden. Dat lijkt mij voor de praktijk een lastige.

Waarom concludeert de AP dat UTI gezamenlijk verantwoordelijke is en geen verwerker?

De wet zegt dat de verantwoordelijke degene is die doel en middelen van de verwerking vaststelt. Alhoewel er een verwerkersovereenkomst was, waarbij formeel-juridisch de zeggenschap bij UBV lag, is dat volgens de AP niet per definitie doorslaggevend voor de vraag of UBV (alleen) verantwoordelijke is. Er moet gekeken worden naar waar de feitelijke invloed ligt. Daarbij kijkt de AP naar vier criteria:

  1. Wordt het doel van de verwerking gezamenlijk vastgesteld?
  2. Wie stelt het informatiebeveiligingsbeleid vast?
  3. Wie beslist over de opslag van gegeven?
  4. Wie ontwikkelt en biedt de Uber-app aan en verzorgt de updates?

Het eerste criterium gaat over het doel. Uber heeft een wereldwijd privacybeleid dat overal gelijk is. In dit geval hebben UBV en UTI verklaard dat de privacyverklaring gezamenlijk is opgesteld. De andere drie criteria betreffen vaststelling van de middelen. En daar wordt het lastig. De AP zegt – samengevat – dat naast het doel UTI ook (mede) de middelen vaststelt voor de verwerking. Iemand die louter de middelen vaststelt, kan verantwoordelijke zijn. Het moet dan gaan om de wezenlijke aspecten van de middelen. Het Uber-concern heeft een wereldwijd beveiligingsbeleid dat wordt vastgesteld door UTI. De AP concludeert dat UTI verantwoordelijk is voor alle aspecten van de beveiliging. Het gaat hier volgens het AP niet alleen om technische of organisatorische zaken die op zich aan een verwerker zouden kunnen worden gedelegeerd. Maar wat nu als je voor UTI in de tekst zou lezen: ‘een willekeurige SaaS-leverancier’. Een (goede) SaaS-leverancier stelt natuurlijk zelf een uitgebreid beveiligingsbeleid op en bepaalt hoe zijn product of dienst wordt beveiligd. Hij beslist ook zelf waar zijn software wordt gehost, en waar de back up wordt gemaakt en opgeslagen. Ook beslist hij welke nieuwe functionaliteit er ontwikkeld wordt en wanneer updates worden uitgeleverd. Hij geeft dus invulling aan de punten 2, 3 en 4 hierboven. Wanneer zijn dit nu wezenlijke aspecten? Daarin geeft de AP geen enkele guidance. De AP lijkt ook te suggereren dat de zelfstandige werkwijze van UTI waarmee het datalek is afgehandeld een teken is dat zij verantwoordelijke is. Maar zou een SaaS-leverancier die met een hack te maken krijgt niet zelf (ook) uitgebreid forensisch onderzoek doen naar dat lek, eventueel onderhandelen met de hackers en actie ondernemen om het lek zo snel mogelijk te stoppen en de beveiliging te verbeteren? In een rapport van bevindingen uit 2014 concludeert het CBP (= oude naam van AP) immers dat een verwerker een zelfstandige beveiligingsplicht heeft, ook als de klanten daar niet op zitten te wachten. Het is nog begrijpelijk dat het gezamenlijk vaststellen van de doelen van de verwerking ertoe leidt dat UTI in dit geval waarschijnlijk (gezamenlijk) verantwoordelijke wordt. Er is ook nog iets voor te zeggen dat, omdat beide partijen onderdeel zijn van hetzelfde concern, dit een aanwijzing kan zijn dat er wellicht een gezamenlijke verantwoordelijkheid is. Maar de uitgebreide nadruk op wie de middelen bepaalt, leidt ertoe dat de vraag of een SaaS-leverancier misschien gezamenlijk verantwoordelijke is veel moeilijker te beantwoorden wordt. Helaas heeft de AP de scheidslijn met deze uitspraak waziger gemaakt in plaats van scherper.


Deel via:

Het laatste nieuws

Denemarken neemt EU-voorzitterschap over en zet in op digitale weerbaarheid

NLdigital zet in dit artikel de digitale prioriteiten van het Deense voorzitterschap uiteen en deelt in een volgend artikel onze analyse. 
Politiek & wetgeving

Cyberbeveiligingswet (NIS2) naar Tweede Kamer verzonden, inwerkingtreding in 2026 

De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, is ingediend bij de Tweede Kamer. Door de val van het kabinet en het zomerreces is de oorspronkelijke planning voor inwerkingtreding in 2025 onhaalbaar geworden. De wet kan mogelijk pas in de eerste helft van 2026 in werking treden, afhankelijk van politieke ontwikkelingen en de behandeling in het parlement.
Cybersecurity

Val kabinet-Schoof zorgt voor onzekerheid over digitaliserings-beleid

De val van kabinet-Schoof en het vertrek van de PVV-bewindspersonen zorgen voor grote onzekerheid over het digitaliseringsbeleid. Voor NLdigital en haar leden staan belangrijke dossiers op het spel, zoals de Nederlandse Digitaliseringsstrategie, AI in de zorg, het Ondernemerspact en de implementatie van NIS2. De samenwerking met ministeries komt onder druk te staan, en het is onduidelijk welke trajecten kunnen doorgaan. NLdigital roept de politiek op om koers te houden en digitalisering niet stil te laten vallen in deze demissionaire fase. Leden worden via de website en netwerken op de hoogte gehouden.
Politiek & wetgeving

Samen maken we digitalisering toekomstbestendig en mens-gericht

Phaedra Kortekaas, Managing Director bij SAS en bestuurslid van NLdigital, zet zich in voor een mensgerichte en toekomstbestendige digitalisering van de overheid. Ze benadrukt het belang van data, AI en publiek-private samenwerking om maatschappelijke opgaven aan te pakken. Voor SAS is het lidmaatschap van NLdigital waardevol vanwege kennisdeling, beleidsbeïnvloeding en toegang tot een sterk netwerk binnen de digitale sector.
Samenwerken met de overheid

De NAVO-top in Den Haag: Een cybersecurity uitdaging voor heel Nederland 

DDoS-aanvallen, phishing-pogingen gericht op IT-beheerders en op openbaar vervoer apps. Het zijn de zaken die je normaal ook ziet, maar tijdens de NAVO-top alles tegelijk en in hogere volumes.
Cybersecurity