Autoriteit Persoonsgegevens legt eerste boete op

Uber krijgt een boete van 600.000 euro voor het te laat melden van een datalek. Het is voor het eerst dat de Nederlandse privacywaakhond Autoriteit Persoonsgegevens (AP) een boete oplegt.

Het gaat om een datalek dat in 2016 werd gevonden, waarbij onbevoegden toegang hadden tot persoonsgegevens van klanten en chauffeurs, meldt AP dinsdag.

eerste boete autoriteit persoonsgegevensUber had dat lek binnen 72 uur na het vinden moeten melden bij zowel de betrokkenen als AP. Het taxibedrijf verzweeg het lek echter, en betaalde de verantwoordelijke hackers zelfs 100.000 dollar (omgerekend zo’n 88.000 euro) om het lek te verzwijgen.

AP legt voor het eerst een boete op wegens de ernst en de verwijtbaarheid van het lek, zegt een woordvoerder van de toezichthouder. “Uber heeft het lek willens en wetens verzwegen”, aldus AP.

“We zijn blij dat we het hoofdstuk van het data incident uit 2016 kunnen afsluiten”, zegt een woordvoerder van Uber. Het taxibedrijf wijst op technische verbeteringen die zijn toegepast direct na het incident en de jaren daarna. Ook wijst Uber op wijzigingen in de bedrijfstop.

“Zo hebben we eerder dit jaar onze eerste Chief Privacy Officer, Data Protection Officer en een nieuwe Chief Trust en Security Officer aangetrokken. We leren van onze fouten en werken dagelijks hard aan onze belofte om het vertrouwen van onze gebruikers terug te winnen”, aldus het taxibedrijf.

Verenigd Koninkrijk geeft boete van 435.000 euro

Hackers vonden bij het lek de namen, e-mailadressen en mobiele telefoonnummers van 57 miljoen mensen, 50 miljoen klanten en 7 miljoen chauffeurs. Van 600.000 Uber-chauffeurs zijn rijbewijsgegevens op straat komen liggen. Het lek trof zo’n 174.000 Nederlandse klanten en chauffeurs.

Hoewel het lek al op 14 november 2016 bij Uber bekend was, kreeg AP pas ruim een jaar later, op 21 november 2017, melding van het lek. Uber krijgt de boete nog onder de regels van de Wet bescherming persoonsgegevens (Wbp). Omdat het om een incident gaat uit 2016 is de boete nog relatief laag. Sinds mei 2018 kan de AP veel hogere boetes opleggen.

AP startte in november 2017 samen met andere Europese toezichthouders een onderzoek naar het datalek. De werkgroep bestond uit privacytoezichthouders uit België, Duitsland, Frankrijk, Italië, Nederland, Spanje en het Verenigd Koninkrijk. Nederland richtte zich bewust op de verzuimde meldplicht, omdat dat vóór het ingaan van de AVG alleen in ons land strafbaar was.

Boete had nog hoger kunnen zijn

De Wpb was tot 25 mei van dit jaar in Nederland van kracht, en werd toen opgevolgd door de Europese privacywet Algemene verordening gegevensbescherming (AVG).

De AVG geeft bedrijven meer plichten bij het omgaan met persoonsgegevens, burgers meer rechten en laat de toezichthouder bovendien hogere boetes opleggen dan bij de Wpb het geval was. Onder de AVG kunnen toezichthouders boetes opleggen tot 10 miljoen euro, of 2 procent van de totale wereldwijde jaaromzet van een bedrijf, waarbij het hoogste van die twee bedragen wordt toegepast.

Onder de Wpb gold een lagere maximale boete. Toch is het voor het eerst dat de Autoriteit Persoonsgegevens een boete oplegt voor het niet melden van een datalek. Tot de invoering van de AVG was het in veel Europese landen nog niet verplicht een datalek binnen een bepaalde tijd te melden, de Nederlandse wet regelde dit echter al wel.

Bron: NU.nl