Column


IT-jurist Peter van Schelven over...

Fair play bij de Uber-boete?

Een bestuurlijke boete van zes ton. De Autoriteit Persoonsgegevens (AP) heeft die sanctie onlangs opgelegd aan Uber in verband met een datalek van de taxibemiddelaar uit 2016. Wereldwijd waren de gegevens van ruim 57 miljoen personen – klanten en chauffeurs – betrokken bij het cyberincident dat het datalek veroorzaakte. In Nederland waren de data van zo’n 174.000 Uber-gebruikers in het spel. Het boetebesluit heeft in de media inmiddels volop aandacht gekregen. 

Niet alleen in Nederland kreeg Uber een boete voor haar kiezen. Gelijktijdig heeft ook de ICO, de Engelse privacytoezichthouder, een boete van 385.000 pond aan de taxibemiddelaar opgelegd. Het uitgangspunt voor beide boetes is overigens verschillend. De Engelse boete werd opgelegd omdat de security van Uber in de ogen van de ICO de toets der kritiek niet kon doorstaan. Saillant detail is dat een korting van 20 procent op de Engelse boete gegeven wordt als Uber voor 2 januari 2019 betaalt. 

In Nederland is gekozen voor een andere insteek. De AP heeft haar boete gebaseerd op schending door Uber van haar verplichting om het datalek tijdig aan de AP te melden alsook op het nalaten het datalek aan de betrokken klanten en chauffeurs te melden. 

Meldplicht datalekken 
Dit verschil in benadering houdt verband met het feit dat ten tijde van het incident – najaar 2016 – de Engelse wetgeving nog geen regeling omtrent het melden van datalekken kende. Die is er in het Verenigd Koninkrijk pas in mei 2018 met de komst van de Algemene Verordening Gegevensbescherming (AVG) gekomen. In Nederland kenden we onder onze nationale voorloper van de AVG, de Wet bescherming persoonsgegevens (Wbp), al wel een meldplicht voor datalekken. De boete voor Uber in ons land is dus ook geheel op de Wbp gebaseerd omdat die wet van kracht was toen het incident plaatsvond.
 
Het 42 pagina’s tellende boetebesluit in de Uber-kwestie maakt duidelijk dat de AP tamelijk hard in de wedstrijd zit. Dat werpt wellicht een schaduw vooruit op de handhavingspraktijken onder de AVG en mede daarom is het boetebesluit de moeite van het lezen waard. In deze column kan ik uiteraard niet het hele besluit bespreken, dus ik beperk mij daarom tot een onderdeel dat mijn wenkbrauwen stevig heeft doen fronsen.  

Voor mij is het maar zeer de vraag of de AP op alle fronten eerlijk spel met Uber heeft gespeeld. Fair play of onbehoorlijk handelen van de AP? Waar heb ik het hier precies over? Zoals bekend voorzag de Wbp in twee meldplichten bij een ernstig datalek: een meldplicht naar de AP en een afzonderlijke meldplicht naar de burgers van wie persoonsgegevens ‘op straat liggen’. Onder de AVG is dat overigens niet anders. Ook de AVG kent twee meldplichten bij datalekken, zij het elk met afzonderlijke spelregels.  

Stilzitten van AP 
Mijn bedenking tegen het boetebesluit van de AP gaat over het verwijt van de AP dat de taxibemiddelaar heeft nagelaten de betrokken klanten en chauffeurs goed over het datalek te informeren. De Amerikaanse moedermaatschappij van Uber heeft in november 2017 – dus ongeveer één jaar na het incident – een bericht erover op haar website geplaatst. Toegegeven: dat is uiteraard rijkelijk laat. Maar niet minder kwalijk is dat de AP na het bekend worden van het bestaan van het gigantische datalek heeft nagelaten Uber te gelasten de betrokken klanten en chauffeurs in ons land alsnog te informeren. De AP is wat dat betreft stil op haar handen blijven zitten. 

En in dat laatste zit nou net de pijn. De opstelling van de AP op dit punt is bedenkelijk. De toezichthouder wist immers dat Uber de betrokken klanten en chauffeurs niet over het datalek had geïnformeerd, maar met die wetenschap deed zij vervolgens niets. Dat is merkwaardig, juist ook omdat voor ogen moet worden gehouden dat de Wbp een regel bevatte die bepaalde, dat indien de AP van oordeel is dat een datalek waarschijnlijk nadelige gevolgen zal hebben voor de betrokkenen, zij kan verlangen dat er alsnog een melding aan de betrokken burgers wordt gedaan. 

Onder de vroegere Wbp was die regel weliswaar als een bevoegdheid van de AP geformuleerd, en dus niet als een plicht van de AP, maar van een zorgvuldig handelend toezichthouder mag – zo lijkt mij – wel worden verwacht dat zij die bevoegdheid in een kwestie als deze uit de kast had getrokken. Zeker nu de belangen van klanten en chauffeurs naar het oordeel van de AP door het datalek in het geding waren. Dit laatste heeft de AP niet gedaan en zo’n handelwijze strookt totaal niet met wat Uber – en niet in de laatste plaats ook de betrokken burgers –  van de toezichthouder hadden mogen verwachten. 
Besef bij dit alles dat ook onder de AVG een min of meer gelijke bevoegdheid aan de toezichthouder is gegeven. Dat onderstreept het actuele belang van het boetebesluit. 

Schrijnend besluit 
Het boetebesluit van de AP schrijnt dus op dit punt. De AP heeft het langere tijd in haar macht gehad om Uber te verplichten de betrokken klanten en chauffeurs alsnog te informeren, maar kennelijk heeft zij er wat dit betreft voor gekozen haar mond dicht te houden. Dan geeft het geen pas om, zoals de AP vervolgens heeft gedaan, de hoogte van de boete mede te baseren op de schending van de wettelijke meldplicht aan betrokkenen. Zo zijn we toch niet met elkaar getrouwd in dit land? 

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.       
     
Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over