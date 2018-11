Volgens de AP heeft Uber daarmee een onaanvaardbaar risico genomen. Het gaat niet alleen om een enorme dataset van 174.000 Nederlandse, en wereldwijd miljoenen gebruikers, maar ook om veel soorten gegevens: 31 categorieën in totaal, waaronder namen, telefoonnummers, e-mailadressen en locaties. De data zijn aantrekkelijk om te worden doorverkocht, aldus de AP. Criminelen kunnen het bijvoorbeeld misbruiken voor het sturen van nepmails (phishing) of ongewenste reclame (spam).

Hoewel Uber dat ontkent, toont het handelen na het ontdekken van de lek volgens de privacytoezichthouder aan dat het bedrijf de ernst van de situatie direct inzag. Het bedrag dat werd betaald aan de twee hackers die erachter kwamen dat de privégegevens toegankelijk waren, is tien keer zo hoog dan Uber toen gebruikelijk betaalde aan melders. Het bedrijf liet ze bovendien een geheimhoudingsverklaring tekenen, terwijl het eerder wel open was over meldingen. Uber hoopte vooral negatieve berichtgeving in de media te voorkomen, denkt de waakhond.

Oude privacywet De taxidienst moet 600.000 euro betalen. Omdat het datalek in 2016 was, is de boete nog uitgedeeld onder de oude privacywet. Dat betekent dat het bedrag maximaal had kunnen oplopen tot 820.000 euro. Onder de nieuwe regels – de zogeheten Algemene Verordening Gegevensbescherming (AVG) – had een overtreding van de meldplicht datalekken tot 10 miljoen euro, of tot 2 procent van de wereldwijde jaaromzet, kunnen kosten. Al blijft het voor Uber niet alleen bij de boete van de Nederlandse waakhond. Met de Amerikaanse autoriteiten trof het bedrijf een schikking van 148 miljoen dollar (dik 130 miljoen euro) vanwege het datalek. De Britse privacywaakhond legde het bedrijf een boete van dik 400.000 euro op. In verschillende andere landen loopt het onderzoek nog.

Server in de VS De privégegevens van de miljoenen gebruikers van de Uberapp waren vijf weken lang toegankelijk via een back-up op een server in de Verenigde Staten. Hackers maakten daarvoor gebruikt van de gebruikersnamen en wachtwoorden die eigenlijk alleen Uber-medewerkers toegang moeten geven, maar die eerder al waren gelekt. Direct na de melding is de beveiliging aangescherpt. Volgens Uber, die bij de AP nog bezwaar kan aantekenen tegen de boete, is de kans klein dat de gelekte gegevens zijn misbruikt. De toezichthouder veegt dat van tafel. Het datalek was niet alleen enorm, maar de gebruikers van de taxidienst zijn ook in hun persoonlijke levenssfeer geschaad toen hackers toegang kregen tot hun privédata.