020 530 0160

AP legt boete op na verzwegen datalek door Uber

Gepubliceerd op 28 november 2018 categorieën 

De Autoriteit Persoonsgegevens (AP) heeft een boete van 600.000 euro opgelegd aan Uber voor het verzwijgen van een datalek. Het is voor het eerst dat de AP daadwerkelijk een boete opgelegd. Vooralsnog had de Nederlandse toezichthouder enkel dwangsommen opgelegd en geïnd.

Het betreffende datalek kwam reeds in november 2016 aan het licht bij Uber. Persoonsgegevens van maar liefst 50 miljoen klanten en 7 miljoen chauffeurs vielen in de handen van hackers. Daaronder waren 174.000 Nederlanders getroffen door de hack. In plaats van het lek te melden besloot Uber daarop de hackers zelfs 100.000 euro aan te bieden om het lek te verzwijgen. In november 2017, een jaar na het lek, maakte Uber derhalve toch nog melding van het lek bij de AP. De Nederlandse toezichthouder heeft nu besloten dat dit een dusdanig ernstige overtreding is van de privacywetgeving dat een boete op zijn plaats is.

Ten tijde van het incident gold in Nederland nog niet de AVG, maar de Wet bescherming persoonsgegevens (Wbp). Om die reden is laatstgenoemde wet van toepassing op deze zaak. Desalniettemin kende de Wbp eenzelfde bepaling als de AVG, inhoudende dat een datalek binnen 72 uur gemeld moet worden bij zowel de AP als bij de betrokkenen. Een soortgelijk datalek kan immers ernstig nadelige gevolgen hebben voor de betrokkenen. Onbevoegden hadden door het lek toegang tot onder andere namen, emailadressen en telefoonnummers van gebruikers van Uber. Hackers zouden deze informatie bijvoorbeeld kunnen doorverkopen aan partijen die daarmee internetfraude plegen. Volgens de AP was Uber zich bovendien welbewust van de ernst van de situatie, maar deed het desondanks haar uiterste best om het incident in de doofpot te stoppen.

Met betrekking tot de hoogte van de boete komt Uber nog enigszins goed weg. Krachtens de AVG kunnen bedrijven, bij een incident als deze, boetes worden opgelegd ter hoogte van 10 miljoen euro of zelfs 2 procent van de totale wereldwijde omzet. In andere landen heeft Uber echter al diep in de buidel moeten tasten vanwege het datalek; het bedrijf trof met Amerikaanse autoriteiten een schikking van 148 miljoen dollar en ook aan de Britse privacywaakhond heeft Uber al 400.000 euro moeten betalen.

Lees het volledige besluit van de AP hier.

met dank aan Niek Weessies

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Stagiair

publicaties

Gerelateerde artikelen