AP legt Uber boete op van 290 miljoen euro om doorgifte data chauffeurs naar VS

De Autoriteit Persoonsgegevens (AP) legt Uber een boete op van 290 miljoen euro. De AP heeft geconstateerd dat Uber persoonsgegevens van Europese taxichauffeurs heeft doorgegeven naar de Verenigde Staten (VS) en dat Uber daarbij de gegevens onvoldoende heeft beschermd. Dit is volgens de AP een ernstige overtreding van de Algemene verordening gegevensbescherming (AVG). Inmiddels heeft Uber de overtreding beëindigd.

Autoriteit Persoonsgegevens

26 augustus 2024

Privacy

Toezicht

Handhaving

Big tech

"In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan" zegt AP-voorzitter Aleid Wolfsen. Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen."

"Daarom zijn bedrijven meestal verplicht extra maatregelen te nemen als zij persoonsgegevens van Europeanen buiten de Europese Unie opslaan. Uber heeft het in de AVG vereiste niveau van bescherming voor chauffeurs niet gewaarborgd voor de doorgifte van gegevens naar de VS. Dat is zeer ernstig."

Gevoelige gegevens

Uber verzamelde onder meer gevoelige informatie van chauffeurs uit Europa en bewaarde die op servers in de VS. Het gaat om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens, identiteitsbewijzen en in sommige gevallen zelfs strafrechtelijke gegevens en medische gegevens van chauffeurs.

Uber heeft die gegevens ruim 2 jaar lang doorgegeven naar het hoofdkantoor van Uber in de VS, zonder gebruik te maken van een doorgifte-instrument. Daardoor was de bescherming van persoonsgegevens niet goed genoeg.

Het Hof van Justitie van de EU heeft het EU-VS Privacy Shield in 2020 ongeldig verklaard. Volgens het Hof konden modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kon worden gewaarborgd.

Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield.

Klachten van chauffeurs

De AP is een onderzoek gestart naar Uber nadat meer dan 170 Franse chauffeurs een klacht indienden bij de Ligue des droits de l’Homme (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder.

De AVG regelt dat bedrijven die gegevens in verschillende EU-landen verwerken, met één privacytoezichthouder te maken hebben: die in het land waar het bedrijf is gevestigd. Het Europese hoofdkantoor van Uber zit in Nederland. Tijdens het onderzoek heeft de AP nauw samengewerkt met de Franse toezichthouder en het boetebesluit afgestemd met andere Europese toezichthouders.

Boete voor Uber

Alle privacytoezichthouders in Europa berekenen op dezelfde manier de hoogte van boetes voor bedrijven. Die boetes bedragen maximaal 4% van de wereldwijde jaaromzet van een bedrijf. Uber had in 2023 een wereldwijde omzet van zo’n 34,5 miljard euro. Uber heeft aangekondigd bezwaar tegen de boete te zullen aantekenen.

Dit is de derde boete die de AP oplegt aan Uber. In 2018 legde de AP Uber een boete op van 600.000 euro en in 2023 een boete van 10 miljoen euro. Uber heeft tegen die laatste boete bezwaar gemaakt.

Gerelateerd nieuws

Volgende stap defensiewet vergroot spanning tussen veiligheid en privacy

15 december 2025

De Wet op de defensiegereedheid (Wodg) is een stap dichter bij invoering gekomen. De ministerraad heeft ingestemd met het wetsvoorstel, dat Defensie meer ruimte moet geven om sneller en realistischer te oefenen en te opereren. De wet gaat nu voor advies naar de Raad van State, waarna behandeling volgt in de Tweede en Eerste Kamer.

Europese waakhond: ‘AI‑systemen bedreigen grondrechten, menselijk toezicht onvoldoende’

9 december 2025

De Europese grondrechtenwaakhond FRA (European Union Agency for Fundamental Rights) waarschuwt in een vorige week verschenen rapport dat organisaties slecht zijn voorbereid op het beoordelen en beperken van grondrechtenrisico’s bij het gebruik van hoog‑risico‑AI. Volgens de FRA dreigt daardoor een kloof tussen de ambities van de AI Act en de dagelijkse praktijk bij ontwikkelaars en gebruikers van AI‑systemen in onder meer asiel, onderwijs, werk, politie en sociale zekerheid. Die kloof raakt direct aan de manier waarop mensen en AI in de samenleving samen optrekken: als de menselijke kant van die samenwerking – kennis, reflectie en kritisch vermogen – tekortschiet, verliest AI haar grond voor vertrouwen.

De cruciale rol van een veilige meldcultuur bij cybersecurity

8 december 2025

Onlangs publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland (CSBN) 2025. Het rapport schetst een digitale dreigingsomgeving die steeds complexer, diverser en onvoorspelbaarder wordt. Terwijl de dreiging groeit, ligt de verdediging in het versterken van de digitale basishygiëne. Organisatiecultuur speelt hierbij een belangrijke rol in hoe incidenten worden herkend en gemeld. Het CSBN 2025 maakt duidelijk dat digitale veiligheid geen puur technologisch vraagstuk is, maar afhankelijk is van hoe mensen binnen organisaties handelen. Transparency International Nederland (TI-NL) benadrukt daarom de cruciale rol van menselijk gedrag en een veilige meldcultuur bij effectieve cybersecurity.

AI en Auteursrecht: waarom een uitspraak uit München alles verandert

4 december 2025

Op 11 november 2025 deed het Landesgericht München uitspraak in een zaak die de juridische wereld én de techsector op scherp zet: GEMA tegen OpenAI (zaaknummer 42 O 14139/24). Het ging om de vraag of het gebruik van auteursrechtelijk beschermde songteksten door generatieve AI-modellen zoals ChatGPT in strijd is met het auteursrecht. Het antwoord van de rechtbank? Ja. En dat is best baanbrekend.

Meer nieuws