FirstAid

De Uber-boete raakt ons allemaal

Wham! De Autoriteit Persoonsgegevens (AP) heeft de eerste flinke boete uitgedeeld.

De boete bedraagt EUR 600.000. Uber komt daar nog goed mee weg omdat de overtreding valt onder de Wbp. Onder de Avg zou de boete EUR 10.000.000 zijn geweest. Kom dat als bedrijf maar eens te boven!

De AP heeft een boetebesluit opgesteld waarin zij uitgebreid haar oordeel toelicht en het verweer van Uber op alle punten onderuit haalt. We moeten denken aan de case van de Barings Bank, een gerenommeerde Britse bank, de oudste investeringsbank van het Verenigd Koninkrijk, die door de speculaties van één enkele effectenhandelaar, Nick Leeson, werd geruïneerd[1]. Elke bank had dit kunnen overkomen en bankbestuurders haalden opgelucht adem dat Leeson niet bij hun bank werkte. Iedere bank was nu wakker geschud en verscherpte haar beleid, instructies en controles.

Gaat de les van Uber ook opgepakt worden door bestuurders van bedrijven en instellingen? Wij hopen het. De invoering van de Avg was voor vele bedrijven en instellingen een moetje en werd keer-op-keer uitgesteld of zeer minimaal uitgevoerd. Functionarissen voor Gegevensbescherming (FG’s) werden aangesteld als excuustruus en bezaten niet de kennis en kunde en kregen niet de mogelijkheid om de Avg te laten verinnerlijken binnen het bedrijf. Externen met een 2-daagse Privacy-opleiding werden binnengehaald als deskundigen. Goedkoop is duurkoop. Dat is bij Uber gebleken en naar verwachting hangt dit lot ook boven het hoofd van andere bedrijven en instellingen. En de bestuurders[2].

Wat zijn de hoofdlessen van de case Uber?

  • Bepaal je Legal Entity Framework. Zorg dat je overzicht en inzicht hebt in je interne en externe datastroom, de verwerkingen en in welke verhouding je tot elkaar staat (verwerkingsverantwoordelijke/verwerker of gezamenlijke verwerkingsverantwoordelijke). De case Uber leert ons dat de feitelijke situatie bepalend is. Niet de juridische situatie.
  • Meld je datalek tijdig. Je kan altijd een voorlopige melding maken als nog niet alles duidelijk is rond het datalek. En bij twijfel: altijd melden.
  • Interpreteer de mogelijke impact op de betrokkene ruim bij het bepalen of een datalek gemeld moet worden aan de betrokkene. De Avg is opgesteld in het belang van de betrokkene, niet in het belang van uw bedrijf of instelling.

Duthler Associates wijst bedrijven en instellingen al jaren op het belang om hun accountability op orde te hebben. En deze aantoonbaar te maken in een Declaration of Accountability (DoA) hetgeen ook de basis is om auditable te zijn. Bedrijven en instellingen werken met een team van professionals van Duthler Associates samen om tijdig DoA’s beschikbaar te maken in de gebruikelijke governance cyclus. Hierbij wordt gebruik gemaakt van normenkaders, volwassenheidsniveaus en assessments. Wij bespreken graag met u uw situatie waarbij wij nagaan in hoeverre een situatie bij Uber ook binnen uw organisatie kan plaatsvinden. Vervolgens kan een passend plan van aanpak worden opgesteld. Dit maakt uw bedrijf of instelling transparant en helpt ‘gedoe’ te voorkomen.

Duthler Academy biedt een Leergang FG aan. Een 2-jarige, degelijke opleiding voor een FG voor het verkrijgen van kennis en kunde die nodig zijn om diens wettelijke taken uit te voeren en de leiding van uw bedrijf of instelling te ondersteunen.

Duthler Associates in samenwerking met First Lawyers, volgt de ontwikkelingen op het vlak van handhaven van wet- en regelgeving op het vlak van beschermen persoonsgegevens en informatieveiligheid op de voet.

 

[1] Wikipedia.

[2] Artikel: “Is een bestuurder ná een audit Avg veilig voor een persoonlijke boete?”

Caroline Willemse RE AA RFG

Caroline Willemse RE AA RFG

Mail: c.willemse@duthler.nl
Telefoon: +31 0 (70) 392 22 09