Uber beboet voor verzwijgen groot datalek: gegevens van 57 miljoen gebruikers op straat

Uber beboet voor verzwijgen groot datalek: gegevens van 57 miljoen gebruikers op straat

Uber moet 600.000 euro betalen vanwege een niet-gemeld datalek, meldt De Volkskrant. De vervoersdienst had dit lek na ontdekking op 14 november 2016 binnen 72 uur moeten melden bij de Autoriteit Persoonsgegevens. Dit gebeurde pas een jaar (!) later, in november 2017. Ook in Groot-Brittannië werd Uber inmiddels voor hetzelfde vergrijp en voor een overeenkomstig bedrag beboet.

‘Onbevoegden’ konden de persoonsgegevens downloaden van zo’n 174 duizend Nederlanders, volgens de boetebepaling van de Autoriteit Persoonsgegevens (AP). Het ging onder meer om namen en telefoonnummers van klanten en chauffeurs. Internationaal omvatte het lek gegevens van ruim 57 miljoen mensen.

Zo’n vijf weken lang haalden de hackers in totaal zestien bestanden daadwerkelijk binnen. Ze meldden het lek uiteindelijk bij Uber, dat hen 100 duizend dollar betaalde. Vervolgens werden zwijgcontracten gesloten.

Uit een hoorzitting van de Amerikaanse Senaat, afgelopen februari, blijkt volgens de AP dat de betaling het “karakter van ‘losgeld’” had. Uber verklaarde daar dat de indringers het bedrijf tot betaling wilden dwingen. Afgelopen september schikte de vervoersdienst voor 148 miljoen dollar met de Amerikaanse autoriteiten.

Een woordvoerder van de Autoriteit Persoonsgegevens noemt het uitdelen van de boete een ‘ultiem middel’. Het bestuursorgaan pakt misstanden, die het doorgaans via klachten of tips op het spoor komt, vaak aan met waarschuwingen. Het gaat de instantie om het oplossen van misstanden, niet om het uitdelen van boetes, legt de woordvoerder uit. In geval van Uber had het vergrijp echter al plaatsgevonden en was het dusdanig ‘ernstig en verwijtbaar’ dat een boete op zijn plaats is.

“We leren van onze fouten”, schrijft Uber in een reactie aan De Volkskrant. Volgens de woordvoerder heeft het bedrijf zijn beveiliging sinds 2016 beter op orde en nam het onder meer een chief privacy officer en data protection officer aan.

Het niet-melden van een lek kan sinds mei 2018, toen de Algemene verordening gegevensbescherming (AVG) in werking trad, flink duurder uitpakken. Wie na die tijd verzuimt melding te maken van lekken bij de AP, heeft kans op boetes van maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Bij de oude wetgeving, waar het Uber-lek onder valt, was de maximumboete 820 duizend euro.

  • Uber beboet voor verzwijgen groot datalek: gegevens van 57 miljoen gebruikers op straat.

Een reactie plaatsen

css.php