100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat

100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat

NieuwsAlisina NawabiAlisina Nawabi9 mei · 15:186 min leestijd

De Autoriteit Persoonsgegevens beboette taxi-app Yango met 100 miljoen euro omdat klantgegevens naar Rusland gingen. Geen ver-van-je-bed-show: ook jouw MKB-data staat vaker buiten je zicht dan je denkt.

Op 8 mei 2026 deelde de Autoriteit Persoonsgegevens (AP) een boete van 100 miljoen euro uit aan MLU B.V., het Amsterdamse bedrijf achter de taxi-app Yango. De reden: persoonsgegevens van chauffeurs en klanten belandden op servers in Rusland, zonder dat daar voldoende bescherming tegenover stond. Het is een van de hoogste privacyboetes die de AP ooit oplegde, en Yango is inmiddels in beroep gegaan. Maar je hoeft geen miljardenbedrijf te zijn om hier iets uit te halen. Sterker nog: juist als MKB'er zit je vaker in dezelfde situatie dan je denkt.

Wat er precies gebeurde

Yango is de Europese tak van een dienst die hoort bij het Russische technologieconcern Yandex. Volgens de AP stuurde MLU gevoelige gegevens door naar Rusland: scans van rijbewijzen, adressen, contactgegevens, bankrekeningnummers, exacte locaties, ritgegevens, foto's, chatgesprekken en zelfs burgerservicenummers. Dat is geen handjevol velden in een database, dat is zo'n beetje het complete profiel van een mens.

Het probleem zit niet alleen in het overdragen op zich, maar in waar de data terechtkwam. De AP stelt dat persoonsgegevens in Rusland niet zo goed beschermd zijn als in Europa, en dat de Russische overheid er toegang toe zou kunnen krijgen. Onder de AVG mag je persoonsgegevens alleen buiten de Europese Economische Ruimte brengen als het beschermingsniveau daar vergelijkbaar is. Daar liep MLU volgens de toezichthouder tegenaan. De privacytoezichthouders van Finland en Noorwegen werkten mee, omdat ook gegevens uit die landen waren getroffen, en de boete is gekoppeld aan de omzet van moederconcern Yandex, ruim 12 miljard euro in 2024. Yango bestrijdt het beeld en stelt dat de gegevens alleen versleuteld en gepseudonimiseerd binnen de EU stonden. Het bedrijf is in beroep gegaan, dus de rechter krijgt het laatste woord.

Waarom dit groter is dan een taxi-app

Het makkelijke verhaal is: groot bedrijf, schimmig moederconcern, ver-van-mijn-bedshow. Maar daarmee mis je de kern. De vraag is niet of jouw bedrijf op Yango lijkt, maar waar jouw klantgegevens op dit moment fysiek staan en wie daar bij kan.

Veel ondernemers denken dat een goed contract met een leverancier het risico afdekt. Je tekent de standaard contractbepalingen (de zogeheten Standard Contractual Clauses, of SCC's), vinkt het vakje af, en gaat ervan uit dat je gedekt bent. De Yango-zaak laat zien dat dat niet meer voldoende is. Een contract kan een buitenlandse overheid niet tegenhouden. Toezichthouders kijken inmiddels naar de techniek, niet naar de beloftes: hoe is het geregeld, niet wat is er afgesproken.

En dit raakt het MKB harder dan je verwacht, want bijna niemand draait nog alles in eigen huis. Je e-mail loopt via een Amerikaanse aanbieder, je back-ups staan in een cloud, je AI-tool stuurt teksten naar een server die je nog nooit hebt gezien. Elke keer dat je een tool aanzet, geef je een stukje data uit handen. De vraag is of je nog weet aan wie.

Wat jij hieruit kunt meenemen

Je hoeft hier niet bang van te worden, wel scherp. Een paar concrete dingen die ieder bedrijf kan doen, ongeacht de omvang:

  • Breng in kaart waar je data staat. Maak een simpele lijst van je belangrijkste tools en wat voor persoonsgegevens daar doorheen gaan. Waar staan de servers? In de EU, de VS, ergens anders? Veel aanbieders zetten dit gewoon in hun documentatie, maar bijna niemand kijkt.
  • Kijk naar de techniek, niet alleen het contract. Versleutel je gevoelige data en houd de sleutels bij voorkeur in eigen beheer. Versleuteling waarvan jij de sleutel hebt is iets heel anders dan versleuteling waarvan je leverancier de sleutel heeft.
  • Vraag door bij je leveranciers. Wie zijn hun onderaannemers, en waar verwerken die de data? Een serieuze partij beantwoordt dit binnen een dag. Een partij die er omheen draait, vertelt je eigenlijk al genoeg.
  • Beperk wat je verzamelt. De goedkoopste data om te beschermen is data die je nooit hebt opgeslagen. Heb je dat rijbewijs, dat bsn, die exacte locatie echt nodig? Zo niet, vraag het niet uit.
  • Kies bewust voor Europese of self-hosted opties waar het kan. Voor sommige processen is dat overkill. Voor je gevoeligste gegevens kan het precies het verschil maken tussen een nachtmerrie en een non-event.

De Yango-boete is nog niet definitief, want de zaak ligt bij de rechter. Maar de richting is duidelijk. Toezichthouders verwachten dat je het technisch op orde hebt, niet dat je een mooi contract laat zien. Dat is geen extra last, dat is gewoon je zaken op orde hebben. Met slim werken, loont hard werken.

Veelgestelde vragen

PrivacyAVGAutoriteit PersoonsgegevensDatalekDatasoevereiniteitMKBDatabeveiliging

Verken verder

In dit artikel

Thema's

AI-kracht en juridische grenzen: hoe Nederlandse ondernemers navigeren tussen innovatie, aansprakelijkheid en soevereiniteitOnderschatte digitale risico's: van SaaS-kosten tot datasoevereiniteitVerborgen kosten en datarisico's voor ondernemersAI, data en regels voor MKBAI, data en regels: wat het MKB in 2026 niet mag missen
Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Bij FLOH ontwerp en bouw ik complete software, integraties en AI op maat, van eerste idee tot werkend product, en jij blijft eigenaar. Hier schrijf ik nuchter over bouwen met AI en software voor ondernemers en organisaties.

Meer over mij

Gerelateerde artikelen

Digitale soevereiniteit is risicobeheer, geen politiekArtikel

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

Lees artikel
Apple onthult 'Siri AI', maar de EU krijgt hem niet op de iPhoneNieuws

Apple onthult 'Siri AI', maar de EU krijgt hem niet op de iPhone

Apple presenteerde op WWDC 2026 een compleet herbouwde Siri. Het grote nieuws voor Nederlandse ondernemers: door de DMA komt de nieuwe Siri AI voorlopig niet naar iPhone en iPad in de EU.

Lees artikel
Mistral wil 3 miljard ophalen: Europa's AI-alternatief krijgt vormNieuws

Mistral wil 3 miljard ophalen: Europa's AI-alternatief krijgt vorm

Het Franse Mistral praat volgens Bloomberg over een ronde van 3 miljard euro bij een waardering van 20 miljard. Wat zegt dat over een Europees alternatief voor de Amerikaanse AI-reuzen, en over jouw keuzes als ondernemer?

Lees artikel
De verborgen TCO van je SaaS-stapelArtikel

De verborgen TCO van je SaaS-stapel

Elk SaaS-abonnement lijkt goedkoop. Maar bedrijven met 1 tot 500 medewerkers gebruiken gemiddeld 152 tools. Samen vreten ze marge, aandacht en controle over je data. Tel de stapel op.

Lees artikel
Hoe een verlopen domeinnaam een datalek werd, en wat elk bedrijf eruit leertNieuws

Hoe een verlopen domeinnaam een datalek werd, en wat elk bedrijf eruit leert

Een ethisch hacker registreerde verlopen domeinnamen van bewindvoerders en kreeg toegang tot 258 financiële dossiers. Geen geavanceerde aanval, gewoon een vergeten domein. De les voor elk bedrijf: jouw domeinnaam is een sleutel die je niet mag laten vallen.

Lees artikel
Europees Parlement stemt in met verbod op AI-nudifiersNieuws

Europees Parlement stemt in met verbod op AI-nudifiers

Het Europees Parlement keurde een AI Act-amendement goed dat AI-nudifiers verbiedt, met boetes tot 35 miljoen euro. De handhaving blijft onzeker omdat veel lidstaten nog geen bevoegde toezichthouder hebben.

Lees artikel
Bekijk alle artikelen