'AVG-boete' voor Uber in Nederland

Het datalek trof in 2016 wereldwijd ruim 57 miljoen Uber-gebruikers. In Nederland waren ongeveer 174.000 klanten en chauffeurs getroffen. "Het Uber-concern krijgt de boete omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd", meldt de Nederlandse privacytoezichthouder nu.

Bewust stilgehouden

Uber bracht pas in november vorig jaar naar buiten dat het bedrijf ruim een jaar eerder gehackt was. De hackers hadden onder meer namen, e-mailadressen en telefoonnummers van gebruikers van de taxi-app buitgemaakt. Om de diefstal stil te houden betaalde Uber de hackers 100.000 dollar.

Ook in Groot-Brittannië, waar 2,7 miljoen klanten en bijna 82.000 chauffeurs werden getroffen, kreeg Uber een boete vanwege de zaak. Toezichthouder ICO stelde de boete op 385.000 pond, een kleine 434.000 euro. De Amerikaanse Federal Trade Commission hield het in april nog bij een tik op de vingers voor Uber. Het Amerikaanse bedrijf trok in eigen land wel 148 miljoen dollar uit voor het schikken van schadeclaims.

Meer boetes mogelijk

De nu door de AP uitgedeelde boete is de eerste in een dergelijke situatie. In Europees verband is het mogelijk niet de laatste voor Uber. Het taxi-bedrijf wordt namelijk nog onderzocht door samenwerkende Europese privacytoezichthouders, waarbij de Nederlandse Autoriteit Persoonsgegevens een leidende rol vervult. In andere Europese landen kan Uber daarom ook nog boetes verwachten.

Update:

Uber Nederland benadrukt nog in een reactie aan AG Connect dat het geen AVG-boete is die de Autoriteit Persoonsgegevens (AP) nu oplegt, en ook dat het geen schending betreft van die Algemene verordening gegevensbescherming (GDPR in het Engels). Het datalekincident waarvoor Uber nu wordt beboet in Nederland vond namelijk plaats in 2016 en toen was deze Europese verordening voor privacybescherming nog niet van kracht. Nederland had echter al wel eigen regels voor privacybescherming, inclusief een meldplicht aan de Autoriteit Persoonsgegevens.