De Uber-boete: fair play van de AP?
Zes ton geldboete. Die sanctie heeft de Autoriteit Persoonsgegevens (AP) onlangs Uber in de maag gesplitst wegens een wereldwijd datalek uit het najaar van 2016. De feiten logen er niet om. Persoonsgegevens van ruim 57 miljoen klanten en chauffeurs waren betrokken bij het cybervoorval dat de oorzaak was. De data van zo’n 174.000 Uber-gebruikers in ons land waren bij het incident betrokken.
Beeld: Shutterstock
Achtergrond van het spraakmakende datalek was een zwaar benedenmaatse security. Niet ten onrechte heeft de privacywaakhond het bedrijf met de bestuurlijke boete een tik op de vingers gegeven. Het Amerikaanse moederbedrijf heeft ongeveer een jaar lang getracht het incident in de doofpot te stoppen. Pas najaar 2017 kwam Uber met informatie naar buiten. De Nederlandse boete valt overigens in het niet bij de schikking van 148 miljoen dollar die het bedrijf met de Amerikaanse autoriteiten heeft weten te treffen.
JurisPrudent
Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving op met nieuwe, lastige onzekerheden. Peter van Schelven neemt in iBestuur magazine juridische dilemma’s onder de loep. Deze keer: speelt de Autoriteit Persoonsgegevens eerlijk spel met Uber?
Niet alleen in ons land kreeg Uber een geldboete. Ook de ICO, de Engelse toezichthouder, heeft een boete van £ 385.000 opgelegd. Vergelijk je de beide boetebesluiten, dan zie je overigens grote verschillen. Daar waar de Engelse boete werd opgelegd omdat de security van Uber in de ogen van de ICO de toets der kritiek niet kon doorstaan, heeft de AP haar boete gebaseerd op schending door Uber van haar meldplichten. Pervers detail van de Engelse boete is dat bij betaling voor 2 januari 2019 en het afzien van verdere juridische stappen de ICO een korting gaf van 20 procent.
Het verschil in benadering houdt mede verband met het feit dat ten tijde van het incident – najaar 2016 – de Engelse wetgeving nog geen regeling omtrent het melden van datalekken kende. Die is er in dat land pas met de komst van de Algemene Verordening Gegevensbescherming (AVG) – per 25 mei 2018 – gekomen. In Nederland daarentegen kenden we al sinds begin 2016 in de inmiddels vervallen Wet bescherming persoonsgegevens (Wbp) een meldplicht voor – kort gezegd – ernstige datalekken. De boete voor Uber in ons land is nog geheel op de Wbp gebaseerd omdat die wet gold toen het incident plaatsvond. In het boetebesluit van de AP wordt benadrukt dat de overwegingen voor het besluit ook onder de AVG zouden opgaan. Daarom is het besluit ook nu nog interessant.
Hard in de wedstrijd
Van de Uber-zaak valt veel te leren. Onmiskenbaar is Uber fors de fout in gegaan en dat verklaart ontegenzeggelijk waarom de AP tamelijk hard in de wedstrijd zit. Bovendien heeft de AP voor de toezichthouders in de Europese lidstaten het voortouw in het onderzoek genomen en dus moest kennelijk het beste beentje worden voorgezet. De AP is er met gestrekt been ingegaan. Bestudering van het boetebesluit heeft bij mij de vraag opgeroepen of de AP op alle fronten wel eerlijk spel heeft gespeeld. Fair play? Of bedenkelijk toezicht van de AP? Ik licht mijn twijfels toe.
Met de introductie van de meldplicht voor datalekken per begin 2016 zijn er in ons land twee nieuwe spelregels gekomen. Een ernstig datalek moet bij de AP gemeld worden, maar ook bij de burgers van wie persoonsgegevens ‘op straat liggen’. Onder de AVG is dat overigens niet anders. Ook de AVG kent twee meldplichten bij datalekken, zij het elk met eigen criteria en spelregels.
Ik meen dat er forse vraagtekens geplaatst kunnen worden bij het verwijt van de AP aan het adres van Uber dat de taxibemiddelaar heeft nagelaten de betrokken klanten en chauffeurs goed over het datalek te informeren. De AP kan worden toegegeven dat het bericht dat de Amerikaanse moedermaatschappij van Uber in november 2017 – dus ongeveer één jaar na het incident – over het datalek op haar website heeft geplaatst, niet toereikend was. En ja, Uber was uiteraard veel te laat. Maar niet minder kwalijk is dat de AP na het bekend worden van het bestaan van het datalek heeft nagelaten Uber op te dragen de betrokken klanten en chauffeurs in ons land alsnog te informeren. De AP is wat dit betreft stil op haar handen blijven zitten.
Actieve opstelling
En in dat laatste zit nou net de pijn. De toezichthouder wist immers dat Uber de betrokken klanten en chauffeurs niet over het datalek had geïnformeerd, maar met die wetenschap deed zij vervolgens niets. Dat is merkwaardig en bedenkelijk. Immers de Wbp gaf de AP de bevoegdheid om van Uber te verlangen dat er alsnog een melding aan de betrokken burgers wordt gedaan, als zij – de AP – van oordeel was dat het datalek ‘waarschijnlijk nadelige gevolgen’ voor de betrokkenen kon hebben. Ook onder de AVG is eenzelfde bevoegdheid aan de toezichthouder gegeven.
De Wbp en AVG hebben die regel weliswaar als een bevoegdheid van de AP geformuleerd en dus niet als een plicht, maar van een zorgvuldig handelende toezichthouder had in deze kwestie – zo lijkt mij – mogen worden verwacht dat zij haar bevoegdheid uit de kast had getrokken. Die bevoegdheid is niet voor niets aan de AP gegeven en dat levert dus geen vrijheid-blijheid op. De AP heeft dat echter niet gedaan. Uber en – niet in de laatste plaats – de betrokken klanten en chauffeurs van Uber hadden van de toezichthouder op dit vlak dus een actieve opstelling mogen verwachten.
Ik vind het boetebesluit van de AP op dit punt schrijnend. De AP heeft het langere tijd in haar macht gehad om Uber te verplichten om de door het datalek getroffen klanten en chauffeurs alsnog te informeren, maar – om voor mij onbekende reden – heeft zij ervoor gekozen haar mond dicht te houden. Dan is het onfatsoenlijk en juridisch discutabel om, zoals de AP vervolgens heeft gedaan, de hoogte van de geldboete mede te baseren op de schending van de wettelijke meldplicht aan betrokkenen. Oneerlijk spel. Het is maar dat u weet hoe de AP de wedstrijd soms speelt.
Deze bijdrage is te vinden in iBestuur magazine 29
Wat een tendentieus stukje. Inhoudelijk slaat de schrijver de plank mis als je het mij vraagt. De meldplicht ligt volledig bij de verantwoordelijke, niet bij de AP. Uber moest binnen 72 uur na 14 november 2016 mededeling doen aan de betrokkenen. Wat de AP na 21 november 2017 wel of niet aan aanwijzingen heeft gegeven, kan uiteraard niet afdoen aan de boetewaardigheid van de overtreding (zoals de AP terecht schrijft in het boetebesluit op pagina 29-30). Als Uber zijn verantwoordelijkheid niet neemt en daarmee de wet overtreedt, waardoor betrokken het risico lopen op benadeling, is het juridisch volstrekt gerechtvaardigd en totaal niet discutabel om dat ten grondslag te leggen aan de boete.
Maar het is vooral de formulering die dit tot een tendentieus stuk maakt. ‘een boete in de maag gesplitst’, ‘de AP is er met gestrekt been ingegaan’, ‘ik vind het boetebesluit op dit punt schrijnend’, ‘onfatsoenlijk’, ‘juridisch discutabel’, ‘oneerlijk spel’. Heel jammer in een artikel in een reeks die JurisPrudent heet.