Taxi-app Uber heeft een schikking met de Amerikaanse toezichthouder FTC getroffen over misleidende claims op het gebied van databescherming en privacy. Volgens de FTC werden klantgegevens door Uber niet goed beveiligd en werd de toegang van werknemers tot deze gegevens niet gemonitord.

Eind 2014 ontwikkelde Uber een geautomatiseerd systeem voor het monitoren van werknemerstoegang tot de persoonlijke informatie van gebruikers. Nog geen jaar later besloot Uber het systeem niet meer te gebruiken. Nadat het systeem niet meer werd gebruikt zou Uber meer dan negen maanden lang zelden de interne toegang van werknemers tot de persoonlijke informatie van gebruikers en chauffeurs hebben gemonitord, aldus de FTC.

Daarnaast waren gegevens niet goed beveiligd bij de externe cloudprovider die Uber gebruikte. Een aanvaller kon daardoor in mei 2014 de namen en rijbewijsnummers van meer dan 100.000 chauffeurs benaderen die Uber bij Amazon Web Services had opgeslagen. Volgens de FTC had Uber geen basale maatregelen genomen om het datalek te voorkomen.

Zo waren engineers en programmeurs niet verplicht om verschillende sleutels te gebruiken om persoonlijke informatie in de cloud te benaderen. Uber liet het personeel één enkele sleutel gebruiken waarmee ze volledige beheerderstoegang tot de data hadden. Ook was multifactor-authenticatie niet verplicht en werden gevoelige gegevens onversleuteld in back-ups in de cloud opgeslagen.

Als onderdeel van de schikking moet Uber nu een privacyprogramma implementeren en de komende 20 jaar het privacyprogramma elke 2 jaar laten certificeren. Daarnaast mag het bedrijf geen misleidende uitspraken meer doen over het monitoren van de toegang van werknemers tot klantgegevens en de manier waarop het deze gegevens beschermt en beveiligt. "Deze zaak laat zien dat zelfs als je een snelgroeiend bedrijf bent, je je klanten niet in de steek kunt laten. Je moet je privacy- en securitybeloftes nakomen", aldus Maureen Ohlhausen van de FTC.