Recordboete voor privacyschending

Privacyschending door Uber was onderdeel van lobbystrategie

Nieuws

Privacyschending door Uber was onderdeel van lobbystrategie

‘Law Enforcement Operations’, staat in grote letters rondom het logo van Uber dat voor de gelegenheid omgevormd is tot een politiepenning. Het is de eerste slide van een webinar die Uber enkele jaren terug geeft aan aanklagers in heel Zuid-Amerika. In de presentatie legt Uber uit hoe handhavers een informatieverzoek kunnen indienen bij het taxiplatform. Dat heeft zelfs een eigen team om die verzoeken af te handelen: het Law Enforcement Response Team (LERT), met een bijbehorend online portaal.1

Het team gaat wereldwijd langs bij autoriteiten voor promotie: zo spreekt het in mei 2016 bij de ‘Major City Chiefs Association’ in New York, bij de ‘National Sheriffs Association’ in Minnesota, en in 2019 komt Uber ook gewoon langs bij de Landelijke Eenheid in Utrecht. Allemaal met één doel – uitleggen wat de voordelen zijn van Uber’s data voor opsporingsdiensten. Tijdens de presentatie in Utrecht worden er verschillende voorbeelden aangehaald waar het bedrijf succesvol samen heeft gewerkt met diensten: in 2015, na de aanslagen in Parijs, hielp Uber om verdachte terroristen te lokaliseren en in Nieuw-Zeeland lokaliseerde Uber een chauffeur die beschuldigd werd van verkrachting. De rechercheurs slaan aan op het verhaal, blijkt uit een reportage van persbureau Bloomberg. GPS-data, ophaaladressen, wie er in de auto zit: Uber heeft alle informatie. ‘Maar alles wat we delen moet legaal zijn en proportioneel’, zegt de Uber-medewerker tegen de rechercheurs.2

Taxiplatform Uber staat niet bekend om haar ‘coöperatieve’ houding tegenover de instanties. In 2022 maakte Investico voor De Groene Amsterdammer samen met Trouw en Het Financieele Dagblad onderdeel uit van het internationale team dat onderzoek deed naar de Uber Files1, een lek van duizenden interne documenten van de Europese lobbyafdeling van Uber. Het liet zien hoe Uber, opgericht in 2009, in moordtempo uitrolde over de wereld waarbij het alle wetgeving aan haar laars lapte. Chauffeurs reden zonder vergunning, arbeidswetten werden geschonden, en Uber leidde handhavers bewust om te tuin.

De Nederlandse autoriteiten moesten in 2014 en 2015 tot drie keer invallen bij Uber omdat het taxibedrijf weigert om informatie over Nederlandse chauffeurs te overhandigen. Uber is op dat moment in overtreding van de taxiwetgeving en het OM en de inspectie willen lijsten krijgen met wie er voor Uber rijdt. Na een inval in 2015 op het kantoor op de Vijzelgracht in Amsterdam besluit Uber een andere koers te gaan varen: de lobbyafdeling van Uber, die zich aanvankelijk vooral op politici en ambtenaren richt, ziet in dat het verstandig is ook de opsporingsdiensten ‘pro Uber’ te maken. Ze gaat samenwerken met de autoriteiten, maar dan wel uit eigenbelang. ‘We wilden laten zien dat we “geweldig” waren voor Europa,’ zegt Mark MacGann, voormalig hoofd Lobby en beleid van Uber en klokkenluider daarover. En in dat spel wordt de chauffeursdata plotseling een asset.

Uber opent een online portaal waarin opsporingsautoriteiten van over heel de wereld gemakkelijk informatie kunnen opvragen over chauffeurs. Die verzoeken worden aanvankelijk afgehandeld door het Europese hoofdkantoor van Uber, in Amsterdam, dat de data ook beheert. Maar het delen van die persoonsgegevens buiten Europa, lijkt in strijd met Europese privacywetgeving, zegt IT- en privacy-advocaat Dafne de Boer. ‘Europese privacywetgeving is van toepassing op Uber BV omdat dat bedrijf in de EU is gevestigd. Het maakt daarbij niet uit of het gaat om data van mensen in Europa, of daarbuiten.’ Persoonsgegevens mogen alleen gedeeld worden met EU-landen, of met andere landen die een overeenkomstig beschermingsniveau hebben als de Europese Unie.’

Een lek van het Colombiaanse Openbaar Ministerie, beschikbaar gemaakt door OCCRP en in handen van Investico, toont bijvoorbeeld hoe Uber in 2018 op verzoek informatie over een chauffeur afgeeft aan de Colombiaanse autoriteiten. Uber deelt als reactie lijsten met alle ritten, persoonsgegevens en inkomsten met het Colombiaanse OM. Uber wijst openbaar aanklagers er in een mail op dat ze zo specifiek mogelijk moeten zijn over de gegevens die ze willen hebben: bestuurder, klant, rit, GPS-informatie – en zo verder. Tegelijkertijd benadrukt Uber dat ze zelf geen enkele verantwoordelijkheid heeft voor de chauffeurs waarover het informatie verstrekt: ‘Op dezelfde manier herinner ik u eraan dat de chauffeurs 100% onafhankelijke contractanten zijn’, dus – stelt Uber – heeft het geen ‘arbeidsgegevens’ beschikbaar voor opsporingsdiensten.

‘Ik zie vooralsnog geen grondslag voor Uber om persoonsgegevens naar Colombia door te geven,’ zegt advocaat De Boer. ‘Het zonder grondslag doorgeven van persoonsgegevens is niet toegestaan.’

Toen Uber vorige week een recordboete van 290 miljoen euro opgelegd kreeg door de Nederlandse Autoriteit Persoonsgegevens3 vanwege een andere privacyzaak, stelde het taxibedrijf in reactie in beroep te gaan tegen de boete, omdat de privacywetgeving volgens haar lange tijd onduidelijk was.4 Maar uit documenten in de Uber Files blijkt dat het bedrijf al die tijd al wist dat haar privacybeleid tegen regelgeving inging. In 2014, voorafgaand aan een gesprek met de Europese Commissie, heeft het bedrijf nog geen officiële manier gevonden om data te delen met ‘derde landen’ – of te wel, met landen die volgens de EU geen adequate databescherming hebben. ‘Als we dit in het gesprek kunnen vermijden, zou dat ideaal zijn’, staat in een intern memo.

Sterker nog, Uber weet heel goed dat het bedrijf niet voldoet aan de privacywetgeving. ‘Let op, ons huidige privacybeleid stelt ons al bloot aan juridische risico’s, omdat ze verouderd is en niet voldoen aan de wettelijke eisen in veel jurisdicties, waaronder de EU,’ waarschuwt Uber’s senior jurist Privacy haar collega’s in 2015. Het bedrijf houdt nauwelijks rekening met de privacyrechten van haar chauffeurs, schrijft de jurist. Onder andere de Nederlandse Autoriteit Persoonsgegevens stelt dan al vragen aan Uber over haar privacybeleid en het juridisch kader waarin ze opereert.

Je moet als bedrijf nooit zomaar op eigen houtje informatie over burgers overdragen aan andere staten, zegt Geert-Jan Knoops, advocaat bij het Internationaal Strafhof. Hij noemt het ‘merkwaardig’ en ‘riskant’ dat het Europese hoofdkantoor van Uber in Amsterdam rechtstreeks informatie overdraagt aan het Colombiaanse justitie.

‘Je kunt als Nederlands bedrijf niet zomaar gegevens over burgers overdragen aan andere staten. De koninklijke weg is dat dit gebeurt via een rechtshulpverzoek van Colombia aan het Nederlandse justitie, die dat vervolgens alleen inwilligt onder zeer strenge voorwaarden. Er moet een strafrechtelijke verdenking zijn, en er moeten garanties zijn dat de rechten van burgers voldoende worden beschermd.’

Het maakt Uber zelf ook kwetsbaar, zegt Knoops. ‘Hoe kan Uber toetsen of zo’n verzoek aan de eisen voldoet? Als ik als onschuldige burger schade heb geleden doordat Uber BV mijn persoonlijke data door heeft gespeeld aan de Colombiaanse autoriteiten terwijl het achteraf blijkt dat het een fout betrof, dan kan ik daarna immers die schade proberen te verhalen op het bedrijf.’

Het Nederlandse Openbaar Ministerie laat in een reactie weten dat het in zijn algemeenheid zo is dat als het als om ‘Nederlandse data’ van een in Nederland gevestigd bedrijf gaat, het delen van die data zonder tussenkomst van Nederlandse autoriteiten een schending is van het soevereiniteitsbeginsel. Maar het OM wil niet ingaan op de specifieke casus, omdat ze niet ‘zomaar aan kan nemen dat Uber Nederland ook daadwerkelijk de Colombiaanse data beheert en of het daarmee ook om Nederlandse data gaat’.

Volgens Mark MacGann, voormalig toplobbyist van Uber en klokkenluider van de Uber Files, zag het bestuur van het taxiplatform juridische zaken en de privacyafdeling als ‘noodzakelijk kwaad, als blokkade van de commerciële kansen. Ze moest beperkt de ruimte krijgen, anders kostte het teveel geld.’ In plaats van het beschermen van persoonsgegevens werd data bij Uber ‘een strategie om overheden aan haar kant te krijgen.’ ‘Eerst gebruikte Uber nog een kill switch om te voorkomen dat autoriteiten bij data van Uber kwamen. Later veranderde dat, omdat we wilden laten zien dat Uber ‘geweldig’ was voor Europa. Feitelijk offerden we de chauffeurs op.’

Tegenwoordig beheert het kantoor van Uber in San Francisco de data van niet-EU-landen, en dus niet meer het, aan strengere EU-regulering onderhevige Nederlandse kantoor. Uber laat in reactie weten dat de hoofdtaak van Uber’s public safety response team (voorheen LERT), is om handhavingsinstanties voor te lichten en met hen samen te werken om misdrijven op te lossen. Het team ‘beoordeelt en reageert op elk verzoek in overeenstemming met haar privacybeleid en de toepasselijke wetten en voorschriften. Ons team is 24/7 bemand om op noodgevallen te kunnen reageren.’


  1. Blijkt uit documenten afkomstig uit de Narco Files, een lek van het Colombiaanse Openbaar Ministerie, beschikbaar gemaakt door OCCRP en in handen van Investico. 

  2. Reportage Bloomberg, 23 april 2019, lees hier 

  3. Zie berichtgeving Autoriteit Persoonsgegevens, 26 augustus 2024 

  4. Zie berichtgeving NOS, met reactie van Uber, 26 augustus 2024 

Verantwoording

Investico is radicaal transparant. In verantwoordingsdocumenten maken wij onze onderzoeksmethodes en resultaten openbaar zodat publiek en andere onderzoekers ons werk kunnen controleren en erop kunnen voortbouwen. In de longread van het onderzoek hieronder verwijzen noten naar het bronmateriaal. Wilt u meer weten over onze missie en methode? Lees meer

U las de longread van dit onderzoek. Heeft u naar aanleiding hiervan een tip? Neem contact met ons op

Verdedig de rechtsstaat. Steun onafhankelijke onderzoeksjournalistiek in Nederland.

Word vriend