anonym.legal

By · Last updated 2026-06-05

Terug naar BlogGDPR & Naleving

Dutch AP: €290M Uber-Boete En Overdrachten

De Dutch AP legde de grootste individuele datatransfert-boete in de EU op — €290 miljoen tegen Uber in 2024. Dit is wat grensoverschrijdende overdrachts-compliance vereist.

June 5, 20267 min lezen
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

De Dutch AP En De Uber-Boete

In augustus 2024 beboette de Dutch AP Uber met €290 miljoen. Uber stuurde EU-rijdersdata naar US-servers zonder rechtsgrond. Die data omvatte taxivergunningen, strafrechtelijke controles, medische records en reislogs.

Uber verplaatste de data na Schrems II, dat het EU-US Privacy Shield in juli 2020 neerhaalde. Het hield die overdrachten twee jaar gaande. Geen Standard Contractual Clauses. Geen enkel artikel 46-instrument.

Deze boete is de grootste in de EU voor een datatransfert-inbreuk. Het staat derde onder alle AVG-boetes ooit. Overdrachtfouten dragen nu enorme kosten. Niet alleen inbreuken.

Zie onze AVG-conformiteitsgids voor een snel overzicht.

AP Handhavingsprioritaire Gebieden

De Dutch AP ontving in 2023 meer dan 21.400 klachten. Het richt zich op drie gebieden.

Prioriteit 1 — Werknemersmonitoring (43% van de gevallen): Veel Nederlandse bedrijven hebben AP-boetes ontvangen voor het monitoren van hun personeel. Verborgen camera's, bulk e-mailcontroles en GPS-tracking zonder kennisgeving triggeren allemaal actie. Nederlands arbeidsrecht voegt extra regels toe bovenop de AVG.

Prioriteit 2 — Grensoverschrijdende overdrachten (31% van de gevallen): Na de Uber-boete en een gezamenlijk onderzoek met Ierland's DPC over Cloudflare (2023) heeft de AP het overdrachtstoezicht opgevoerd. De techsector van Amsterdam loopt hier hoog risico. Cloudbedrijven, fintech en snel-groeiende startups vallen allemaal in bereik.

Prioriteit 3 — Marketing en profilering (26% van de gevallen): Dit dekt cookie-toestemming, advertentietargeting en directe marketing. De AP neemt een strikte visie van "gerechtvaardigd belang". Het vereist schriftelijke tests met duidelijk bewijs.

Overdrachtsregels Na Uber

Transfer Impact Assessments (TIA's): De EDPB vereist een TIA voor elke overdracht naar een derde land. De TIA moet aantonen dat de bestemming gelijkwaardige bescherming biedt als het EU-recht. De AP stelt dat een TIA vier vragen moet beantwoorden:

  • Wat zijn de toegangswetten in het bestemmingsland?
  • Hoe ver reikt de arm van de inlichtingendiensten?
  • Wat is de staat van dienst van overheidsverzoeken aan de gegevensimporteur?
  • Welke rechtsmiddelen kunnen betrokkenen gebruiken?

Standard Contractual Clauses — alleen niet voldoende: SCC's alleen voldoen niet aan artikel 46. Als de TIA overheidstoegangrisico toont, zijn extra waarborgen vereist.

Extra technische maatregelen die de AP accepteert:

  • Versleuteling waarbij de importeur geen toegang heeft tot ontsleutelingssleutels
  • Verwijdering van directe ID's vóór overdracht zodat de importeur de data niet kan terugkoppelen aan een persoon
  • Datareductie vóór overdracht, waarbij velden worden gesneden die de importeur niet nodig heeft

De offline Desktop App voert al het werk op uw apparaat uit. Het stuurt geen data naar buiten. Dit verwijdert het overdrachtsonderwerp voor die activiteit. Zie ons beveiligings- en complianceoverzicht.

Werknemersdata En Nederlands Arbeidsrecht

De 43%-focus van de AP op werknemersmonitoring toont hoe AVG en Nederlands arbeidsrecht overlappen.

Drie regels gelden voor in Nederland gevestigde organisaties:

Ondernemingsraad-goedkeuring: Een bedrijf met een ondernemingsraad moet zijn goedkeuring krijgen voordat enig monitoringtool wordt uitgerold. Dit dekt AI-tools, e-mailcontroles en aanwezigheidssystemen.

Geschikt voor doel: Monitoring moet overeenkomen met het opgegeven doel. Verborgen monitoring is niet toegestaan. Open monitoring moet de minst ingrijpende optie zijn.

Doelbinding: HR-data verzameld voor één doel kan niet worden gebruikt voor een ander. Een nieuwe rechtsgrond is nodig.

Deze regels vereisen drie records: de raadsgoedkeuring, de doelcontrole en de controles. Onze compliancechecklist dekt alle drie.

Nederlandse PII-Detectie

PII-tools in Nederland moeten lokale ID-formaten verwerken. Standaard globale tools missen ze vaak:

  • BSN (Burger Service Nummer): 9-cijferig Nederlands nationaal ID — vereist controlesomvalidatie
  • IBAN (NL-voorvoegsel): Nederlands IBAN met eigen validatielogica
  • Postcode: Formaat is 4 cijfers + spatie + 2 letters
  • DigiD: Overheidsdistale identiteitscode
  • Zorgnummers: BGZ en EP formaten voor patiëntrecords

Een generieke tool kan IBAN detecteren maar de BSN-controlesomsom of het postcodeformaat missen. Test BSN-detectie vóór u nationale identiteitsdata verwerkt. Ga niet uit van dekking.

Stappen Voor Nederlandse Organisaties

1. Overdrachtsaudit: Maak een lijst van alle datastromen naar derde landen. Bekijk aanwezige SCC's. Voer TIA's uit voor sleutelstromen. Leg extra technische maatregelen vast waar een TIA risico markeert.

2. Werknemersmonitoringsbeoordeling: Maak een lijst van alle monitoringtools, inclusief AI. Controleer ondernemingsraadgoedkeuringsrecords. Bevestig dat doelcontroles schriftelijk bestaan.

3. PII-dekkingscontrole: Test BSN-, postcode- en IBAN-detectie in uw PII-tools. Test nauwkeurigheid op Nederlandstalige documenten.

4. Techsectorblootstelling: Startups moeten keuzes vastleggen die overdrachtsrisico verminderen — EU-regio cloud en lokale verwerkingsopties. Cloudproviders met EU-US instellingen moeten hun overdrachtstools en TIA-aanpak documenteren.

anonym.legal gebruikt EU-gebaseerde Hetzner datacenters met zero-knowledge ontwerp. De server ziet uw leesbare inhoud nooit. Een volledige serverinbreuk levert alleen AES-256-GCM-cijfertekst op. Heeft u alleen lokale verwerking nodig? De Desktop App draait volledig op uw apparaat zonder externe verbindingen.

Bronnen

Gerelateerde Artikelen

GDPR & Naleving

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Naleving

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Naleving

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.