Uber krijgt een boete van 600.000 euro

De Autoriteit Persoonsgegevens heeft Uber B.V. en Uber Technologies Inc (UTI) een boete van 600.000 euro opgelegd voor het te laat melden van een datalek die plaats heeft gevonden op 14 november 2016.

Op 14 november 2016 had Uber ontdekt dat aanvallers toegang tot klant en chauffeur gegevens hadden bemachtigd die bij Amazon Web Services waren opgeslagen. De aanval was mogelijk omdat de aanvallers toegang kregen tot een toegangssleutel die een Uber-engineer op een privé GitHub had geplaatst. Op de Amazon cloudserver werden onversleutelde bestanden van maar liefs 57 miljoen klanten en chauffeursgegevens door de aanvallers gedownload.

"De melding aan de AP heeft pas plaatsgevonden op 21 november 2017. Op diezelfde dag heeft Uber een nieuwsbericht over het datalek op haar website gepubliceerd. Daarmee zijn de AP en betrokkenen niet onverwijld van het datalek in kennis gesteld", zo laat de toezichthouder in het boetebesluit weten. Het bedrijf had de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van het datalek moeten inlichten. Hierdoor heeft Uber de meldplicht datalekken overtreden.

Het boetebesluit is te downloaden via de website van de Autoriteit Persoonsgegevens.