Uber krijgt boete van 10 miljoen euro van Nederlandse privacytoezichthouder


Uber moet een boete van 10 miljoen euro betalen van de Nederlandse privacytoezichthouder AP. Dat meldde Nu.nl onlangs. Dit omdat het bedrijf onvoldoende openheid van zaken heeft gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen buiten Europa deze werden doorgestuurd.

De AP legt uit:

De AP heeft de boete opgelegd nadat meer dan 170 Franse chauffeurs aan de bel trokken bij de Ligue des droits de l’homme et du citoyen (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder. Die heeft de klachten doorgestuurd naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd.

Je zou de klachten kunnen samenvatten als “je privacyverklaring rammelt en bovendien is ie en Anglais, fils d’étalagiste.” Iets formeler:

  • De “guidance notes” werden uitsluitend in de Engelse taal aangeboden
  • Er werd niet “in een gemakkelijk toegankelijke vorm” gereageerd op een inzageverzoek
  • Het verkrijgen van gegevens in een overdraagbaar formaat was te lastig (het formulier was onvindbaar)
  • De informatie over de bewaartermijnen was niet voldoende specifiek
  • De informatie over doorgifte was niet volledig en betekenisvol genoeg
  • Het recht op gegevensoverdraagbaarheid was niet expliciet genoemd

Nou zou je denken, Uber heeft juristen genoeg, kunnen die geen privacyverklaring schrijven dan? Dat kan, maar kennelijk lagen die niet goed met de UX-mensen, want ik las dit in het boetebesluit:

In de in het rapport beoordeelde versie van de chauffeurs-app moeten, schematisch weergegeven, de volgende stappen worden doorlopen om bij het formulier te komen om een verzoek tot inzage of gegevensoverdraagbaarheid in te dienen: Menu > Help> Account and app issues > Legal concerns > Request your personal Uber data> Submit a privacy inquiry > inloggen via “Sign in to get help” of “Submit a privacy inquiry without an Uber account” waarna de chauffeur uitkomt bij het formulier (route 1).

Ik zou ook niet direct op het idee komen om via “Legal Concerns” naar een inzageformulier te gaan. De AP is het daarmee eens en noemt het “niet voor de hand liggend” dat je daar je rechten uitoefent. Zet het gewoon direct onder “Privacy” in het hoofdmenu, dan kan iedereen het vinden.

Als je je gegevens opvraagt, dan krijg je een fiche avec des valeurs séparées par des virgules met Engelse kopjes maar zonder enige uitleg over hoe dit te openen. Of wat te doen als het niet opent, want de separator is de komma en kennelijk wordt er niet altijd goed geëscapet, en dan mag je het zelf uitzoeken. (Ik twijfel zelf of dit niet een Excel issue is, maar dat terzijde.)

Er is nog veel meer; ik volsta even met het stukje over bewaartermijnen. Uber bewaart veel gegevens voor allerlei doelen, maar volstaat in de politique de confidentialité met algemene statements zoals dat “persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking“. Dit omdat het een enorme opsomming zou geven als je al die termijnen moest noemen.

In zulke gevallen mág je het algemener houden. Echter:

Het slechts in algemene zin noemen dat persoonsgegevens
worden bewaard zolang als noodzakelijk is voor bepaalde doeleinden (zoals Uber doet) kan niet gelijk
worden gesteld aan het noemen van criteria ter bepaling van de bewaartermijn.

Je ontkomt dus niet aan minstens één niveau dieper gaan, en bijvoorbeeld op hoofdcategorieën benoemen wat je tegenkomt: voor facturatie, voor belastingaangifte, voor klachtafhandeling, zulke zaken. En dan per categorie een termijn.

Uiteraard heeft Uber bezwaar gemaakt, maar ondertussen zijn er wel de nodige verbeteringen doorgevoerd.

Arnoud

 

 



https://blog.iusmentis.com/2024/02/07/uber-krijgt-boete-van-10-miljoen-euro-van-nederlandse-privacytoezichthouder/