De Autoriteit Persoonsgegevens (AP) legt taxidienst Uber een boete op van 290 miljoen euro. De toezichthouder heeft geconstateerd dat Uber persoonsgegevens van Europese taxichauffeurs heeft doorgespeeld naar de VS zonder die data voldoende te beschermen. Volgens de AP gaat het om een zeer ernstige overtreding van de Algemene Verordening Gegevensbescherming (AVG). Het is de hoogste boete die de AP tot nu toe aan een partij oplegde voor een privacy-overtreding.
‘Uber verzamelde gevoelige informatie van chauffeurs uit Europa en bewaarde die op servers in de VS. Het gaat om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens, identiteitsbewijzen, en in sommige gevallen zelfs strafrechtelijke en medische gegevens van chauffeurs’, schrijft AP. Volgens de privacywaakhond heeft de taxidienst ruim twee jaar lang persoonsgegevens doorgegeven naar het hoofdkantoor van Uber in de VS, zonder gebruik te maken van een ‘doorgifte-instrument’. ‘Daardoor was de bescherming van persoonsgegevens niet goed genoeg. Het Hof van Justitie van de EU heeft het Privacy Shield in 2020 ongeldig verklaard. Volgens het Hof konden modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd. Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield.’
Klachten van chauffeurs
De AP is een onderzoek gestart naar Uber nadat meer dan 170 Franse chauffeurs een klacht indienden bij de Ligue des droits de l’Homme (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder. De AVG regelt dat bedrijven die gegevens in verschillende EU-landen verwerken met één privacytoezichthouder te maken hebben: die in het land waar het bedrijf is gevestigd. Het Europese hoofdkantoor van Uber zit in Nederland. Tijdens het onderzoek heeft de AP nauw samengewerkt met de Franse toezichthouder en het besluit afgestemd met andere Europese toezichthouders.
Privacytoezichthouders in Europa berekenen op dezelfde manier de hoogte van boetes voor bedrijven. Die boetes bedragen maximaal vier procent van de wereldwijde jaaromzet van een bedrijf. Uber had in 2023 een wereldwijde omzet van zo’n 34,5 miljard euro. Uber heeft aangekondigd bezwaar tegen de boete te zullen aantekenen. Het is overigens de derde boete die de AP oplegt aan Uber. In 2018 betrof het een boete op van 600.000 euro voor het te laat melden van een datalek en in 2023 werd de taxidienst bestraft met een boete van tien miljoen euro omdat het bedrijf onvoldoende openheid gaf over de bewaartermijn van persoonsgegevens van Europese chauffeurs en naar welke landen buiten Europa deze werden doorgestuurd. Uber maakte tegen die boete ook bezwaar.
Verplichte maatregelen
‘In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan’, zegt AP-voorzitter Aleid Wolfsen. ‘Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen. Daarom zijn bedrijven meestal verplicht extra maatregelen te nemen als zij persoonsgegevens van Europeanen buiten de Europese Unie opslaan. Uber heeft het in de AVG vereiste niveau van bescherming voor chauffeurs niet gewaarborgd voor de doorgifte van gegevens naar de VS. Dat is zeer ernstig.’
