Datalek bij Autoverhuurdienst Snapcar

Uit een onderzoek van RTL Nieuws blijkt dat door een beveiligingslek 50.000 gegevens van autoverhuurders, zoals kentekens en privé adresgegevens, onbedoeld online bereikbaar waren bij Snapcar.

Snapcar
Snapcar is een online platform waarbij particulieren ‘verhuurder’ kunnen worden door hun privé auto te verhuren. Ook kunnen particulieren een auto huren bij andere particulieren bij hen in de buurt. Op de website van Snapcar kan een gebruiker zien welke auto’s te huur zijn in een bepaalde buurt. Wanneer een gebruiker een huurovereenkomst sluit met de verhuurder, wordt het exacte adres van de verhuurder pas zichtbaar. In veel gevallen is dat het privé adres van de verhuurder.

Gegevens openbaar
Hoewel de gegevens niet direct op de website zichtbaar waren, was het relatief eenvoudig voor iemand zonder Snapcar account om toegang te krijgen tot de persoonlijke gegevens van de verhuurder. Via een ‘API’, een set aan definities waarmee softwareprogramma’s onderling kunnen communiceren, kon een onderzoeker van RLT Nieuws relatief eenvoudig de dataset van verhuurders inzien. Ook kon met deze zelfde API kentekens van de auto van de verhuurder worden opgevraagd. Kwaadwillende met enige technische kennis konden op deze manier redelijk eenvoudig achterhalen waar een verhuurder woont en in welke auto hij rijdt. Gegevens die normaliter alleen beschikbaar zijn voor de uiteindelijke huurder.

Geen misbruik
Volgens Snapcar zijn er overigens geen aanwijzingen dat derden ook misbruik hebben gemaakt van deze toegang. RLT Nieuws gewacht met het publiceren van het lek, zodat Snapcar in de gelegenheid was om het lek te dichten. Inmiddels is het dan ook niet meer mogelijk om via de API de gegevens van de verhuurder op te vragen. Snapcar heeft bovendien aangegeven het datalek te gaan melden aan de Autoriteit Persoonsgegevens.

Meldplichtig
Bedrijven zijn onder de AVG in sommige gevallen verplicht het datalek te melden aan de Autoriteit Persoonsgegevens. Dat kan het geval zijn wanneer er bijvoorbeeld grote hoeveelheden persoonsgegevens zijn gelekt, of juist heel gevoelige gegevens. Deze meldplicht bestond óók voor de AVG. De Wet bescherming persoonsgegevens kende sinds 2016 een vergelijkbare meldplicht. Uber betaalde bijvoorbeeld in december 2018 een boete van 600.000 euro voor het verzuimen van de meldplicht. Het bedrijf besloot het datalek pas te melden, toen deze aan het licht was gekomen. 600.000 is een relatief klein bedrag voor een organisatie van dergelijke grootte. Het verzuimen van de meldplicht onder de AVG kan een bedrijf duurder komen te staan. De boetebevoegdheid van de AP is namelijk fors uitgebreid: tot 20 miljoen euro óf 4% van de wereldwijde omzet. Het is dus belangrijk dat een bedrijf de 72-uurs termijn die geldt voor het melden van een datalek serieus neemt.

Terug naar overzicht