Niet veel mensen weten dat het in Nederland tot 1 januari 2016 niet mogelijk was voor de privacy toezichthouder om boetes op te leggen aan ondernemingen die de privacywetgeving overtraden. Door wijziging van de toenmalige Wet bescherming persoonsgegevens (Wbp) is dat per 1 januari 2016 anders geworden. Inmiddels is de Wbp vervangen door de Algemene Verordening Gegevensbescherming (AVG), waarin de boetemogelijkheid ook is opgenomen, maar dan met veel hogere boetes dan onder de Wbp.

Op 27 november jl. maakte de Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), bekend voor het eerst een boete te hebben opgelegd. Het betreft een datalek binnen het Uber-concern dat plaats vond in 2016, het eerste jaar van de boetebevoegdheid van de privacy toezichthouder. De boete van 600.000 euro wordt opgelegd omdat Uber heeft nagelaten de AP en de betrokkenen (de mensen wiens gegevens gelekt waren) binnen 72 uur na ontdekking van het datalek te informeren. Het datalek betrof onder meer namen, e-mailadressen en telefoonnummers van Uber-klanten en Uber-chauffeurs. Zie voor de details de aankondiging op de website van de AP en het boetebesluit (pdf).

Meer informatie:

• Dutch data watchdog fines Uber €600,000, EUOberserver
• Uber fined £385,000 for data breach affecting millions of passengers, The Guardian over de door de Britse toezichthouder ICO opgelegde boete
• Uber fined £385,000 for losing UK customer data, BBC
• UK and Dutch data protection bodies fine Uber for breaches, EurActiv