Spring naar content

CNIL: boete van 1 miljoen euro na datalek bij verwerker van muziekstreamingdienst

Een verkeerd ingestelde server is genoeg om miljoenen persoonsgegevens op straat te laten belanden. Dat blijkt uit een sanctiebesluit van de Franse privacytoezichthouder, die in december 2025 een boete van 1 miljoen euro oplegde aan het Britse Mobius Solutions Ltd. Het bedrijf trad op als verwerker voor onder meer de muziekstreamingdienst Deezer en ging de fout in bij de beveiliging én afhandeling van een datalek.

Wat ging er mis?

Mobius Solutions verwerkte persoonsgegevens van gebruikers, waaronder identificerende gegevens en loggegevens. Door onvoldoende beveiligde IT-infrastructuur waren deze gegevens vrij toegankelijk via internet. De CNIL oordeelt dat Mobius niet voldoet aan de verplichting tot het nemen van passende technische en organisatorische maatregelen, afgestemd op de aard van de verwerking en de risico’s voor betrokkenen. Bij grootschalige digitale diensten, zoals streamingplatforms, ligt die lat hoger.

Datalek niet correct gemeld

Het beveiligingsincident bleef niet beperkt tot een technische tekortkoming. Mobius meldde het datalek niet tijdig bij de toezichthouder en informeerde ook betrokkenen onvoldoende. De meldplicht heeft een duidelijke beschermingsomvang: toezichthouders en gebruikers moeten snel kunnen handelen om schade te beperken. Volgens de CNIL werd dat doel hier ondermijnd door de trage reactie.

Waarom is dit relevant voor marketeers en platforms?

Deze zaak onderstreept dat privacyrisico’s bij digitale diensten niet alleen bij de verwerkingsverantwoordelijke liggen. Ook verwerkers die op de achtergrond data verwerken voor bijvoorbeeld muziek, video of andere abonnementsdiensten, dragen een zelfstandige verantwoordelijkheid. Waar wordt gewerkt met externe IT-partijen, data-analytics en platformdiensten, kan een fout bij een verwerker direct leiden tot juridische claims, reputatieschade en verlies van vertrouwen bij gebruikers.

De belangrijkste les

De CNIL maakt duidelijk dat beveiliging en transparantie geen formaliteiten zijn. Zeker bij grootschalige consumentendiensten geldt dat een datalek niet alleen technisch moet worden voorkomen, maar ook juridisch correct moet worden afgehandeld. Wie dat nalaat, loopt een reëel boeterisico, ook als “slechts” sprake is van verwerkingen in opdracht van een ander.

Sara Mosch

Team lead legal & Legal counsel

Ook interessant

Lees meer
DDMA |

DDMA zoekt (Junior) Legal Counsel

Als Legal Counsel bij DDMA werk je in het hart van de Nederlandse marketingwereld. Die wereld staat nooit stil en strekt zich uit van digitale advertenties tot influencer marketing en…
Lees meer
Legal |

Impact Coalitieakkoord (2026) op de marketingsector

De koers van het nieuwe coalitieakkoord van D66, VVD en CDA is helder: het internet moet veiliger, duidelijker en minder verslavend worden. Platforms krijgen strenger toezicht, kwetsbare groepen krijgen meer…
Lees meer
Artificial Intelligence |

Waarom legal en marketing wél een goede match (kunnen) zijn

Tijdens de gezamenlijke roundtable van DDMA Young Legal Profs en NIMA Young Professionals werd duidelijk dat de wrijving tussen legal en marketing zelden zit op intentie. Aan de hand van…