De Autoriteit Persoonsgegevens (AP) heeft de eerste flinke boete uitgedeeld. De boete bedraagt €600.000. Uber komt daar nog goed mee weg omdat de overtreding valt onder de Wbp. Onder de Avg zou de boete €10.000.000 zijn geweest.
Boetebesluit AP
De AP heeft een boetebesluit opgesteld waarin zij uitgebreid haar oordeel toelicht en het verweer van Uber op alle punten onderuit haalt. We moeten denken aan de case van de Barings Bank, een gerenommeerde Britse bank, de oudste investeringsbank van het Verenigd Koninkrijk, die door de speculaties van één enkele effectenhandelaar, Nick Leeson, werd geruïneerd. Elke bank had dit kunnen overkomen en bankbestuurders haalden opgelucht adem dat Leeson niet bij hun bank werkte. Iedere bank was nu wakker geschud en verscherpte haar beleid, instructies en controles.
Een wijze les?
Gaat de les van Uber ook opgepakt worden door bestuurders van bedrijven en instellingen? Wij hopen het. De invoering van de AVG was voor vele bedrijven en instellingen een moetje en werd keer-op-keer uitgesteld of zeer minimaal uitgevoerd. Functionarissen voor Gegevensbescherming (FG’s) werden aangesteld als ‘excuustruus’ en bezaten niet de kennis en kunde en kregen niet de mogelijkheid om de Avg te laten verinnerlijken binnen het bedrijf. Externen met een 2-daagse Privacy-opleiding werden binnengehaald als deskundigen. Goedkoop is duurkoop. Dat is bij Uber gebleken en naar verwachting hangt dit lot ook boven het hoofd van andere bedrijven en instellingen. En de bestuurders.
Wat zijn de hoofdlessen van de case Uber?
- Bepaal je Legal Entity Framework. Zorg dat je overzicht en inzicht hebt in je interne en externe datastroom, de verwerkingen en in welke verhouding je tot elkaar staat (verwerkingsverantwoordelijke/verwerker of gezamenlijke verwerkingsverantwoordelijke). De case Uber leert ons dat de feitelijke situatie bepalend is. Niet de juridische situatie;
- Meld je datalek tijdig. Je kan altijd een voorlopige melding maken als nog niet alles duidelijk is rond het datalek. En bij twijfel: altijd melden; en
- Interpreteer de mogelijke impact op de betrokkene ruim bij het bepalen of een datalek gemeld moet worden aan de betrokkene. De AVG is opgesteld in het belang van de betrokkene, niet in het belang van uw bedrijf of instelling.
Verantwoordingsplicht
Duthler Associates wijst bedrijven en instellingen al jaren op het belang om hun accountability op orde te hebben. En deze aantoonbaar te maken in een verantwoordingsonderzoek hetgeen ook de basis is om auditable te zijn.
Bedrijven en instellingen werken met een team van professionals van Duthler Associates samen om tijdig de verantwoording beschikbaar te maken in de gebruikelijke governance cyclus. Hierbij wordt gebruik gemaakt van normenkaders, volwassenheidsniveaus en assessments.
Contact
Wij bespreken graag met u uw situatie waarbij wij nagaan in hoeverre een situatie bij Uber ook binnen uw organisatie kan plaatsvinden. Vervolgens kan een passend plan van aanpak worden opgesteld. Dit maakt uw bedrijf of instelling transparant en helpt ‘gedoe’ te voorkomen.
Heeft u naar aanleiding van deze blog vragen? Neem gerust contact met ons op via +31 0(70) 392 22 09 of info@duthler.nl.
