Met de nieuwe Russische taxiwet, die begin september van kracht werd, en waar we in het septembernummer van Magazine Personenvervoer uitgebreid over berichtten (https://bit.ly/PV0423) beoogde de Russische wetgever niet alleen een verdere regulering van de vaak wild-west-achtige Russische taxisector, maar kwam er ook een verplichting voor alle Russische taxi-apps om gegevens van hun klanten door te geven aan de Russische geheime dienst, de FSB.  

BNR Nieuwsradio ontdekte dat de Autoriteit Persoonsgegevens (AP) een Europees onderzoek naar een dochterbedrijf van de Russische internetgigant Yandex leidt. De in Amsterdam gevestigde taxi-app zou mogelijk persoonsgegevens delen met de Russische veiligheidsdienst FSB. Dat blijkt uit navraag van BNR bij de Noorse en Finse data-toezichthouders, die ook bij het onderzoek betrokken zijn. De AP zelf doet nooit mededelingen over lopende zaken. 

Doelwit van het onderzoek is de taxi-app Yango, een dochterbedrijf van Yandex, dat geldt als het ‘Russische Google’. De Yandex taxi-app, de meestgebruikte taxi-app in Rusland, is in meer dan 30 landen actief, waaronder EU-lidstaten Noorwegen en Finland. In de Baltische landen is de app al een jaar verboden omdat gevreesd werd voor Russische spionage. Ook in Afrika is de app zeer actief.  

Die angst lijkt volgens BNR niet ongegrond. Begin deze maand werd in Rusland de nieuwe taxiwet van kracht die taxibedrijven, waaronder Yango, verplicht de FSB onbeperkt toegang te geven tot hun gegevens. Zo werden data die via de taxi-app waren verzameld door de Russische autoriteiten gebruikt om het adres van Ivan Goloenov vast te stellen en hem te arresteren, meldde in maart 2020 The Moscow Times. 

Omdat Noorse en Finse gebruikers van de app mogelijk ook doelwit kunnen worden van spionage, werd het Yango in deze landen begin augustus verboden taxi-data te delen met Rusland. Yandex maakte bezwaar en de maatregelen zijn opgeschort terwijl er door betrokken Europese landen onderzoek wordt gedaan naar de zaak. 

De Nederlandse Autoriteit Persoonsgegevens heeft hierbij de leiding, omdat de app en bijbehorende gebruikersdata formeel worden beheerd door een bedrijf in Amsterdam, Yandex NV. Omdat Yango onder Nederlands toezicht valt, is de AP als enige bevoegd om sancties op te leggen, zoals dwangmiddelen of boetes. 

Een woordvoerder van Yango liet aan BNR weten dat het bedrijf nu al volledig opereert binnen de grenzen van Europese privacywetgeving, maar dat er de afgelopen weken ook een ‘roadmap’ is opgesteld om te voldoen aan ‘aanvullende eisen’ van de Autoriteit Persoonsgegevens. Ook zegt het bedrijf de afgelopen weken veel juridische en technische gegevens te hebben verstrekt aan de AP. Verder wil Yango niet op vragen reageren. Tegen Finse en Noorse toezichthouders zei het bedrijf dat de wet die de FSB toegang geeft tot taxidata alleen van toepassing is op gebruikers op Russisch grondgebied. 

BNR onderzocht met gespecialiseerde software ook wat voor data de Yango-app verstuurt naar derden. Hieruit blijkt dat Yango nog steeds locatiegegevens deelt met servers in Moskou. Elke keer dat de app wordt gebruikt legt deze contact met een authenticatiesysteem van moederbedrijf Yandex, waarbij de positie van een taxiklant zeer nauwkeurig wordt uitgepeild. De holding van Yandex, Yandex NV, is ook gevestigd in Nederland. Het bedrijf kondigde eind vorig jaar aan op termijn zijn belangen te zullen opsplitsen in een Russisch en niet-Russisch deel. Het taxibedrijf zou dan in Russische handen komen. 

Yandex heeft zich eerder openlijk verzet tegen de FSB toen deze gebruikersdata opvroeg. Het bedrijf kreeg in juni daarvoor een boete opgelegd van twee miljoen roebel (ongeveer € 20.000). Anderzijds meldde Yandex in zijn meest recente privacyrapport bijna 14.000 verzoeken om taxidata te hebben ingewilligd. 

Arkadi Volozj, oprichter van Yandex, legde zijn functie als CEO vorig jaar neer, nadat hij op de Europese sanctielijst werd geplaatst. Pas vorige maand sprak hij zich in duidelijke termen uit tegen de oorlog in Oekraïne, die hij ‘barbaars‘ noemde. Een luxe herenhuis dat Volozj bezit aan het Amsterdamse Vondelpark werd oktober vorig jaar gekraakt. 

De Finse data-autoriteit laat weten dat de maatregelen tegen de taxi-app slechts tijdelijk zijn opgeschort. Afhankelijk van de uitkomst van het lopende onderzoek zouden deze volgende week weer van kracht kunnen worden. Het verbod op data-doorgifte naar Rusland zou het gebruik van de huidige versie van de app onmogelijk maken. 

Yango gaf BNR deze formele reactie:  

“As we have our main establishment in the Netherlands, the Netherlands Data Protection Authority (DPA) is our lead DPA. We communicate with our lead DPA within the framework of the GDPR and the relevant legislation and provide them with all the information they request. 

Yango complies fully with the GDPR data protection requirements, including with respect to data transfers and data storage. In the previous weeks we provided detailed legal and technical information to the Dutch DPA regarding our data processing standards and have demonstrated an initial roadmap to implement further measures supplementing compliance with the regulator’s additional requirements. 

At Yango, we always put our users first. This has been our top priority for many years, and it always will be. So we’ll continue to set the highest standards of service in our industry while abiding by the best practices of data protection and fostering a transparent relationship with regulators. 

We are not competent to publicly comment on any ongoing or potential investigations conducted by the Dutch DPA outside the scope of their official statements.” 

• De Autoriteit Persoonsgegevens leidt het onderzoek naar de Russische taxi-app Yango die wellicht gegevens deelt met Russische geheime dienst FSB. Yandex is in Rusland de meest populaire taxi-app. Redactiefoto.