nieuws lekken persoonsgegevens

Uber krijgt boete voor verzwijgen groot datalek: hackers konden bij gegevens van 57 miljoen gebruikers

Uber moet 600 duizend euro betalen vanwege een niet-gemeld datalek. De vervoersdienst had dit lek na ontdekking op 14 november 2016 binnen 72 uur moeten melden bij de Autoriteit Persoonsgegevens. Dit gebeurde pas een jaar later, in november 2017. 

Een klant zoekt naar een taxi in de buurt en geeft de gewenste ophaallocatie aan in de Uber-app. Beeld ANP

‘Onbevoegden’ konden de persoonsgegevens downloaden van zo’n 174 duizend Nederlanders, volgens de boetebepaling van de Autoriteit Persoonsgegevens (AP). Het ging onder meer om namen en telefoonnummers van klanten en chauffeurs. Internationaal omvatte het lek gegevens van ruim 57 miljoen mensen. 

Gedurende vijf weken haalden de hackers in totaal zestien bestanden daadwerkelijk binnen. Ze meldden het lek uiteindelijk bij Uber, dat hen 100 duizend dollar betaalde. Vervolgens werden zwijgcontracten gesloten.

Uit een hoorzitting van de Amerikaanse Senaat, afgelopen februari, blijkt volgens de AP dat de betaling het ‘karakter van ‘losgeld’’ had. Uber verklaarde daar dat de indringers het bedrijf tot betaling wilden dwingen. Afgelopen september schikte de vervoersdienst voor 148 miljoen dollar met de Amerikaanse autoriteiten.

Een woordvoerder van de Autoriteit Persoonsgegevens noemt het uitdelen van de boete een ‘ultiem middel’. Het bestuursorgaan pakt misstanden, die het doorgaans via klachten of tips op het spoor komt, vaak aan met waarschuwingen. Het gaat de instantie om het oplossen van misstanden, niet om het uitdelen van boetes, legt de woordvoerder uit. In geval van Uber had het vergrijp echter al plaatsgevonden en was het dusdanig ‘ernstig en verwijtbaar’ dat een boete op zijn plaats is.

‘We leren van onze fouten’, schrijft Uber in een reactie aan de Volkskrant. Volgens de woordvoerder heeft het bedrijf zijn beveiliging sinds 2016 beter op orde en nam het onder meer een chief privacy officer en data protection officer aan.

Het niet-melden van een lek kan sinds mei 2018, toen de Algemene verordening gegevensbescherming (AVG) in werking trad, flink duurder uitpakken. Wie na die tijd verzuimt melding te maken van lekken bij de AP, heeft kans op boetes van maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Bij de oude wetgeving, waar het Uber-lek onder valt, was de maximumboete 820 duizend euro.

Verder lezen

Klanten hebben recht op hun persoonlijke gegevens - maar krijgen ze die ook? We testten bekende bedrijven.

Jeroen van Bergeijk liet zich omscholen tot Uberchauffeur en reed vijf maanden voor het omstreden bedrijf.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden