De Autoriteit Persoonsgegevens (AP) heeft bekendgemaakt dat taxi-dienst Uber een boete heeft gekregen van 600.000 euro. De reden is het te laat melden van een enorm datalek in 2016, van onder meer namen, e-mailadressen en telefoonnummers van wereldwijd 57 miljoen gebruikers, waaronder 174.000 Nederlanders. Bovendien betaalde Uber hackers om het datalek stil te houden.
Meldplicht datalekken
Nadat Uber in 2016 door hackers op de hoogte werd gebracht van een lek in de database, heeft het bedrijf een jaar lang niets verteld aan de autoriteiten en de betrokken gebruikers. Dit terwijl een dergelijk datalek wettelijk binnen 72 uur gemeld dient te worden bij de AP, en ‘onverwijld’ bij de betrokkenen. Deze meldplicht en termijn golden ook al onder de Wet bescherming persoonsgegevens (Wbp), die ten tijde van de overtreding van toepassing was.
Een datalek moet volgens de wet bij de AP worden gemeld als sprake is van ‘een risico voor de rechten en vrijheden van personen’, in de woorden van de AVG. Als het gaat om een hoog risico moet het lek ook bij de betrokkenen zelf worden gemeld. Als hoog risico wordt bijvoorbeeld aangemerkt: verlies van de controle over de persoonsgegevens, de mogelijkheid van identiteitsfraude of financiële schade.
Afkopen hackers
Uber maakte het echter nog bonter dan een te late melding van het datalek: het betaalde een afkoopsom van 100.000 dollar aan de hackers om de gestolen gegevens te vernietigen en over het lek te zwijgen, en hield het datalek een jaar lang geheim. De Britse toezichthouder ICO gebruikt dan ook fermere taal, en spreekt van ‘serieus falen van de beveiliging’ en een ‘complete veronachtzaming van de klanten en chauffeurs wiens gegevens zijn gestolen’. De boete in het Verenigd Koninkrijk bedraagt ruim 400.000 euro.
Het is overigens de vraag of Uber van deze bedragen schrikt; in de VS heeft het bedrijf in deze zaak een schikking getroffen van maar liefst 148 miljoen dollar. Naast de financiële schade moet nog blijken of schandalen als deze ook leiden tot pr-schade voor een bedrijf dat toch al bekend staat als agressieve ‘disruptor’, met weinig ontzag voor regels en wetten.
Ook een AVG-boete in Duitsland
Daarnaast is er ook nieuws van onze oosterburen op het gebied van AVG-boetes: in de deelstaat Baden-Württemberg heeft de chatsite 'Knuddels.de' vorige week als eerste in Duitsland een boete van 20.000 euro gekregen van de lokale toezichthouder. Van 330.000 gebruikers werden daar gegevens gelekt, waaronder e-mailadressen en wachtwoorden. Hoewel Knuddels een correcte melding deed, goed meewerkte met de autoriteit en het lek snel dichtte, kreeg men een boete opgelegd. Het werd het bedrijf aangerekend dat de gegevens, inclusief de wachtwoorden, onversleuteld in ‘plain text’ opgeslagen waren, en daardoor direct door kwaadwillenden te gebruiken na de hack.
