Uber moet 20 jaar lang privacyregels laten auditen

De schikking is het gevolg van beschuldigingen dat Uber heeft gelogen over de beveiliging van persoonsgegevens van klanten. De taxichauffeurs en werknemers van Uber konden de gegevens alle gebruikers van de taxi-app inzien. Uber werkt met een programma, God View, waarop alle bewegingen van klanten en taxichauffeurs te volgen zijn tijdens een rit.

Een programma dat Uber opgezet had om alle ongeautoriseerde toegang tot de gegevens te detecteren maar heeft het nooit afgemaakt en beheerd. In augustus 2015 stopte Uber het gebruik hiervan en installeerde pas in mei 2016 een vervangend systeem. Van monitoren kwam toen maandenlang niets meer.

100.000 namen op straat

Bovendien had Uber de beveiliging van klantgegevens zeer slordig geregeld. Dat leidde er in 2014 toe dat een hacker toegang kon krijgen tot data die Uber had opgeslagen bij AWS. Daarbij ging het onder meer om 100.000 onversleutelde namen en rijbewijsgegevens van chauffeurs en enkele honderden onversleutelde namen en rekeningnummers. De hacker kon hier moeiteloos bij omdat een medewerker van Uber de sleutels voor een Amazon S3-bucket met die data geüpload had naar GitHub. Uber merkte pas maanden later dat de gegevens op straat lagen en waarschuwde getroffen chauffeurs en klanten niet of zelfs pas na anderhalf jaar.

Als Uber zich niet aan de voorwaarden van de schikking houdt, kan het een boete van ruim 40.000 dollar per overtredingen verwachten.