Uber krijgt boete van 10 miljoen euro van Nederlandse privacytoezichthouder

Uber moet een boete van 10 miljoen euro betalen van de Nederlandse privacytoezichthouder AP. Dat meldde Nu.nl onlangs. Dit omdat het bedrijf onvoldoende openheid van zaken heeft gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen buiten Europa deze werden doorgestuurd.

De AP legt uit:

De AP heeft de boete opgelegd nadat meer dan 170 Franse chauffeurs aan de bel trokken bij de Ligue des droits de l’homme et du citoyen (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder. Die heeft de klachten doorgestuurd naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd.
Je zou de klachten kunnen samenvatten als “je privacyverklaring rammelt en bovendien is ie en Anglais, fils d’étalagiste.” Iets formeler:
  • De “guidance notes” werden uitsluitend in de Engelse taal aangeboden
  • Er werd niet “in een gemakkelijk toegankelijke vorm” gereageerd op een inzageverzoek
  • Het verkrijgen van gegevens in een overdraagbaar formaat was te lastig (het formulier was onvindbaar)
  • De informatie over de bewaartermijnen was niet voldoende specifiek
  • De informatie over doorgifte was niet volledig en betekenisvol genoeg
  • Het recht op gegevensoverdraagbaarheid was niet expliciet genoemd
Nou zou je denken, Uber heeft juristen genoeg, kunnen die geen privacyverklaring schrijven dan? Dat kan, maar kennelijk lagen die niet goed met de UX-mensen, want ik las dit in het boetebesluit:
In de in het rapport beoordeelde versie van de chauffeurs-app moeten, schematisch weergegeven, de volgende stappen worden doorlopen om bij het formulier te komen om een verzoek tot inzage of gegevensoverdraagbaarheid in te dienen: Menu > Help> Account and app issues > Legal concerns > Request your personal Uber data> Submit a privacy inquiry > inloggen via “Sign in to get help” of “Submit a privacy inquiry without an Uber account” waarna de chauffeur uitkomt bij het formulier (route 1).
Ik zou ook niet direct op het idee komen om via “Legal Concerns” naar een inzageformulier te gaan. De AP is het daarmee eens en noemt het “niet voor de hand liggend” dat je daar je rechten uitoefent. Zet het gewoon direct onder “Privacy” in het hoofdmenu, dan kan iedereen het vinden.

Als je je gegevens opvraagt, dan krijg je een fiche avec des valeurs séparées par des virgules met Engelse kopjes maar zonder enige uitleg over hoe dit te openen. Of wat te doen als het niet opent, want de separator is de komma en kennelijk wordt er niet altijd goed geëscapet, en dan mag je het zelf uitzoeken. (Ik twijfel zelf of dit niet een Excel issue is, maar dat terzijde.)

Er is nog veel meer; ik volsta even met het stukje over bewaartermijnen. Uber bewaart veel gegevens voor allerlei doelen, maar volstaat in de politique de confidentialité met algemene statements zoals dat “persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking“. Dit omdat het een enorme opsomming zou geven als je al die termijnen moest noemen.

In zulke gevallen mág je het algemener houden. Echter:

Het slechts in algemene zin noemen dat persoonsgegevens worden bewaard zolang als noodzakelijk is voor bepaalde doeleinden (zoals Uber doet) kan niet gelijk worden gesteld aan het noemen van criteria ter bepaling van de bewaartermijn.
Je ontkomt dus niet aan minstens één niveau dieper gaan, en bijvoorbeeld op hoofdcategorieën benoemen wat je tegenkomt: voor facturatie, voor belastingaangifte, voor klachtafhandeling, zulke zaken. En dan per categorie een termijn.

Uiteraard heeft Uber bezwaar gemaakt, maar ondertussen zijn er wel de nodige verbeteringen doorgevoerd.

Arnoud

 

 

15 reacties

    1. Values Separated by Commas bedoel je, want alles moet in omgekeerde volgorde voor de Fransen. En defacto is de standaard een puntkomma, zelfs in Excel. Sterker nog, als je puntkomma’s gebruikt, zal Excel het moeiteloos openen, terwijl met komma’s je zelf alles moet importeren of omzetten.

      1. Jawel (ONU UNO, OTAN NATO, AIDS SIDA, etc.), maar vertalen is niet woorden omzetten, maar de gebruikelijke uitdrukkingswijze in de andere taal vinden. En in het Engels is die CSV, ook als het puntkomma’s zijn, wat inderdaad handiger is, en ik ben van mening dat inlezende programma’s volautomatisch komma’s, puntkomma’s en tabs moeten ondersteunen, en zelf uitvinden wat bij een gegeven bestand de meest waarschijnlijke en productieve variant is.

        1. Open|LibreOffice laten tenminste altijd bij het openen van een CSV (Comma[!]-Separated Values) een schermpje zien waar je alle CSV instellingen kan doen. Met meteen een preview van de eerste resultaten.

          Excel is koppig en accepteer standaard alleen puntkomma. Je kan dat wel anders inladen. Maar dat was voor mij (één keer) ook best even zoeken.

          Of dit volautomatisch maar gegokt moet worden weet ik nog zo niet. De data is lang niet altijd perfect een volledig gevulde tabel. Dus analyses daarop los laten is nog niet zo makkelijk.

          Maar als er alleen “,” in het bestand staat en geen “;” dan is de gok snel gemaakt. Je kan tenminste zulke analyses doen en dan de vraag bij de gebruiker neerleggen.

              1. Het probleem is dat CSV niet zozeer een formaat is als wel een verzameling gerelateerde formaten die min of meer bepaalde conventies volgen (maar soms helemaal de fout in gaan). Daarom de opties in libreoffice/excel. Aan de andere kant is het redelijk bruikbaar in de praktijk, maar dan moet het natuurlijk wel duidelijk zijn (in het Frans) wat voor gegevens in het bestand zitten.

                Veel interessanter is natuurlijk de vage bewaar termijnen. Uiteraard is het redelijk dat sommige gegevens bewaard worden zolang iemand actief chauffeur is, maar “voor kwaliteits en productontwikkelingsdoelstellingen” is wel een beetje te vaag.

          1. het is alweer een tijdje geleden, maar wat ik me kan herinneren is dat het veldscheidingsteken in Excel csv bestanden taalafhankelijk was, met komma’s in de Engelstalige variant en puntkomma’s voor de continentaal Europeaanse talen. Lekker makkelijk gegevens uitwisselen met een Amerikaans bedrijf.

  1. Ook saillant: de AP(-voorzitter) die altijd de mond vol heeft over de traagheid van andere toezichthouders en daar openlijk zeer kritisch over is, had niet minder dan een gênante 3 jaar nodig voor deze boete. Licht ironisch gelet op het feit dat de AP een van de grootste en best gefinancierde privacytoezichthouders van Europa is (bron).

    Inhoudelijk gezien kan ik me ook niet aan de indruk onttrekken dat dit de “overtredingen” zijn die overbleven nadat de AP niks anders hard kon maken. De AP staat er weer lekker op (mijn persoonlijke favoriet blijft evenwel nog altijd “een commercieel belang kan geen gerechtvaardigd belang zijn” – Stuitend).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.