Nieuws

november 06, 2018

Uber| AVG-boete wegens het verzwijgen van een datalek

In de loop van 2016 vond er bij Uber een hack plaats waar zo’n 57 miljoen persoonsgegevens werden gestolen. Wanneer een dergelijk datalek plaatsvindt, zal er een melding bij de toezichthouder gemaakt moeten worden van een datalek. Het in Nederland verplicht om dit soort datalekken zo snel mogelijk (en uiterlijk binnen 72 uur na ontdekking) te melden bij de Autoriteit Persoonsgegevens (artikel 34a Wbp en art. 33 AVG). Niet elk datalek moet worden gemeld, de wet heeft hier een aantal voorwaarden voor gesteld.

Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens dan moet een datalek moet worden gemeld bij de toezichthouder. Een melding doen is bijvoorbeeld verplicht wanneer het gaat om gevoelige gegevens zoals financiële gegevens, kopieën van identiteitsbewijzen, inloggegevens, school- en werkprestaties en gegevens die betrekking hebben op levensovertuiging of gezondheid.

In het geval van Uber had men om kwantitatieve redenen melding moeten maken van de hack. De persoonsgegevens die op straat kwamen bestonden uit namen, e-mailadressen en telefoonnummers van zo’n 50 miljoen gebruikers van de app en 7 miljoen taxichauffeurs, waarvan 174.000 Nederlanders. De gegevens waren opgeslagen in een externe clouddienst van Amazon, zonder extra versleuteld te zijn.

De Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens heeft een boete van €600.000 opgelegd wegens het niet tijdig mededelen van het datalek. Deze grote fout kostte onder andere de kop van de hoogste veiligheidsbaas van Uber, Joe Sullivan. Waarom Uber er pas na een jaar mee naar buiten is gekomen is niet bekend.