AP: 100 miljoen euro boete voor taxi-app Yango
De Autoriteit Persoonsgegevens (AP) heeft een ongekende boete van 100 miljoen euro opgelegd aan MLU B.V., het bedrijf achter de taxi-app Yango. De toezichthouder straft het in Nederland gevestigde bedrijf voor het onveilig doorgeven van gevoelige persoonsgegevens aan Rusland. Volgens de AP lopen chauffeurs en klanten hierdoor ernstige veiligheidsrisico's.
Het onderzoek naar Yango, dat eind 2023 startte, werd uitgevoerd in nauwe samenwerking met de privacytoezichthouders van Noorwegen en Finland. Hoewel MLU in Nederland zetelt, wordt de app voornamelijk in deze Scandinavische landen gebruikt. De bevindingen van de toezichthouders zijn vernietigend: persoonsgegevens werden op grote schaal verzameld en zonder passende waarborgen op Russische servers opgeslagen.
Een digitale schatkist in Rusland
Uit het onderzoek blijkt dat Yango een enorme hoeveelheid data verwerkte. Het ging niet alleen om namen en ritten, maar ook om zeer gevoelige informatie van zowel passagiers als chauffeurs. De AP trof onder meer scans van rijbewijzen, burgerservicenummers (BSN), exacte locatiegegevens, bankrekeningnummers en zelfs de inhoud van chatgesprekken aan op servers in Rusland.
Volgens de Algemene verordening gegevensbescherming (AVG) is het doorgeven van dergelijke data naar landen buiten de Europese Economische Ruimte (EER) alleen toegestaan als het beschermingsniveau daar gelijkwaardig is aan dat in Europa. In Rusland is dat volgens de AP absoluut niet het geval.
"Toegang door Russische overheid"
Aleid Wolfsen, voorzitter van de AP, is stellig over de ernst van de situatie: “In Rusland zijn persoonsgegevens niet zo goed beschermd als in Europa. Zo kan de Russische overheid mogelijk toegang krijgen tot deze gegevens. Zeker door de afwezigheid van een onafhankelijke toezichthouder in Rusland hadden deze gegevens extra goed beschermd moeten worden. Dat dit niet is gebeurd, is ernstig en levert veiligheidsrisico’s op voor de betrokkenen.”
De angst bestaat dat de verzamelde data door de Russische inlichtingendiensten kan worden gebruikt voor surveillance of andere doeleinden, wat in de huidige geopolitieke context een extra zware lading krijgt.
Berekening van de recordboete
De hoogte van de boete — 100 miljoen euro — is mede gebaseerd op de wereldwijde omzet van het moederbedrijf van MLU: het techconcern Yandex. In 2024 boekte Yandex een omzet van ruim 12 miljard euro. Europese toezichthouders hanteren een gestandaardiseerde rekenmethode waarbij de financiële draagkracht van het moederbedrijf zwaar meeweegt om de boete effectief en afschrikwekkend te maken.
Onmiddellijk verbod
Naast de boete heeft de AP een dwingend bevel uitgevaardigd: MLU moet onmiddellijk stoppen met het doorgeven van persoonsgegevens vanuit Noorwegen en Finland aan Rusland. Het bedrijf heeft de mogelijkheid om in bezwaar te gaan tegen het besluit, maar de eis om de datastroom te staken blijft vooralsnog van kracht.
De uitspraak markeert een van de grootste sancties die de Nederlandse privacywaakhond ooit heeft opgelegd en dient als een krachtig signaal naar andere internationaal opererende techbedrijven: de Europese privacyregels stoppen niet bij de grens.
In het kort:
- Boete: 100 miljoen euro voor MLU B.V. (Yango).
- Overtreding: Onveilige doorgifte van gevoelige data aan Rusland.
- Betrokken landen: Nederland (vestigingsplaats), Noorwegen en Finland (gebruikers).
- Data: Rijbewijzen, locaties, BSN, chatberichten en rekeningnummers.
- Eis: Directe stopzetting van datadoorgifte naar Rusland.
