AP geeft Uber boete van 290 miljoen euro voor datadoorgifte naar VS
De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van 290 miljoen euro opgelegd voor het doorgeven van de persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten waarbij deze gegevens onvoldoende werden beschermd. Volgens de privacytoezichthouder is dit een ernstige overtreding van de AVG. Uber heeft de overtreding inmiddels beëindigd.
Uber verzamelde onder meer gevoelige informatie van chauffeurs uit Europa en bewaarde die op servers in de VS. Het gaat om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens, identiteitsbewijzen en in sommige gevallen zelfs strafrechtelijke gegevens en medische gegevens van chauffeurs. Deze gegevens werden twee jaar lang doorgegeven naar het hoofdkantoor van Uber in de VS, zonder gebruik te maken van een doorgifte-instrument. Daardoor was de bescherming van persoonsgegevens niet goed genoeg, zo oordeelt de AP.
Het Privacy Shield-verdrag, dat voor de uitwisseling van data tussen de EU en VS werd gebruikt, werd in 2020 door het Hof van Justitie van de EU ongeldig verklaard. Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield.
"In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan" zegt AP-voorzitter Aleid Wolfsen. Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen." Volgens Wolfsen heeft Uber het in de AVG vereiste niveau van bescherming voor chauffeurs niet gewaarborgd voor de doorgifte van gegevens naar de VS. "Dat is zeer ernstig."
Uber heeft aangekondigd bezwaar tegen de boete te zullen aantekenen. Dit is de derde boete die de AP oplegt aan Uber. In 2018 legde de AP Uber een boete op van 600.000 euro en in 2023 een boete van tien miljoen euro. Uber heeft tegen die laatste boete bezwaar gemaakt.
Reacties (12)
Vandaag, 09:28 door
Anoniem
Goh. Eindelijk eens een boete die enig hout snijdt. Gezien de trend, moet het dan wel erger zijn dan wat faecesboek doet.
Nu bezwaar en naar de rechter. Uiteindelijk blijft er vast wel 100k over om te betalen. Want zo werkt dat in Nederland.
Ohja, AP, pak de Nederlandse staat ook nog ff aan. Daar is meer te halen!
Nu bezwaar en naar de rechter. Uiteindelijk blijft er vast wel 100k over om te betalen. Want zo werkt dat in Nederland.
Ohja, AP, pak de Nederlandse staat ook nog ff aan. Daar is meer te halen!
Vandaag, 10:14 door
Anoniem
Ben ook wel benieuwd hoe deze overtreding is beëindigd, is dit door de datadeling te stoppen of doordat waarborgen genomen zijn.
Vandaag, 10:28 door
Anoniem
Mooi begin, keihard aanpakken dat soort bedrijven dat denkt dat wet en regelgeving voor anderen bedacht is, behalve voor hunzelf.
Nu nog wat bedrijven op dezelfde wijze aanpakken die de cookie regelgeving te ver op rekken.
Nu nog wat bedrijven op dezelfde wijze aanpakken die de cookie regelgeving te ver op rekken.
Vandaag, 11:25 door
cyberpunk
Maar intussen hebben ze die "gevoelige informatie" wel mooi verzameld.
Vandaag, 11:28 door
Anoniem
Wat Uber heeft aangevoerd is echt bizar (1e link in artikel, dan de PDF waarnaar rechts op die pagina wordt gelinkt).
Het hoofdstuk in de AVG over doorgifte aan derde landen, waar de boete op gebaseerd is, zou niet van toepassing zijn omdat artikel 3 van de AVG al van toepassing is. Het enige wat artikel 3 hier doet is aangeven dat de AVG van toepassing is omdat het hier over de Europese vestiging van Uber gaat (1e lid, dat is hier van toepassing). De conclusie van artikel 3 is dus dat de AVG wel van toepassing is, en Uber zegt dan: maar dan is de AVG dus niet van toepassing, althans het deel ervan waar het nu last van heeft, want als het een van toepassing is voegt het ander niets meer toe (klopt duidelijk niet), en als het een ondergeschikt is aan het ander sluit het elkaar uit (slaat nergens op).
Uber redeneert dus dat iets niet van toepassing kan zijn als je aangeeft dat het van toepassing is. Zal ik dat eens in de supermarkt gaan proberen? Er staat een prijs bij een artikel dus het heeft geen prijs. Er hangt een bordje dat ze winkeldiefstal aanpakken dus mogen ze winkeldiefstal niet aanpakken. Eens kijken hoe ver ik daarmee kom.
Ik vraag me af met wat voor doel dit soort kolder wordt opgenomen. AP jennen in de hoop dat die steekjes laat vallen, zodat ze straks sterker staan voor de rechter, misschien? Het wekt op mij de indruk dat ze qua echte argumenten zelf niet sterk denken te staan.
Het hoofdstuk in de AVG over doorgifte aan derde landen, waar de boete op gebaseerd is, zou niet van toepassing zijn omdat artikel 3 van de AVG al van toepassing is. Het enige wat artikel 3 hier doet is aangeven dat de AVG van toepassing is omdat het hier over de Europese vestiging van Uber gaat (1e lid, dat is hier van toepassing). De conclusie van artikel 3 is dus dat de AVG wel van toepassing is, en Uber zegt dan: maar dan is de AVG dus niet van toepassing, althans het deel ervan waar het nu last van heeft, want als het een van toepassing is voegt het ander niets meer toe (klopt duidelijk niet), en als het een ondergeschikt is aan het ander sluit het elkaar uit (slaat nergens op).
Uber redeneert dus dat iets niet van toepassing kan zijn als je aangeeft dat het van toepassing is. Zal ik dat eens in de supermarkt gaan proberen? Er staat een prijs bij een artikel dus het heeft geen prijs. Er hangt een bordje dat ze winkeldiefstal aanpakken dus mogen ze winkeldiefstal niet aanpakken. Eens kijken hoe ver ik daarmee kom.
Ik vraag me af met wat voor doel dit soort kolder wordt opgenomen. AP jennen in de hoop dat die steekjes laat vallen, zodat ze straks sterker staan voor de rechter, misschien? Het wekt op mij de indruk dat ze qua echte argumenten zelf niet sterk denken te staan.
Vandaag, 11:35 door
Anoniem
Door cyberpunk: Maar intussen hebben ze die "gevoelige informatie" wel mooi verzameld.
Want Uber was zo'n alternatief 'deeleconomie' ideetje. Drie baantjes en er nog niet van kunnen rondkomen. Gegevens verkopen, en verder bestoken met hersengif.
Waar blijft dat geld van de boete? Worden slachtoffers daarmee schadeloos gesteld, of mag dat niet in de EU?
Vandaag, 11:55 door
Anoniem
Door Anoniem: Ben ook wel benieuwd hoe deze overtreding is beëindigd, is dit door de datadeling te stoppen of doordat waarborgen genomen zijn.
Er is niets veranderd denk ik.
Tot 2020 was Privacy Shield nog geldig als mechanisme voor het versturen van data naar de VS.
Tot augustus 2021 maakte Uber gebruik van modelcontracten (standard contractual clauses van de EU) als mechanisme.
Blijkbaar hadden ze sindsdien niets meer geregeld, totdat de opvolger van Privacy Shield kwam (maar daar heeft Uber zelf niets voor hoeven te doen natuurlijk).
Het Privacy Shield-verdrag, dat voor de uitwisseling van data tussen de EU en VS werd gebruikt, werd in 2020 door het Hof van Justitie van de EU ongeldig verklaard. Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield.
Vandaag, 12:03 door
Anoniem
Door cyberpunk: Maar intussen hebben ze die "gevoelige informatie" wel mooi verzameld.
Misschien hebben ze daar een geldige reden voor, een juridische grondslag? Het is niet het onderwerp van deze boete, ik weet niet of de AP dat ook meegenomen heeft in het onderzoek. De AP geeft de boete voor het doorsturen van de data naar een ander land (waar privacy niet gewaarborgd is in voldoende overeenstemming met de AVG) zonder dat er maatregelen zijn genomen om de persoonsgegevens adequaat te beschermen.
De AP kan hier krachtig optreden omdat in dit geval het privacy-belang in lijn ligt met een geopolitiek en industriepolitiek belang van de EU. Als het alleen om het privacy-belang van taxichauffeurs was gegaan, had de AP niet opgetreden. Kijk maar hoe de AP nalaat om te handhaven op het gebied van de privacy van OV-reizigers en autorijders.
Woorden als "rechtsstaat" en "privacy" worden, net als eerder al "mensenrechten", misbruikt als nobele vlaggen op de modderschuit van geopolitieke en economische belangen van de EU en het Europese bedrijfsleven.
Als de EU werkelijk de privavy van Europese burgers wilde beschermen, dan zouden er door de EU helemaal geen "Safe Harbor" en "Privacy Shield" zijn overeengekomen, en ook niet het in 2023 door de EU "adequaat" verklaarde "EU-US Data Privacy Framework". In de VS zijn simpelweg niet de institutionele en culturele voorwaarden voorhanden voor effectieve handhaving van respect voor privacy, en er is ook geen realistisch uitzicht dat daar spoedig verandering in komt.
De economie van de VS is namelijk mede afhankelijk van verdienmodellen die geen serieus respect voor privacy toelaten. En de bedrijven met die verdienmodellen hebben een sterke grip op het politieke bestuur van de VS, en ook op de rechtspraak in de VS. Als de EU privacy serieus zou nemen, dan zou de EU het hele idee dat persoonsgegevens "privacy-vriendelijk" gedeeld zouden kunnen worden met bedrijven of overheden in de VS, vooralsnog in de ijskast zetten, op een vergelijkbare manier zoals het idee van de toetreding van Turkije tot de EU in de ijskast is gezet.
Interessant is het verschil tussen de Engelse (https://en.wikipedia.org/wiki/EU%E2%80%93US_Data_Privacy_Framework) en de Nederlandse tekst hierover op Wikipedia. De Engelse tekst begint als volgt:
De Nederlandse Wikipedia-tekst (https://nl.wikipedia.org/wiki/EU-VS_Data_Privacy_Framework) geeft een veel zachter, wolliger beeld van de huidige situatie:
Geachte Nederlandse polder-witwas-Wikipedia-schrijvers, privacy-organisaties zijn niet alleen "bezorgd", ze zijn ook terecht woedend dat de EU nu voor de derde maal de privacy van alle Europese burgers voor de bus heeft gegooid. En NOYB (met Max Schrems) onderneemt voor de derde maal juridische actie. Graag dit alsnog vermelden.
Je ziet hier ook dat er in de EU geen sprake is van democratie. Een resolutie van het EU-parlement wordt door de Europese Commissie simpelweg genegeerd.
M.J.
Woorden als "rechtsstaat" en "privacy" worden, net als eerder al "mensenrechten", misbruikt als nobele vlaggen op de modderschuit van geopolitieke en economische belangen van de EU en het Europese bedrijfsleven.
Als de EU werkelijk de privavy van Europese burgers wilde beschermen, dan zouden er door de EU helemaal geen "Safe Harbor" en "Privacy Shield" zijn overeengekomen, en ook niet het in 2023 door de EU "adequaat" verklaarde "EU-US Data Privacy Framework". In de VS zijn simpelweg niet de institutionele en culturele voorwaarden voorhanden voor effectieve handhaving van respect voor privacy, en er is ook geen realistisch uitzicht dat daar spoedig verandering in komt.
De economie van de VS is namelijk mede afhankelijk van verdienmodellen die geen serieus respect voor privacy toelaten. En de bedrijven met die verdienmodellen hebben een sterke grip op het politieke bestuur van de VS, en ook op de rechtspraak in de VS. Als de EU privacy serieus zou nemen, dan zou de EU het hele idee dat persoonsgegevens "privacy-vriendelijk" gedeeld zouden kunnen worden met bedrijven of overheden in de VS, vooralsnog in de ijskast zetten, op een vergelijkbare manier zoals het idee van de toetreding van Turkije tot de EU in de ijskast is gezet.
Interessant is het verschil tussen de Engelse (https://en.wikipedia.org/wiki/EU%E2%80%93US_Data_Privacy_Framework) en de Nederlandse tekst hierover op Wikipedia. De Engelse tekst begint als volgt:
The EU–US Data Privacy Framework is a European Union–United States data transfer framework that was agreed to in 2022 and declared adequate by the European Commission in 2023. Previous such regimes—the EU–US Privacy Shield (2016–2020) and the International Safe Harbor Privacy Principles (2000–2015)—were declared invalid by the European Court of Justice in part due to concerns that personal data leaving EU borders is subject to sweeping US government surveillance. The EU-US Data Privacy Framework is intended to address these concerns.
After the invalidation of the EU–US Privacy Shield in July 2020, companies wishing to transfer data between the EU and the US "have faced confusion, higher compliance costs, and challenges for EU–US business relationships".
The EU parliament raised substantial doubts that the new agreement reached by Ursula von der Leyen is actually conform with EU laws, as it still does not sufficiently protect EU citizens from US mass surveillance and severely fails to enforce basic human digital rights in the EU. In May 2023 a resolution on this matter passed the EU parliament with 306 votes in favor and only 27 against, but so far has stayed without consequences. The NGO NOYB (European Center for Digital Rights) has announced that it will once again try to set the Framework out of force in front of the European Court of Justice.
After the invalidation of the EU–US Privacy Shield in July 2020, companies wishing to transfer data between the EU and the US "have faced confusion, higher compliance costs, and challenges for EU–US business relationships".
The EU parliament raised substantial doubts that the new agreement reached by Ursula von der Leyen is actually conform with EU laws, as it still does not sufficiently protect EU citizens from US mass surveillance and severely fails to enforce basic human digital rights in the EU. In May 2023 a resolution on this matter passed the EU parliament with 306 votes in favor and only 27 against, but so far has stayed without consequences. The NGO NOYB (European Center for Digital Rights) has announced that it will once again try to set the Framework out of force in front of the European Court of Justice.
De Nederlandse Wikipedia-tekst (https://nl.wikipedia.org/wiki/EU-VS_Data_Privacy_Framework) geeft een veel zachter, wolliger beeld van de huidige situatie:
(...) op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit voor het ‘EU-US Data Privacy Framework’ aangenomen. Toch blijven de Europese privacytoezichthouders bezorgd, evenals privacy-organisaties, die geen wezenlijk verschil zien tussen het Framework en vorige, ongeldig verklaarde regelingen.
Geachte Nederlandse polder-witwas-Wikipedia-schrijvers, privacy-organisaties zijn niet alleen "bezorgd", ze zijn ook terecht woedend dat de EU nu voor de derde maal de privacy van alle Europese burgers voor de bus heeft gegooid. En NOYB (met Max Schrems) onderneemt voor de derde maal juridische actie. Graag dit alsnog vermelden.
Je ziet hier ook dat er in de EU geen sprake is van democratie. Een resolutie van het EU-parlement wordt door de Europese Commissie simpelweg genegeerd.
M.J.
Vandaag, 13:26 door
Bitje-scheef
Door Anoniem:
Want Uber was zo'n alternatief 'deeleconomie' ideetje. Drie baantjes en er nog niet van kunnen rondkomen. Gegevens verkopen, en verder bestoken met hersengif.
Waar blijft dat geld van de boete? Worden slachtoffers daarmee schadeloos gesteld, of mag dat niet in de EU?
Door cyberpunk: Maar intussen hebben ze die "gevoelige informatie" wel mooi verzameld.
Want Uber was zo'n alternatief 'deeleconomie' ideetje. Drie baantjes en er nog niet van kunnen rondkomen. Gegevens verkopen, en verder bestoken met hersengif.
Waar blijft dat geld van de boete? Worden slachtoffers daarmee schadeloos gesteld, of mag dat niet in de EU?
Dat gaat in de algemene pot. Wij hebben in de EU geen claimcultuur zoals in de VS.
Je kunt wel een massaclaim opzetten maar dan als privé persoon gegroepeerd, dan is het goed uitkijken of je een rechtzaak wint. Een overheid heeft natuurlijk een veel meer dwingende hand.
Vandaag, 14:04 door
Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: De AP kan hier krachtig optreden omdat in dit geval het privacy-belang in lijn ligt met een geopolitiek en industriepolitiek belang van de EU. Als het alleen om het privacy-belang van taxichauffeurs was gegaan, had de AP niet opgetreden. Kijk maar hoe de AP nalaat om te handhaven op het gebied van de privacy van OV-reizigers en autorijders.
Woorden als "rechtsstaat" en "privacy" worden, net als eerder al "mensenrechten", misbruikt als nobele vlaggen op de modderschuit van geopolitieke en economische belangen van de EU en het Europese bedrijfsleven.
Als de EU werkelijk de privavy van Europese burgers wilde beschermen, dan zouden er door de EU helemaal geen "Safe Harbor" en "Privacy Shield" zijn overeengekomen, en ook niet het in 2023 door de EU "adequaat" verklaarde "EU-US Data Privacy Framework". In de VS zijn simpelweg niet de institutionele en culturele voorwaarden voorhanden voor effectieve handhaving van respect voor privacy, en er is ook geen realistisch uitzicht dat daar spoedig verandering in komt.
- - - - knip - - - -
Geachte Nederlandse polder-witwas-Wikipedia-schrijvers, privacy-organisaties zijn niet alleen "bezorgd", ze zijn ook terecht woedend dat de EU nu voor de derde maal de privacy van alle Europese burgers voor de bus heeft gegooid. En NOYB (met Max Schrems) onderneemt voor de derde maal juridische actie. Graag dit alsnog vermelden.
Je ziet hier ook dat er in de EU geen sprake is van democratie. Een resolutie van het EU-parlement wordt door de Europese Commissie simpelweg genegeerd.
M.J.
Woorden als "rechtsstaat" en "privacy" worden, net als eerder al "mensenrechten", misbruikt als nobele vlaggen op de modderschuit van geopolitieke en economische belangen van de EU en het Europese bedrijfsleven.
Als de EU werkelijk de privavy van Europese burgers wilde beschermen, dan zouden er door de EU helemaal geen "Safe Harbor" en "Privacy Shield" zijn overeengekomen, en ook niet het in 2023 door de EU "adequaat" verklaarde "EU-US Data Privacy Framework". In de VS zijn simpelweg niet de institutionele en culturele voorwaarden voorhanden voor effectieve handhaving van respect voor privacy, en er is ook geen realistisch uitzicht dat daar spoedig verandering in komt.
- - - - knip - - - -
Geachte Nederlandse polder-witwas-Wikipedia-schrijvers, privacy-organisaties zijn niet alleen "bezorgd", ze zijn ook terecht woedend dat de EU nu voor de derde maal de privacy van alle Europese burgers voor de bus heeft gegooid. En NOYB (met Max Schrems) onderneemt voor de derde maal juridische actie. Graag dit alsnog vermelden.
Je ziet hier ook dat er in de EU geen sprake is van democratie. Een resolutie van het EU-parlement wordt door de Europese Commissie simpelweg genegeerd.
M.J.
...en vervolgens stemt het Europarlement braaf voor herbenoeming van EC-voorzitter Ursula von der Leyen. Zo schiet het natuurlijk niet op met privacy en ook niet met democratie, of wat daarvoor moet doorgaan.
Vandaag, 14:22 door
Anoniem
Door Anoniem: Mooi begin, keihard aanpakken dat soort bedrijven dat denkt dat wet en regelgeving voor anderen bedacht is, behalve voor hunzelf.
Nu nog wat bedrijven op dezelfde wijze aanpakken die de cookie regelgeving te ver op rekken.
Nu nog wat bedrijven op dezelfde wijze aanpakken die de cookie regelgeving te ver op rekken.
Ik denk dat je 80-90% van alle Amerikaanse bedrijven dan wel een fikse boete kan geven.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.