Uber moet 600.000 euro betalen voor te laat melden datalek

Uber heeft een groot datalek uit 2016 pas een jaar later bij de instanties gemeld. Ook betaalde het bedrijf hackers om het incident stil te houden.

Zowel de ICO als de AP hebben boetes uitgeschreven. Foto Hannah McKay/Reuters

De Autoriteit Persoonsgegevens (AP) heeft taxidienst Uber eerder deze maand een boete opgelegd van 600.000 euro voor het te laat melden van een datalek. In 2016 waren de privégegevens van miljoenen Uber-klanten en chauffeurs openbaar. Dit lek werd pas na een jaar bij de instanties gemeld.

Op 14 november 2016 werd Uber door hackers op de hoogte gesteld van het lek, dat toen al ruim een maand bestond. Het probleem was een dag na de melding verholpen, maar het bedrijf verzuimde binnen 72 uur een melding te maken bij de privacytoezichthouders. De AP hoorde pas ruim een jaar later, op 21 november 2017, over het lek.

Door het lek waren privégegevens zoals namen, e-mailadressen en telefoonnummers van ruim 57 miljoen Uber-gebruikers beschikbaar. Onder hen zouden zo’n 174.000 Nederlanders zijn. In plaats van het lek te melden, betaalde Uber de hackers die het probleem ontdekten 100.000 dollar (zo’n 88.000 euro) om het incident stil te houden.

Een woordvoerder van de AP zegt dat de boetes nog vele malen hoger zouden zijn, als het lek onder de nieuwe, Europese privacywetgeving (Algemene Verordening Gegevensbescherming of AVG) plaats zou vinden. Dan zouden volgens haar bedragen tot 20 miljoen euro opgelegd kunnen worden.

2017 zat vol cyberrampen. Veiligheidsexpert Bruce Schneier pleit voor strengere regels. “De VS doen niets; ik heb mijn hoop gevestigd op Europa.”

Britse toezichthouder

Ook de Britse toezichthouder Information Commissioner’s Office (ICO) heeft Uber een boete opgelegd voor het lek. Van de ICO moet Uber 385.000 pond (ruim 433.000 euro) betalen voor het geen “bescherming te bieden aan gebruikers tijdens een cyberaanval”.

Volgens de directeur van de ICO “veronachtzaamde” Uber de mogelijke gevolgen voor de getroffen gebruikers door het lek niet te melden.

“Dit is niet alleen een serieus gebrek op het gebied van dataveiligheid, maar ook een totale veronachtzaming van de klanten en de chauffeurs wier persoonlijke informatie was gestolen. Niemand heeft hen geïnformeerd, geholpen of ondersteund.”

    • Floor Bouma