Autoriteit Persoonsgegevens beboet Uber voor overtreden meldplicht datalekken

De Autoriteit Persoonsgegevens (AP) heeft Uber B.V. en Uber Technologies, Inc (UTI) een boete van €600.000 opgelegd voor het overtreden van de meldplicht datalekken. De boete voor Uber is de eerste significante boete die ooit in Nederland voor schending van de privacyregels is opgelegd.

Hoewel de boete op basis van de oude wetgeving is opgelegd, heeft de AP in haar boetebesluit van 6 november 2018 nadrukkelijk verwezen naar de Algemene Verordening Gegevensbescherming (AVG) en die nieuwe regelgeving bij de beoordeling betrokken. Het is een duidelijk signaal van AP: schendingen van de privacy kunnen en gaan tot hoge boetes leiden. De AP heeft haar tanden voor het eerst laten zien. De impact van het besluit op het bedrijfsleven is vermoedelijk groot. Eventuele laatste twijfel over het belang van privacyregels zal hiermee zijn weggenomen.

Gegevens van 57 miljoen mensen gelekt

Het Uber-concern biedt een dienst aan die het mogelijk maakt om taxiritten te bestellen via een applicatie. De gegevens van chauffeurs en gebruikers van de Uber-app buiten de Verenigde Staten worden doorgestuurd vanuit Nederland naar de Verenigde Staten. Daar worden zij opgeslagen op servers van UTI in de Verenigde Staten. Op 14 november 2016 is UTI door een e-mailbericht van een groep hackers op de hoogte gesteld van een kwetsbaarheid in haar gegevensbeveiliging. Door middel van een hack kreeg deze groep hackers toegang tot de gegevens van Uber-gebruikers en Uber-chauffeurs. Later onderzoek leerde dat het ging om gegevens van 57 miljoen personen, waarvan 174.000 Nederlanders. Het ging om verschillende persoonsgegevens, zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs. Deze gegevens hadden doorverkocht kunnen worden voor bijvoorbeeld phishing, ongewenste reclame en colportage. Het datalek vond plaats vanaf 13 oktober 2016. Op 15 november 2016 heeft UTI het datalek verholpen.

Hoe Uber omging met het datalek

Ten tijde van het datalek gold de Wet bescherming persoonsgegevens (Wbp), inmiddels vervangen door de AVG. De Wbp kende, net als de AVG, een meldplicht datalekken. Op grond van deze meldplicht dient de verantwoordelijke de AP zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, in kennis te stellen van een datalek. De melding is door Uber pas gedaan op 21 november 2017. De periode van 72 uur die voor melding geldt, is dus bij lange na niet gerespecteerd. Volgens de AP zijn Uber B.V. en UTI als gezamenlijk verantwoordelijke aan te melden. Op zowel Uber B.V. als UTI lag dus de plicht om het datalek zonder onnodige vertraging te melden. Evenmin heeft Uber de betrokken gebruikers tijdig en op de voorgeschreven wijze geïnformeerd. Deze omstandigheden rechtvaardigen volgens de AP een boete van €600.000.