Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 08 mei 2026

AP: 100 miljoen euro boete voor taxi-app Yango

De Autoriteit Persoonsgegevens (AP) heeft een ongekende boete van 100 miljoen euro opgelegd aan MLU B.V., het bedrijf achter de taxi-app Yango. De toezichthouder straft het in Nederland gevestigde bedrijf voor het onveilig doorgeven van gevoelige persoonsgegevens aan Rusland. Volgens de AP lopen chauffeurs en klanten hierdoor ernstige veiligheidsrisico's. MLU tekent bezwaar aan.

Juridisch Financieel App Vervoer Rusland Privacy Data
AP: 100 miljoen euro boete voor taxi-app Yango image

Het onderzoek naar Yango, dat eind 2023 startte, werd uitgevoerd in nauwe samenwerking met de privacytoezichthouders van Noorwegen en Finland. Hoewel MLU in Nederland zetelt, wordt de app voornamelijk in deze Scandinavische landen gebruikt. De bevindingen van de toezichthouders zijn vernietigend: persoonsgegevens werden op grote schaal verzameld en zonder passende waarborgen op Russische servers opgeslagen.

Een digitale schatkist in Rusland

Uit het onderzoek blijkt dat Yango een enorme hoeveelheid data verwerkte. Het ging niet alleen om namen en ritten, maar ook om zeer gevoelige informatie van zowel passagiers als chauffeurs. De AP trof onder meer scans van rijbewijzen, burgerservicenummers (BSN), exacte locatiegegevens, bankrekeningnummers en zelfs de inhoud van chatgesprekken aan op servers in Rusland.

Volgens de Algemene verordening gegevensbescherming (AVG) is het doorgeven van dergelijke data naar landen buiten de Europese Economische Ruimte (EER) alleen toegestaan als het beschermingsniveau daar gelijkwaardig is aan dat in Europa. In Rusland is dat volgens de AP absoluut niet het geval.

"Toegang door Russische overheid"

Aleid Wolfsen, voorzitter van de AP, is stellig over de ernst van de situatie: “In Rusland zijn persoonsgegevens niet zo goed beschermd als in Europa. Zo kan de Russische overheid mogelijk toegang krijgen tot deze gegevens. Zeker door de afwezigheid van een onafhankelijke toezichthouder in Rusland hadden deze gegevens extra goed beschermd moeten worden. Dat dit niet is gebeurd, is ernstig en levert veiligheidsrisico’s op voor de betrokkenen.”

De angst bestaat dat de verzamelde data door de Russische inlichtingendiensten kan worden gebruikt voor surveillance of andere doeleinden, wat in de huidige geopolitieke context een extra zware lading krijgt.

Berekening van de recordboete

De hoogte van de boete — 100 miljoen euro — is mede gebaseerd op de wereldwijde omzet van het moederbedrijf van MLU: het techconcern Yandex. In 2024 boekte Yandex een omzet van ruim 12 miljard euro. Europese toezichthouders hanteren een gestandaardiseerde rekenmethode waarbij de financiële draagkracht van het moederbedrijf zwaar meeweegt om de boete effectief en afschrikwekkend te maken.

Onmiddellijk verbod

Naast de boete heeft de AP een dwingend bevel uitgevaardigd: MLU moet onmiddellijk stoppen met het doorgeven van persoonsgegevens vanuit Noorwegen en Finland aan Rusland. Het bedrijf heeft de mogelijkheid om in bezwaar te gaan tegen het besluit, maar de eis om de datastroom te staken blijft vooralsnog van kracht.

De uitspraak markeert een van de grootste sancties die de Nederlandse privacywaakhond ooit heeft opgelegd en dient als een krachtig signaal naar andere internationaal opererende techbedrijven: de Europese privacyregels stoppen niet bij de grens.

Bezwaar

MLU tekent bezwaar aan zo meldt het bedrijf: "MLU B.V. is het niet eens met het besluit van de Autoriteit Persoonsgegevens en zal dit aanvechten via de relevante juridische wegen. De persoonlijke gegevens van Europese koeriers en chauffeurs werden uitsluitend binnen de EU opgeslagen in gepseudonimiseerde en versleutelde vorm, waardoor deze technisch ontoegankelijk waren voor derden. Alle passende waarborgen zijn geïmplementeerd in volledige overeenstemming met de AVG (GDPR).

Het uitgangspunt van het besluit komt niet overeen met de feitelijke werking van de taxi-app. Daarnaast is het vermeldenswaardig dat de app sinds 2025 niet meer actief is in Noorwegen en Finland.

MLU B.V. heeft gedurende het hele proces transparant en te goeder trouw samengewerkt met de AP, en is teleurgesteld dat het definitieve besluit naar haar mening de feiten of het toepasselijke recht niet volledig weerspiegelt. MLU B.V. heeft vertrouwen in haar standpunt en is voornemens haar zaak in het hoger beroep volledig toe te lichten."

In het kort:

  • Boete: 100 miljoen euro voor MLU B.V. (Yango).
  • Overtreding: Onveilige doorgifte van gevoelige data aan Rusland.
  • Betrokken landen: Nederland (vestigingsplaats), Noorwegen en Finland (gebruikers).
  • Data: Rijbewijzen, locaties, BSN, chatberichten en rekeningnummers.
  • Eis: Directe stopzetting van datadoorgifte naar Rusland.
Cybersec Netherlands BW + BN X2.com BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Cybersec Netherlands 2026 BN