Lees meer

Meld je aan voor de nieuwsbrief
Aanmelden nieuwsbrief
Neem contact met ons op
Contact

Het was afwachten waar Autoriteit Persoonsgegevens de eerste klap zou uitdelen na het ingaan van de AVG. De klap wordt uitgedeeld aan Uber met een boete van € 600.000,- voor het te laat melden van een datalek. De lek vond plaats in 2016 waarbij wereldwijd ruim 57 miljoen gebruikers getroffen zijn. De lek werd echter een jaar te laat gemeld. Het gaat om diverse gegevens van klanten en chauffeurs, waaronder de naam, het e-mailadres en telefoonnummer.

 

Tijdig melden van datalekken

 

Een grote partij als Uber wordt aangepakt, maar hoe zit het voor u als MKB ondernemer? Voor u geldt ook een meldplicht van 72 uur bij een datalek.

 

Om een datalek tijdig te kunnen melden dient binnen uw organisatie:

 

  1. eerst bekend te zijn wat een datalek is zodat een lek gesignaleerd wordt
  2. vastgesteld te worden of de organisatie verwerkingsverantwoordelijke of verwerker is
  3. nagegaan worden of de datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In deze afweging is van belang om na te gaan wat de aard is van de gelekte persoonsgegevens en of ze gevoelig zijn. De betrokken personen kunnen bijvoorbeeld door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Denk aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteit) fraude of discriminatie, omvang van de lek.

 

De afweging of u moet melden moet u snel nemen want binnen 72 uur moet u melden aan de Autoriteit Persoonsgegevens (AP).

 

Verwerkingsverantwoordelijke of verwerker?

 

Elke ondernemer heeft afgelopen jaar een verwerkersovereenkomst in de email gehad. Een verwerker verwerkt namens de verwerkingsverantwoordelijke persoonsgegevens.

 

Bijvoorbeeld: het externe salarisadministratie kantoor (verwerker) dat namens uw kantoor (verwerkingsverantwoordelijke) de salarisadministratie voert.

 

Wanneer bij de verwerker een datalek plaatsvindt moet de verwerker dat zo spoedig mogelijk aan de verwerkingsverantwoordelijke  melden, binnen welke tijd staat in de verwerkersovereenkomst. Vervolgens moet de verwerkingsverantwoordelijke afwegen of er gemeld moet worden, en zo ja, dan moet die melding binnen 72 uur plaatsvinden.

 

Voor de duidelijkheid: als u verwerkersverantwoordelijke bent moet u melden aan het AP, niet de verwerker. De verwerker meldt de datalek aan de verwerkersverantwoordelijke.

 

Terug naar de Uber zaak

 

In de zaak van Uber is bepaald dat de Amerikaanse moedermaatschappij van Uber samen met de Nederlandse Uber verwerkingsverantwoordelijke was. Echter communiceerde de Amerikaanse moeder pas in oktober 2017 over het incident uit 2016 met de Nederlandse dochter. In november 2017 (na bespreking en publicatie op de website) heeft de Nederlandse dochter Uber melding gemaakt bij het AP.

 

Partijen hadden een verwerkersovereenkomst opgesteld waarbij de Nederlandse dochter verwerkingsverantwoordelijke was en de Amerikaanse moeder de verwerker. Het AP beoordeelt echter dat beide partijen verantwoordelijk zijn en legt de partijverhouding uit de verwerkersovereenkomst dus naast zich neer. Beide partijen namen (gezamenlijk) beslissingen met betrekking tot de vaststelling van doelen en middelen voor gegevensverwerking, vandaar dat het ook aan de Nederlandse Uber was om te melden in 2016. Het AP stelt dat ook de Nederlandse dochter op de hoogte was van het lek na het onderzoek, en dat ze dus eerder had moeten melden.

 

Terug naar uw praktijk: zorg dat datalekken binnen de organisatie worden gesignaleerd en zorg voor een concreet stappenplan; aan wie moet er intern gemeld worden, wie maakt de beslissing of de datalek ernstig genoeg is dat melding gemaakt moet worden.

 

Controleer ook uw verwerkersovereenkomsten, met de komst van de AVG zijn veel verwerkersovereenkomsten gesloten, maar er moet altijd worden nagegaan of je verwerker, mede verantwoordelijk of verantwoordelijke bent. Want neem je het verkeerd op in de overeenkomst, kan achteraf blijken dat er alsnog een meldplicht was en dat de termijn dus geschonden is.

 

Wij staan voor u klaar om uw onderneming AVG proof te maken.

 

Het besluit van het AP over Uber lezen kan ook.

 

Blog: mw. mr. S.H.A. de Kleijne

Vraag vrijblijvend een offerte aan

    Neem contact met mij op
    Liever direct contact opnemen?