10 januari 2019

Meldplicht datalekken en de Uber-uitspraak: consequenties voor verwerkers

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, HELPDESK JURIDISCH, VERTROUWEN

Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,- voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.

Wat was er aan de hand?

Uber Technologies Inc. (UTI), onderdeel van het Uber concern heeft op 14 November 2016 van (waarschijnlijk) een hacker vernomen dat zij bij een grote hoeveelheid data van Uber konden die op de back up servers stonden. UTI heeft deze hacker een flinke afkoopsom betaald, heeft een uitgebreid forensisch onderzoek gestart en allerlei stappen ondernomen om de beveiliging te verbeteren. UTI had een verwerkersovereenkomst met Uber BV in Nederland (UBV). Ongeveer een jaar later, namelijk op 25 oktober 2017 heeft UTI als verwerker dit datalek aan UBV als verantwoordelijke gemeld. UBV heeft dit datalek een maand later, op 21 november, gemeld bij de AP. UTI en UBV krijgen een gezamenlijke boete van 6 ton voor het te laat melden van dit datalek. De AP concludeert niet alleen dat de melding niet onverwijld is gedaan, maar ook dat UBV en UTI geen verwerker-verantwoordelijke relatie hebben, maar gezamenlijk verantwoordelijke zijn en dus gezamenlijk de boete krijgen.

Wat staat er in de wet?

In Nederland hadden we sinds 2016 de wet datalekken, als onderdeel van de Wbp. Die wet liep in feite vooruit op de Avg, die sinds mei 2018 geldt. De wetteksten zijn niet helemaal hetzelfde, maar lijken wel op elkaar. In de Wbp staat bijvoorbeeld dat datalekken onverwijld gemeld moeten worden bij de AP. Volgens de toenmalige beleidsregels van de AP betekende ‘onverwijld’: zo mogelijk binnen 72 uur na het moment dat het datalek (door de verwerker) was ontdekt. In de Avg is het meer getrapt. De verwerker moet ‘zonder onredelijke vertraging’ melden aan de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke dient vervolgens te melden aan de AP zonder onredelijke vertraging, en indien mogelijk uiterlijk binnen 72 uur nadat verantwoordelijke hiervan kennis heeft genomen. Ook de definitie van ‘datalek’ en de omschrijving van in welke gevallen je moet melden zijn een beetje anders. De AP concludeert zelf in de Uber-uitspraak dat er geen sprake is van een wezenlijke materiële wijziging van de regelgeving.

Welke conclusies trekt de AP in haar boetebesluit?

De AP concludeert dat er inderdaad sprake was van een datalek dat gemeld moest worden. Ook concludeert de AP dat die melding niet onverwijld gedaan is. De melding is immers 371 dagen na ontdekking gedaan, en dat kun je niet meer onverwijld noemen. Alhoewel er van alles valt af te dingen op de motivatie is de eindconclusie wel begrijpelijk. 371 dagen is niet ‘onverwijld’, of in de nieuwe terminologie niet ‘zonder onredelijke vertraging’. De meest opmerkelijke conclusie is echter dat UTI geen verwerker zou zijn voor UBV, maar dat beiden gezamenlijk verantwoordelijke zijn. De AP besteedt hier bijna acht pagina’s tekst aan. Waarom de AP hier zo veel aandacht aan besteedt is niet duidelijk. Ook zonder deze uitweiding had de AP een boete aan Uber in Nederland kunnen opleggen. De acht pagina’s motivatie hebben wel tot gevolg dat de scheidslijn tussen een verwerker en een verwerkingsverantwoordelijke nog grijzer is geworden. Dat lijkt mij voor de praktijk een lastige.

Waarom concludeert de AP dat UTI gezamenlijk verantwoordelijke is en geen verwerker?

De wet zegt dat de verantwoordelijke degene is die doel en middelen van de verwerking vaststelt. Alhoewel er een verwerkersovereenkomst was, waarbij formeel-juridisch de zeggenschap bij UBV lag, is dat volgens de AP niet per definitie doorslaggevend voor de vraag of UBV (alleen) verantwoordelijke is. Er moet gekeken worden naar waar de feitelijke invloed ligt. Daarbij kijkt de AP naar vier criteria:

  1. Wordt het doel van de verwerking gezamenlijk vastgesteld?
  2. Wie stelt het informatiebeveiligingsbeleid vast?
  3. Wie beslist over de opslag van gegeven?
  4. Wie ontwikkelt en biedt de Uber-app aan en verzorgt de updates?

Het eerste criterium gaat over het doel. Uber heeft een wereldwijd privacybeleid dat overal gelijk is. In dit geval hebben UBV en UTI verklaard dat de privacyverklaring gezamenlijk is opgesteld.

De andere drie criteria betreffen vaststelling van de middelen. En daar wordt het lastig. De AP zegt – samengevat – dat naast het doel UTI ook (mede) de middelen vaststelt voor de verwerking. Iemand die louter de middelen vaststelt, kan verantwoordelijke zijn. Het moet dan gaan om de wezenlijke aspecten van de middelen. Het Uber-concern heeft een wereldwijd beveiligingsbeleid dat wordt vastgesteld door UTI. De AP concludeert dat UTI verantwoordelijk is voor alle aspecten van de beveiliging. Het gaat hier volgens het AP niet alleen om technische of organisatorische zaken die op zich aan een verwerker zouden kunnen worden gedelegeerd.

Maar wat nu als je voor UTI in de tekst zou lezen: ‘een willekeurige SaaS-leverancier’. Een (goede) SaaS-leverancier stelt natuurlijk zelf een uitgebreid beveiligingsbeleid op en bepaalt hoe zijn product of dienst wordt beveiligd. Hij beslist ook zelf waar zijn software wordt gehost, en waar de back up wordt gemaakt en opgeslagen. Ook beslist hij welke nieuwe functionaliteit er ontwikkeld wordt en wanneer updates worden uitgeleverd. Hij geeft dus invulling aan de punten 2, 3 en 4 hierboven. Wanneer zijn dit nu wezenlijke aspecten? Daarin geeft de AP geen enkele guidance.

De AP lijkt ook te suggereren dat de zelfstandige werkwijze van UTI waarmee het datalek is afgehandeld een teken is dat zij verantwoordelijke is. Maar zou een SaaS-leverancier die met een hack te maken krijgt niet zelf (ook) uitgebreid forensisch onderzoek doen naar dat lek, eventueel onderhandelen met de hackers en actie ondernemen om het lek zo snel mogelijk te stoppen en de beveiliging te verbeteren? In een rapport van bevindingen uit 2014 concludeert het CBP (= oude naam van AP) immers dat een verwerker een zelfstandige beveiligingsplicht heeft, ook als de klanten daar niet op zitten te wachten.

Het is nog begrijpelijk dat het gezamenlijk vaststellen van de doelen van de verwerking ertoe leidt dat UTI in dit geval waarschijnlijk (gezamenlijk) verantwoordelijke wordt. Er is ook nog iets voor te zeggen dat, omdat beide partijen onderdeel zijn van hetzelfde concern, dit een aanwijzing kan zijn dat er wellicht een gezamenlijke verantwoordelijkheid is. Maar de uitgebreide nadruk op wie de middelen bepaalt, leidt ertoe dat de vraag of een SaaS-leverancier misschien gezamenlijk verantwoordelijke is veel moeilijker te beantwoorden wordt. Helaas heeft de AP de scheidslijn met deze uitspraak waziger gemaakt in plaats van scherper.