Nieuws

november 22, 2017

Uber betaalde zwijggeld voor stilhouden groot datalek

Uber, een internetonderneming die bemiddelt tussen reizigers en aanbieders van personenvervoer, is deze week negatief in het nieuws verschenen. Ongeveer een jaar geleden vond er bij Uber een hack plaats waar zo’n 57 miljoen persoonsgegevens werden gestolen. Wanneer een dergelijk datalek plaatsvindt, zal er een melding bij de toezichthouder gemaakt moeten worden van een datalek. Sinds vorig jaar is het in Nederland verplicht om dit soort datalekken zo snel mogelijk te melden bij de Autoriteit Persoonsgegevens (art. 34a Wbp en art. 33 AVG). Niet elk datalek moet worden gemeld, de wet heeft hier een aantal voorwaarden voor gesteld.

Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens dan moet een datalek moet worden gemeld bij de toezichthouder. Een melding doen is bijvoorbeeld verplicht wanneer het gaat om gevoelige gegevens zoals financiële gegevens, kopieën van identiteitsbewijzen, inloggegevens, school- en werkprestaties en gegevens die betrekking hebben op levensovertuiging of gezondheid. In het geval van Uber had men om kwantitatieve redenen melding moeten maken van de hack. Uber liet dit na en betaalde in plaats daarvan de hackers 100.000 dollar zwijggeld. De persoonsgegevens die op straat werden gegooid bestonden uit namen, e-mailadressen en telefoonnummers van zo’n 50 miljoen gebruikers van de app en 7 miljoen taxichauffeurs. De gegevens waren opgeslagen in een externe clouddienst van Amazon, zonder extra versleuteld te zijn. Deze grote fout kostte onder andere de kop van de hoogste veiligheidsbaas van Uber, Joe Sullivan. Waarom Uber er pas na een jaar mee naar buiten is gekomen is niet bekend.

De Britse privacywaakhond start een officieel onderzoek naar de hack van de 57 miljoen accountgegevens bij Uber. De Britse ICO (Information Commissioner’s Office) is niet op de hoogte gesteld van het datalek en liet weten dat opzettelijk verhullen van lekken voor toezichthouders en burgers hoge boetes kan opleveren. In Nederland kunnen deze boetes, onder de Wbp, momenteel oplopen tot maximaal EUR 820.000. Volgens de boetebeleidsregels van de AP valt een schending van artikel 34a Wbp in beginsel in Categorie II met een boetebandbreedte tussen EUR 120.000 en EUR 500.000. Onder de Algemene Verordening Gegevensbescherming (art. 83, lid 4), die vanaf mei 2018 zal worden gehandhaafd, zullen deze boetes worden verhoogd en kunnen ze oplopen tot EUR 10.000.000 of 2% van de jaarlijkse wereldwijde omzet.