Spring naar content

CNIL: boete van 1 miljoen euro na datalek bij verwerker van muziekstreamingdienst

Een verkeerd ingestelde server is genoeg om miljoenen persoonsgegevens op straat te laten belanden. Dat blijkt uit een sanctiebesluit van de Franse privacytoezichthouder, die in december 2025 een boete van 1 miljoen euro oplegde aan het Britse Mobius Solutions Ltd. Het bedrijf trad op als verwerker voor onder meer de muziekstreamingdienst Deezer en ging de fout in bij de beveiliging én afhandeling van een datalek.

Wat ging er mis?

Mobius Solutions verwerkte persoonsgegevens van gebruikers, waaronder identificerende gegevens en loggegevens. Door onvoldoende beveiligde IT-infrastructuur waren deze gegevens vrij toegankelijk via internet. De CNIL oordeelt dat Mobius niet voldoet aan de verplichting tot het nemen van passende technische en organisatorische maatregelen, afgestemd op de aard van de verwerking en de risico’s voor betrokkenen. Bij grootschalige digitale diensten, zoals streamingplatforms, ligt die lat hoger.

Datalek niet correct gemeld

Het beveiligingsincident bleef niet beperkt tot een technische tekortkoming. Mobius meldde het datalek niet tijdig bij de toezichthouder en informeerde ook betrokkenen onvoldoende. De meldplicht heeft een duidelijke beschermingsomvang: toezichthouders en gebruikers moeten snel kunnen handelen om schade te beperken. Volgens de CNIL werd dat doel hier ondermijnd door de trage reactie.

Waarom is dit relevant voor marketeers en platforms?

Deze zaak onderstreept dat privacyrisico’s bij digitale diensten niet alleen bij de verwerkingsverantwoordelijke liggen. Ook verwerkers die op de achtergrond data verwerken voor bijvoorbeeld muziek, video of andere abonnementsdiensten, dragen een zelfstandige verantwoordelijkheid. Waar wordt gewerkt met externe IT-partijen, data-analytics en platformdiensten, kan een fout bij een verwerker direct leiden tot juridische claims, reputatieschade en verlies van vertrouwen bij gebruikers.

De belangrijkste les

De CNIL maakt duidelijk dat beveiliging en transparantie geen formaliteiten zijn. Zeker bij grootschalige consumentendiensten geldt dat een datalek niet alleen technisch moet worden voorkomen, maar ook juridisch correct moet worden afgehandeld. Wie dat nalaat, loopt een reëel boeterisico, ook als “slechts” sprake is van verwerkingen in opdracht van een ander.

Sara Mosch

Team lead legal & Legal counsel

Ook interessant

Lees meer
Influencermarketing |

Nieuwe regels voor influencer marketing: dit verandert er vanaf 1 juli 2026

Werk je met influencers, UGC-creators of affiliate marketing? Dan is het slim om de vernieuwde Reclamecode Social Media & Influencer Marketing (RSM) goed te bekijken. De code is aangepast aan…
Lees meer
Influencermarketing |

Influencerregels.com vernieuwt certificering: steeds meer merken kiezen voor gecertificeerde influencers

Influencerregels.com, een initiatief van DDMA marketingbranchevereniging, bvA netwerk van merkleiders en Stichting Reclame Code (SRC), lanceert vandaag een vernieuwde versie van Certified by Influencerregels.com. De geactualiseerde e-learning sluit aan op…
Lees meer
Legal |

Telemarketingwetgeving 2026: organisaties bereiden zich voor op nieuwe regels

De regels voor telemarketing veranderen, vanaf 1 juli 2026 wordt toestemming voor veel organisaties de belangrijkste of enige grondslag om consumenten telefonisch te benaderen. Tijdens een goed bezochte DDMA Digital…