anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenGDPR & Efterlevnad

Holländsk AP: €290 miljoner mot Uber och överföringsregler

Den holländska AP utfärdade EU:s största enskilda dataöverföringsbot — €290 miljoner mot Uber 2024. Här är vad efterlevnad av gränsöverskridande överföringar kräver.

June 5, 20267 min läsning
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Den holländska AP och Uber-boten

I augusti 2024 bötesfällde den holländska AP Uber med €290 miljoner. Uber skickade EU-chaufförsdata till amerikanska servrar utan rättslig grund. Datan inkluderade taxilicenser, brottsliga bakgrundskontroller, medicinska journaler och resloggar.

Uber fortsatte med dessa överföringar efter att Schrems II ogiltigförklarade EU-US Privacy Shield i juli 2020. Överföringarna pågick i två år utan standardavtalsklausuler och utan något Artikel 46-verktyg alls.

Denna bot är EU:s högsta för ett dataöverföringsbrott. Den rankas som den tredje högsta GDPR-boten någonsin. Överföringsbrott kostar nu enormt mycket — inte bara intrång.

Se vår GDPR-efterlevnadsguide för en snabb överblick.

AP:s tillsynsprioriteter

Den holländska AP tog emot över 21 400 klagomål 2023. Den fokuserar på tre områden.

Prioritet 1 — Personalövervakning (43 % av fallen): Många nederländska företag har bötesfällts av AP för att ha övervakat sin personal. Dolda kameror, massgranskningar av e-post och GPS-spårning utan information utlöser alla åtgärder. Holländsk arbetsrätt lägger till ytterligare regler ovanpå GDPR.

Prioritet 2 — Gränsöverskridande överföringar (31 % av fallen): Efter Uber-boten och en gemensam utredning med Irlands DPC om Cloudflare (2023) har AP intensifierat sin tillsyn av överföringar. Amsterdams tekniksektor har hög exponering. Molnföretag, fintech och snabbväxande startups är alla i fokus.

Prioritet 3 — Marknadsföring och profilering (26 % av fallen): Detta omfattar cookie-samtycke, annonsinriktning och direktmarknadsföring. AP intar en strikt hållning till "berättigat intresse". Det kräver skriftliga tester med tydliga bevis.

Överföringsregler efter Uber

Transfer Impact Assessments (TIA): EDPB kräver en TIA för varje överföring till tredjeland. TIA:n måste visa att destinationslandet ger ett likvärdigt skydd som EU-rätten. AP anser att en TIA måste besvara fyra frågor:

  • Vilka är lagar om myndighetsåtkomst i destinationslandet?
  • Hur långt kan underrättelsetjänsterna nå?
  • Vad är spårjournal för statliga begäranden till dataimportören?
  • Vilka rättsliga åtgärder kan registrerade vidta?

Standardavtalsklausuler — inte tillräckliga ensamma: SCC ensamma uppfyller inte Artikel 46. Om TIA:n visar risk för myndighetsåtkomst krävs ytterligare skyddsåtgärder.

Ytterligare tekniska åtgärder som AP accepterar:

  • Kryptering där importören inte har tillgång till dekrypteringsnycklar
  • Borttagning av direkta identifierare innan överföring så att importören inte kan länka data till en person
  • Dataminskning innan överföring, med borttagning av fält importören inte behöver

Desktop-appen körs offline på din enhet. Den skickar inga data utanför. Det eliminerar överföringsproblemet för den aktiviteten. Se vår säkerhets- och kompliansöversikt.

Personaldata och holländsk arbetsrätt

AP:s 43-procentsfokus på personalövervakning visar hur GDPR och holländsk arbetsrätt samverkar.

Tre regler gäller för organisationer i Nederländerna:

Godkännande från samarbetsrådet (OR): Ett företag med ett samarbetsråd måste inhämta dess godkännande innan något övervakningsverktyg lanseras. Detta gäller AI-verktyg, e-postkontroller och närvarosystem.

Ändamålsenlighet: Övervakning måste motsvara sitt angivna mål. Dold övervakning är inte tillåten. Öppen övervakning måste vara det minst integritetskränkande alternativet.

Ändamålsbegränsning: HR-data som samlats in för ett ändamål kan inte användas för ett annat. En ny rättslig grund krävs.

Dessa regler kräver tre dokumentationstyper: OR:s godkännande, ändamålskontrollen och kontrollerna. Vår efterlevnadschecklista täcker alla tre.

Holländsk PII-detektering

PII-verktyg i Nederländerna måste hantera lokala ID-format. Standardglobala verktyg missar dem ofta:

  • BSN (Burger Service Nummer): 9-siffrigt holländskt nationellt ID — kräver checksummavalidering
  • IBAN (NL-prefix): Holländskt IBAN med egen valideringslogik
  • Postnummer: Formatet är 4 siffror + mellanslag + 2 bokstäver
  • DigiD: Statligt digitalt identitetsnummer
  • Sjukvårdsnummer: BGZ- och EP-format för patientjournaler

Ett generiskt verktyg kan identifiera IBAN men missa BSN-checksumman eller postnummerformatet. Testa BSN-detektering innan du behandlar nationella identitetsdata. Ta inte täckning för given.

Steg för nederlandska organisationer

1. Överföringsrevision: Lista alla dataflöden till tredjeländer. Granska befintliga SCC:er. Genomför TIA:er för nyckelflöden. Dokumentera ytterligare tekniska åtgärder där en TIA pekar på risk.

2. Granskning av personalövervakning: Lista alla övervakningsverktyg, inklusive AI. Kontrollera OR:s godkännandedokumentation. Bekräfta att ändamålskontroller finns skriftligt.

3. PII-täckningskontroll: Testa BSN-, postnummer- och IBAN-detektering i dina PII-verktyg. Testa noggrannhet på nederlandskspråkiga dokument.

4. Teknologisektorexponering: Startups bör dokumentera val som minskar överföringsrisk — EU-regionbaserade molntjänster och lokala bearbetningsalternativ. Molnleverantörer med EU-US-upplägg bör dokumentera sina överföringsverktyg och TIA-tillvägagångssätt.

anonym.legal använder EU-baserade Hetzner-datacenter med zero-knowledge-design. Servern ser aldrig din klartext. Ett fullständigt serverintrång ger bara AES-256-GCM-kryptotext. Behöver du lokal bearbetning? Desktop-appen körs helt på din enhet utan externa anslutningar.

Källor

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.