De Autoriteit Persoonsgegevens heeft vandaag een boete uitgedeeld en de (on)gelukkige is taxibedrijf Uber. Zij mogen €600.000 aan de Nederlandse toezichthouder overboeken omdat zij een datalek niet binnen 72 uur na het ontdekken ervan hebben gemeld.

Gegevens van 57 miljoen gebruikers gelekt
Uber maakt het mogelijk om via een app een taxirit te bestellen. Gebruikers die een taxi willen bestellen via Uber worden gekoppeld aan chauffeurs die via de Uber Driver app de aanvragen vervolgens kunnen accepteren of weigeren. Chauffeurs maken gebruik van hun eigen auto en zijn niet in dienst bij Uber. Zowel gebruikers als chauffeurs moeten een account aanmaken om gebruik te kunnen maken van respectievelijk Uber en Uber Driver. Hiervoor zijn ze verplicht hun voor- en achternaam, telefoonnummer en e-mailadres op te geven. Het doel van deze gegevensverwerking is onder andere het bij elkaar brengen van vraag naar en aanbod van taxiritten en het verwerken van betaalgegevens.

Van 13 oktober 2016 tot 15 november 2016 waren persoonsgegevens die Uber had opgeslagen toegankelijk voor onbevoegde personen buiten het Uber-concern. In die periode zijn database back-upbestanden gedownload, waarmee cyberinbrekers toegang kregen tot onversleutelde persoonsgegevens van 174.000 Nederlandse gebruikers. In totaal zijn er gegevens gelekt van meer dan 57 miljoen gebruikers, waarvan meer dan 25 miljoen uit Amerika en meer dan 31 miljoen uit de rest van de wereld.

Hackers kregen zwijggeld
Uber werd op 14 november 2016 op de hoogte gesteld van het datalek. Zij kregen een e-mail van hackers, die een “high compensation” verwachtten voor het onder de aandacht brengen van het datalek. Op 15 november 2016 nam Uber maatregelen tegen het datalek. In dezelfde week werd overeengekomen dat er in totaal $100.000 in bitcoins betaald zou worden aan de hackers, in ruil voor geheimhouding en vernietiging van de gestolen data. Dit bedrag is substantieel hoger dan eerdere bedragen die het taxibedrijf betaalde als er kwetsbaarheden werden gemeld. Op 21 november 2017, meer dan een jaar later, doet Uber melding van het datalek bij de AP.

Volgens de wet moet je een datalek zonder onnodige vertraging, indien mogelijk binnen 72 uur na de ontdekking ervan, melden bij de AP. Als het echt niet lukt binnen 72 uur moet je daar een goede reden voor hebben. Als nog niet duidelijk is wat er gebeurd is en om welke persoonsgegevens het gaat, is het ook mogelijk om een voorlopige melding te doen en die later aan te vullen of in te trekken. In de praktijk zal er daarom zelden een reden zijn om niet binnen 72 uur melding van een datalek te doen. De melding van Uber kwam pas na 371 dagen. Dat zijn ongeveer 8904 uren, heel wat meer dan de 72 uur (na ontdekking) waarbinnen een datalek gemeld hoort te worden. Volgens de AP had Uber het datalek al op 15 november 2016 moeten melden.

Boete opgelegd onder de Wbp
Uber betoogt zelf dat het datalek geen ernstig nadelige gevolgen voor betrokkenen zou hebben en dat er geen bijzondere persoonsgegevens waren gelekt. Daarom zou een melding niet nodig zijn geweest. Toch hebben zij hackers beloond met hoge bedragen om het incident geheim te houden en de data te vernietigen. Volgens de AP impliceert dit dat Uber het datalek zelf wel degelijk als bijzonder ernstig beschouwde. En dat is het volgens de toezichthouder ook: de kans op ernstig nadelige gevolgen voor betrokkenen is aanzienlijk. De gelekte gegevens zijn mede door de omvang en het grote aantal verschillende gegevens (namen, e-mailadressen en telefoonnummers) aantrekkelijk om te worden doorverkocht voor activiteiten als (spear) phishing, spam of ongewilde telefonische marketing. Om de AP te citeren: Uber heeft “grof, aanzienlijk, onzorgvuldig, onachtzaam dan wel onoordeelkundig” gehandeld, waardoor sprake is van ernstige verwijtbare nalatigheid. Een boete van €600.000 is het gevolg.

Op het moment van de datalek was de Wet bescherming persoonsgegevens nog van kracht. Er is bij de beoordeling van deze casus dan ook aan die wet getoetst en niet aan de AVG, die pas op 25 mei 2018 in werking is getreden. Zowel in de Wbp als in de AVG is er sprake van een meldplicht voor datalekken. Onder beide regimes is het mogelijk om een boete op te leggen als de meldplicht datalekken niet nageleefd wordt. Onder de Wbp kon de boete maximaal €820.000 bedragen, onder de AVG is dit maximaal €10.000.000 of 2% van de wereldwijde jaaromzet. Wat dat betreft is Uber er nu dus nog goed vanaf gekomen.

Internationale betalingen
Uber viel vandaag ook in de prijzen bij de Britse toezichthouder. Het Information Commissioner’s Office heeft een boete van £385,000 opgelegd omdat er gedurende de periode van het datalek gegevens van 2,7 miljoen Britse Uber-gebruikers en 82.000 chauffeurs zijn gelekt. In september dit jaar schikte Uber al voor $148 miljoen met alle 50 Verenigde Staten in rechtszaken over dit datalek.

Deze zaak maakt duidelijk dat nalatig gedrag door multinationals die veel gegevens verwerken steeds minder getolereerd wordt en dat toezichthouders er niet langer voor terugdeinzen om boetes uit te delen. Multinational of niet, zorg er dus voor dat je datalekken tijdig meldt bij de toezichthouder. Neem contact met ons op als je hier vragen over hebt.

Bron: Autoriteit Persoonsgegevens