AP-boete van 100 miljoen voor Russische taxi-app

De Autoriteit Persoonsgegevens (AP) legt MLU BV een boete van 100 miljoen euro op voor het doorgeven van persoonsgegevens naar Rusland. MLU exploiteert de Europese versie van taxi-app Yango, is in Nederland gevestigd en onderdeel van het Yandex-concern. Yandex, vooral bekend als zoekdienst, had in 2024 een wereldwijde omzet van ruim 12 miljard euro. Daar is het boetebedrag op gebaseerd.

Met Yango boeken mensen in Noorwegen en Finland een taxirit bij aangesloten chauffeurs. Yango geeft vervolgens persoonsgegevens van taxichauffeurs en klanten door aan bedrijven in Rusland. Dat blijkt uit onderzoek naar Yango dat de AP vanaf eind 2023 deed samen met de Noorse en Finse privacytoezichthouders.

Het gaat om scans van rijbewijzen, woonadressen, contactgegevens, rekeningnummers, precieze locaties, ritgegevens, foto’s, de inhoud van chatgesprekken en BSN-nummers.

MLU zal uiteraard tegen de boete in bezwaar gaan.

Bodycams bij AH

Albert Heijn gaat in filialen in Amsterdam en Rotterdam de bodycam bij beveiligers invoeren. Dit is nodig omdat het aantal meldingen van geweld tegen winkelpersoneel te hoog is volgens AH, wel duizenden per jaar. Dat zegt directeur Sonja Boelhouwer in een interview met het AD. Ze hoopt op een “de-escalerende werking”.

Bij dreigende situaties zal de beveiliger de camera aanzetten en dat hardop kenbaar maken aan degene die wordt gefilmd. Anders dan bij de bodycam van de hoofdconducteurs van NS heeft het apparaat bij Albert Heijn een schermpje waarop degene die wordt gefilmd zichzelf terugziet.

Dirk van den Broek heeft personeel al langer uitgerust met bodycams. “Bodycams mogen alleen in hoogst uitzonderlijke gevallen worden ingezet. Er moet wel een heel goede reden zijn, vanwege de grote risico’s voor privacy zijn er strenge voorwaarden aan verbonden. Bovendien mag het alleen als de beveiliging van werknemers niet op andere manieren kan’’, aldus de Autoriteit Persoonsgegevens tegen het AD. Maar wie bepaalt dit?

NRC schrijft in een vervolg dat handhavers op straat in Amsterdam sinds 2019 zichtbare camera’s op het lichaam hebben. "Uit een proefproject bleek een jaar later dat handhavers er enthousiast over zijn: ruim 70 procent gaf na de pilot aan de camera te willen behouden. Het veiligheidsgevoel verbeterde ook, staat in het onderzoeksrapport. Het aandeel handhavers dat zich ‘altijd’ of ‘vaak’ onveilig voelde, daalde van 30 procent naar 19.” Dat lijkt een betrekkelijk gering effect.

Bij een worsteling heb je doorgaans weinig aan de beelden van bodycams, zegt rechtspsycholoog Annelies Vredeveldt, meer aan het geluid.

Studiesoftware Canvas lek

Hackersgroep Shiney Hunters bemachtigde de gegevens van miljoenen studenten en docenten door een aanval op Canvas, het programma dat door studenten wordt gebruikt om opdrachten in te leveren of cijfers in te zien.

Volgens moederbedrijf Instructure heeft Canvas wereldwijd ruim 30 miljoen gebruikers, onder meer bij de universiteiten van Amsterdam, Rotterdam, Tilburg, Eindhoven, Maastricht en Twente.

Na de eerste inbreuk bij Instructure beweerden de hackers gegevens te hebben gestolen van bijna 9.000 scholen over de hele wereld, met 230 miljoen getroffen personen. 

In een vervolg, zo bericht de NOS, drongen de hackers wederom binnen ondanks extra beveiligingsmaatregelen, met als boodschap: “ShinyHunters heeft Instructure weer gehackt. In plaats van contact met ons op te nemen om het op te lossen, hebben ze ons genegeerd en een paar beveiligingspatches doorgevoerd.”

Getroffen onderwijsinstellingen hebben tot 12 mei om zelf contact op te nemen en te onderhandelen, anders worden de buitgemaakte gegevens openbaar gemaakt. Een eerdere door de hackers bekendgemaakte deadline om te betalen verliep op donderdag 7 mei 2026.

De Vrije Universiteit Amsterdam heeft alle systemen die in verbinding staan met onderwijssoftware Canvas losgekoppeld. 

Kort geding om DigiD

En in de reeks ‘penny wise and pound foolish’, aanhoudende gigantische datalekken versus de angst dat de firma Trump DigiD zal infiltreren of platleggen, een kort geding tegen de staat van bezorgde burgers tegen de verkoop van Solvinity aan het Amerikaanse Kyndryl. Daarmee zou DigiD een stuk onveiliger worden.

Marloes de Koning van NRC was aanwezig. Ze stelde een nogal rommelig verloop van de zitting vast: de drie actievoerders kenden elkaar niet, hun advocaten hadden haastwerk moeten verrichten, en de landsadvocaat gaf nauwelijks relevante informatie prijs. De staat won de zaak met twee vingers in de neus.

Karin Ramaker, Jacqueline Roig en een anonieme derde voerden de zaak. Ramaker houdt een handtekeningenactie. Het geding komt te laat, want het contract met Solvinity van Logius van het ministerie van BZK, dat DigiD en MijnOverheid uitvoert, is met twee jaar verlengd.

Staatssecretaris Eric van der Burg (VVD, Slagvaardige Overheid) liet twee weken geleden al weten dat het contract wordt verlengd. Er is te weinig tijd om over te stappen naar een ander IT-bedrijf. Wel kan EZ de overname nog tegenhouden of eisen dat de apps van Logius niet mogen meegaan.

Vorige week al sleepte platform The Firewall, samen met experts, minister van Economische Zaken Heleen Herbert (CDA) voor de rechter om te voorkomen dat Solvinity met DigiD in Amerikaanse handen valt. Actiedirecteur Eric Smit in een vraaggesprek met de Volkskrant: “Als de democratie in het geding komt, kun je niet aan de zijlijn blijven staan.”

Gluren op LinkedIn

De activisten van Noyb in Wenen nemen LinkedIn van Microsoft op de korrel. Ze vinden het onjuist dat LinkedIn bijhoudt bij wie de profielpagina’s bezoekt, maar dat enkel premium-deelnemers te zien krijgen wie hun profiel heeft bezocht. Er is een klacht tegen LinkedIn ingediend bij de Oostenrijkse toezichthouder

“Het is onduidelijk of het bijhouden van bezoekers legaal is. Wat echter wel duidelijk is, is dat als deze gegevens worden getoond als onderdeel van een premium-lidmaatschap, ze ook toegankelijk zouden moeten zijn in reactie op een verzoek om inzage op grond van artikel 15 AVG. Maar LinkedIn weigert hieraan te voldoen – en beroept zich plotseling op vermeende bezwaren op het gebied van gegevensbescherming die zogenaamd alleen bij een verzoek om inzage aan de orde zouden komen…

Hoewel LinkedIn-gebruikers de mogelijkheid biedt om zich af te melden voor deze tracking, vraagt het niet om actieve toestemming (opt-in). Het is daarom twijfelachtig in hoeverre het registreren van profielbezoeken überhaupt legaal is.”

Algoritme Belastingdienst toegestaan

Een uitspraak uit februari van het Team belastingrecht van de rechtbank Den Haag is interessant. De Belastingdienst heeft terecht een algoritme toegepast voor naheffingen aan een persoonlijke BV voor fiscale en administratieve dienstverlening. Want dat algoritme diende als hulpmiddel voor een besluit dat uiteindelijk door mensen is genomen.

Bezwaar luidde: “Dat betreft een volledige geautomatiseerd model, wat in strijd is met – onder meer – de Algemene Verordening Gegevensbescherming (AVG) en Europese wet- en regelgeving dan wel jurisprudentie (het Schufa-arrest van het Hof van Justitie van de Europese Unie). Hierom moet de op basis hiervan genomen selectiebeslissing en het daaropvolgende boekenonderzoek buiten beschouwing worden gelaten, waarmee de grondslag voor de opgelegde correcties en/of naheffingen komt te vervallen.”

Er was ook een huisbezoek in het geding, volgens de bezwaarde onrechtmatig uitgevoerd. De Belastingdienst over toepassing van het algoritme: “De Belastingdienst ontvangt jaarlijks zo’n 2,6 miljoen negatieve aangiften (verzoeken tot teruggaaf omzetbelasting). Niet alle negatieve aangiften omzetbelasting kunnen handmatig worden beoordeeld. Daarvoor is het aantal te groot. Ook wil de Belastingdienst de ondernemers niet onnodig belasten met het aanleveren van bewijsstukken. Om die reden richt de handmatige beoordeling zich vooral op de aangiften waarvan door middel van het algoritme OB negatief is ingeschat dat ze een hogere kans hebben onjuist te zijn.

De aangifte omzetbelasting is … via OB negatief geautomatiseerd geselecteerd voor een zogenaamde kantoortoets. OB negatief maakt gebruik van een aantal selectieregels (algoritme) op basis waarvan een aangifte kan worden uitgeschoten voor een kantoortoets.”

Conclusie: “De rechtbank komt tot het oordeel dat het gebruik van risicoselectiemodel ‘OB Negatief’ bij eiseres niet onrechtmatig is. Er bestaat geen reden het controlerapport van bewijs uit te sluiten. De op de controle gebaseerde correcties zijn voldoende onderbouwd en terecht toegepast. Ook de vergrijpboetes zijn terecht en tot de juiste bedragen aan eiseres opgelegd.”

Hoorzitting Kamer over datalekken

Via Security.nl: De vaste commissie voor Digitale Zaken van de Tweede Kamer krijgt wegens Odido en andere datalekken volgende week woensdag 13 mei een technische briefing van de Autoriteit Persoonsgegevens over Artikel 5 van de AVG. Eind juni vindt er een commissiedebat plaats over de bescherming van persoonsgegevens en grote datalekken, waar ook de staatssecretarissen van Justitie en Veiligheid en Binnenlandse Zaken aan deelnemen.”

Ondertussen groeit het aantal datalekken, nu dus met Canvas. De AP gaat zeggen dat het haar ernstige zorgen baart en dat er actie wordt ondernomen.

Inzageverzoek geweigerd

Rechtbank Zeeland-West-Brabant: “Beroep tegen niet-tijdig beslissen op AVG-verzoek is niet ontvankelijk omdat de betrokkene geen rechtsgeldige ingebrekestelling heeft gestuurd.” Gaat om een zaak van de gemeente Dongen. De uitspraak was al in december 2025, maar is nu gepubliceerd. Dit soort zaken schaar ik te gemakkelijk onder de afdeling ‘juridisch geneuzel’ omdat de relevantie me ontgaat. Gelukkig is Jeroen Terstegge wel deskundig met zijn commentaar op de zaak.

*) Beeld: zonsondergang 7 mei 2026