De Nederlandse gegevensbeschermingswaakhond heeft maandag een boete opgelegd aan de taxi-app Uber wegens “ernstige overtredingen” van de regels door gegevens over zijn chauffeurs over te dragen naar servers in de Verenigde Staten.
Wat zei de toezichthouder
De toezichthouder heeft Uber een boete van 290 miljoen euro (ongeveer $324 miljoen) opgelegd wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
De Nederlandse Autoriteit Persoonsgegevens (AP) zegt dat Uber gevoelige informatie van Europese chauffeurs heeft verzameld. Het ging onder meer om taxivergunningen, foto’s, betalingsgegevens, locatiegegevens, persoonlijke documenten “en in sommige gevallen zelfs het strafrechtelijke en medische dossier van de bestuurder”.
“Uber heeft niet voldaan aan de AVG-vereisten om het niveau van gegevensbescherming te garanderen met betrekking tot overdrachten naar de VS. Dit is zeer ernstig”, zei DPA-voorzitter Aleid Wolfsen.
Twee jaar lang, aldus de DPA, werd de informatie overgedragen naar het hoofdkantoor van Uber in de VS zonder gebruik te maken van overdrachtstools die de informatie filteren.
“Daarom was de bescherming van persoonsgegevens niet voldoende”, stelt de AP.
Wat was de reactie van Uber?
Uber zei dat het in beroep zou gaan tegen de boete.
“Deze verkeerde beslissing en de buitengewone boete zijn volkomen onterecht”, aldus de woordvoerder.
“Uber’s proces voor grensoverschrijdende gegevensoverdracht voldoet aan de AVG gedurende een periode van drie jaar van enorme onzekerheid tussen de EU en de VS. We zullen in beroep gaan en blijven erop vertrouwen dat het gezond verstand zal zegevieren.”
De EU heeft regels ingevoerd voor grote technologiebedrijven en zware boetes opgelegd voor overtredingen.
De DPA startte een onderzoek nadat meer dan 170 Franse chauffeurs een klacht hadden ingediend bij een Franse mensenrechtenorganisatie die een klacht had ingediend bij de Franse gegevensbeschermingsautoriteit.
Waarom was de Nederlandse toezichthouder erbij betrokken?
Bedrijven die in meerdere EU-landen gegevens verwerken, moeten contact opnemen met de gegevensbeschermingsautoriteit waar hun hoofdkantoor is gevestigd. Het Europese hoofdkantoor van Uber bevindt zich in Nederland.
“In Europa beschermt de AVG de fundamentele rechten van mensen, waardoor bedrijven en overheden verplicht zijn om met de nodige zorgvuldigheid om te gaan met persoonlijke gegevens”, aldus Wolfsen van DPA. “Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen afluisteren. Daarom moeten bedrijven doorgaans extra maatregelen nemen als ze de persoonsgegevens van Europeanen buiten de Europese Unie opslaan. “
Het is de derde boete die het CBP in Nederland aan Uber heeft opgelegd, na boetes van 600.000 euro in 2018 en 10 miljoen euro vorig jaar.
rc/msh (AFP, Reuters)