De Nederlandse Autoriteit Persoonsgegevens (AP) heeft Uber een recordboete van € 290 miljoen ($ 324 miljoen) opgelegd omdat het bedrijf naar verluidt niet heeft voldaan aan de normen voor gegevensbescherming van de Europese Unie (EU) bij het verzenden van gevoelige chauffeursgegevens naar de VS.
“De Nederlandse Autoriteit Persoonsgegevens heeft vastgesteld dat Uber persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten (VS) heeft doorgegeven en dat de gegevens bij deze doorgiften niet op passende wijze zijn beveiligd”, aldus de instantie.
De waakhond voor gegevensbescherming zei dat de stap een “ernstige” schending van de Algemene Verordening Gegevensbescherming (AVG) vormt. Als reactie hierop heeft de taxi-, koeriers- en maaltijdbezorgservice de praktijk beëindigd.
Er wordt aangenomen dat Uber de gevoelige informatie van chauffeurs heeft verzameld en deze meer dan twee jaar op Amerikaanse servers heeft bewaard. Dit omvatte accountgegevens en taxivergunningen, locatiegegevens, foto’s, betalingsgegevens en identiteitsdocumenten. In sommige gevallen bevatte het ook criminele en medische gegevens van chauffeurs.
De DPA beschuldigde Uber ervan de gegevensoverdrachten uit te voeren zonder gebruik te maken van de juiste mechanismen, vooral gezien het feit dat de EU in 2020 het EU-VS-privacyschild ongeldig heeft verklaard. Een vervanging, bekend als het EU-VS-gegevensprivacykader, werd in juli 2023 aangekondigd.
“Omdat Uber vanaf augustus 2021 geen gebruik meer maakte van de Standard Contractual Clauses, waren de gegevens van chauffeurs uit de EU onvoldoende beschermd, aldus de Nederlandse Autoriteit Persoonsgegevens”, aldus de instantie. “Sinds eind vorig jaar maakt Uber gebruik van de opvolger van het Privacy Shield.”
In een verklaring die gedeeld werd met Bloomberg, zei Uber dat de boete “volledig onterecht” is en dat het van plan is om de beslissing aan te vechten. Het zei verder dat het grensoverschrijdende gegevensoverdrachtsproces in overeenstemming was met de AVG.
Eerder dit jaar legde de DPA Uber een boete van € 10 miljoen op omdat het bedrijf niet alle details openbaar had gemaakt over de bewaartermijnen van gegevens van Europese chauffeurs en de niet-Europese landen waarmee het de gegevens deelt.
“Uber heeft het voor chauffeurs onnodig ingewikkeld gemaakt om verzoeken in te dienen om hun persoonlijke gegevens in te zien of kopieën daarvan te ontvangen”, aldus de DPA in januari 2024.
“Bovendien hebben ze in hun privacyvoorwaarden niet gespecificeerd hoe lang Uber de persoonsgegevens van haar chauffeurs bewaart of welke specifieke veiligheidsmaatregelen zij neemt bij het verzenden van deze informatie naar entiteiten in landen buiten de (Europese Economische Ruimte).”
Het is niet de eerste keer dat Amerikaanse bedrijven in het vizier komen van de gegevensbeschermingsautoriteiten van de EU vanwege het gebrek aan vergelijkbare privacybescherming in de VS met betrekking tot gegevensoverdrachten binnen de EU. Hierdoor is er bezorgdheid ontstaan dat gegevens van Europese gebruikers het onderwerp kunnen zijn van Amerikaanse surveillanceprogramma’s.
In 2022 oordeelden Oostenrijkse en Franse toezichthouders dat het transatlantische verkeer van Google Analytics-gegevens een schending van de AVG-wetgeving vormde.
“Denk aan overheden die op grote schaal data kunnen tappen”, aldus DPA-voorzitter Aleid Wolfsen. “Daarom zijn bedrijven doorgaans verplicht om aanvullende maatregelen te nemen als ze persoonsgegevens van Europeanen buiten de Europese Unie opslaan.”