Beheer

Privacy
Uber-passagier

'AVG-boete' voor Uber in Nederland

Schending van meldplicht voor datalekken kost Uber 6 ton in Nederland.

© Uber
27 november 2018

Schending van meldplicht voor datalekken kost Uber 6 ton in Nederland.

Taxidienst Uber krijgt in Nederland een boete van 600.000 euro in verband met een lek van persoonsgegevens van klanten en chauffeurs. Die boete werd door de Autoriteit Persoonsgegevens uitgedeeld. Uber had de toezichthouder en betrokkenen niet tijdig geïnformeerd.

Het datalek trof in 2016 wereldwijd ruim 57 miljoen Uber-gebruikers. In Nederland waren ongeveer 174.000 klanten en chauffeurs getroffen. "Het Uber-concern krijgt de boete omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd", meldt de Nederlandse privacytoezichthouder nu.

Bewust stilgehouden

Uber bracht pas in november vorig jaar naar buiten dat het bedrijf ruim een jaar eerder gehackt was. De hackers hadden onder meer namen, e-mailadressen en telefoonnummers van gebruikers van de taxi-app buitgemaakt. Om de diefstal stil te houden betaalde Uber de hackers 100.000 dollar.

Ook in Groot-Brittannië, waar 2,7 miljoen klanten en bijna 82.000 chauffeurs werden getroffen, kreeg Uber een boete vanwege de zaak. Toezichthouder ICO stelde de boete op 385.000 pond, een kleine 434.000 euro. De Amerikaanse Federal Trade Commission hield het in april nog bij een tik op de vingers voor Uber. Het Amerikaanse bedrijf trok in eigen land wel 148 miljoen dollar uit voor het schikken van schadeclaims.

Meer boetes mogelijk

De nu door de AP uitgedeelde boete is de eerste in een dergelijke situatie. In Europees verband is het mogelijk niet de laatste voor Uber. Het taxi-bedrijf wordt namelijk nog onderzocht door samenwerkende Europese privacytoezichthouders, waarbij de Nederlandse Autoriteit Persoonsgegevens een leidende rol vervult. In andere Europese landen kan Uber daarom ook nog boetes verwachten.

Update:

Uber Nederland benadrukt nog in een reactie aan AG Connect dat het geen AVG-boete is die de Autoriteit Persoonsgegevens (AP) nu oplegt, en ook dat het geen schending betreft van die Algemene verordening gegevensbescherming (GDPR in het Engels). Het datalekincident waarvoor Uber nu wordt beboet in Nederland vond namelijk plaats in 2016 en toen was deze Europese verordening voor privacybescherming nog niet van kracht. Nederland had echter al wel eigen regels voor privacybescherming, inclusief een meldplicht aan de Autoriteit Persoonsgegevens.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.