De eerste boete van de privacywaakhond is voor Uber voor het duperen van miljoenen gebruikers

Beeld EPA

Voor de eerste keer ooit heeft de Nederlandse privacywaakhond een boete opgelegd. Taxidienst Uber lekte de privégegevens van ruim 57 miljoen gebruikers en betaalde de hackers 100.000 dollar (dik 88.000 euro) om dat stil te houden. Pas dik een jaar later werd het lek gemeld bij de Autoriteit Persoonsgegevens (AP). Volgens de wet moet dat binnen 72 uur. 

Volgens de AP heeft Uber daarmee een onaanvaardbaar risico genomen. Het gaat niet alleen om een enorme dataset van 174.000 Nederlandse, en wereldwijd miljoenen gebruikers, maar ook om veel soorten gegevens: 31 categorieën in totaal, waaronder namen, telefoonnummers, e-mailadressen en locaties. De data zijn aantrekkelijk om te worden doorverkocht, aldus de AP. Criminelen kunnen het bijvoorbeeld misbruiken voor het sturen van nepmails (phishing) of ongewenste reclame (spam). 

Hoewel Uber dat ontkent, toont het handelen na het ontdekken van de lek volgens de privacytoezichthouder aan dat het bedrijf de ernst van de situatie direct inzag. Het bedrag dat werd betaald aan de twee hackers die erachter kwamen dat de privégegevens toegankelijk waren, is tien keer zo hoog als Uber toen gebruikelijk betaalde aan melders. Het bedrijf liet ze bovendien een geheimhoudingsverklaring tekenen, terwijl het eerder wel open was over meldingen. Uber hoopte vooral negatieve berichtgeving in de media te voorkomen, denkt de waakhond. 

Oude privacywet

De taxidienst moet 600.000 euro betalen. Omdat het datalek in 2016 was, is de boete nog uitgedeeld onder de oude privacywet. Dat betekent dat het bedrag maximaal had kunnen oplopen tot 820.000 euro. Onder de nieuwe regels – de zogeheten Algemene Verordening Gegevensbescherming (AVG) – had een overtreding van de meldplicht datalekken tot 10 miljoen euro, of tot 2 procent van de wereldwijde jaaromzet, kunnen kosten. 

Al blijft het voor Uber niet alleen bij de boete van de Nederlandse waakhond. Met de Amerikaanse autoriteiten trof het bedrijf een schikking van 148 miljoen dollar (dik 130 miljoen euro) vanwege het datalek. De Britse privacywaakhond legde het bedrijf een boete van dik 400.000 euro op. In verschillende andere landen loopt het onderzoek nog. 

Server in de VS 

De privégegevens van de miljoenen gebruikers van de Uberapp waren vijf weken lang toegankelijk via een back-up op een server in de Verenigde Staten. Hackers maakten daarvoor gebruikt van de gebruikersnamen en wachtwoorden die eigenlijk alleen Uber-medewerkers toegang moeten geven, maar die eerder al waren gelekt. Direct na de melding is de beveiliging aangescherpt. 

Volgens Uber, die bij de AP nog bezwaar kan aantekenen tegen de boete, is de kans klein dat de gelekte gegevens zijn misbruikt. De toezichthouder veegt dat van tafel. Het datalek was niet alleen enorm, maar de gebruikers van de taxidienst zijn ook in hun persoonlijke levenssfeer geschaad toen hackers toegang kregen tot hun privédata. 

Lees ook: 

Sinds de invoering van de nieuwe privacywet, kwamen er dik 7000 klachten en tips binnen over vermeende schendingen. Privacy staat plots hoog op de agenda’s, concludeert de waakhond zelf op basis van die cijfers.

Een jaar geleden vroegen deskundigen zich nog af waarom organisaties die privégegevens van burgers verliezen, daar nog ongestraft mee weg konden komen. Begin 2016  werd het verplicht een datalek te melden,  maar pas nu werd er voor het eerst een boete uitgedeeld. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden