Nieuws & blogs

Security Spotlight: Wat organisaties kunnen leren van de torenhoge boete die Uber heeft ontvangen

De boete die Uber, het wereldwijde vervoersplatform, opgelegd krijgt vanuit Autoriteit Persoonsgegevens (AP) naar aanleiding van het schenden van de privacyregels is erg interessant. In de branche van security awareness wordt vaak gesproken over de interne en externe aanvalsvectoren op het gebied van cybersecurity, waarbij criminelen de organisatie bewust willen schaden met als doel om data of geld te stelen. Maar in dit geval werd de wet- en regelgeving niet gevolgd. En dat laatste stukje, het bestaan van wet- en regelgevingen omtrent privacy maar ook andere cybersecurity zaken, is een onderdeel wat men soms uit het oog verliest. 

10 okt Security spotlight

Hoewel Uber een Amerikaans bedrijf is, moeten ze aan de AVG (Algemene Verordening Gegevensbescherming) wetgeving voldoen op het moment dat ze data verzamelen van Europese personen. De AP meldde eind augustus dat er persoonsgegevens van Franse taxichauffeurs zijn verzameld en zonder voldoende bescherming zijn doorgestuurd aan het hoofdkantoor in de Verenigde Staten. Het opmerkelijke is dat het hier gaat om zeer gevoelige gegevens zoals medische- en strafrechtelijke gegevens, die binnen de EU alleen onder strikte voorwaarden mogen worden verwerkt, laat staan dat dit zomaar gedeeld wordt buiten de EU.  

De Verenigde Staten kennen geen alomvattend systeem zoals de AVG voor verwerking van persoonsgegevens. De regels die ze daar hebben, zijn vaak specifiek voor bepaalde sectoren (zoals de gezondheidszorg of de financiële sector) of zijn afhankelijk van het type data. Daarnaast kunnen deze regels ook per staat verschillen. Voorheen beschermden Amerikaanse bedrijven zich achter het EU-VS Privacy Shield om gegevens tussen de EU en VS uit te wisselen. Maar in 2020 werd dit ongeldig verklaard in de Scherms II-uitspraak, omdat het niet voldeed aan de AVG. 

De torenhoge boete is natuurlijk iets dat er gelijk uitspringt als je alle nieuwsartikelen over dit voorval erbij pakt. Ruim 300 miljoen euro! Zulke hoge bedragen zijn haast onvoorstelbaar. Toch is AP schappelijk geweest, want de maximale boete van het niet naleven van de AVG kan oplopen tot 4% van de jaarlijkse wereldwijde omzet. In 2023 had Uber een jaaromzet van 34.5 miljard euro. Met zulke cijfers zou een maximale boete uitkomen op 1.38 miljard euro. Toch verwacht ik dat Uber bezwaar gaat maken tegen deze boete.  

De vraag die ik vaak hoor bij werkgevers na zulke incidenten is of dit soort boetes realistisch zijn voor de gemiddelde organisatie. Over het algemeen zie ik dat boetes zoals deze van Uber wel de echte uitschieters zijn. Logisch ook, want waar een boete van €10.000 voor slapeloze nachten zorgt bij een kleine ondernemer, is het voor een bedrijf als Uber waarschijnlijk nog niet eens hun wekelijkse budget van koffie op de zaak. Hoewel de boete zelf ontzettend vervelend is, onderschatten mensen vaak de desastreuze nevengevolgen van dergelijk nieuws voor je bedrijfscontinuïteit. Een kwestie die naar mijn inzicht veel ernstiger is. Met name je reputatie zal een flinke klap krijgen wanneer dit soort nieuws naar buiten komt. Leveranciers, klanten en personeel hechten namelijk steeds meer waarde aan hun privacy en het houden van controle over hun persoonsgegevens. Biedt een werkgever onvoldoende bescherming en beveiliging, dan zullen ze overstappen naar een andere partij. 

De lering die we hieruit kunnen trekken is dat regelgeving voor iedereen geldt, ongeacht de grootte van je organisatie. Zelfs grote internationale spelers als Uber staan niet boven de wet. Dus of je nu een grote of kleine organisatie hebt, je doet er verstandig aan om de wet- en regelgeving ten alle tijden te volgen én op de hoogte te blijven van eventuele veranderingen hierin. Hoewel boetes voor een kleinere organisatie doorgaans lager zullen uitvallen dan de reusachtige boete van Uber, blijft het belangrijk om oog te houden op de mogelijke neveneffecten zoals reputatieschade wat langdurige en onherstelbare gevolgen kan hebben voor je organisatie.   

Mijn tip is dan ook om uiteraard zo min mogelijk gegevens te verwerken om de simpele reden dat je dan minder risico loopt op het lekken van vertrouwelijke data. Het is niet nodig om voor de geringste dingen een hele lijst aan persoonsgegevens te verzamelen. Sterker nog, de AVG stelt strikte regels rondom het verzamelen van deze gegevens. Zo dien je grondslag te hebben voor alle gegevens die je verzameld. Ook maakt de AVG verschil in de classificaties van gegevens en welke informatiesystemen hiervoor geschikt zijn. Maar dit onderwerp zal ik bewaren voor mijn volgende column.  

 

Foto van Dennie Spreeuwenberg, CEO van Awaretrain en al 20 jaar security awareness expert

Dennie Spreeuwenberg

Dennie Spreeuwenberg, CEO van Awaretrain, is sinds 2004 een expert op het gebied van security awareness. Met ruim 20 jaar ervaring is hij gepassioneerd over informatiebeveiliging en deelt hij graag zijn kennis en inzichten over de laatste trends en ontwikkelingen in de branche.

LinkedIn

 

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Security spotlight 10 jaar Awaretrain 09 dec
Security Spotlight: 10 jaar Awaretrain – Een decennium vol ontwikkelingen in security awareness Lees meer
Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Bekijk alle blogs