Loud - Juridisch Advies & Mediation
09-10-2019 | AVG
Lees meer
Het was afwachten waar Autoriteit Persoonsgegevens de eerste klap zou uitdelen na het ingaan van de AVG. De klap wordt uitgedeeld aan Uber met een boete van € 600.000,- voor het te laat melden van een datalek. De lek vond plaats in 2016 waarbij wereldwijd ruim 57 miljoen gebruikers getroffen zijn. De lek werd echter een jaar te laat gemeld. Het gaat om diverse gegevens van klanten en chauffeurs, waaronder de naam, het e-mailadres en telefoonnummer.
Een grote partij als Uber wordt aangepakt, maar hoe zit het voor u als MKB ondernemer? Voor u geldt ook een meldplicht van 72 uur bij een datalek.
Om een datalek tijdig te kunnen melden dient binnen uw organisatie:
De afweging of u moet melden moet u snel nemen want binnen 72 uur moet u melden aan de Autoriteit Persoonsgegevens (AP).
Elke ondernemer heeft afgelopen jaar een verwerkersovereenkomst in de email gehad. Een verwerker verwerkt namens de verwerkingsverantwoordelijke persoonsgegevens.
Bijvoorbeeld: het externe salarisadministratie kantoor (verwerker) dat namens uw kantoor (verwerkingsverantwoordelijke) de salarisadministratie voert.
Wanneer bij de verwerker een datalek plaatsvindt moet de verwerker dat zo spoedig mogelijk aan de verwerkingsverantwoordelijke melden, binnen welke tijd staat in de verwerkersovereenkomst. Vervolgens moet de verwerkingsverantwoordelijke afwegen of er gemeld moet worden, en zo ja, dan moet die melding binnen 72 uur plaatsvinden.
Voor de duidelijkheid: als u verwerkersverantwoordelijke bent moet u melden aan het AP, niet de verwerker. De verwerker meldt de datalek aan de verwerkersverantwoordelijke.
In de zaak van Uber is bepaald dat de Amerikaanse moedermaatschappij van Uber samen met de Nederlandse Uber verwerkingsverantwoordelijke was. Echter communiceerde de Amerikaanse moeder pas in oktober 2017 over het incident uit 2016 met de Nederlandse dochter. In november 2017 (na bespreking en publicatie op de website) heeft de Nederlandse dochter Uber melding gemaakt bij het AP.
Partijen hadden een verwerkersovereenkomst opgesteld waarbij de Nederlandse dochter verwerkingsverantwoordelijke was en de Amerikaanse moeder de verwerker. Het AP beoordeelt echter dat beide partijen verantwoordelijk zijn en legt de partijverhouding uit de verwerkersovereenkomst dus naast zich neer. Beide partijen namen (gezamenlijk) beslissingen met betrekking tot de vaststelling van doelen en middelen voor gegevensverwerking, vandaar dat het ook aan de Nederlandse Uber was om te melden in 2016. Het AP stelt dat ook de Nederlandse dochter op de hoogte was van het lek na het onderzoek, en dat ze dus eerder had moeten melden.
Terug naar uw praktijk: zorg dat datalekken binnen de organisatie worden gesignaleerd en zorg voor een concreet stappenplan; aan wie moet er intern gemeld worden, wie maakt de beslissing of de datalek ernstig genoeg is dat melding gemaakt moet worden.
Controleer ook uw verwerkersovereenkomsten, met de komst van de AVG zijn veel verwerkersovereenkomsten gesloten, maar er moet altijd worden nagegaan of je verwerker, mede verantwoordelijk of verantwoordelijke bent. Want neem je het verkeerd op in de overeenkomst, kan achteraf blijken dat er alsnog een meldplicht was en dat de termijn dus geschonden is.
Wij staan voor u klaar om uw onderneming AVG proof te maken.
Het besluit van het AP over Uber lezen kan ook.
Blog: mw. mr. S.H.A. de Kleijne
Arbeidsrecht en sociale zekerheid
Overeenkomstenrecht
