‘Onbevoegden’ konden de persoonsgegevens downloaden van zo’n 174 duizend Nederlanders, volgens de boetebepaling van de Autoriteit Persoonsgegevens (AP). Het ging onder meer om namen en telefoonnummers van klanten en chauffeurs. Internationaal omvatte het lek gegevens van ruim 57 miljoen mensen.

Gedurende vijf weken haalden de hackers in totaal zestien bestanden daadwerkelijk binnen. Ze meldden het lek uiteindelijk bij Uber, dat hen 100 duizend dollar betaalde. Vervolgens werden zwijgcontracten gesloten.

Uit een hoorzitting van de Amerikaanse Senaat, afgelopen februari, blijkt volgens de AP dat de betaling het ‘karakter van ‘losgeld’’ had. Uber verklaarde daar dat de indringers het bedrijf tot betaling wilden dwingen. Afgelopen september schikte de vervoersdienst voor 148 miljoen dollar met de Amerikaanse autoriteiten.

Een woordvoerder van de Autoriteit Persoonsgegevens noemt het uitdelen van de boete een ‘ultiem middel’. Het bestuursorgaan pakt misstanden, die het doorgaans via klachten of tips op het spoor komt, vaak aan met waarschuwingen. Het gaat de instantie om het oplossen van misstanden, niet om het uitdelen van boetes, legt de woordvoerder uit. In geval van Uber had het vergrijp echter al plaatsgevonden en was het dusdanig ‘ernstig en verwijtbaar’ dat een boete op zijn plaats is.

‘We leren van onze fouten’, schrijft Uber in een reactie aan de Volkskrant. Volgens de woordvoerder heeft het bedrijf zijn beveiliging sinds 2016 beter op orde en nam het onder meer een chief privacy officer en data protection officer aan.

Het niet-melden van een lek kan sinds mei 2018, toen de Algemene verordening gegevensbescherming (AVG) in werking trad, flink duurder uitpakken. Wie na die tijd verzuimt melding te maken van lekken bij de AP, heeft kans op boetes van maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Bij de oude wetgeving, waar het Uber-lek onder valt, was de maximumboete 820 duizend euro.