De Autoriteit Persoonsgegevens beboet Uber voor datalek

De Autoriteit Persoonsgegevens heeft vorige maand Uber een boete van 600.000 euro opgelegd. In dit artikel leggen wij uit hoe de AP tot dit bedrag gekomen is, en wat Uber gedaan heeft om het te verdienen.

Op 6 november 2018 ontving het bedrijf Uber een brief van 42 pagina’s, die als volgt begon:

Opening van de brief aan Uber

De Autoriteit Persoonsgegevens besloten dat Uber incorrect gehandeld heeft toen deze er twee jaar geleden achter kwam gehackt te zijn. Uber had de AP en betrokken personen binnen 72 uur op de hoogte moeten stellen van het datalek, maar deed dit pas een jaar later. Het volledige boetebesluit (42 pagina’s) is te lezen op de website van de AP.

Wat ging er mis?

Uber, officieel Uber Technologies, Inc. (UTI), is een van origine Amerikaans bedrijf met in Nederland de dochteronderneming Uber B.V. (UBV). Aangezien Uber als bedrijf wereldwijd persoonsgegevens verwerkt van zowel haar bestuurders als klanten, hebben UTI en UBV eind mei 2016 een bewerkersovereenkomst afgesloten (de bewerkersovereenkomst is de voorloper van de huidige verwerkersovereenkomst). Deze datum is van belang, omdat de twee jaar ingangstijd van de AVG toen net begonnen was. Uber zag aankomen dat de AVG invloed zou gaan hebben op haar internationele gegevensverwerking, en heeft daarom de overeenkomst gesloten met UBV als de verantwoordelijke partij voor persoonsgegevensverwerking van Europese inwoners. UTI maakte zichzelf daarmee de bewerker, en Amazon Web Services dankzij de dataopslag een sub-bewerker.

In november kreeg UTI een melding van een anonieme partij dat deze al ruim een maand toegang hadden tot de volledige database van Uber. De “hackers” hebben toegang kunnen krijgen door inloggegevens van Uber’s AWS uit een private GitHub verzameling te halen. Het gevolg: persoonsgegevens van ruim 57 miljoen Uber gebruikers, waaronder 170.000 Nederlanders, waren gedownload door een derde partij. Pas elf maanden later is UBV op de hoogte geraakt van de situatie, waarna UTI een week later in overleg toegaf dat er ook echt een datalek was. Drie weken later, eind november 2017, heeft UTI pas een nieuwsbericht uitgebracht en heeft UBV een datalek melding gedaan bij de Autoriteit Persoonsgegevens.

Waar is de boete op gebaseerd?

De wettelijke eis is dat als een mogelijk datalek opgemerkt wordt door de bewerker, is dat deze de verantwoordelijke zo snel mogelijk inlicht. Het is dan aan de verantwoordelijke om het resterende stuk van de 72 uur te oordelen of er ook daadwerkelijk een datalek is dat gemeld moet worden, en dit zo nodig ook doen. UTI zou in dit scenario de bewerker / verwerker zijn die de verantwoordelijke (UBV) veel te laat op de hoogte gesteld heeft. UBV zou daarna pas veel te laat een melding bij de AP gedaan hebben, en de betrokkenen niet ingelicht hebben.

De Autoriteit Persoonsgegevens ziet de situatie echter anders. Uber is één bedrijf, en het hoofdconcern UTI bepaalt samen met UBV de doelen en middelen voor de verwerking. UBV is nog steeds verantwoordelijke, maar UTI eigenlijk ook. UTI en UBV zijn gezamenlijke verantwoordelijken. Dit zet de situatie in een heel ander daglicht. UTI is namelijk al in 2016 op de hoogte van het datalek, en heeft dit niet gemeld aan de betrokken toezichthouders en personen.

Uber brengt meerdere argumenten voor de bewerker – verantwoordelijke verhouding tussen UTI en UBV, maar de AP is het daar niet mee eens. UTI heeft zowel voor als na het datalek als verantwoordelijke gehandeld, en UBV bij het afhandelen van het datalek zo goed als buiten beschouwing gelaten. De laatste nagel in de doodskist van Uber is het feit dat zij, ondanks te beweren dat het datalek niet ernstig genoeg was om te melden, de “hackers” een beloning hebben gegeven van 100.000 dollar. In een Amerikaanse zitting heeft Uber ook bekend dat de betaalde ton als een soort losgeld voor de data werd gezien. Dit alles leidde bij de Autoriteit Persoonsgegevens tot het volgende:

De conclusie van de AP

Omdat het voorval voor het van kracht worden van de AVG plaatsgevonden heeft, valt de zaak nog onder de Wet Bescherming Persoonsgegevens en de Meldplicht Datalekken. De Autoriteit kwam door de overtreding van WBP Artikel 34(a) eerste een tweede lid, het verzaken te melden van datalek aan de toezichthouder en betrokkenen, tot een boetebedrag van 818.000 euro. Omdat er een overlapping zit in de overtredingen en de zaak groot in de media is gekomen, heeft de AP de boete uiteindelijk bijgesteld naar 600.000.

Wat valt hier uit te leren?

Uit dit voorval zijn hoofdzakelijk twee dingen te leren: Datalekken met een ernstige impact moeten gemeld worden, en constructies tussen verantwoordelijke en be/verwerker moeten logisch zijn en nageleefd worden.

De Autoriteit Persoonsgegevens nam flinke aanstoot aan het feit dat Uber een jaar lang heeft gewacht met het melden van het datalek, en zelfs zei dit vrijwillig gedaan te hebben. Los van dit feit zou, bij de volgens Uber geldige constructie van verantwoordelijke en bewerker, Uber alsnog ruim te laat met het doen van de melding zijn geweest.

Tot slot: het datalek heeft dus plaatsgevonden voordat de AVG van kracht was. De AP heeft in haar oordeel de wetgeving die tijdens het voorval gelde aangehouden, en niet de AVG die op dat moment al in de twee jaar durende introductiefase zat. Wel is rekening gehouden met het feit dat de overtreding zowel onder de WBP met het meldplicht datalekken als de AVG strafbaar is. Het loopt voor Uber in Nederland met een sisser af.

Als u meer wilt weten over de AVG, dan bent u van harte welkom bij onze AVG basiscursus. Deze training loopt stapsgewijs door de belangrijkste onderdelen van de AVG en wordt een paar keer per jaar gegeven.

Discussie

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL.  Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging.

Image credit @purzlbaum via Unsplash