Boete voor Uber om verzwijgen datalek, UBER Leak - Claimshare
Terug Deel dit bericht

Boete voor Uber om verzwijgen datalek

27 november 2018

De Autoriteit Persoonsgegevens (AP) heeft Uber B.V. en Uber Technologies Inc. een bestuurlijke boete opgelegd van €600.000,- omdat zij het grootschalige datalek uit 2016 te laat hebben gemeld bij de Autoriteit Persoonsgegevens en klanten van Uber niet hebben geïnformeerd over de diefstal van hun persoonsgegevens. Het boetebesluit sluit af met het oordeel dat Uber grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig heeft gehandeld. 

De vier belangrijkste conclusies van het boetebesluit van de AP luiden als volgt:

1. Er bestond een meldplicht voor Uber

De verschillende factoren van het datalek, zoals de omvang ervan, de betrokken persoonsgegevens, het grote aantal verschillende soorten persoonsgegevens, het type persoonsgegevens (namen, e-mailadressen en telefoonnummers) alsmede het feit dat het persoonsgegevens betreft van klanten van één specifieke – wereldwijd opererende – onderneming, maken dat het datalek had moeten worden gemeld. 

De AP oordeelt dat 'deze persoonsgegevens extra aantrekkelijk zijn om bijvoorbeeld te worden doorverkocht ten behoeve van activiteiten als‘(spear)phishing’, ongewenste reclame (spam) en/of ongewilde telefonische colportage'.

2. Het datalek is niet tijdig door Uber gemeld aan de AP

De melding van het datalek aan de AP is op 21 november 2017 verricht en daarmee (maar liefst) 371 dagen na de ontdekking op 14 november 2016 medegedeeld. Het voorgeschreven termijn van 72 uur is hiermee ruimschoots overschreden.

3. Het datalek is niet door Uber gemeld aan de gedupeerden

Er bestaat ook een meldplicht van het datalek naar de gedupeerden toe. Ingevolge deze meldplicht moet de gedupeerde onverwijld in kennis worden gesteld als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 

De dataset is extra aantrekkelijk voor hackers om te worden doorverkocht ten behoeve van activiteiten zoals spam, juist vanwege o.a. de omvang en de soort persoonsgegevens. Deze verschillende factoren maken dat er sprake is van (waarschijnlijk) ongunstige gevolgen voor een gedupeerde. 

De AP concludeert ten aanzien van dit punt dat: "het belangrijkste is, dat zoveel mogelijk betrokkenen worden bereikt en geïnformeerd over de door hem of haar zelf te treffen maatregelen om de gevolgen voor de persoonlijke levenssfeer zoveel mogelijk te beperken. Met enkel een bericht in de media wordt dat doel niet bereikt."

4. Uber kan ernstige nalatigheid worden verweten

Naar het oordeel van de AP was het management van Uber zich bewust van de ernst van het datalek  en was het Uber er alles aan gelegen om het datalek geheim te houden, althans om openbaarheid te voorkomen.

Het feit dat Uber B.V. en Uber Technologies hebben nagelaten het datalek tijdig bij de AP te melden en gedupeerden van het datalek tijdig in kennis te stellen is het gevolg van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Uber B.V. en Uber Technologies Inc. kunnen tegen het boetebesluit bij de AP bezwaar maken binnen zes weken. Het besluit van de AP gaat niet in op de vraag of gedupeerden alsnog (individueel) moeten worden geïnformeerd over het datalek. 

Thumb uber leak claim filter blauw