600.000 boete voor Uber wegens te laat melden datalek

De Autoriteit Persoonsgegevens (AP) heeft Uber beboet met een bedrag van 600.000 euro. Het Amerikaanse bedrijf krijgt deze sanctie, omdat het een datalek niet op tijd heeft gemeld.

Uber ontdekte eind 2016 een datalek, maar heeft dit pas een jaar later bij de AP gemeld. Volgens de meldplicht datalekken had dit binnen 72 uur moeten gebeuren. Het bedrijf werd voor deze nalatigheid ook al beboet door de Britse privacytoezichthouder met 433.000 euro. In Amerika trof Uber een schikking voor 130 miljoen euro.

GitHub

In november 2016 kwam Uber erachter dat hacklers toegang tot chauffeur- en klantgegevens hadden gekregen die bij Amazon Web Services werden bewaard. Dit kon met een toegangssleutel die een Uber-engineer op GitHub had gepubliceerd. De aanvallers downloadden vervolgens onversleutelde bestanden met de e-mailadressen, namen en telefoonnummers van ruim 57 miljoen Uber-gebruikers. Daaronder bevonden zich de gegevens van 174.000 Nederlanders.

Melding

Vervolgens kreeg Uber het verzoek van de cybercriminelen om geld te betalen. Het bedrijf betaalde daarop 100.000 dollar om de data te laten verwijderen. Uber hield het incident verborgen, maar maakte het in november 2017 alsnog bekend. “De melding aan de AP heeft eerst plaatsgevonden op 21 november 2017. Op diezelfde dag heeft Uber een nieuwsbericht over het datalek op haar website gepubliceerd. Daarmee zijn de AP en betrokkenen niet onverwijld van het datalek in kennis gesteld,” aldus de AP.

Aanmelden voor onze nieuwsbrief