De Autoriteit Persoonsgegevens (AP) heeft voor het eerst een boete opgelegd. Vervoersbedrijf Uber moet een boete van 600.000 euro betalen voor het te laat melden van een datalek. In 2016 hadden onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs. Uber werd door hackers op de hoogte gesteld, maar besloot het datalek te verzwijgen.
Door Kirsten Rolloos
Het datalek betrof namen, e-mailadressen en telefoonnummers van Uber-gebruikers en chauffeurs. Wereldwijd werden 57 miljoen gebruikers getroffen, waaronder 174.000 Nederlanders. Volgens de toen nog geldende Wet bescherming persoonsgegevens (Wbp) had Uber het datalek binnen 72 uur moeten melden bij de AP en onverwijld bij de betrokkenen. Het lek werd echter verzwegen, en de verantwoordelijke hackers kregen van Uber zelfs donderdduizend dollar om het lek te verzwijgen.
AP legt de boete op wegens de ernst en de verwijtbaarheid van het lek. Uber heeft het lek willens en wetens verzwegen, aldus AP. De boete is nu pas opgelegd, omdat AP pas op 21 november 2017 melding kreeg van het lek. In november 2017 startte AP samen met andere Europese privacywaakhonden een onderzoek. Voor hetzelfde incident heeft Uber van het Verenigd Koninkrijk een boete van omgerekend 435.000 euro opgelegd gekregen.
Waarschijnlijk schrikt Uber niet van de Europese boetes. In de VS trof het taxibedrijf een schikking in deze zaak van 148 miljoen dollar. Toch is het verstandig als Uber in het vervolg datalekken direct meldt. Als Uber onder de nieuwe Algemene Verordening Gegevensbescherming (AVG) was gestraft, dan was de boete veel hoger uitgevallen. Onder de Wpb gold een lagere maximale boete. Toezichthouders kunnen onder de AVG boetes opleggen tot tien miljoen euro, of twee procent van de totale wereldwijde jaaromzet van een bedrijf. Een volgende keer zou de boete dus zo’n 115 miljoen euro kunnen bedragen.
Een woordvoerder van Uber heeft laten weten dat het bedrijf leert van haar fouten en hard werkt om het vertrouwen van de gebruikers terug te winnen. Uber heeft technische verbeteringen toegepast na het incident.