De Autoriteit Persoonsgegevens
(AP) heeft een boete van 600.000 euro opgelegd aan Uber voor het verzwijgen van
een datalek. Het is voor het eerst dat de AP daadwerkelijk een boete opgelegd.
Vooralsnog had de Nederlandse toezichthouder enkel dwangsommen opgelegd en geïnd.
Het betreffende datalek kwam
reeds in november 2016 aan het licht bij Uber. Persoonsgegevens van maar liefst
50 miljoen klanten en 7 miljoen chauffeurs vielen in de handen van hackers.
Daaronder waren 174.000 Nederlanders getroffen door de hack. In plaats van het
lek te melden besloot Uber daarop de hackers zelfs 100.000 euro aan te bieden
om het lek te verzwijgen. In november 2017, een jaar na het lek, maakte Uber
derhalve toch nog melding van het lek bij de AP. De Nederlandse toezichthouder
heeft nu besloten dat dit een dusdanig ernstige overtreding is van de privacywetgeving
dat een boete op zijn plaats is.
Ten tijde van het incident gold
in Nederland nog niet de AVG, maar de Wet bescherming persoonsgegevens (Wbp).
Om die reden is laatstgenoemde wet van toepassing op deze zaak. Desalniettemin
kende de Wbp eenzelfde bepaling als de AVG, inhoudende dat een datalek binnen 72
uur gemeld moet worden bij zowel de AP als bij de betrokkenen. Een soortgelijk
datalek kan immers ernstig nadelige gevolgen hebben voor de betrokkenen.
Onbevoegden hadden door het lek toegang tot onder andere namen, emailadressen
en telefoonnummers van gebruikers van Uber. Hackers zouden deze
informatie bijvoorbeeld kunnen doorverkopen aan partijen die daarmee internetfraude plegen.
Volgens de AP was Uber zich bovendien welbewust van de ernst van de situatie,
maar deed het desondanks haar uiterste best om het incident in de doofpot te
stoppen.
Met betrekking tot de hoogte
van de boete komt Uber nog enigszins goed weg. Krachtens de AVG kunnen
bedrijven, bij een incident als deze, boetes worden opgelegd ter hoogte van 10
miljoen euro of zelfs 2 procent van de totale wereldwijde omzet. In andere
landen heeft Uber echter al diep in de buidel moeten tasten vanwege het
datalek; het bedrijf trof met Amerikaanse autoriteiten een schikking van 148
miljoen dollar en ook aan de Britse privacywaakhond heeft Uber al 400.000 euro
moeten betalen.
Lees het volledige besluit van
de AP hier.
met dank aan Niek Weessies https://www.solv.nl/weblog/ap-legt-boete-op-na-verzwegen-datalek-door-uber/21690