Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update - IT Pro - Nieuws

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Uber was te laat met het melden van een datalek, dat tussen 13 oktober en 15 november 2016 plaatsvond. Daarbij lekten de gegevens van 174.000 Nederlandse klanten en chauffeurs uit.

De AP legt uit dat Uber het datalek binnen 72 uur had moeten melden aan de toezichthouder. De gelekte gegevens waren van chauffeurs en klanten. Het ging onder andere om e-mailadressen, namen en telefoonnummers. In totaal zijn er gegevens van 57 miljoen gebruikers gelekt. De hackers kwamen aan de gegevens via een codeerwebsite van Uber-technici op GitHub.

Uber had de getroffenen niet op tijd geïnformeerd over het datalek en poogde het te verzwijgen door 100.000 dollar te betalen aan de hackers. Het bedrag werd betaald via het Bug Bounty-programma van Hacker One. Het viel de AP op dat dit bedrag veel hoger is dan normaliter wordt gegeven voor een melding. De reden die Uber geeft voor het bedrag was het besef van de ernst en de schaal van het datalek. Het taxibedrijf heeft wel toegegeven dat de betaling niet was gedaan als onderdeel van het normale Bug Bounty-programma van Uber.

Op 21 november 2017 deed Uber een melding bij de AP over het datalek. Samen met andere Europese toezichthouders organiseerde de AP een werkgroep die grondig onderzoek verrichtte naar het lek. In juni van dit jaar verscheen het rapport van dat onderzoek.

De boete moet binnen zes weken betaald worden. Uber is door het Britse Information Commisioner's Office beboet voor 385.000 pond. Volgens The Guardian heeft het taxibedrijf in de VS een schikking getroffen van 148 miljoen dollar.

Update 13.31: Voorheen stond in dit bericht dat Uber in de VS beboet was voor 148 miljoen dollar. Het bedrag dat Uber moest betalen was geen boete, maar een schikking. De Britse gegevensbeschermingsautoriteit ICO heeft vandaag gemeld dat Uber beboet is voor 385.000 pond.

Update 2, 14.19: Uber meldt in een verklaring: "Zoals met diverse Europese autoriteiten gedeeld tijdens hun onderzoeken, hebben we zowel direct na het incident als in de jaren hierop volgend technische verbeteringen doorgevoerd ten behoeve van de beveiliging van onze systemen. Ook hebben er significante veranderingen plaatsgevonden in Ubers leiderschap om ervoor te zorgen dat transparantie voor zowel gebruikers als wet- en regelgevers voorop blijft staan. Zo hebben we eerder dit jaar onze eerste chief privacy officer, data protection officer en een nieuwe chief trust en security officer aangetrokken."

IT-banen

Reacties (51)

slijkie 27 november 2018 11:26

Heerlijk land voor bedrijven, boetes zijn hier kwartjes voor zulke giganten. Maargoed, beter dan 0,- dan maar.

WouterL @slijkie • 27 november 2018 11:27

Dat was onder de oude Wbp. Onder de AVG zullen het wat meer kwartjes zijn.

Anoniem: 718943 @WouterL • 27 november 2018 11:38

max. 20.000.000 of 4% van de jaaromzet, welke van de twee het hoogst is.

GPDR Art 83 lid 6.

http://www.privacy-regula...nistrative-fines-GDPR.htm

(bron toegevoegd.)

[Reactie gewijzigd door Anoniem: 718943 op 22 juli 2024 21:38]

Fireshade @Anoniem: 718943 • 27 november 2018 12:09

Tja, max 20 miljoen.
Nog steeds 'peanuts' vergeleken met die 113 miljoen pond of 148 miljoen dollar. En dat zijn niet eens maximale boetes.

StefanJanssen @Fireshade • 27 november 2018 12:17

of 4% van de (wereldwijde) jaaromzet. Bij een bedrijf als Tesla die grote omzet haalt maar nagenoeg geen winst zijn dit zeker geen peanuts. Ik weet niet hoeveel winst Uber maakt maar de maximale boetes zijn bijzonder hoog.

[Reactie gewijzigd door StefanJanssen op 22 juli 2024 21:38]

Anoniem: 310408 @StefanJanssen • 27 november 2018 12:31

Uber maakt alleen maar immense verliezen. De 600.000 euro is een substantieel bedrag op elke manier waar je er ook maar naar kijkt. De boetes in andere landen gingen NIET over vergelijkbare zaken.

Jorrie @Anoniem: 310408 • 27 november 2018 12:51

Verliezen heeft niks met omzet te maken.

StefanJanssen @Jorrie • 27 november 2018 13:27

Natuurlijk wel:
Winst = Omzet - Kosten
Verlies = -Winst

Maar inderdaad in het geval van deze boetes maakt het niet uit of je met een miljarden omzet een miljoenen winst of verlies draait.

latka @StefanJanssen • 27 november 2018 16:57

Winst is kunstmatig. Je kunt alles in de kosten stoppen. Meestal zijn dit dingen als gebruik van de merknaam waarbij de merknaam in een of ander belastingparadijs in een holding zit. De kosten van de merknaam zijn, heel toevalliig, precies de centen die nog in kas waren. Op papier 0 winst (en dus geen belasting hierover) en het geld zit nog in het concern.

nils83 @latka • 27 november 2018 17:11

Je kan helemaal niet alles zomaar in kosten zetten. Dat wordt in geen enkel Westers land aanvaard.

latka @nils83 • 27 november 2018 18:13

Leg dat maar uit aan Nespresso.

MrFax @StefanJanssen • 27 november 2018 13:30

percentage inkomst zijn veel engere getallen voor bedrijven, daarom komen er nu zoveel wetten waarbij bedrijven eindelijk eens gaan luisteren...

Gomez12 @StefanJanssen • 27 november 2018 14:26

Alleen zeggen maximale boetes vrij weinig. Het gaat om de gemiddelde uitgedeelde boete die is relevant.

Bijv de max straf voor belastingfraude of onvolledig invullen belasting is 6 jaar gevangenisstraf, hoeveel mensen denk je dat die jaarlijks krijgen?

Of we moeten de ACM in gaan zetten om begrotingsgaten te dichten, 4% van 300 miljard (omzet apple) dicht wel een paar leuke begrotingsgaatjes hoor.

StefanJanssen @Gomez12 • 27 november 2018 15:40

Het hangt af van de ernst van het lek. Puur voornaam achternaam is vervelend maar anderzijds ook niet zo boeiend aangezien je ook gewoon random voor en achternamen kan combineren om een echte naam te krijgen. Als het om creditcard gegevens gaat is het een stuk erger. Daarnaast wordt er ook rekening gehouden met hoe de data is opgeslagen, in plain text (waar MD5 en dergelijke ook onder vallen) zal een stuk erger gestraft worden dan persoonsgegevens die volledig versleuteld zijn met salt.

Arietje @StefanJanssen • 27 november 2018 16:14

Ik lees "up to" 20,000,000 EUR of, up to 4 % [..] whichever is higher.

Men KAN eventueel dus 4% opleggen. Maar dat zal men niet voor alle gevallen doen, als de overtreding niet erg genoeg is.

StefanJanssen @Arietje • 27 november 2018 17:43

Dat is wat ik een half uur eerder ook al zei

Liliuokalani @Fireshade • 27 november 2018 12:18

Misschien is het beter om te kijken naar wat er betaald wordt per inwoner. Bij 300 miljoen mensen is de mogelijke impact groter dan bij 'slechts' 17 miljoen.

Ofwel, de boete is in de VS 40 eurocent per inwoner en in NL maximaal 117 eurocent per inwoner. In het VK is de boete nu bijna twee euro per inwoner, dus die is wel fors hoger.

ACM Software Architect @Fireshade • 27 november 2018 12:19

Of 4% van de wereldwijde omzet, welke maar hoger is.

KoffieAnanas @Fireshade • 27 november 2018 16:15

Allereerst, Nederland is wat kleiner dan Amerika. Dus een factor kleiner is logisch. Daarnaast zijn procentueel wellicht meer Amerikanen getroffen dan Nederlanders. Dat zul je ook moeten meenemen.

De boete in Engeland was 385.000 pond, dus dan is de boete in Nederland weer relatief hoog.

Voor een faire vergelijking kun je beter kijken wat alle landen in Europa bij elkaar opgeteld als boetes opleggen en vergelijken met Amerika. Met dien verstande dat Amerika een schikking heeft getroffen en dit hoger kan uitpakken als je het op zo'n grote schaal oppakt.

Tot slot, dit moet geen oefening ver-plassen zijn. Boetes moeten voor voldoende afschikking zorgen, en dit is met de nieuwe GDPR al beter geregeld. Daarnaast moet een bedrijf duidelijk maken hoe ze hun leven beteren, en dit ook bewijzen. Ook dit is beter geregeld met de GDPR.

Menesis @Anoniem: 718943 • 27 november 2018 16:52

Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20,000,000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.

Ligt het aan mij of klopt die tekst gewoon niet?
Eerst staat er of 2miljoen voor administratieve kosten, of tot 4% van jaaromzet in het geval van een undertaking. Maar dan eindigen ze met "whichever is higher". Het gaat toch eerst om 2 verschillende dingen? Adminsitratieve kosten versus een 4% jaaromzet boete in het geval van een undertaking?

Vexxon @slijkie • 27 november 2018 11:51

Voor een bedrijf wat geen winst maakt of net aan is €600.000 best veel lijkt me

kramer65 @Vexxon • 27 november 2018 12:00

Niet als je omzet bv €6 miljard is, dan is dat 0,01% van de jaaromzet en dus een piepklein gedeelte van je kosten. Met een piepkleine groei van de winstgevendheid zal dat dan al teniet worden gedaan. Bovendien is bij een nieuw lek de vraag wat meer kost, het publiekelijk worden van een datalek, of de káns op een boete van €600.000. Ik kan mij voorstellen dat het laatste dan alsnog aantrekkelijker is.

Ik verheug me danook op de megaboetes die nav de AVG gaan vallen. Op dat moment zullen de giganten security/privacy misschien wat serieuzer gaan nemen.

hackerhater @kramer65 • 27 november 2018 12:16

Omzet zegt niet veel, winst is waar het om draait.
Je kan wel 6 miljard omzet hebben, maar als je kosten 5,999 miljard zijn hou je nog niet veel over.

Zebby @hackerhater • 27 november 2018 13:41

Ik weet niet waar het stigma vandaan komt dat "omzet" maar constant opzij wordt geschoven voor "winst". Natuurlijk is het interessant om te weten wat er overblijft, maar je omzet is een extreem belangrijke factor om je bedrijfswaarde mee te meten, en zeker de potentie. Met 6 miljard omzet heb je blijkbaar een extreem waardevolle producten- of diensten portfolio, en als je je kosten weet te drukken (op alle bekende manieren) kan je dus extreem veel winst maken. Ook wordt omzet veel gebruikt om de waarde van een bedrijf te bepalen, bijvoorbeeld voor een beursgang in de waarde van de aandelen, of voor het verkopen.

wei9ojcqw89 @hackerhater • 27 november 2018 14:41

4% van 6 miljard is toch een boete van 240 miljoen? Met een een winst van 1 miljoen zoals jij hierboven beschrijft is dat toch een behoorlijke boete.

m4ikel @hackerhater • 27 november 2018 16:20

Als binnen die omzet en kosten het salaris van het management zit inbegrepen ala een aantal miljoen (en dat is het geval) dan voelen de eindverantwoordelijke er helemaal niks van in hun broekzak, alleen de investeerders hebben minder winst en gaan dat op een andere manier terughalen (lees: snijden in kosten, zoals personeel) waardoor alleen jij en ik er last van krijgen.

Ik snap dus niet waarom het doelbewust verzwijgen van een lek niet onder het strafrecht en bestuursaansprakelijkheid valt. Het is m.i. gewoon crimineel handelen.

[Reactie gewijzigd door m4ikel op 22 juli 2024 21:38]

Iblies @kramer65 • 27 november 2018 12:26

Interessanter is waar de omzet gedraaid wordt,
en dat is zeker niet alleen Nederland.

Vergeet niet dat ze 113mln in de VK hebben betaald, en 148 mln in de US.

De vraag is of er andere motieven ook een rol hebben gespeeld aangezien Uber nou niet bepaald een positief imago heeft. Ik geloof niet dat het als maatstaf zal gelden voor andere casussen.

Anders @slijkie • 27 november 2018 13:06

"Heerlijk land" ... Engeland legde vanochtend 385.000 pond boete op voor het lekken van de gegevens van bijna 25 keer zoveel mensen. Viel ook onder de oude wetgeving, maar om maar even aan te tonen dat de boetes in Nederland niet lichter zijn dan in andere Europese landen, zoals je lijkt te insinueren.

CivLord

@slijkie • 29 november 2018 08:23

Het gaat niet alleen om de hoogte.
Wanneer een bedrijf aan de lopende band boetes krijgt, zegt dat wat over de integriteit van dat bedrijf.
Steeds meer investeringsmaatschappijen hebben een paragraaf over maatschappelijk verantwoord investeren in hun statuten staan. Dan kan een reeks van dergelijke boetes een probleem gaan vormen. Voor een bedrijf dat nog geen winst maakt en afhankelijk is van investeerders kan de hoeveelheid boetes pijnlijker zijn dan de hoogte.

Rinux55 27 november 2018 11:25

Keer op keer blijkt Uber toch geen integer bedrijf te zijn. Jammer, want ik pak wel graag een Ubertje tov een andere taxi!

Soldaatje @Rinux55 • 27 november 2018 11:28

Omdat? Een uber is gewoon een zzp taxi.
Wat is het verschil?
Voor bepaalde landen kan uber wel handig zijn, omdat je daar als toerist snel afgezet / opgelicht wordt, of zelfs ontvoerd.

Rinux55 @Soldaatje • 27 november 2018 12:00

Uber is de helft goedkoper dan andere taxis. Ik woon in amsterdam, met TCA betaal ik voor een ritje makkelijk 40 euro waar ik bij uber ongeveer 16 tot 22 euro voor betaal. Je weet ook waar je aan toe bent, wordt niet opgelicht, je ziet precies waar ze rijden, je weet hoeveel het van te voren ongeveer gaat kosten, geen cash nodig, noem maar op. Er zijn alleen maar voordelen aan uber!

Anoniem: 310408 @Rinux55 • 27 november 2018 12:34

met TCA betaal ik voor een ritje makkelijk 40 euro waar ik bij uber ongeveer 16 tot 22 euro voor betaal.

En de overige kosten worden nu betaald door de aandeelhouders. Die sponsoren elke rit met (afhankelijk per land) met 30 tot 50%.

Coffee @Anoniem: 310408 • 27 november 2018 14:48

Uber krijgt toch juist 30% van de kosten van de rit?

Armin @Coffee • 27 november 2018 20:52

Waar hij denk ik naar verwijst is dat het niet duidelijk is of Uber winst maakt. Zoals veel opstartende techbedrijven is het waarschijnlijk dat men verlies draait en dus teert op leningen en aandelenuitgiften.

Verder werken veel Uber-chauffeurs onder de kostprijs. Dat verschild per land, en ik weet de rest in Nederland niet, maar algemene zaken ls afschrijving van de auto wordt vaak niet meegenomen in het tarief. Dat werkt als je particulier bent die wat bijverdient, maar niet als je professioneel een auto koopt etc, Ook is het verzekeringstechnisch in niet alle landen even goed geregeld.

Uiteindelijk moet de markt zich nog ontwikkelen. Uber en aanverwante diensten zal op termijn duurder worden en haar wilde haren moeten verliezen. Andersom de bestaande taxibedrijven zullen verdwijnen of zich aanpassen en gelijk gemak en service gaan aanbieden, tenzij de overheid ze kunstmatig beschermd. Dat laatste is niet ondenkbaar want in veel landen - o.a. Nederland - zijn taxibedrijven door de overheid gesanctioneerde monopolisten met inherente hoge prijzen en slechte service. Uber gaat er wellicht als een cowboy doorheen, maar bestaand taxibedrijven hebben met hun belachelijke gedrag dat ook mogelijk gemaakt. Kijk alleen op Schiphol hoe enorm veel taxi's daar soms uren in de rij staan. Enorm overschot en dus kunstmatig hoge prijzen om ze toch in leven te houden.

CivLord

@Rinux55 • 29 november 2018 08:16

Uber is de helft goedkoper dan andere taxis. Ik woon in amsterdam, met TCA betaal ik voor een ritje makkelijk 40 euro waar ik bij uber ongeveer 16 tot 22 euro voor betaal.

Ja. En zodra TCA en consorten weggeconcurreerd zijn begint ook voor Uber het grote cashen.

Rinux55 @CivLord • 29 november 2018 08:47

Die gaan dan TCA-prijzen hanteren denk je? Voor mij een rede om dan maar niet meer de taxi te pakken...

snellie123 @Soldaatje • 27 november 2018 11:33

Een uber is niet gewoon een ZZP taxi, deze hebben immers niet allemaal hun eigen app waarbij er binnen 5 min iemand voor de deur staat. Bovendien is uber over het algemeen aanzienlijk goedkoper dan een reguliere taxi is amsterdam iig (buiten drukke tijden).

slijkie @Soldaatje • 27 november 2018 11:34

Verschil? Ik hoef de hele fysieke transactie en discussie/prijsonderhandeling niet meer te doen. Ik weet precies met wie ik gereden heb, hoelaat, waneer en hoe. Rijd hij onnodig om? Bewijs staat op de servers van Uber.

Plus wat je zelf zegt, het buitenland is het helemaal ideaal.

Zelf wacht ik met smacht tot er 100% zelfrijdende taxi’s zijn, niks meer met chaffeurs te maken.

[Reactie gewijzigd door slijkie op 22 juli 2024 21:38]

MenN @Soldaatje • 27 november 2018 11:46

Of wat dacht je van die Kamikaze piloten die je krijgt als je na een avond stappen de taxi neemt. Ga je dan klagen bij het taxi bedrijf? Die kans lijkt me klein, en het effect lijkt me ook minimaal.

Bij Uber is dit gedrag zo afgelopen, zodra genoeg mensen een 0 sterren review achter laten is het vrij helder wat die chauffeur gaat doen.

CivLord

@MenN • 29 november 2018 08:14

Bij Uber is dit gedrag zo afgelopen, zodra genoeg mensen een 0 sterren review achter laten is het vrij helder wat die chauffeur gaat doen.

Ja, die chauffeur gaat een nieuw account openen.

icegodd @Soldaatje • 27 november 2018 12:07

ik neem liever een uber dan een maffia taxi in randstad.

BarôZZa @Soldaatje • 27 november 2018 12:08

Waarom Uber? Gemak, je ziet meteen waar taxi's zijn en hoe ver ze bij je vandaan zijn. Je hoeft geen telefoonnummers van centrales op te zoeken. De prijs is vooraf al bekend, je hoeft niet te onderhandelen. Er is geen taalbarrière om uit te leggen waar je naartoe wil omdat je het met google maps aangeeft (probeer een chauffeur in Taiwan die geen Engels spreekt maar eens uit te leggen waar je heen wil). Het is ook sneller omdat de chauffeur niet eerst het adres hoeft op te zoeken. Verder rijden ze over het algemeen een stuk rustiger dan normale taxi's op veel plekken en zijn ze inderdaad in sommige gevallen veiliger dan taxi's omdat je weet bij wie je binnenstapt. Veel chauffeurs zijn ook een stuk vriendelijker omdat ze daar ook op beoordeeld worden. Kom net terug uit Zuid-Afrika en daar waren Ubers ook de aanbevolen manier om je binnen steden rond te rijden. Kortom bijna alles is beter, al is het niet altijd goedkoper.

Nu handelt Uber als bedrijf inderdaad lang niet altijd integer, maar de dienst zelf is echt heel erg goed.

[Reactie gewijzigd door BarôZZa op 22 juli 2024 21:38]

The Zep Man

Nederland
Politiek en recht

27 november 2018 11:32

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens.

(...)

Daarbij lekte de gegevens van 174.000 Nederlandse klanten en chauffeurs.

3,45 EUR per getroffen persoon. Zeker een bedrag waarop het nemen van het risico het waard was.

chielsen @The Zep Man • 27 november 2018 11:45

Uber moet het ook vooral hebben van beleggersvertrouwen, want winst wordt er niet gemaakt. Ze willen dus koste wat kost voorkomen dat er slecht nieuws openbaar gemaakt wordt (wat nu dus mislukt is).
Uber zou het dus zo nog een keer doen. Hopelijk schrikken die hoger boetes die nu gegeven kunnen worden wel af.

Parrotmaster @The Zep Man • 27 november 2018 11:46

Die boetes zijn veel te laag. Voor Uber is dat gewoon een belasting op het niet verbeteren van de beveiliging.

Ze moeten Uber gewoon zo beboeten dat elke gelekte klant effectief gratis gerezen heeft.

Anoniem: 378762 27 november 2018 11:41

Meld gelijk ook even werknemerloket aan. Nog steeds geen 2FA voor werknemers. Via gebruikersnaam en wachtwoord kom je binnen. Jaaropgaven en salarisstroken staan erin.

PdeBie @Anoniem: 378762 • 27 november 2018 14:44

Dat heeft toch niets te maken met een datalek?

Koffiebarbaar 27 november 2018 13:30

Uber had de getroffenen niet op tijd geïnformeerd over het datalek en poogde het te verzwijgen door 100.000 dollar te betalen aan de hackers.

Doen ze gewoon. Niet te filmen. In licht van dit soort moedwillige volksverlakkerij vind ik dat ze er goed mee weg komen vooralsnog.
Als ik hier als medewerker mee geconfronteerd zou worden zou ik per direct uitchecken uit het bedrijf op basis van ethische overtuigingen.
Ik snap dat zo'n datalek PR technisch kut is, maar dit vind ik vele machten erger.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 21:38]

Malarky @Koffiebarbaar • 28 november 2018 12:20

Het is vooral vreselijk naief. Als ik als hacker $100.000 betaald kreeg om persoonlijke data op mijn eigen computer te houden zou elke niet ethische-hacker dat zeker accepteren want:

Maand na betaling opnieuw melden bij Uber: “wil een mljoen anders zet ik de persoonsgegevens online EN lek naar autoriteiten dat jullie mij vorige keer $100.000 betaalden”

Tja, als je je als Uber zo makkelijk laat chanteren.

Op dit item kan niet meer gereageerd worden.

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: