Den nederlandske databeskyttelsesmyndigheten (AP) gjennomfører en europeisk etterforskning av et datterselskap av den russiske internettgiganten Yandex. Den Amsterdam-baserte taxiappen kan dele personopplysninger med den russiske sikkerhetstjenesten FSB.

Dette fremgår av BNRs undersøkelser av de norske og finske datatilsynene, som også var involvert i undersøkelsen. AP selv kommer aldri med uttalelser om aktuelle saker.

Målet for etterforskningen er taxiappen Yango, et datterselskap av Yandex, blant annet «russiske Google». Taxi-appen har kommet aktiv i mer enn 30 land, inkludert EUs medlemsland Norge og Finland. Appen er tilgjengelig i Baltikum i et år nå forbudt på grunn av frykt for russisk spionasje. Denne frykten virker ikke ubegrunnet. Tidligere denne måneden, a gjeldende lov som tvinger taxiselskaper, inkludert Yango, til å gi FSB ubegrenset tilgang til deres data. Data samlet inn via taxi-appen ble brukt av russiske myndigheter til å fastslå Ivan Golunovs adresse og arrestere ham Moskva-tid.

Nederland leder europeisk forskning

Siden norske og finske brukere av appen også kan bli mål for spionasje, ble Yango i disse landene forbudt å dele taxidata med Russland i begynnelsen av august. Yandex protesterte og tiltakene er suspendert mens saken etterforskes av de berørte europeiske landene.

Den nederlandske datatilsynet er ansvarlig for dette, da appen og tilhørende brukerdata formelt administreres av et selskap med base i Amsterdam. Siden Yango er under nederlandsk tilsyn, er PA den eneste myndigheten til å innføre sanksjoner, for eksempel tvangsmidler eller bøter.

Yango jobber med «ytterligere krav»

En talsperson for Yango sa til BNR at selskapet allerede opererer fullt ut innenfor grensene av europeisk personvernlovgivning, men at det også er utarbeidet et «veikart» de siste ukene for å møte «ytterligere krav» fra det nederlandske datatilsynet. Selskapet sier også at det har gitt mye juridisk og teknisk informasjon til AP de siste ukene. Videre ønsker ikke Yango å svare på spørsmål. Selskapet fortalte finske og norske tilsynsmyndigheter at loven som gir FSB tilgang til taxidata kun gjelder brukere på russisk territorium.

BNR brukte også spesialisert programvare for å undersøke hvilken type data Yango-appen sender til tredjeparter. Dette viser at Yango fortsatt deler posisjonsdata med servere i Moskva. Hver gang appen brukes, kontakter den et autentiseringssystem fra morselskapet Yandex, hvor en taxikundes plassering bestemmes svært nøyaktig.

Yandex sitt holdingselskap, Yandex NV, er også basert i Nederland. Byrå annonsert sent i fjor indikerer at den til slutt vil dele sine interesser i en russisk og en ikke-russisk del. Taxiselskapet ville da falle i hendene på russerne.

Grunnleggerens Amsterdam-bygning ble okkupert

Yandex har allerede åpent motarbeidet FSB da den ba om brukerdata. Selskapet ble bøtelagt for dette i juni to millioner rubler (rundt € 20 000). På den annen side rapporterte Yandex nesten i sin siste personvernrapport 14 000 forespørsler etter å ha gitt taxidatoer.

Arkady Volozh, grunnlegger av Yandex, trakk seg som administrerende direktør i fjor etter å ha blitt plassert på Europas sanksjonsliste. Bare forrige måned uttalte han seg i klare ordelag mot krigen i Ukraina, som hanbarbarisk« nevnt. Luksusvillaen som Volozj eier i Amsterdams Vondelpark sto ferdig i oktober i fjor sprukket.

Det finske datatilsynet varslet at tiltak mot taxi-appen kun ble midlertidig suspendert. Avhengig av utfallet av den pågående etterforskningen, kan disse tre i kraft neste uke. Forbudet mot dataoverføring til Russland vil gjøre det umulig å bruke den nåværende versjonen av appen.

Yango-svar

Siden vi har hovedkontor i Nederland, er den nederlandske databeskyttelsesmyndigheten (DPA) vår primære databeskyttelsesmyndighet. Vi kommuniserer med vår ledende DPA innenfor rammen av GDPR og relevant lovgivning og gir dem all forespurt informasjon.

Yango overholder fullt ut GDPR databeskyttelseskrav, inkludert med hensyn til dataoverføringer og lagring. I de foregående ukene har vi gitt detaljert juridisk og teknisk informasjon til den nederlandske DPA angående våre databehandlingsstandarder og demonstrert et første veikart for å implementere ytterligere tiltak som integrerer samsvar med regulatorens tilleggskrav.

Hos Yango setter vi alltid brukerne først. Dette har vært vår høyeste prioritet i mange år, og vil alltid være det. Vi vil derfor fortsette å sette de høyeste servicestandardene i vår bransje, samtidig som vi følger beste databeskyttelsespraksis og fremmer et transparent forhold til regulatorer.

Vi har ikke ekspertise til å kommentere offentlig om pågående eller potensielle undersøkelser utført av det nederlandske datatilsynet utenfor omfanget av deres offisielle uttalelser.