Uber krijgt een boete van 600.000 euro voor het te laat melden van een datalek. Het is voor het eerst dat de Nederlandse privacywaakhond Autoriteit Persoonsgegevens (AP) een boete oplegt. Uber krijgt daarnaast een boete van omgerekend 435.000 euro van het Verenigd Koninkrijk.

Het gaat om een datalek dat in 2016 werd gevonden, waarbij onbevoegden toegang hadden tot persoonsgegevens van klanten en chauffeurs, meldt AP dinsdag.

Uber had dat lek binnen 72 uur na het vinden moeten melden bij zowel de betrokkenen als AP. Het taxibedrijf verzweeg het lek echter, en betaalde de verantwoordelijke hackers zelfs 100.000 dollar (omgerekend zo'n 88.000 euro) om het lek te verzwijgen. 

AP legt voor het eerst een boete op wegens de ernst en de verwijtbaarheid van het lek, zegt een woordvoerder van de toezichthouder. "Uber heeft het lek willens en wetens verzwegen", aldus AP. 

“We zijn blij dat we het hoofdstuk van het data incident uit 2016 kunnen afsluiten", zegt een woordvoerder van Uber. Het taxibedrijf wijst op technische verbeteringen die zijn toegepast direct na het incident en de jaren daarna. Ook wijst Uber op wijzigingen in de bedrijfstop.  

"Zo hebben we eerder dit jaar onze eerste Chief Privacy Officer, Data Protection Officer en een nieuwe Chief Trust en Security Officer aangetrokken. We leren van onze fouten en werken dagelijks hard aan onze belofte om het vertrouwen van onze gebruikers terug te winnen", aldus het taxibedrijf.

Verenigd Koninkrijk geeft boete van 435.000 euro

Hackers vonden bij het lek de namen, e-mailadressen en mobiele tele  foonnummers van 57 miljoen mensen, 50 miljoen klanten en 7 miljoen chauffeurs. Van 600.000 Uber-chauffeurs zijn rijbewijsgegevens op straat komen liggen. Het lek trof zo'n 174.000 Nederlandse klanten en chauffeurs.

Hoewel het lek al op 14 november 2016 bij Uber bekend was, kreeg AP pas ruim een jaar later, op 21 november 2017, melding van het lek. Uber krijgt de boete nog onder de regels van de Wet bescherming persoonsgegevens (Wbp).

AP startte in november 2017 samen met andere Europese toezichthouders een onderzoek naar het datalek. De werkgroep bestond uit privacytoezichthouders uit België, Duitsland, Frankrijk, Italië, Nederland, Spanje en het Verenigd Koninkrijk. Nederland richtte zich bewust op de verzuimde meldplicht, omdat dat vóór het ingaan van de AVG alleen in ons land strafbaar was. 

De Britse Information Commissioner's Office heeft Uber voor hetzelfde incident boete opgelegd. In het VK moet Uber 385.000 pond (omgerekend zo'n 435.000 euro) betalen.

Boete had nog hoger kunnen zijn

De Wpb was tot 25 mei van dit jaar in Nederland van kracht, en werd toen opgevolgd door de Europese privacywet Algemene verordening gegevensbescherming (AVG).

De AVG geeft bedrijven meer plichten bij het omgaan met persoonsgegevens, burgers meer rechten en laat de toezichthouder bovendien hogere boetes opleggen dan bij de Wpb het geval was. Onder de AVG kunnen toezichthouders boetes opleggen tot 10 miljoen euro, of 2 procent van de totale wereldwijde jaaromzet van een bedrijf, waarbij het hoogste van die twee bedragen wordt toegepast.

Onder de Wpb gold een lagere maximale boete. Toch is het voor het eerst dat de Autoriteit Persoonsgegevens een boete oplegt voor het niet melden van een datalek. Tot de invoering van de AVG was het in veel Europese landen nog niet verplicht een datalek binnen een bepaalde tijd te melden, de Nederlandse wet regelde dit echter al wel.

Vaker hoge boetes bij datalekken

In de VS trof Uber een schikking met toezichthouder Federal Trade Commission (FTC), waardoor van een boete geen sprake was.

Bedrijven krijgen vaker boetes opgelegd voor het niet melden van datalekken. Zo kreeg Yahoo eerder dit jaar een boete van 35 miljoen dollar voor het niet melden van een datalek waarbij gegeven van een half miljard accounts werden gestolen. De Amerikaanse hotelketen Hilton schikte in 2017 voor 700.000 dollar wegens het niet melden van een datalek.