Afgelopen vrijdag kondigde de Autoriteit Persoonsgegevens (AP) aan dat het momenteel aan het overwegen is of er de noodzaak bestaat een groot onderzoek te starten naar een datalek bij Amerikaanse fabrikant van elektrische auto’s, Tesla.
Handelsblatt in bezit van 100GB aan data
Het nieuws volgde op de voet van eerdere berichtgeving door het Duitse Handelsblatt. De krant claimt de data gekregen te hebben van een werknemer van Tesla en gooide direct het gestrekte been er in met de titel van het artikel waarin de data breuk bekend werd gemaakt. De titel luidt als volgt: “Mijn automatische piloot heeft me bijna vermoord!”
Als op waarheid gebaseerd is, geeft het lek aan dat Tesla vele duizenden klachten heeft ontvangen over de rijhulpfunctie die Tesla market als een automatische piloot. Een naam die bij veel mensen een verkeerde indruk wekt en daardoor ook op veel kritiek kan rekenen. Een nieuwe Californische wet wil zelfs gaan verbieden dat autofabrikanten, zoals Tesla, functies die enkel bedoelt zijn ter ondersteuning blijft aanbieden als autonome besturing. Het huidige lek lijkt te bevestigen dat Tesla zelf ook op de hoogte is van de gevaren van hun loze beloftes. Het is niet de eerste keer dat het bedrijf in de problemen komt door de grote mond van Musk.
De klachten geven aan dat Tesla’s die met de automatische piloot ingeschakeld reden abrupt remden op hoge snelheden. Of juist ineens gingen versnellen. Ook vinden veel Tesla’s het kennelijk al lastig genoeg om zonder brokken een parkeerplaats op te rijden. Het is nog niet duidelijk of een van de klachten in het huidige lek dodelijke gevolgen had, of ernstig letsel met zich meebracht. Maar mocht dat het geval zijn, dan is dat niet voor het eerst.
Niet alleen klachten
Tot dus ver zorgelijke berichten, maar vanwaar dat de AP zich er mee gaat bemoeien? Dat is vanwege het feit dat het lek niet enkel klachten behelst. Meegekomen zijn ook vele burgerservicenummers, of de buitenlandse equivalenten daarvan, privé-mailadressen en telefoonnummers. Ook salarissen van medewerkers en bankgegevens van klanten liggen op straat. Omdat het Europese hoofdkantoor van Tesla in Amsterdam staat, schakelde de Brandenburgse evenknie de AP in.
In totaal zijn de gegevens van meer dan 100.000 mensen gelekt, voornamelijk van voormalige en huidige werknemers. Zelfs het Social Security Number van Tesla CEO (jawel, misschien ben je het vergeten met al het nieuws rondom Twitter, maar ergens tussen het torpederen van dat platform en het manipuleren van crypto-koersen vindt Musk kennelijk de tijd om Tesla te besturen) ligt op straat.
Gek genoeg is het volgens de berichtgeving een voormalige werknemer van Tesla die de gegevens heeft gestolen en nu de persoonlijke informatie van zoveel oud collega’s geopenbaard heeft.
AP houdt de mond voorlopig dicht
Zoals een autoriteit wiens voornaamste rol is dat privé is privé moet blijven betaamt, wil het AP voorlopig zo min mogelijk loslaten. “We zijn geïnformeerd en bekijken de zaak. Dat is alles wat ik erover kan zeggen”, aldus een woordvoerder. Alle verdere vragen werden daarmee afgedaan.
Meestal duurt een dergelijke initiële fase een aantal weken, waarna definitief wordt bepaald of verder onderzoek noodzakelijk is. Mocht dat het geval zijn en mocht de conclusie zijn dat Tesla de GPDR (General Data Protection Regulation, de Europese privacywet) heeft overtreden, dan kunnen er grote gevolgen zijn. Het is namelijk aan Tesla als bewaarder van deze persoonsgegevens om ze tegen onwettige openbaringen te beschermen. De maximale hoogte van de daaropvolgende boete bedraagt 4% van de jaarlijkse verkoop, volgens CNN komt dat neer op ongeveer 3,26 miljard euro.
GDPR gezien als voorbeeld
Of een dergelijke boete Tesla ertoe zal bewegen om persoonsgegevens beter te beveiligen is maar de vraag. Tesla, en Musk nu we het er toch over hebben, zijn niet vies van een goeie rechtszaak. Zeker in Amerika worstelen overheden om grote tech bedrijven zich aan de wet te laten houden. Boetes kunnen enorm oplopen, maar toch blijven mensen als Musk enorm rijk, zelfs wanneer hun bedrijven verliezen lijden. Je zou haast kunnen zeggen dat boetes gezien worden als een normaal onderdeel van zaken doen.
Toch is GDPR geen hond zonder tanden. De wet is pas sinds 2018 actief en dus nog relatief jong. Maar zowel in de VS als aan de andere kant van de stille oceaan kijkt men naar GDPR als een voorbeeld voor de eigen privacy wetgeving. Volgens een inmiddels twee jaar oude studie van het Internationale centrum voor strategische studies is er al een waarneembare verandering in het gedrag van grote techbedrijven.
Tesla kent dit jaar een stormachtige beurskoers, vooral vanwege het opmerkelijke gedrag van voorman Musk. Een boete van 300 miljard euro is zelfs voor een bedrijf als Tesla geen sinecure. Door een percentuele boete op te leggen en geen vooraf vastgelegde bedragen worden bedrijven proportioneel gestraft en is de boete geen ‘armoedebelasting’. Al blijft het natuurlijk de vraag of het gevaar van de boete tot Elon zal doordringen.
