De Autoriteit Persoonsgegevens (AP) heeft een boete van € 600.000,- opgelegd aan Uber voor het niet tijdig melden van een datalek.
Bij Uber was van 13 oktober 2016 tot 15 november 2016 sprake van een datalek. Op 14 november 2016 was Uber hiervan in kennis gesteld. Uber heeft tot 21 november 2017 (meer dan een jaar later) gewacht met het doen van de melding bij de AP. De AP is van mening dat Uber dit 72 uur na 14 november 2016 al had moeten melden.
In haar boetebesluit van 6 november 2017 legt de AP een boete van € 600.000,- op voor het niet tijdig melden. Het alsnog (te laat) melden van een datalek is voor de AP geen reden om geen boete op te leggen. De AP legt in het boetebesluit nogmaals uit dat een datalek echt binnen 72 uur, nadat een lek is geconstateerd, gemeld moet worden. De AP is van mening dat Uber dit dus binnen 72 uur na 14 november 2016 had moeten doen.
Om misverstanden te voorkomen: de thans door de AP opgelegde boete is gebaseerd op de al vanaf 1 januari 2016 geldende Wet meldplicht datalekken en dus niet het gevolg van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) met ingang van mei 2018. Wel is er met de inwerkingtreding van de AVG het nodige gewijzigd en geldt o.a. een strengere registratieplicht van datalekken. De door de AP aan Uber opgelegde boete zag op de periode dat de AVG nog niet in werking was getreden.
Voor meer informatie over de verplichtingen waar u onder de AVG rekening mee moet houden, waaronder datalekken, zie dit artikel: Eerste hulp bij AVG.