Volgens de Autoriteit Persoonsgegevens (AP) zijn gegevens van Europese Uber-chauffeurs onrechtmatig overgedragen naar de VS en moet het bedrijf daarom een boete van 290 miljoen euro betalen. Dit is de hoogste boete die ooit in Nederland is opgelegd in verband met de Algemene Verordening Gegevensbescherming (AVG). Omdat het Europese hoofdkantoor van Uber is gevestigd in Amsterdam, kwam een eerdere rechtszaak over gegevensbescherming van Franse chauffeurs al bij de AP terecht. De gegevensbeschermingsautoriteit werkt al geruime tijd samen met de Franse collega’s. 

De AVG bepaalt dat gegevens alleen naar de VS mogen worden verzonden voor opslag op servers als passende beveiligingsmaatregelen worden genomen. In het geval van Uber werden de regels niet nageleefd, aldus de AP.  

Uber verzamelde uitgebreid veel gevoelige informatie van chauffeurs en stuurde deze door naar het hoofdkantoor in de VS. Het gaat hierbij bijvoorbeeld om taxivergunningen, ID-kaarten en rekeninggegevens, maar ook locatiegegevens, foto’s, betaalgegevens en soms zelfs strafrechtelijke gegevens en medische gegevens van chauffeurs. Uber in Amsterdam heeft deze gegevens ruim twee jaar lang overgedragen aan het Uber-hoofdkantoor in de VS zonder gebruik te maken van een overdrachtstool. De bescherming van persoonsgegevens was dus niet goed genoeg. Uber had echter in een contract moeten vastleggen hoe zij de gegevensverwerking in de VS zou harmoniseren met de Europese regels. Het bedrijf doet dit al twee jaar niet, maar voldoet nu wel aan de regels. 

Het Hof van Justitie van de EU heeft het EU-VS-Privacy Shield in 2020 ongeldig verklaard. Volgens de rechtbank kunnen modelcontracten nog steeds een geldige basis bieden voor de overdracht van gegevens naar landen buiten de EU. Maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gegarandeerd met dat in de EU. Omdat Uber vanaf augustus 2021 niet meer zo’n modelcontract gebruikte, waren de gegevens van EU-chauffeurs volgens AP niet voldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield. 

• Autoriteit Persoonsgegevens legt Uber een recordboete van 290 miljoen euro op voor het illegaal delen van Europese chauffeursgegevens met de VS. Redactiefoto.