Afbeelding: Getty Images
Het Office of the Australian Information Commissioner (OAIC) heeft vastgesteld dat Uber in 2016 de privacy van meer dan 1 miljoen Australiërs heeft geschonden.< /p>
De Australische Information Commissioner en Privacy Commissioner Angelene Falk zeiden vrijdag dat het in de VS gevestigde Uber Technologies Inc en het in Nederland gevestigde Uber BV de persoonlijke gegevens van naar schatting 1,2 miljoen Australische klanten en chauffeurs niet naar behoren hebben beschermd, toen deze in oktober en November 2016.
Eind 2017 kwam aan het licht dat hackers gegevens hadden gestolen van 57 miljoen Uber-rijders wereldwijd, evenals gegevens van meer dan 600.000 chauffeurs. In plaats van de getroffenen op de hoogte te stellen, heeft Uber de inbreuk meer dan een jaar verborgen gehouden en een hacker betaald om het geheim te houden.
Terwijl Uber de aanvallers eiste de gegevens te vernietigen en er geen bewijs was van verder misbruik, OAIC zei dat het onderzoek gericht was op de vraag of Uber preventieve maatregelen had genomen om de gegevens van Australiërs te beschermen.
Bekijk het volledige verhaal hier: voormalig Uber CSO aangeklaagd voor het verbergen van een hack in 2016< /p>
Falk ontdekte dat de Uber-bedrijven de privacywet van 1988 hebben geschonden door geen redelijke stappen te ondernemen om de persoonlijke informatie van Australiërs te beschermen tegen ongeoorloofde toegang en om de gegevens indien nodig te vernietigen of te de-identificeren.
De technologiegigant heeft ook geen redelijke stappen ondernomen om praktijken, procedures en systemen te implementeren om naleving van de Australische privacyprincipes (APP) te garanderen, zei ze.
“In plaats van de inbreuk op verantwoorde wijze te onthullen, betaalde Uber de aanvallers een beloning via een bug bounty-programma voor het identificeren van een beveiligingsprobleem”, aldus de vastberadenheid. “Uber heeft pas bijna een jaar na het datalek een volledige beoordeling uitgevoerd van de persoonlijke informatie die mogelijk is gebruikt en heeft het datalek pas in november 2017 openbaar gemaakt.”
APP 11.1 vereist dat bedrijven redelijke maatregelen nemen om persoonlijke informatie te beschermen tegen ongeoorloofde toegang, terwijl APP 11.2 redelijke maatregelen vereist om persoonlijke informatie te verwijderen of de-identificeren die niet langer nodig is voor een toegestaan doel. Volgens de OAIC was ook APP 1.2 geschonden, die vereist dat bedrijven redelijke stappen ondernemen om praktijken, procedures en systemen met betrekking tot de functies of activiteiten van de entiteit te implementeren, om naleving van de APP's te garanderen.
In haar vastberadenheid, zei Falk dat de Uber-bedrijven deze handelingen en praktijken niet mogen herhalen.
Ze heeft Uber ook verzocht om binnen drie maanden een beleid voor het bewaren en vernietigen van gegevens op te stellen dat, indien geïmplementeerd, naleving door de Uber-bedrijven met APP 11.2 mogelijk maakt en garandeert.
Falk heeft Uber ook gevraagd om een informatiebeveiligingsprogramma en wijst een persoon aan om het roer te leiden. Het programma moet risico's identificeren die verband houden met de veiligheid of integriteit van persoonlijke informatie van Australische gebruikers die zijn verzameld en/of bewaard door de Uber-bedrijven en die kunnen leiden tot misbruik, interferentie of verlies, of ongeoorloofde toegang, wijziging of openbaarmaking van deze informatie. Het moet ook een opfriscursus voor het personeel omvatten en strenge waarborgen bieden.
De privacycommissaris wil ook dat het bedrijf een incidentresponsplan implementeert, dat een duidelijke uitleg bevat van wat een datalek is.
Falk zei dat de zaak complexe problemen opriep rond de toepassing van de Privacywet op het buitenland. gebaseerde bedrijven die de verwerking van de persoonlijke informatie van Australiërs uitbesteden aan andere bedrijven binnen hun bedrijfsgroep.
In dit geval was de persoonlijke informatie van Australiërs rechtstreeks overgebracht naar servers in de Verenigde Staten in het kader van een uitbestedingsovereenkomst, en het in de VS gevestigde bedrijf voerde aan dat het niet onder de Privacy Act viel.
“Australiërs hebben zekerheid nodig dat ze worden beschermd door de privacywet wanneer ze persoonlijke informatie aan een bedrijf verstrekken, zelfs als deze binnen de bedrijfsgroep naar het buitenland wordt overgedragen”, voegde ze eraan toe.
Daartoe omvatte haar vastberadenheid ook een verzoek om een onafhankelijke beoordeling van de naleving door Uber van de Australische privacywet.
De commissaris heeft de Uber-bedrijven ook bevolen een onafhankelijke deskundige aan te stellen om dit beleid en deze programma's en de implementatie ervan te beoordelen en hierover te rapporteren, de rapporten in te dienen bij de OAIC en de nodige wijzigingen aan te brengen die in de rapporten worden aanbevolen.
Uber stemde in september 2018 ermee in om $ 148 miljoen te betalen in een Amerikaanse schikking voor het incident, en een paar maanden later kreeg het een boete van meer dan £ 900.000 door Britse en Nederlandse waakhonden in verband met het datalek van 2016.
Twee mannen pleitten in oktober 2019 schuldig aan de hack en de voormalige chief security officer van Uber werd in augustus 2020 door de Amerikaanse autoriteiten aangeklaagd wegens de doofpotaffaire.
MEER VAN UBER
Ontslagen Uber Eats-bezorger Federal Beroep bij rechtbank begint Uber, Lyft om gegevens te delen over chauffeurs die zijn verboden voor seksuele, fysieke aanranding Uber verkoopt luchttaxi-activiteiten, maar zou het in Australië van de grond zijn gekomen? Uber: we hebben te weinig geïnvesteerd in technologie Uber Freight breidt uit om klanten met kleinere zendingen te bedienen levering aan Uber Eats met acquisitie van $ 1,1 miljard
gerelateerde onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters 