Privacytoezichthouder legt recordboete op: 290 miljoen voor Uber
Uber krijgt een boete van 290 miljoen euro voor het doorgeven van data van Europese chauffeurs naar de Verenigde Staten. Het is de hoogste boete die de Autoriteit Persoonsgegevens (AP) tot nu toe heeft opgelegd. Uber stuurde onder meer identiteitsbewijzen, medische gegevens en locatiegegevens naar de VS zonder dat die volgens de AP goed beschermd werden. Uber betwist dat.
Het bedrijf stuurde gegevens van Europese chauffeurs jarenlang naar servers in de VS. Dat mag alleen als de privacygevoelige gegevens net zo goed beschermd worden als in Europa. Het bedrijf overtrad de privacywet AVG omdat de bescherming volgens de AP niet goed genoeg was.
"Uber is een heel groot bedrijf dat persoonsgegevens van chauffeurs niet binnen Europa heeft gehouden, maar heeft doorgegeven aan de VS. Dat mag alleen als ze op hetzelfde niveau beschermd worden. Dat was niet het geval", zegt AP-voorzitter Aleid Wolfsen tegen RTL Nieuws.
"Dat geeft chauffeurs een ongemakkelijk gevoel", zegt hij. "Je weet in alle eerlijkheid niet wat er met die data gebeurt." Hij benadrukt dat het niet alleen om simpele informatie zoals naam en contactgegevens ging, maar ook om betaalgegevens en in sommige gevallen medische gegevens.
Uber vecht besluit aan
Uber noemt de boete 'onterecht en onrechtvaardig'. "Uber heeft er altijd voor gezorgd dat de doorgifte van persoonsgegevens naar de VS in lijn was met de AVG", zegt het bedrijf in een reactie aan RTL Nieuws. Daarom maakt het bedrijf bezwaar tegen het besluit van de AP. Die moet het besluit daarom opnieuw beoordelen.
Uber geeft ook al aan dat het naar de rechter zal stappen als de bezwaarprocedure bij de Autoriteit Persoonsgegevens niet het gewenste resultaat oplevert.
Hoogste boete ooit
Het bedrag van 290 miljoen euro is een veelvoud van de hoogste boete die de AP tot nu toe oplegde. Die ging ook naar Uber: in januari maakte de toezichthouder bekend dat Uber een bedrag van 10 miljoen euro moest betalen. De AP vond dat het taxibedrijf het voor chauffeurs niet transparant was over hoe het met hun gegevens omging.
Het is de derde boete voor Uber. De eerste werd in 2018 opgelegd. Dat was omdat Uber een hack bij het bedrijf te laat bij de toezichthouder had gemeld. Bij het incident kwamen gegevens van 57 miljoen Uber-gebruikers wereldwijd op straat te liggen, waaronder van zo'n 174.000 Nederlanders.
De twee meest recente boetes komen voort uit een klacht van Uber-chauffeurs in 2020 bij de Franse privacytoezichthouder. Die kwam uiteindelijk bij de Autoriteit Persoonsgegevens terecht omdat Uber zijn Europese hoofdkantoor in Nederland heeft.
De AP kan boetes van maximaal 20 miljoen euro opleggen, of tot 4 procent van de wereldwijde jaaromzet, als die hoger is. Ubers jaaromzet was in 2023 ongeveer 34 miljard euro. De boete van 290 miljoen komt neer op minder dan 1 procent daarvan.
In dat licht moet je de boete zien, zegt AP-voorzitter Wolfsen tegen RTL Nieuws. "Wij hebben dit bedrag afgestemd met Europese collega's: wat is een serieuze, maar redelijke boete? Dan kom je op dit bedrag." Hij geeft aan dat er ook ruimte moet zijn om hogere boetes op te leggen, voor mogelijk nog ernstigere overtredingen.
"Deze boete is ook een waarschuwing voor andere bedrijven: let op dat je data in beginsel in de EU houdt. Breng je het buiten de EU, dan moet je er echt zeker van zijn dat je die data goed beschermt."
Hoe zit het juridisch precies?
De privacywet AVG regelt dat gegevens in Europa goed beschermd moeten worden. Bedrijven mochten gegevens altijd volgens bepaald regels (het Privacy Shield) doorsturen naar de Verenigde Staten. Maar de hoogste Europese rechter verklaarde het Privacy Shield in 2020 ongeldig omdat gegevens in de VS onvoldoende beschermd werden.
Bedrijven mochten gegevens toen nog wel doorgeven naar de VS, maar alleen onder een bepaald regime. Uber maakte daar sinds augustus 2021 geen gebruik van - en dus was het bedrijf volgens de AP in overtreding. Uber zegt dat gegevens in die periode wél in overeenstemming met de AVG werden beschermd.
Sinds juli 2023 is er een opvolger van het Privacy Shield: het Data Privacy Framework. Uber voldoet hier sinds november 2023 aan. Daarmee hield de overtreding volgens de AP op. Uber zegt dat het op dat moment geen wijzigingen heeft hoeven aanbrengen in de manier waarop gegevens naar de VS werden gestuurd.