Welke GDPR-lessen leert u uit het datalek bij Uber?

Uber is een onlineplatform dat bemiddelt tussen aanbieders van personenvervoer en hun reizigers. Het bedrijf is controversieel omdat het wereldwijd de klassieke taxisector op zijn kop zet. Ook aan de bescherming van de persoonsgegevens die Ubert bewaart, schort er wat. In oktober 2016 slaagden hackers erin om de namen, e-mailadressen en telefoonnummers van Uber-chauffeurs en hun passagiers te ontfutselen.

Pas een maand na het datalek kwam Uber met het slechte nieuws naar buiten. Dat was al de tweede keer dat het bedrijf een succesvolle hack verzweeg. De autoriteiten in de Verenigde Staten tilden dan ook bijzonder zwaar aan het stilzwijgen van Uber. De vraag is of zo’n dataverlies ook in úw organisatie mogelijk is.

Volgens de General Data Protection Regulation (GDPR) is er een datalek wanneer de kans bestaat dat persoonsgegevens ongeoorloofd openbaar worden gemaakt, worden vernietigd,  verloren gaan of worden gewijzigd. Dat een onbevoegde toegang kan krijgen tot de gegevens, is al genoeg om te spreken van een datalek. Er hoeft dus geen kwaad opzet te zijn: een USB-stick die u verliest en een e-mail naar het verkeerde adres kunnen ook datalekken zijn.

U moet het datalek binnen de 72 uur na de vaststelling melden aan de Gegevensbeschermingsautoriteit, als het een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Houdt het lek een hoog risico in? Dan moet u ook de betrokken personen informeren.

Wat betekent dat nu concreet? Als verantwoordelijke voor de verwerking van persoonsgegevens doet u een risicoanalyse. Kunnen de gevolgen van het lek leiden tot identiteitsdiefstal, financieel verlies of imagoschade voor de getroffen personen? Bestaat de kans dat ze de toegang tot of de controle over hun gegevens verliezen? Of is er zelfs kans op materiële of fysieke schade? U schat het risico in en neemt daarna de nodige stappen om het lek te melden.

Bent u de verantwoordelijke voor de verwerking van persoonsgegevens? Dan is het een slim idee om een register bij te houden met alle datalekken in uw organisatie. In dat register beschrijft u alle details van het lek en geeft u een overzicht van de oorzaken, gevolgen en genomen maatregelen.

Er zijn twee redenen om dataverlies structureel te monitoren:

• U trekt lessen uit het overzicht en kunt gerichte maatregelen nemen om lekken in de toekomst te vermijden.
• U toont aan dat u bewust omgaat met dataverlies en u kunt aan de Gegevensbeschermingsautoriteit motiveren waarom bepaalde lekken niet werden gemeld.

Kortom: met een zorgvuldig opgesteld register dekt u zich in tegen eventuele boetes. Want op dat gebied is de GDPR niet mals. Stel ook daarom op voorhand een dataverliesscenario op, zodat u perfect weet welke stappen u bij dataverlies moet ondernemen.

Uber kreeg een monsterboete van 148 miljoen dollar in de VS en het bedrijf lijdt wereldwijd gezichtsverlies. Dat zijn twee problemen die u in uw organisatie wilt vermijden.

Wie in Europa de verzamelde persoonsgegevens niet correct beheert of een datalek niet tijdig meldt, riskeert een boete tot 2 procent van de jaarlijkse omzet. Loopt het in uw organisatie de spuigaten uit, dan is een boete van 4 procent mogelijk. Minstens even erg is de imagoschade die u oploopt: niemand wil het vertrouwen van klanten verliezen door een privacykwestie. Met een paar maatregelen voorkomt u die problemen.