De Autoriteit Persoonsgegevens heeft op 27 november 2018 het besluit gepubliceerd om Uber een boete van 600.000 euro op te leggen wegens het te laat melden van een datalek. Uber had een datalek ruim een jaar te laat gemeld. Het betreft een boete onder de Wbp, niet de AVG.
Datalek in 2016
Op 14 november 2016 heeft de Amerikaanse moedermaatschappij van Uber een e-mail ontvangen waarin melding werd gemaakt van een grote kwetsbaarheid. Er bleek toegang mogelijk tot de S3-opslag bij AWS, waarin back-ups werden opgeslagen. De toeganggegevens voor die S3-opslag waren bij Github opgeslagen.
De kwetsbaarheid was kennelijk vooral dat Uber-medewerkers passwords hergebruikten en dat die passwords waren uitgelekt.
Het datalek is op 15 november 2016 door de Amerikaanse moedermaatschappij van Uber verholpen, o.m. door het invoeren van tweefactorauthenticatie.
Intern onderzoek in 2017
Uber besluit ongeveer een jaar later, op 18 oktober 2017, om een forensisch expert in te schakelen. Deze constateert uiteindelijk op 10 januari 2018 dat gegevens van miljoenen personen mogelijk door het lek zijn getroffen, waaronder ongeveer 174.000 Nederlandse Uber-gebruikers.
Moeder informeert dochter ook pas in 2017
De Amerikaanse moedermaatschappij informeert de Nederlandse dochtermaatschappij op 25 oktober 2017 over het incident. Op 4 november 2017 vindt er een bespreking plaats tussen moeder- en dochtermaatschappij. Uiteindelijk publiceert de moedermaatschappij op 21 november 2017 over het lek en doet de Nederlandse dochter diezelfde dag melding van het incident bij de Autoriteit Persoonsgegevens.
Overgangssituatie van Wbp naar AVG
De AP besteedt heel veel woorden aan de overgang van de Wbp naar de AVG. In de kern is de situatie wat dit betreft m.i. echter vrij overzichtelijk: de gedragingen - het incident en het niet-melden daarvan - vonden beide plaats toen de AVG nog niet van kracht was (voor 25 mei 2018). De AP moet dan ook dan ook onderkennen dat de situatie valt onder de regels van het 'oude' recht.
De AP benadrukt echter dat de situatie onder de AVG niet anders zou zijn, zij het dat het boetemaximum dan hoger is. Verder benadrukt de AP - evenals de regering, maar anders dan menig adviseur die het laatste jaar op de de privacymarkt gedoken is - dat bij de overgang van Wbp naar AVG "van een (wezenlijke) materiële wijziging van de regelgeving (...) geen sprake" is.
De AP kijkt door verwerkersovereenkomst heen
Door de Amerikaanse moeder en de Nederlandse dochtermaatschappij was een verwerkersovereenkomst gesloten. De gedachte was kennelijk dat de Amerikaanse moeder een verwerker voor de Nederlandse dochter zou zijn voor de verwerking van gegevens van niet-Amerikanen. De Nederlandse dochter was dus verantwoordelijke.
De AP kijkt daar echter doorheen en kijkt vooral feitelijk naar welke (rechts)persoon beslissingen neemt over de verwerking van persoonsgegevens: "Op grond van deze feitelijke beoordeling, oordeelt de AP dat UTI en UBV (gezamenlijk) beslissingen nemen met betrekking tot de vaststelling van doelen en middelen voor de gegevensverwerking.
De partijverhoudingen zijn dus niet (intern) "weg te contracteren". Dat is overigens niet gek, dergelijke teksten vind je al in de memorie van toelichting bij de Wbp uit 1998.
Gezamenlijke verantwoordelijkheid
Er is volgens de AP bij Uber helemaal geen sprake van een verantwoordelijke/verwerker-relatie, maar van gezamenlijke verantwoordelijkheid voor de gegevensverwerking bij zowel moeder- als dochtermaatschappij.
De AP let hier bij Uber op de volgende omstandigheden:
- het gezamenlijk opstellen van de privacyverklaring en daarmee ook het doel van de verwerking;
- het delegeren van beslissende bevoegdheid inzake informatiebeveiliging aan de moedermaatschappij, hetgeen wordt gezien als een handeling die niet past bij de rol van 'slechts' bewerker;
- beslissende bevoegdheid over de wijze en locatie van opslag van gegevens die bij de moedermaatschappij ligt, hetgeen ook niet past bij 'slechts' een bewerker;
- de ontwikkeling en het aanbieden van de app door de moeder;
- het feit dat de moedermaatschappij initieel in 2016 het datalek heeft afgehandeld zonder de dochtermaatschappij te betrekken (hetgeen beleidsvrijheid impliceert).
Wbp toepasselijk volgens AP
De AP besteedt opvallend weinig woorden aan de toepasselijkheid van de Wbp op Uber. De AP gaat er kennelijk vanuit dat dit niet zo veel vragen oproept.
Ten aanzien van de Nederlandse dochter is dat waarschijnlijk inderdaad het geval. Daar is immers sprake van een vestiging in Nederland.
Voor de Amerikaanse moeder kan daar nog wel een boom over worden opgezet. Wellicht dat dezelfde redenering wordt gevolgd als in de zaak tegen Whatsapp. Dat is echter vooralsnog niet kenbaar duidelijk uit de beslissing. Dat is te meer interessant omdat we kennelijk spreken over een datalek op S3 servers bij AWS. Zijn dat "middelen" in Nederland?
Uber volgens de AP op de hoogte
Uber verweert zich o.m. met de stelling dat zij niet van het incident op de hoogte was. Uit het rapport kan ik niet goed opmaken of daarmee nu de NL dochter stelt dat zij niet door de USA moeder was geïnformeerd, of dat zij stelt dat nog niet helder was of er sprake was van een meldingsplichtig incident.
Als ik de redenering van de AP goed volg, lijkt de AP te stellen dat Uber in ieder geval na het onderzoek door de deskundige van het lek op de hoogte was. De moeder-dochter toerekening komt in dit onderdeel van het besluit (p. 20) niet uit de verf. Dit terwijl het Hof van Justitie juist oordeelt dat weliswaar het begrip verwerkingsverantwoordelijke ruim moet worden uitgelegd, maar dat dit wel betekent dat vervolgens moet worden gekeken welke invloed de verschillende partijen werkelijk op de verwerking hebben gehad (1, 2).
Verderop in het besluit (p. 24/25) gaat de AP hier iets nader op in. De AP stelt dat de Nederlandse dochter bij het eerste signaal van de moedermaatschappij had moeten doorvragen of er wellicht sprake was van een meldingsplichtig datalek.
Ernstig lek omdat er hackers bij betrokken waren?
De vraag is vervolgens of het lek meldingsplichtig was. De AP geeft aan dat het enkele feite dat hier sprake was van een succesvolle aanval van hackers al maakt dat het lek meldingsplichtig is. De vraag is of de AP hier niet wat al te kort door de bocht gaat. Uit de eigen vastgestelde feiten blijkt immers dat er wachtwoorden in een Gitbub respository stonden. Hergebruik van reeds uitgelekte wachtwoorden getuigt op zichzelf nu niet bepaald van hooggeavanceerd hackgedrag zou ik menen.
De AP redeneert verder dat de grote schaal waarop de gegevens zijn gelekt en het feit dat het om klanten van een onderneming gaat, de gegevens extra aantrekkelijk voor spammers en hackers maken. In die redenering zou bijna ieder incident bij een grote onderneming bijna per definitie meldingsplichtig zijn. De vraag is of we de wet zo streng moeten interpreteren.
De aard van de gegevens vind ik persoonlijk welhaast nog een sterker argument. Als ik het goed begrijp liggen o.m. het nummer van het rijbewijs, locatiegegevens en betaalgegevens dankzij het lek op straat. Dergelijke gegevens zijn eenvoudig te misbruiken en vallen zodoende al snel onder de (ondertussen oude) meldplicht uit de Wbp.
Verweer beperkte toegang wordt verworpen
Uber stelt dat in de praktijk slechts twee personen toegang hebben gehad tot de persoonsgegevens en dat er met hen nadere afspraken zijn gemaakt. Volgens Uber volgt daaruit dat er feitelijk geen risico is geweest.
De AP verwerpt dit betoog. De AP lijkt te stellen dat het enkele feit dat de bestanden toegankelijk zijn geweest al voldoende risicovol was.
Vergelijk dit echter met de woorden over risicobeoordeling in de WP29 opinie over datalekken: "Whether the controller is aware that personal data is in the hands of people whose intentions are unknown or possibly malicious can have a bearing on the level of potential risk. (...) The controller may request the recipient to either return or securely destroy the data it has received. In both cases, given that the controller has an ongoing relationship with them, and it may be aware of their procedures, history and other relevant details, the recipient may be considered “trusted”. In other words, the controller may have a level of assurance with the recipient so that it can reasonably expect that party not to read or access the data sent in error, and to comply with its instructions to return it. Even if the data has been accessed, the controller could still possibly trust the recipient not to take any further action with it and to return the data to the controller promptly and to co-operate with its recovery. In such cases, this may be factored into the risk assessment the controller carries out following the breach – the fact that the recipient is trusted may eradicate the severity of the consequences of the breach but does not mean that a breach has not occurred.".
Hier is het laatste woord naar mijn inschatting dus nog niet over gezegd. Al was het maar omdat de AP bij deze punitieve sanctie de volledige bewijslast heeft.
Ernstig verwijtbare nalatigheid
Voor een boete onder de oude Wbp moest sprake zijn van opzet of ernstig verwijtbare nalatigheid. Volgens de AP was hier bij Uber sprake van vanwege de volgende omstandigheden:
- de moedermaatschappij was reeds op 14 november 2016 op de hoogte;
- uit het snel sluiten van een deal met de melder blijkt dat de moedermaatschappij zich bewust was van de risico's;
- Uber had de wet behoren te kennen.
Het begrip "ernstig verwijtbare nalatigheid" is destijds ingevoegd bij amendement van Van Wijngaarden en Oosenburg. Zij omschrijven deze vorm van nalatigheid als "grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen". Nadere toelichting ontbreekt.
Argument 1 en 3 vind ik op het eerste gezicht niet zo sterk van de AP. Deze impliceren immers beide, op zichzelf genomen, dat ieder niet gemeld datalek al boetewaardig zou zijn. Dit terwijl de wetgever bewust de drempel van ernstig verwijtbare nalatigheid heeft geintroduceerd.
Boete van 600.000 euro
De AP past uiteindelijk de eigen boetebeleidsregels toe en komt daarbij uit op een bedrag van €818.380,--. Dit wordt uiteindelijk in een billijkheidscorrectie naar beneden afgerond tot €600.000,--
Uber kan in bezwaar en in beroep tegen het besluit. Ik verwacht dat Uber dit gaat doen. Tot die tijd wordt de verplichting om te betalen opgeschort.
Ten slotte
De AP gebruikt eindelijk de tanden die het in 2016 al heeft gekregen en bijt. De eerste Wbp-boete ligt gelijk vrij dicht tegen het toenmalige maximum van €820.000,-- aan.
Tegelijkertijd roept het besluit van de AP op enkele punten nog wel vragen op. Dat gegeven, in combinatie met de hoogte van de boete, betekent ongetwijfeld dat de kwestie tot aan de hoogste rechter uitgeprocedeerd zal worden. Een goede ontwikkeling voor het privacyrecht.
Heeft u zelf vragen over juiste toepassing van het privacyrecht? Neem dan contact op.
