Boete van 6 ton voor Uber om verzwijgen hack
Vervoersbedrijf Uber moet een boete van 600.000 betalen omdat het de hack die in 2016 plaatsvond bij het bedrijf te laat heeft gemeld bij toezichthouder Autoriteit Persoonsgegevens.
Bij de hack werden wereldwijd persoonsgegevens van 57 miljoen Uber-gebruikers buitgemaakt. Daar zaten de gegevens van zo'n 174.000 Nederlanders tussen. Uber had dit datalek, wat het officieel is, binnen 72 uur moeten melden aan de Autoriteit Persoonsgegevens.
Het boetebedrag bestaat uit twee delen: een voor het te laat melden en een boete omdat gebruikers niet zijn geïnformeerd, vertelt een woordvoerder van de AP.
'Heel ernstig feit'
Dat laatste rekent de toezichthouder het bedrijf zwaar aan: "Dat is een heel ernstig feit, want betrokkenen moet je zo snel mogelijk informeren omdat zij dan de mogelijkheid hebben om zelf actie te ondernemen." Dat is ook de reden dat de Autoriteit Persoonsgegevens de eerste boete ooit heeft uitgedeeld.
De boete die de AP op had kunnen leggen was overigens 1 miljoen euro in totaal. De AP kan boetes opleggen tussen de 120.000 en 500.000 euro. Hoe hoog het bedrag uitvalt, wordt per geval bekeken en hangt onder meer af van hoe zwaar het incident het bedrijf is aan te rekenen of hoeveel publiciteit er is geweest.
Jaar te laat gemeld
Uber meldde het voorval pas op 21 november vorig jaar aan de AP, terwijl de hack al op 15 november 2016 werd gepleegd, blijkt uit het boetebesluit. Tussen de melding en het incident zit dus ruim een jaar, in plaats van de maximale 72 uur.
In plaats van het te melden bij de autoriteiten, betaalde Uber 100.000 dollar aan de melders van de hack, losgeld om de gehackte data weer terug te krijgen.
Dat is niet het 'onverwijld' melden, wat volgens de toen nog geldende Wet beschermingspersoonsgegevens (Wbp) had gemoeten. Inmiddels is de Europese privacywetgeving AVG van kracht.
Reactie Uber
Uber is blij dat het hoofdstuk van het data-incident uit 2016 afgesloten kan worden, laat het bedrijf RTL Z weten. "We leren van onze fouten en werken dagelijks hard aan onze belofte om het vertrouwen van onze gebruikers terug te winnen", aldus een woordvoerder.
Het bedrijf gaat niet in beroep tegen de boete.
Britse boete
De Britse toezichthouder Information Commissioner's Office beboet het bedrijf ook, met 385.000 pond, omgerekend ruim 430.000 euro.
In Groot-Brittannië heeft het bedrijf met het verzwijgen van de hack de Britse Data Protection Act 1998 overtreden. Die is bedoeld voor het beschermen van privégegevens van individuen.
Nieuwe wet
Dat de Britse en Nederlandse toezichthouders boetes opleggen, is omdat er in die landen al wetgeving was die Uber heeft overtreden, in andere Europese landen niet. In de Verenigde Staten schikte Uber voor een bedrag van in totaal 148 miljoen dollar in september.
Inmiddels geldt de Europese privacywet GDPR. Als Uber onder die wetgeving was gestraft, was de boete waarschijnlijk véél hoger uitgevallen. Onder die wetgeving kunnen overtredingen bestraft worden met boetes van maximaal 20 miljoen euro óf, als dat bedrag hoger is, een boete maximaal of 4 procent van de jaaromzet.
De omzet van Uber kwam in 2016 uit op 6,5 miljard dollar. Dat zou dus een boete van 260 miljoen dollar hebben opgeleverd, omgerekend zo'n 230 miljoen euro.