Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Boete Autoriteit Persoonsgegevens voor Uber: 600.000 euro

27 november 2018 Door

De Autoriteit Persoonsgegevens (AP) heeft bekendgemaakt dat taxi-dienst Uber een boete heeft gekregen van 600.000 euro. De reden is het te laat melden van een enorm datalek in 2016, van onder meer namen, e-mailadressen en telefoonnummers van wereldwijd 57 miljoen gebruikers, waaronder 174.000 Nederlanders. Bovendien betaalde Uber hackers om het datalek stil te houden.

Meldplicht datalekken

Nadat Uber in 2016 door hackers op de hoogte werd gebracht van een lek in de database, heeft het bedrijf een jaar lang niets verteld aan de autoriteiten en de betrokken gebruikers. Dit terwijl een dergelijk datalek wettelijk binnen 72 uur gemeld dient te worden bij de AP, en ‘onverwijld’ bij de betrokkenen. Deze meldplicht en termijn golden ook al onder de Wet bescherming persoonsgegevens (Wbp), die ten tijde van de overtreding van toepassing was.

Een datalek moet volgens de wet bij de AP worden gemeld als sprake is van ‘een risico voor de rechten en vrijheden van personen’, in de woorden van de AVG. Als het gaat om een hoog risico moet het lek ook bij de betrokkenen zelf worden gemeld. Als hoog risico wordt bijvoorbeeld aangemerkt: verlies van de controle over de persoonsgegevens, de mogelijkheid van identiteitsfraude of financiële schade.

Afkopen hackers

Uber maakte het echter nog bonter dan een te late melding van het datalek: het betaalde een afkoopsom van 100.000 dollar aan de hackers om de gestolen gegevens te vernietigen en over het lek te zwijgen, en hield het datalek een jaar lang geheim. De Britse toezichthouder ICO gebruikt dan ook fermere taal, en spreekt van ‘serieus falen van de beveiliging’ en een ‘complete veronachtzaming van de klanten en chauffeurs wiens gegevens zijn gestolen’. De boete in het Verenigd Koninkrijk bedraagt ruim 400.000 euro.

Het is overigens de vraag of Uber van deze bedragen schrikt; in de VS heeft het bedrijf in deze zaak een schikking getroffen van maar liefst 148 miljoen dollar. Naast de financiële schade moet nog blijken of schandalen als deze ook leiden tot pr-schade voor een bedrijf dat toch al bekend staat als agressieve ‘disruptor’, met weinig ontzag voor regels en wetten.

Ook een AVG-boete in Duitsland

Daarnaast is er ook nieuws van onze oosterburen op het gebied van AVG-boetes: in de deelstaat Baden-Württemberg heeft de chatsite ‘Knuddels.de’ vorige week als eerste in Duitsland een boete van 20.000 euro gekregen van de lokale toezichthouder. Van 330.000 gebruikers werden daar gegevens gelekt, waaronder e-mailadressen en wachtwoorden. Hoewel Knuddels een correcte melding deed, goed meewerkte met de autoriteit en het lek snel dichtte, kreeg men een boete opgelegd. Het werd het bedrijf aangerekend dat de gegevens, inclusief de wachtwoorden, onversleuteld in ‘plain text’ opgeslagen waren, en daardoor direct door kwaadwillenden te gebruiken na de hack.

Dimmen Smolders

Juridisch adviseur

Dimmen Smolders werkt als juridisch adviseur bij ICTRecht. Dimmen is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht maakt Dimmen onderdeel uit van het privacyteam, en hij adviseert opdrachtgevers graag over alle aspecten van privacy.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie