Wat het datalek bij Coupang daadwerkelijk blootlegde: 37 miljoen gebruikers en meer
De Zuid-Koreaanse Commissie voor de Bescherming van Persoonsgegevens (PIPC) heeft Coupang, het grootste e-commerceplatform van het land, een baanbrekende boete van 624,6 miljard won opgelegd, omgerekend zo'n $409 miljoen. De boete voor het datalek bij Coupang is de hoogste privacyboete die ooit in de geschiedenis van het land is opgelegd, en een van de hoogste ooit in Azië.
De inbreuk trof meer dan 33 miljoen geregistreerde Coupang-leden en nog eens 4,3 miljoen niet-leden, waardoor het totaal aantal getroffen personen boven de 37 miljoen uitkomt. Ter context: Zuid-Korea telt ongeveer 52 miljoen inwoners, wat betekent dat het lek een aanzienlijk deel van de volwassen bevolking raakte. De blootgestelde gegevens omvatten naar verluidt persoonlijke identificatiegegevens, contactgegevens en aankoopgeschiedenissen — het soort informatie dat kwaadwillenden genoeg materiaal geeft om phishingaanvallen, credential stuffing en identiteitsfraude uit te voeren.
Coupang heeft aangekondigd juridische stappen tegen de boete te zullen ondernemen, wat de weg vrijmaakt voor een langdurig regelgevend geschil dat jaren kan duren. Het bedrijf betwist zowel de hoogte van de boete als de onderliggende bevindingen, een reactie die steeds gebruikelijker wordt wanneer toezichthouders privacyboetes met negen cijfers opleggen.
Hoe de boete uit Korea zich verhoudt tot AVG-boetes en Amerikaanse boetes op deelstaatniveau
De omvang van deze boete nodigt meteen uit tot vergelijking met handhavingsacties in Europa en Noord-Amerika. Onder de Algemene Verordening Gegevensbescherming van de Europese Unie bedraagt de maximale boete 4 procent van de wereldwijde jaaromzet van een bedrijf. De actie van de PIPC tegen Coupang suggereert dat Zuid-Koreaanse toezichthouders bereid zijn boetes dusdanig te kalibreren dat grote platforms echt worden afgeschrikt, in plaats van symbolische tikjes op de vingers uit te delen.
In de Verenigde Staten is het beeld meer versnipperd. Federale handhaving via de FTC verloopt doorgaans trager en meer via onderhandelingen. Handhaving op deelstaatniveau versnelt echter. De privacyboetes van Amerikaanse deelstaten bereikten een recordbedrag van $3,425 miljard in 2025, meer dan de totalen van de voorgaande vijf jaar bij elkaar, wat de bredere wereldwijde verschuiving weerspiegelt naar het behandelen van datamismanagement als een serieuze financiële aansprakelijkheid in plaats van een voetnoot over compliance.
De Koreaanse boete tegen Coupang valt op omdat ze werd opgelegd aan een binnenlandse marktleider, niet aan een buitenlandse techgigant. Europese toezichthouders hebben historisch gezien hun hoogste boetes opgelegd aan in de VS gevestigde bedrijven als Meta en Google. Wanneer het eigen vlaggenschip-e-commerceplatform van een land een recordboete krijgt, is dat een signaal dat handhaving volwassen wordt en verder gaat dan spraakmakende zaken tegen buitenlandse bedrijven.
Waarom bedrijven routinematig recordprivacyboetes aanvechten en wat er nu gebeurt
Het besluit van Coupang om de boete aan te vechten, is niet verrassend. Het via de rechter aanvechten van grote bestuurlijke boetes is om verschillende redenen standaardpraktijk in het bedrijfsleven. Ten eerste stelt het de financiële impact uit zolang de procedure loopt. Ten tweede slagen bedrijven er soms in het uiteindelijke bedrag te verlagen, ofwel omdat rechtbanken instemmen op procedurele gronden, ofwel omdat schikkingsonderhandelingen tot een lager cijfer leiden. Ten derde signaleert de juridische procedure zelf aan aandeelhouders en zakenpartners dat het management terugvecht in plaats van fouten te erkennen.
Dit patroon komt herhaaldelijk voor in spraakmakende privacyzaken. Na de Californische rechtszaak tegen 23andMe over een datalek dat de genetische gegevens van 7 miljoen gebruikers trof, sleepten de juridische procedures zich lang voort na de eerste aankondiging, waarbij de uiteindelijke oplossing faillissementsprocedures en een verkoop van activa omvatte in plaats van een eenvoudige boetebetaling.
Voor toezichthouders dienen aangevochten boetes nog steeds een doel. Zelfs als Coupang uiteindelijk een lager bedrag betaalt, zendt het kopcijfer een signaal naar andere grote platforms die in Korea actief zijn, dat aanzienlijk datamismanagement een reëel financieel risico met zich meebrengt. De reputatieschade van een openbare boete van deze omvang fungeert bovendien als afschrikmiddel, los van de uiteindelijke juridische uitkomst.
Stappen die privacybewuste gebruikers kunnen nemen na een grootschalig datalek bij een retailer
Als u een van de 37 miljoen personen bent wiens gegevens bij het Coupang-lek zijn blootgesteld, of als u na een spraakmakende zaak als deze gewoon uw risico's opnieuw beoordeelt, zijn er concrete stappen die u direct kunt nemen.
Wijzig uw wachtwoorden. Als u op meerdere diensten hetzelfde wachtwoord gebruikt, creëert een lek bij één retailer overal risico. Gebruik een wachtwoordmanager om unieke, complexe wachtwoorden voor elk account te onderhouden.
Schakel multifactor-authenticatie in. Zelfs als uw wachtwoord is blootgesteld, maakt MFA het aanvallers aanzienlijk moeilijker om met gestolen inloggegevens toegang tot uw accounts te krijgen.
Houd uw financiële rekeningen in de gaten. Datalekken bij retailers bevatten vaak aankoopgeschiedenissen en soms gedeeltelijke betalingsgegevens. Controleer de komende weken uw bank- en creditcardafschriften op onbekende transacties.
Wees alert op phishing. Aanvallers die uw contactgegevens uit gelekte databases hebben verkregen, sturen u vaak overtuigende phishing-e-mails of sms-berichten. Wees sceptisch bij onverwachte berichten waarin u wordt gevraagd accountinformatie te verifiëren, vooral als ze een gevoel van urgentie creëren.
Vraag uw gegevens op. Veel jurisdicties, waaronder Zuid-Korea onder de Wet bescherming persoonsgegevens, geven individuen het recht om op te vragen welke gegevens een bedrijf over hen bewaart en om verwijdering ervan te verzoeken. Als u Coupang-gebruiker bent, bestaat dit recht ongeacht het lopende juridische geschil.
Wat dit voor u betekent
De boete voor het datalek bij Coupang in Korea is niet slechts een verhaal over één bedrijf of één land. Het maakt deel uit van een bredere verschuiving in de manier waarop overheden persoonsgegevens behandelen als een beschermd bezit met echte tanden in de handhaving. Of u nu op Koreaanse platforms winkelt of niet, deze trend is van belang: toezichthouders wereldwijd zetten hoger in voor bedrijven die gebruikersinformatie niet beschermen.
Het beste moment om uw eigen digitale voetafdruk te controleren is nu, vóór het volgende lek, niet erna. Uw rechten kennen onder de privacywetgeving die op u van toepassing is, is een praktisch startpunt. Voor een breder beeld van hoe handhaving dichter bij huis evolueert, bieden de gegevens over stijgende Amerikaanse privacyboetes op deelstaatniveau een bruikbaar raamwerk om te begrijpen waar het momentum in de regelgeving naartoe gaat.
