Home Actueel Archief Alweer datalek bij Uber

Alweer datalek bij Uber

Archief
23-11-17

In oktober 2016 wisten hackers zich toegang te verschaffen tot de persoonlijke gegevens van ongeveer 57 miljoen Uber-accounts.

De hackers verschaften zich toegang tot een privégedeelte van GitHub (een website en platform voor software ontwikkeling, open source software en versiebeheer) alwaar de wachtwoorden voor de toegang tot de database in Amazon stonden opgeslagen. Aldus konden de hackers gemakkelijk beschikking krijgen over de inhoud van de database.

Zo kregen ze de beschikking over namen, e-mailadressen en telefoonnummers van 50 miljoen klanten van de populaire taxi-app, en van zeven miljoen chauffeurs. Uber heeft verklaard dat creditcard- en bankgegevens niet zijn gehackt. Het bedrijf zou geprobeerd hebben de inbraak in de doofpot te stoppen en de hackers 100.000 dollar zwijggeld betaald hebben. Voor dat geld moesten de hackers alle gestolen gegevens vernietigen en de inbraak geheimhouden.

Pas deze week, ruim een jaar na de diefstal, heeft het in Nederland gevestigde Uber een melding gedaan bij de Autoriteit Persoonsgegevens (de AP). Daarmee is het bedrijf in overtreding, en niet voor het eerst, want dit jaar en vorig jaar trof het taxibedrijf al in de VS met de autoriteiten een schikking vanwege het niet tijdig melden van een datalek in 2014.

Een hack van een database met persoonsgegevens, is een “datalek” in de zin van de Wet bescherming persoonsgegevens. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Die houdt in dat organisaties direct (binnen 72 uur) een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. En in sommige gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt.

De huidige meldplicht datalekken komt erop neer dat een organisatie een melding moet doen bij de Autoriteit Persoonsgegevens, wanneer er sprake is van een (1) beveligingsincident, (2) waarbij persoonsgegevens verloren zijn gegaan, of onrechtmatige verwerking redelijkerwijs niet is uit te sluiten én (3) het gaat het om persoonsgegevens van gevoelige aard, of (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.

Als de gegevens niet allemaal (goed) versleuteld waren ten tijde van het datalek, of het datalek heeft om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, dan is de organisatie ook verplicht om het datalek te melden bij de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt).

De AP heeft beleidsregels opgesteld die organisaties kunnen helpen te bepalen of er sprake is van een datalek waarvoor een meldplicht geldt. Onder de Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing is, blijft de meldplicht grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de interne registratie van datalekken en de boetes die de AP kan uitdelen is vele malen hoger.

Wilt u meer weten over de meldplicht datalekken, of over de AVG? Neem gerust contact op.

 

Deel dit artikel