image

Uber krijgt boete van 600.000 euro voor te laat melden datalek

dinsdag 27 november 2018, 10:33 door Redactie, 2 reacties
Laatst bijgewerkt: 27-11-2018, 13:36

De Autoriteit Persoonsgegevens heeft Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek in 2016. De Britse privacytoezichthouder legde vanwege hetzelfde incident een boete van omgerekend 433.000 euro op.

In november 2016 ontdekte Uber dat aanvallers toegang tot chauffeur- en klantgegevens hadden gekregen die bij Amazon Web Services waren opgeslagen. Dit was mogelijk door een toegangssleutel die een Uber-engineer op GitHub had geplaatst. Op de Amazon-cloudserver werden onversleutelde bestanden met de e-mailadressen, namen en telefoonnummers van tientallen miljoenen klanten en honderdduizenden chauffeurs door de aanvallers gedownload.

De aanvallers stuurden Uber vervolgens een e-mail waarin ze om geld vroegen. Uber betaalde de aanvallers 100.000 dollar om de data te verwijderen en besloot het datalek te verzwijgen, tot het bedrijf het incident in november 2017 zelf bekendmaakte. Het ging om de gegevens van 50 miljoen Uber-klanten, alsmede de data van 7 miljoen chauffeurs. Ook de gegevens van 174.000 Nederlanders werden gestolen.

"De melding aan de AP heeft eerst plaatsgevonden op 21 november 2017. Op diezelfde dag heeft Uber een nieuwsbericht over het datalek op haar website gepubliceerd. Daarmee zijn de AP en betrokkenen niet onverwijld van het datalek in kennis gesteld", zo laat de toezichthouder in het boetebesluit weten. Het bedrijf had de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van het datalek moeten inlichten. Hierdoor heeft Uber de meldplicht datalekken overtreden. Uber kan nog wel tegen de boete in beroep gaan.

Groot-Brittannië en VS

De Britse privacytoezichthouder ICO legde Uber vanwege het datalek een boete van omgerekend 433.000 euro op. Het bedrijf had onvoldoende technische en organisatorische maatregelen genomen om het onrechtmatig verwerken van gegevens en het lekken van persoonlijke data te voorkomen en was daarmee in overtreding van de Britse privacywetgeving uit 1998. De ICO hekelde ook het feit dat klanten en chauffeurs niet werden ingelicht.

In september trof Uber in de Verenigde Staten nog een schikking van 148 miljoen dollar wegens het datalek. Als onderdeel van deze schikking moet het bedrijf ook een meldplicht voor datalekken implementeren en beveiligingsmaatregelen doorvoeren. Verder moet er een integriteitsprogramma komen zodat medewerkers onethisch gedrag kunnen melden.

Update

Uber laat in een reactie aan Security.nl weten dat het niet tegen de boete in beroep gaat. "We zijn blij dat we het hoofdstuk van het data incident uit 2016 kunnen afsluiten", aldus een woordvoerder.

Image

Reacties (2)
27-11-2018, 17:33 door W.T.
Daar gaan we weer.
Een groot bedrijf maakt fouten, wordt beboet en de gedupeerde wordt niet schadeloos gesteld.
De klant lijdt schade en de Autoriteit Persoonsgegevens strijkt de centen op.

Met Microsoft, Google en vele anderen ging het net zo.
Het europees parlement begon rechtszaken, streek de centen op ( vele miljoenen euro's ) en heeft u geld op uw rekening bij geschreven/gestort gezien? Ik niet!
Weet u nog?
De Rabobank en de Libor rente? U en ik leden schade door een te hoge rekenrente, heeft u 1 cent gezien van de vele miljoenen schadevergoeding omdat u en ik de dupe werden?

Ik denk het niet omdat ze ( de diverse overheden ) er als de kippen bij zijn om te zorgen dat het grote geld in hun zakken verdwijnt.

Dat wilde ik hier duidelijk maken, want elke nederlandse ingezetene moet weten hoe wij door de diverse overheden gepakt worden en zij zijn er nog trots op ook.
Wat een gotspe.
27-11-2018, 19:29 door Anoniem
Door W.T.: Daar gaan we weer.
Een groot bedrijf maakt fouten, wordt beboet en de gedupeerde wordt niet schadeloos gesteld.
En: het grote bedrijf gaat die boete nooit betalen. Ze tekenen beroep aan, rekken het jaren, en winnen uiteindelijk of
anders gaan ze gewoon failliet en maken een doorstart. Of ze sluiten gewoon de tent en gaan wat anders doen.

Uber gaat ZEKER niet betalen. Uber interesseert de wet geen bal. Ze gaan er prat op dat ze dingen doen die niet
mogen om te proberen de markt omver te werpen. "disruptive technology" noemen ze dat, maar het is een ander
woord voor sabotage.

Dat soort mensen gaat zeker geen boete betalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.