Het zat er al aan te komen. Eind vorige week schreven we al dat de eerste AVG-boete in Nederland niet lang meer op zich zal laten wachten. Vandaag is het al zover. De Autoriteit Persoonsgegevens (AP) heeft Uber B.V. en Uber Technologies, Inc (UTI) een boete van 600.000 euro opgelegd voor het overtreden van de meldplicht datalekken.
In 2016 vond een datalek bij het Uber-concern plaats waarbij onbevoegden toegang kregen tot persoonsgegevens van klanten en chauffeurs. Het Uber-concern krijgt de boete omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek hebben geïnformeerd.
Wereldwijd werden er ruim 57 miljoen Uber-gebruikers getroffen door dit datalek onder wie ongeveer 174.000 Nederlanders. Het ging om persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs.
In 2017 kwam Uber pas met het nieuws naar buiten dat hun systemen in 2016 gehackt zijn. Daarbij zijn gegevens van 50 miljoen klanten en 7 miljoen chauffeurs buitgemaakt. Voor klanten betekent het dat hun namen, e-mail adressen en telefoonnummers bekend zijn bij de hackers en voor chauffeurs wordt die data uitgebreid met de kentekens van hun auto’s. Er werden geen creditcardgegevens of wachtwoorden buitgemaakt en ook andere data is niet meegenomen.
Dat is op zich allemaal kwalijk genoeg, maar waarom kwam dat pas een jaar later naar buiten? Uber was zich destijds la bewust van het feit dat het datalek veel eerder gemeld had moeten worden. Het toenmalige hoofd security heeft het incident in de doofpot gestopt. En daar volgt nu dus de boete voor.
[Afbeelding © F8studio – Adobe Stock]
