De Autoriteit Persoonsgegevens (AP) heeft de taxidienst Uber een boete opgelegd van maar liefst 290 miljoen euro, de hoogste privacyboete die ooit in Nederland is uitgedeeld.
Deze beslissing komt voort uit ernstige overtredingen van de Algemene Verordening Gegevensbescherming (AVG), waarbij Uber persoonsgegevens van Europese chauffeurs naar de Verenigde Staten heeft doorgestuurd zonder de vereiste bescherming. Volgens de AP heeft Uber de persoonsgegevens van duizenden chauffeurs uit de Europese Unie op een onzorgvuldige manier naar servers in de Verenigde Staten verplaatst. Dit gebeurde zonder adequate waarborgen, waardoor de gegevens kwetsbaar werden voor ongeoorloofde toegang en misbruik. De toezichthouder benadrukt dat Uber hiermee in strijd heeft gehandeld met de AVG, die strikte regels oplegt voor de bescherming van persoonsgegevens, vooral bij overdracht naar landen buiten de Europese Economische Ruimte (EER).
waarborgen
De AP stelt in haar rapport dat Uber heeft gefaald in het implementeren van voldoende technische en organisatorische maatregelen om de veiligheid van de gegevens te waarborgen. “Dit is een ernstige schending van de privacy van Europese burgers,” aldus de voorzitter van de AP. “Bedrijven die opereren in Europa moeten zich houden aan de strikte regels die zijn opgesteld om de privacy van onze burgers te beschermen. De boete weerspiegelt de ernst van de overtreding en moet een duidelijke boodschap afgeven aan alle bedrijven die denken dat ze zonder gevolgen kunnen handelen.”
"In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan" zegt AP-voorzitter Aleid Wolfsen. Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen."
Volgens de AP heeft Uber in een periode van meer dan twee jaar diverse gevoelige gegevens van chauffeurs verzameld en opgeslagen op servers in de VS. Het ging hierbij niet alleen om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens en identiteitsbewijzen. Wat de zaak extra ernstig maakt, is dat Uber ook strafrechtelijke en medische gegevens van chauffeurs naar de VS heeft doorgestuurd, zonder gebruik te maken van een passend doorgifte-instrument. Hierdoor konden de gegevens blootgesteld worden aan risico’s zoals ongeoorloofde toegang en misbruik.
De AP oordeelt dat Uber hiermee in ernstige mate heeft gehandeld in strijd met de Algemene Verordening Gegevensbescherming (AVG), die strikte eisen stelt aan de bescherming van persoonsgegevens. De wet vereist dat wanneer gegevens van EU-burgers worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER), er adequate maatregelen moeten worden genomen om de gegevens te beschermen. Dit kan bijvoorbeeld door het gebruik van standaardcontractbepalingen of andere doorgifte-instrumenten die zijn goedgekeurd door de Europese Commissie. In het geval van Uber ontbraken deze maatregelen, waardoor de bescherming van de persoonsgegevens ernstig tekortschoot.
discussie
De juridische strijd die nu mogelijk zal volgen, kan de aandacht vestigen op een bredere discussie over de naleving van de privacywetten door grote internationale bedrijven. Experts wijzen erop dat het niet de eerste keer is dat Uber onder vuur ligt vanwege haar omgang met privacykwesties. In 2018 kreeg het bedrijf al een boete van 600.000 euro van de AP vanwege een datalek in 2016 waarbij de gegevens van 57 miljoen gebruikers, waaronder 174.000 Nederlanders, op straat kwamen te liggen. Dit nieuwe incident versterkt de bezorgdheid over hoe technologiebedrijven de privacy van hun gebruikers beheren en roept vragen op over de doeltreffendheid van de huidige regelgeving.
De AP is een onderzoek gestart naar Uber nadat meer dan 170 Franse chauffeurs een klacht indienden bij de Ligue des droits de l’Homme (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder.
De Europese Unie heeft in de afgelopen jaren haar wetgeving rond gegevensbescherming aangescherpt, met de AVG als een van de meest ingrijpende maatregelen. De AVG verplicht bedrijven om strikte voorzorgsmaatregelen te nemen bij de verwerking van persoonsgegevens en legt zware boetes op bij overtredingen.
EER
De uitspraak van de AP kan ook bredere implicaties hebben voor andere technologiebedrijven die actief zijn in Europa. Bedrijven die gegevens van EU-burgers verwerken, moeten ervoor zorgen dat zij voldoen aan de AVG, zelfs wanneer deze gegevens worden doorgegeven aan landen buiten de EER. Dit incident benadrukt het belang van robuuste beveiligingsmaatregelen en de noodzaak om transparant te zijn over hoe gegevens worden beheerd en beschermd.
Hoewel Uber zich verzet tegen de boete, is de kans groot dat dit een lang juridisch gevecht zal worden. Mocht de boete standhouden, dan zou dit een precedent kunnen scheppen voor toekomstige handhavingsacties tegen andere bedrijven die de AVG niet naleven. De uitkomst van deze zaak zal met veel belangstelling worden gevolgd door zowel de technologie-industrie als privacy-activisten.
