CNIL: boete van 1 miljoen euro na datalek bij verwerker van muziekstreamingdienst
Een verkeerd ingestelde server is genoeg om miljoenen persoonsgegevens op straat te laten belanden. Dat blijkt uit een sanctiebesluit van de Franse privacytoezichthouder, die in december 2025 een boete van 1 miljoen euro oplegde aan het Britse Mobius Solutions Ltd. Het bedrijf trad op als verwerker voor onder meer de muziekstreamingdienst Deezer en ging de fout in bij de beveiliging én afhandeling van een datalek.
Wat ging er mis?
Mobius Solutions verwerkte persoonsgegevens van gebruikers, waaronder identificerende gegevens en loggegevens. Door onvoldoende beveiligde IT-infrastructuur waren deze gegevens vrij toegankelijk via internet. De CNIL oordeelt dat Mobius niet voldoet aan de verplichting tot het nemen van passende technische en organisatorische maatregelen, afgestemd op de aard van de verwerking en de risico’s voor betrokkenen. Bij grootschalige digitale diensten, zoals streamingplatforms, ligt die lat hoger.
Datalek niet correct gemeld
Het beveiligingsincident bleef niet beperkt tot een technische tekortkoming. Mobius meldde het datalek niet tijdig bij de toezichthouder en informeerde ook betrokkenen onvoldoende. De meldplicht heeft een duidelijke beschermingsomvang: toezichthouders en gebruikers moeten snel kunnen handelen om schade te beperken. Volgens de CNIL werd dat doel hier ondermijnd door de trage reactie.
Waarom is dit relevant voor marketeers en platforms?
Deze zaak onderstreept dat privacyrisico’s bij digitale diensten niet alleen bij de verwerkingsverantwoordelijke liggen. Ook verwerkers die op de achtergrond data verwerken voor bijvoorbeeld muziek, video of andere abonnementsdiensten, dragen een zelfstandige verantwoordelijkheid. Waar wordt gewerkt met externe IT-partijen, data-analytics en platformdiensten, kan een fout bij een verwerker direct leiden tot juridische claims, reputatieschade en verlies van vertrouwen bij gebruikers.
De belangrijkste les
De CNIL maakt duidelijk dat beveiliging en transparantie geen formaliteiten zijn. Zeker bij grootschalige consumentendiensten geldt dat een datalek niet alleen technisch moet worden voorkomen, maar ook juridisch correct moet worden afgehandeld. Wie dat nalaat, loopt een reëel boeterisico, ook als “slechts” sprake is van verwerkingen in opdracht van een ander.
Sara Mosch
Ook interessant
AI-labeling: wat marketeers moeten weten over transparantie voor AI
De herroepingsknop komt eraan: wat verandert er voor jouw website?
