AP geeft taxi-app Yango 100 miljoen euro boete voor doorspelen info aan Rusland

De Autoriteit Persoonsgegevens geeft taxi-app Yango een boete van 100 miljoen euro voor het doorspelen van persoonsgegevens van gebruikers aan Rusland. Het moederbedrijf van de Europese versie van Yango, MLU, is in Nederland gevestigd. De app wordt binnen Europa alleen in Noorwegen en Finland gebruikt.

De Nederlandse, Noorse en Finse toezichthouders voerden het onderzoek naar Yango gezamenlijk uit. Uit het onderzoek blijkt dat de taxi-app persoonsgegevens van klanten en taxichauffeurs deelt met bedrijven in Rusland. De gegevens werden daar bijvoorbeeld opgeslagen.

Het gaat om gevoelige gegevens, aldus de AP. Zo sloeg de app bijvoorbeeld scans van rijbewijzen, adressen, contactgegevens, locaties, rekeningnummers, foto's, chatgesprekken en bsn's op. De Russische overheid kan hier toegang toe krijgen.

De toezichthouders dragen moederbedrijf MLU op om te stoppen met het delen van persoonsgegevens met Russische partijen. Daarnaast moet het bedrijf dus 100 miljoen euro boete betalen, al kan het bedrijf in beroep gaan tegen de uitspraak.

Eerdere zorgen

Yango is een taxi-app die vergelijkbaar is met Uber en naast chauffeurbemiddeling ook andere diensten als maaltijdbezorging en een navigatieservice biedt. De dienst is een aftakking van de Russische zoekgigant Yandex.

In 2023 namen de Noorse en Finse toezichthouders al stappen tegen de app, omdat de Russische geheime dienst FSB Yango zou hebben opgedragen om persoonsgegevens te gaan delen, aldus NRK. Volgens Yango was de opdracht van de FSB echter niet van toepassing voor internationale gebruikers, alleen voor Russen. Voor zover bekend werden er daarna geen maatregelen meer genomen, tot nu.

Yango

Door Yannick Spinner

Redacteur

Feedback • 08-05-2026 11:46 41

08-05-2026 • 11:46

41

Lees meer

AP: inzet scanauto's levert jaarlijks 500.000 onterechte parkeerboetes op
AP: inzet scanauto's levert jaarlijks 500.000 onterechte parkeerboetes op Nieuws van 9 april 2026
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update
AP ontving zoveel geld dat zij ruim 60.000 euro moet terugbetalen - update Nieuws van 3 april 2026
AP en RDI doen officieel onderzoek naar Odido-datalek
AP en RDI doen officieel onderzoek naar Odido-datalek Nieuws van 26 maart 2026
Minister onderzoekt onrechtmatig verzamelen data door politie na kritiek AP
Minister onderzoekt onrechtmatig verzamelen data door politie na kritiek AP Nieuws van 23 maart 2026
AP: chatbots noemen bijna nooit lokale politieke partijen bij geven stemadvies
AP: chatbots noemen bijna nooit lokale politieke partijen bij geven stemadvies Nieuws van 12 maart 2026
AP waarschuwt voor politieke advertenties, maar handhaaft nog steeds niet
AP waarschuwt voor politieke advertenties, maar handhaaft nog steeds niet Nieuws van 11 maart 2026
Meer producten en artikelen
Economie en maatschappij Privacy Autoriteit Persoonsgegevens Boete Finland Nederland Noorwegen Rusland

Reacties (41)

-Moderatie-faq
41
41
29
1
0
9
Wijzig sortering

Sorteer op:

Weergave:
Master FX 8 mei 2026 11:51
Zo daar kan AP vervolgens wel weer een tijdje mee vooruit. Tenminste, wat gebeurt er met de boetes die ze innen?
De Autoriteit Persoonsgegevens zegt al jaren dat zij meer geld nodig heeft voor privacytoezicht. Het pleit al sinds 2021 voor honderd miljoen euro per jaar. Dat bedrag is niet uit de lucht gegrepen. Het is de conclusie van een rapport door KPMG. Dat berekende dat als de AP al haar wettelijke taken op de juiste manier zou willen uitvoeren, het minimaal dat bedrag nodig heeft.
Bron: nieuws: Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Reageer
patviev @Master FX8 mei 2026 12:06
De vraag is of de boete stand houdt bij beroep en hoger beroep. Verder wordt dit niet (direct) toegevoegd aan de begroting van AP om de schijn van belangenverstrengeling te voorkomen en de onafhankelijkheid te waarborgen. Althans zo was het voor de ACM.

Hiermee wordt de prikkel tot beboeten voorkomen omdat de toezichthouder geen (financieel) voordeel heeft aan het opleggen van een boete. Waarbij er uit de beschikbare instrumenten de meest wenselijke wordt gekozen.
Reageer
Floort
@patviev8 mei 2026 13:08
Eerst maar even het (eventuele) bezwaar afwachten. (pietluttig procesmatig puntje)
Reageer
CH4OS @Master FX8 mei 2026 12:07
Het geld gaat echter niet naar de AP, maar naar de schatkist van de Staat. ;) Dan staat het als ‘meevaller’ in de boeken in September. ;) Boetes van andere partijen, zoals ACM en AFM komen daar ook.

[Reactie gewijzigd door CH4OS op 8 mei 2026 12:09]

Reageer
TWeaKLeGeND @CH4OS8 mei 2026 13:15
Meevaller zou nog mooi zijn, maar boetes zijn een ingecalculeerd vorm van inkomsten waar ze op rekenen en aansturen. Praten we bijvoorbeeld specifiek op verkeersboetes die over veiligheid horen te gaan: de regering wil absoluut niet dat die inkomsten verdwijnen. Veiligheid word bewust niet nagestreefd omdat dat de schatkist raakt. Iets waar de veiligheidsbranche al jaren over klaagt (omdat het zo exorbitant is puur voor de schatkist, politie rdw etc)

[Reactie gewijzigd door TWeaKLeGeND op 8 mei 2026 13:17]

Reageer
CH4OS @TWeaKLeGeND8 mei 2026 13:51
Ik denk alleen nog altijd wel, dat een enkele boete van 100M nooit ingecalculeerd is. ;)
Reageer
Geim @Master FX8 mei 2026 11:55
Zo daar kan AP vervolgens wel weer een tijdje mee vooruit. Tenminste, wat gebeurt er met de boetes die ze innen?
Op de site van AP:

"Innen van boetes

Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid."

https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/boetes-en-andere-sancties-van-de-ap#:~:text=Het%20Centraal%20Justitieel%20Incassobureau%20(CJIB,algemene%20middelen%20van%20de%20overheid.
Reageer
badnews.nl @Geim8 mei 2026 12:16
Komen daar dan nog 9 euro administratiekosten bij?
Reageer
SHartwijk @Master FX8 mei 2026 11:55
Die boetes (als ze al betaald worden) komen niet bij de Autoriteit Persoonsgegevens op de bankrekening te staan maar gaan rechtstreeks naar de staatskas.
Reageer
dasiro @Master FX8 mei 2026 12:34
opleggen en effectief innen zijn nog 2 verschillende zaken.

Dit toont overigens aan dat Nederland waarschijnlijk weer gewoon misbruikt wordt als tax-shelter of dergelijke, als er enkel activiteiten zijn in NO/FI. Daar zal diens overheid dan wel niets op tegen hebben als ze maar wat geld kunnen innen dat elders terecht had moeten komen.
Reageer
arjankoole
@Master FX8 mei 2026 13:23
boetes vloeien altijd naar de schatkist van de staat, nooit naar de instantie die uivoert. Dat is bij wet geregeld.
Reageer
chrome moral @Master FX8 mei 2026 12:33
Waar solliciteer ik is mijn eerste gedachte :-D die gasten moeten dus echt dik binnen zijn, ik zie het al voor me business class de wereld rondrijzen op kosten van de zaak, nieuwste SUV, dat soort fratsen.


https://privacy-web.nl/nieuws/autoriteit-persoonsgegevens-krijgt-ruim-twee-keer-zoveel-personeel/

100 miljoen jaarlijks verdelen over 450 man? Beter!!!

[Reactie gewijzigd door chrome moral op 8 mei 2026 12:35]

Reageer
Oversidan 8 mei 2026 11:49
Prima eerste stap, maar het moet ook mogelijk zijn om dit op een gegeven moment ook gewoon te gaan verbieden en eventueel technisch te blokkeren. Dit is gewoon overduidelijk een informatievergaringsoperatie van een statelijke actor.
Reageer
Xfade @Oversidan8 mei 2026 11:53
Ik weet niet of dat makelijk is, aangezien ze slechts de app in 2 landen aanbieden.
Reageer
F_J_K Forummoderator @Xfade8 mei 2026 12:40
Als je even naar de kaart kijkt, zie je dat Finland als direct buurland en Noorwegen als de logistieke aanvoerroute voor ze heel interessant zijn om te manipuleren qua onderbuik en politiek. Net zoals Nederland dat is vanwege onze logistieke etc.

En manipuleren gaat makkelijker met info over het doelwit.
Reageer
batjes @F_J_K8 mei 2026 13:06
We hebben hier meerdere partijen in de politiek zitten die onder de Russische invloedssfeer vallen.

Lekker interne rumoer veroorzaken, je ziet het ook al jaren in de samenleving, nuanceloos "als je niet met mij bent, ben je tegen mij"-mentaliteit.

Kut Rusland.
Reageer
mjtdevries @Oversidan8 mei 2026 12:44
Dit is gewoon overduidelijk een informatievergaringsoperatie van een statelijke actor.
Waarom is dit volgens jou overduidelijk een operatie van een statelijke actor?

Wat mij net zo waarschijnlijk lijkt, is dat ze hun bestaande app voor Rusland uitgebreid hebben naar Noorwegen en Finland en gewoon dezelfde servers en databases hebben gebruikt. Dat is de goedkoopste manier om die app in andere landen uit te brengen.

Dat kan je dom noemen, of bewust de Europese regelgeving negeren door MLU. Maar ik zie nog geen aanleiding om het dan een operatie van Rusland te noemen.

[Reactie gewijzigd door mjtdevries op 8 mei 2026 12:45]

Reageer
Croga @mjtdevries8 mei 2026 13:07
Exact dit.....

"Never ascribe to malice that which is adequately explained by stupidity"
Reageer
TWeaKLeGeND @mjtdevries8 mei 2026 13:18
Opdracht van FSB?
Reageer
mjtdevries @TWeaKLeGeND8 mei 2026 13:21
Je kunt allerlei dingen verzinnen natuurlijk. Maar Oversidan claimt dat het overduidelijk is. Dat is wel wat anders.
Reageer
TWeaKLeGeND @mjtdevries8 mei 2026 13:25
Tjah je mag inderdaad stellen/denken dat de Noorse en Finse toezichthouders het verzonnen hebben maar als je er van uit gaat dat hun onderzoek deugdelijk is, wat ook best mag, dan is het toch overduidelijk? Sterker nog, yango geeft het toe maar zegt 'die opdracht was alleen voor Russen'. Als er dan alsnog data van iedereen die kant op gaat is dat in ieder geval niet om redenen die jij aanhaalt.

[Reactie gewijzigd door TWeaKLeGeND op 8 mei 2026 13:41]

Reageer
mjtdevries @TWeaKLeGeND8 mei 2026 13:29
Ik zie wellicht wat over het hoofd, maar volgens mij stellen de Noorse en Finse toezichthouders dat de data naar Rusland wordt verstuurd naar het moederbedrijf.

Dat is heel wat anders dan dat ze stellen dat de data naar de Russische overheid word gestuurd. Heb jij ergens zien staan dat de toezichthouders claimen dat het in opdracht van de FSB gebeurd?
Of gooi je de situatie van 2023 op één hoop met deze situatie nu?
Reageer
TWeaKLeGeND @mjtdevries8 mei 2026 13:41
Dat is dezelfde situatie ja. Je moet sterke mental gymnastics uitvoeren om 'misschien is het wel onschuldig van bestaande infra van een russische app gebruiken' te roepen omdat 'overduidelijk' je een te sterke uitspraak is. Maar vooruit speciaal voor jou: het is toch verdomde likely met een dergelijke geschiedenis EN de wetenschap over dat je weet dat de FSB de data wil hebben EN ze recht hebben op de data ontvangen/bekijken/opslaan onder de Russische wet daar deze in Rusland opgeslagen is ongeacht of het over Russische of niet Russische gebruikers gaat.

Ps. Yango was actief in veel meer landen. Oekraïne Moldavië Roemenië heb ik ze oa gezien. Waar rook is kan vuur zijn, waar je nagloeiende asresten ziet is vuur geweest.

Yango zou zogenaamd losgetrokken zijn van Rusland en FSB en specifiek daarom naar Amsterdam zijn verhuisd. Dan ga je niet nog voor het gemak je data in Rusland opslaan.

[Reactie gewijzigd door TWeaKLeGeND op 8 mei 2026 13:42]

Reageer
DdeM @Oversidan8 mei 2026 11:56
Verboden is het al, anders hadden ze geen boete gekregen. Maar bewust doorgeven vind ik eigenlijk wel een stap verder gaan dan beveiliging niet op orde hebben, vraag me af of je in dit geval niet gewoon het hele bedrijf moet opdoeken, of iig een nationaal danwel Europees handelsverbod en/of bestursverbod.
Reageer
Nightscope @Oversidan8 mei 2026 11:58
Niet per definitie een "informatievergaringsoperatie van een statelijke actor" maar in dit geval ja.
Reageer
Blasterxp 8 mei 2026 12:11
Meest bedrijven zullen toch stuk gaan als ze zo'n boete krijgen?
Reageer
djexplo @Blasterxp8 mei 2026 12:42
Nee. Uber heeft eerder nog een hoger boete gehad, voor het zelfde vergrijp "AP legt Uber boete op van 290 miljoen euro om doorgifte data chauffeurs naar VS'

Meestal maakt zo'n bedrijf dan gelijk bezwaar, en gaat er jaren over heen. Maar of er ooit daad werkeljik iemand betaald heeft. Dat is vraag twee?
Reageer
Kroesss @Blasterxp8 mei 2026 12:44
Ja, maar deze is onderdeel van het grote Yandex, die kan dit wel hebben.

Er zijn ook grenzen aan de boetes. Kleine bedrijven kunnen geen boete van 100 miljoen krijgen.
Reageer
ernstoud 8 mei 2026 11:56
In de GDPR is de maximale boete €20 miljoen of 4% van de wereldwijde jaaromzet (welk bedrag hoger is).

Maakt dit bedrijf dan een omzet van 2.5 miljard?

Geez.
Reageer
runaround @ernstoud8 mei 2026 12:03
Volgens BNR is gekeken naar de omzet van het moederbedrijf van MLU, namelijk Yandex. Die hadden in 2024 een omzet van 12 miljard.

bron

[Reactie gewijzigd door runaround op 8 mei 2026 12:03]

Reageer
ernstoud @runaround8 mei 2026 12:09
Ah. Dank voor de toelichting.
Reageer
Pasteis 8 mei 2026 11:59
Het gaat om gevoelige gegevens, aldus de AP. Zo sloeg de app bijvoorbeeld scans van rijbewijzen, adressen, contactgegevens, locaties, rekeningnummers, foto's, chatgesprekken en bsn's op. De Russische overheid kan hier toegang toe krijgen.
Waarom wordt in verband met de nationale veiligheid niet direct, met onmiddellijke ingang, gesteld dat het bedrijf stilgelegd moet worden?
De toezichthouders dragen moederbedrijf MLU op om te stoppen met het delen van persoonsgegevens met Russische partijen. Daarnaast moet het bedrijf dus 100 miljoen euro boete betalen, al kan het bedrijf in beroep gaan tegen de uitspraak.
Oh het scheelt dat de Russen braaf gehoor zullen geven aan zulke oproepen... /s.
Volgens mij moet je gewoon tot dwang overgaan gezien de geopolitieke situatie.

Nu zullen ze minstens zo vrolijk doorgaan tot en met het beroep. En daarna is het nog steeds sterk de vraag of ze hier gehoor aan geven.

We zullen wel beperkt worden door wat de wet voorschrijft en door de functie van AP. Alleen wat mij betreft, net zoals bij Solvinity, mogen we als land wel echt een stuk harder en strakker optreden. We laten het in mijn ogen een beetje te veel op beloop gaan… de veiligheidsrisico's zijn misschien op korte termijn niet te overzien, maar dat kan veranderen!
Reageer
The Zep Man
@Pasteis8 mei 2026 13:05
Waarom wordt in verband met de nationale veiligheid niet direct, met onmiddellijke ingang, gesteld dat het bedrijf stilgelegd moet worden?
Een bedrijf die een taxi-app exploiteert heeft geen invloed op nationale veiligheid. Zeker niet op de Nederlandse, want de applicatie is daar niet actief. De impact is beperkt tot een groep klanten/gebruikers uit twee landen, niet tot een heel land.

Dat maakt het niet minder ernstig wat het bedrijf doet, maar om een gevaar voor nationale veiligheid te zijn moet je wat meer doen dan alleen het fout verwerken van dit soort gegevens in deze hoeveelheid.

[Reactie gewijzigd door The Zep Man op 8 mei 2026 13:08]

Reageer
Yzord 8 mei 2026 12:13
Hoevaak ik hier wel niet op mijn donder kreeg dat AaaS's niets meer dan trackingtools zijn. Maar zo zie je maar weer waar apps eigenlijk voor (kunnen) staan. Als gebruiker heb je amper controle wat er op de achtergrond gebeurd, terwijl dat met een browser beter in te zien is of te bestrijden.

Dus nogmaals het advies: kijk eerst eens of de dienst die je wilt gebruiken gewoon benaderbaar is via een browser ipv meteen de app te installeren. Via een browser heb je veel meer mogelijkheden om telemetry te blokkeren.
Reageer
Pvt.Bob 8 mei 2026 12:33
Zelf vind ik wel dat er wat meer dan alleen een boete opgelegd zou moeten worden. Als je bewust persoonsgegevens door doet spelen. Zou het niet mogelijk zijn om een algeheel verbod te leggen op Yango in de EU, zodat ze hier helemaal niet meer mogen opereren?

Ik weet namelijk niet of een boete voldoende gaat zijn om ze daadwerkelijk te laten stoppen met het doorgeven van deze gegevens.
Reageer
batjes @Pvt.Bob8 mei 2026 13:09
Het AP is hier verassend aggressief wat me doet vermoeden dat het meespeelt dat het bedrijf Russisch is.
Reageer
DonChaot @batjes8 mei 2026 13:45
Uber hebben ze voor dezelfde fout toch hetzelfde aangepakt?
Reageer
jumbos7 @Pvt.Bob8 mei 2026 14:10
Ze slaan persoonsgegevens op Russische servers, dat is tegen de EU-regels en kan stevig bestraft worden. Zo kreeg Uber een boete van 290 miljoen omdat ze gegevens op Amerikaanse servers opsloegen.

De vraag is alleen of ze dit deden omdat ze gegevens op deze wijze daadwerkelijk bij de Russische overheid terecht wilde laten komen, of uit laakbare onwetendheid over Europese privacyregels of gewoon omdat het hen het makkelijkst/goedkoopst leek. Want erg succesvol zijn ze niet in Zweden en Finland, om dan voor een handvol persoonsgegevens 100 miljoen boete te incasseren? Bovendien zouden ze die gegevens net zo goed op Europese servers hebben kunnen opslaan en die dan al dan niet op afstand door de Russische overheid in te laten zien. Dat zal toch veel moeilijker te ontdekken zijn.

Ik ben desondanks blij dat er stevige maatregelen genomen worden, al zou ik graag willen zien dat er waarborgen zijn zodat persoonsgegevens op Europese servers niet op een verhulde wijze wordt doorgespeeld wanneer een dubieuze partij daar op uit is. Ik heb er niet veel verstand van de technische mogelijkheden daartoe, maar je zou eigenlijk een infrastructuur willen hebben die persoonsgegevens op een need-no-know basis verstrekt en dan liefst zo summier mogelijk.

Je moet alleen voorkomen dat je zo'n privacywaarborgend systeem met een handomdraai ook als digitale Big Brother kan worden ingezet, zelfs als alle data enkel op je eigen telefoon staat en verwerkt wordt. Als je in de toekomst bijvoorbeeld bijna niets meer kunt, online en offline, zonder allerlei verificaties te moeten doorlopen.
Reageer
lighting_ 8 mei 2026 13:04
Het begint bij burgers die deze gegevens en kopien afstaan. Daarbij is het de overheid die met privacy data een puinhoop van maakt. Sterker nog. Ze doen daar zelf aan mee met hun wet keten aansprakelijk die privacy data schendt

[Reactie gewijzigd door lighting_ op 8 mei 2026 13:05]

Reageer
slijkie 8 mei 2026 13:28
Woon in Noorwegen en nog nooit van die app gehoord.

Belachelijke boete trouwens. Puur symbolisch. Odido komt er met een tik vanaf en hier zijn nog minder gegevens geraakt dan welk noemswaardig lek van afgelopen tijd. En dan gooi je er 100 miljoen euro tegenaan.

Puur politiek, inhoud is blijkbaar irrelevant.
Reageer
sworpie @slijkie8 mei 2026 14:07
Odido was slachtoffer van een hackersgroep. Deze partij heeft bewust gevoelige gegevens doorgespeeld naar een dictatoriaal regime.
Reageer

Om te kunnen reageren moet je ingelogd zijn