Overslaan en naar de inhoud gaan

Uber: van jokken krijg je brokken

Het kan u niet ontgaan zijn. Uber heeft recent van de Nederlandse privacy waakhond (“AP”) een boete van EUR 600.000 gekregen, wegens het verzwijgen van een datalek aan zowel de AP als de gedupeerden. En dan komt Uber denk ik nog goed weg.
Uber
© Shutterstock
Shutterstock

Het verzwegen datalek is, naar nu blijkt, niet mals. Waar in de media eerder werd gesproken over mailadressen en telefoonnummers, blijkt nu dat het wel om iets meer gegevens gaat.

Het boetebesluit van de AP vermeldt letterlijk de volgende opsomming van persoonsgegevens (‘rider’ is klant en ‘driver’ is chauffeur):

UserID, DriverlD, First and Last name,  E-mail address, Mobile number, Last confirmed mobile number, Nickname, Driver’s license number, Receipt e-mail, Token, Mobile token, E-mail token, Location of signup (lattitude/longtitude), Signup “shape”, Location, Inviter ID, InviterUUID, Recent fare splitter ID, Meta veld, Notes, Driver payment statements, Licence plate numbers, NYC UC numbers, Userrating,  Driver rating, Professionalism score, City knowledge score, Banned, en Fraud score.

Uber heeft zelf een forensisch expert ingeschakeld om de omvang te onderzoeken. De cijfers uit dat rapport liegen er ook niet om (quote uit boetebesluit): “geconstateerd is dat bij het datalek 57.383.315 Uber gebruikers waren betrokken, waarvan 25.606.182 Amerikaanse - en 31.777.133 niet-Amerikaanse. Uit de informatie van [Uber] blijkt dat ongeveer 174.000 Nederlandse Uber- gebruikers zijn getroffen door het datalek. Uit het (…) onderzoek blijkt dat er bij het datalek 31 soorten persoonsgegevens betrokken zijn geweest.”

Er kan natuurlijk geen twijfel bestaan dat een lek van dergelijke omvang, direct aan de AP en gedupeerden gemeld had moeten worden. Maar het kostte Uber meer dan een jaar om aan de AP te melden. Met dank aan het platform Claimshare, blijkt het officiële standpunt van de AP te zijn dat Uber nog altijd niet aan haar meldplicht aan gedupeerden heeft voldaan.

Wat heb je dan aan deze woorden van de CEO van Uber, denk ik dan (uit persbericht Uber 21 november 2017) : “while I can’t erase the past, I can commit on behalf of every Uber employee that we will learn from our mistakes. We are changing the way we do business, putting integrity at the core of every decision we make and working hard to earn the trust of our customers.” Eens, een fout is pas een fout als je er niet van leert. Maar heeft Uber dan wel geleerd als ze haar klanten (toch de kurk waar Uber op drijft), nog steeds niks heeft verteld?

Uit het boetebesluit volgt klip en klaar dat Uber de gedupeerden persoonlijk en individueel had moeten informeren over het lek: “naar het oordeel van de AP was het, gelet op de voor Uber beschikbare contactgegevens goed mogelijk de getroffen Uber klanten individueel te benaderen en was alleen een melding in een persbericht niet afdoende.”

De AP laat geen misverstand bestaan over de ernst van de overtreding: Uber heeft “ernstig verwijtbaar nalatig gehandeld door het datalek niet onverwijld te melden aan de AP en betrokkenen.” Dat Uber heeft nagelaten het datalek tijdig bij de AP te melden en betrokken van het datalek tijdig in kennis te stellen,  het gevolg van “grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen”.

Feedback aan AP

Een puntje van feedback aan de AP is de volgende. Bij het bepalen van de hoogte van de boete, neemt de AP de ‘ nodige media-aandacht’ mee: “bij de beoordeling van de evenredigheid betrekt de AP in dit geval ook het feit dat, ondanks het tijdsverloop en het uitblijven van een bindende aanwijzing, het datalek uiteindelijk wel openbaar is geworden en de afdoening ervan de nodige media-aandacht heeft gehad zodat betrokkenen er kennis van hebben kunnen nemen.” Dit vind ik eigenlijk een verkeerd signaal, alsmede niet passen in het standpunt dat gedupeerden überhaupt niet formeel zijn geïnformeerd.

En hoe nu verder? Uber zegt lessen te hebben geleerd. De AP kan zes ton op haar bankrekening laten bijschrijven. Maar waar staan de gedupeerden? Komt Uber die nog op enigerlei wijze tegemoet? Of doet Uber ook een Facebookje? Je staat als gedupeerde volledig in je recht, ik vrees dat hier geldt ‘gelijk hebben’ is niet hetzelfde als ‘gelijk halen & krijgen’. Het zou goed zijn als hier eens een strak precedent komt te liggen.

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in