Spring naar content

CNIL: boete van 1 miljoen euro na datalek bij verwerker van muziekstreamingdienst

Een verkeerd ingestelde server is genoeg om miljoenen persoonsgegevens op straat te laten belanden. Dat blijkt uit een sanctiebesluit van de Franse privacytoezichthouder, die in december 2025 een boete van 1 miljoen euro oplegde aan het Britse Mobius Solutions Ltd. Het bedrijf trad op als verwerker voor onder meer de muziekstreamingdienst Deezer en ging de fout in bij de beveiliging én afhandeling van een datalek.

Wat ging er mis?

Mobius Solutions verwerkte persoonsgegevens van gebruikers, waaronder identificerende gegevens en loggegevens. Door onvoldoende beveiligde IT-infrastructuur waren deze gegevens vrij toegankelijk via internet. De CNIL oordeelt dat Mobius niet voldoet aan de verplichting tot het nemen van passende technische en organisatorische maatregelen, afgestemd op de aard van de verwerking en de risico’s voor betrokkenen. Bij grootschalige digitale diensten, zoals streamingplatforms, ligt die lat hoger.

Datalek niet correct gemeld

Het beveiligingsincident bleef niet beperkt tot een technische tekortkoming. Mobius meldde het datalek niet tijdig bij de toezichthouder en informeerde ook betrokkenen onvoldoende. De meldplicht heeft een duidelijke beschermingsomvang: toezichthouders en gebruikers moeten snel kunnen handelen om schade te beperken. Volgens de CNIL werd dat doel hier ondermijnd door de trage reactie.

Waarom is dit relevant voor marketeers en platforms?

Deze zaak onderstreept dat privacyrisico’s bij digitale diensten niet alleen bij de verwerkingsverantwoordelijke liggen. Ook verwerkers die op de achtergrond data verwerken voor bijvoorbeeld muziek, video of andere abonnementsdiensten, dragen een zelfstandige verantwoordelijkheid. Waar wordt gewerkt met externe IT-partijen, data-analytics en platformdiensten, kan een fout bij een verwerker direct leiden tot juridische claims, reputatieschade en verlies van vertrouwen bij gebruikers.

De belangrijkste les

De CNIL maakt duidelijk dat beveiliging en transparantie geen formaliteiten zijn. Zeker bij grootschalige consumentendiensten geldt dat een datalek niet alleen technisch moet worden voorkomen, maar ook juridisch correct moet worden afgehandeld. Wie dat nalaat, loopt een reëel boeterisico, ook als “slechts” sprake is van verwerkingen in opdracht van een ander.

Sara Mosch

Team lead legal & Legal counsel

Ook interessant

Lees meer
AI Act |

Uitspraak van de maand | januari

Elke maand lichten we actuele juridische uitspraken uit die relevant zijn voor marketeers, dataspecialisten en privacyprofessionals. Praktijkvoorbeelden met heldere lessen om zelf toe te passen. In deze editie van Uitspraak…
Lees meer
AVG |

Wat je moet doen na een cookie-waarschuwing van de AP

Meer dan 200 organisaties kregen in 2025 een waarschuwing van de Autoriteit Persoonsgegevens over hun cookiebanner en het verkeerd inladen van scripts. Tijdens de Digital Talk Cookiehandhaving werd één ding…
Lees meer
Influencermarketing |

Influencer marketing: geen Wilde Westen, maar een volwassen marketingkanaal met regels, toezicht en een certificering 

Influencers staan regelmatig in de schijnwerpers. Niet alleen in hun eigen content, maar ook in nieuwsberichten over reclameherkenbaarheid, zoals afgelopen week. Dit nieuws verscheen naar aanleiding van een onderzoek van…