U bent hier: Home > Privacyrecht > Privacybeleid Google moet veranderd volgens Europese toezichthouders
Privacybeleid Google moet veranderd volgens Europese toezichthouders

Privacybeleid Google moet veranderd volgens Europese toezichthouders

Geplaatst door: Mark Jansen op 2012-10-16 thema(s): Privacyrecht

De artikel 29 werkgroep heeft vandaag een (uiterst kritische) brief aan Google verzonden, waarin wordt geconcludeerd dat het onlangs hernieuwde privacybeleid van Google niet voldoet aan de wet. De werkgroep doet in de brief ook enkele concrete aanbevelingen aan Google.

Veranderingen privacybeleid Google per 1 maart 2012

Op 24 janauri 2012 kondigde Google aan per 1 maart 2012 te komen met een nieuw overkoepelend privacybeleid voor alle eigen producten en diensten. Een van de opvallende zaken uit dit nieuwe beleid is dat Google zich het recht toe-eigent om gegevens over het gebruik van al die verschillende diensten met elkaar te combineren. Verder was opvallend dat het privacystatement in zo verregaande mate versimpeld en vereenvoudigd was, dat het welbeschouwd op diverse punten haast nietszeggend was geworden. 

Onderzoek door Europese toezichthouders

Over het nieuwe privacybeleid heb ik me destijds op deze blog en in een interview met Webwereld al kritisch uitgelaten. Ook elders in de samenleving ontstond veel onrust over deze plannen van Google. Het duurde dan ook niet lang voordat de gezamenlijke Europese privacytoezichthouders, verenigd in de artikel 29 werkgroep, aankondigden een onderzoek te doen naar het nieuwe privacybeleid van Google.

Toezichthouders: beleid Google voldoet niet

Het onderzoek van de toezichthouders is onlangs afgerond. De toezichthouders komen tot de conclusie dat het nieuwe beleid van Google niet aan Europese privacyregels voldoet. Deze Europese privacyregels zijn in Nederland overigens goeddeels neergelegd in de Wet bescherming persoonsgegevens.

In grote lijnen formuleert de werkgroep vier kritiekpunten, drie specifiek en een heel algemeen:

  1. Google geeft er geen blijk van basale privacyprincipes te onderschrijven;
  2. Gebruikers worden onvoldoende geinformeerd;
  3. Het combineren van gebruikersgegevens voldoet niet aan de wet;
  4. Er wordt geen informatie gegeven over de opslagtermijn van gegevens.

Ik zal op deze punten hierna kort ingaan.

1. Algemeen: geen blijk van onderschrijven privacyprincipes

Wellicht nog wel het meest pijnlijk is dat de brief ongeveer opent met de mededeling dat Google volgens de toezichthouders niet heeft laten zien de basale uitgangspunten van het privacyrecht te onderschrijven:

In particular, Google’s answers have not demonstrated that your company endorses the key data protection principles of purpose limitation, data quality, data minimization, proportionality and right to object. Indeed, the Privacy policy suggests the absence of any limit concerning the scope of the collection and the potential uses of the personal data.

2. Onvoldoende informeren gebruikers

De artikel 29 werkgroep concludeert dat Google de gebruikers onvoldoende informeert over de doeleinden van de verwerking en de categorieen gegevens die worden verwerkt. Dat deze informatie in het privacystatement had behoren te staan is niet zo verrassend. Het informeren over de doeleinden van de persoonsgegevensverwerking is een verplichting die op grond van artikel 10 lid 2 van de privacyrichtlijn altijd geldt. Informeren over welke (categorieen van) gegevens er worden verwerkt is in de regel noodzakelijk om te kunnen spreken van een zorgvuldige gegevensverwerking en om die reden ook verplicht (artikel 10 lid 3 van de privacyrichtlijn).

De werkgroep wijst er expliciet op dat een privacystatement niet onnodig lang, complex of juridisch georienteerd hoeft te zijn. Tussen de regels door lijkt de werkgroep te zeggen: het streven naar een eenvoudig en leesbaar document als privacystatement is op zichzelf een goed streven (zie in dat kader ook opinie 100 uit 2004 van de werkgroep). Dat streven mag er echter niet toe leiden dat niet meer aan de verplichtingen uit de wet wordt voldaan. De werkgroep staat juist een gelaagde benadering van privacystatements voor, waarbij gebruikers eenvoudig van algemene informatie kunnen doorklikken naar steeds specifiekere informatie over de privacyaspecten van een bepaald product of bepaalde dienst. Hieraan voldoet het statement van Google niet.

3. Combineren van gegevens voldoet niet aan de wet

De artikel 29 werkgroep wijst er op dat het combineren van persoonsgegevens een vorm van verwerken van persoonsgegevens is. Voor iedere verwerking is een grondslag noodzakelijk (artikel 8 Wbp). De wet noemt zes grondslagen, waarvan er bij diensten van bedrijven zoals Google (in de regel) maar drie relevant zijn, namelijk: (1) toestemming, (2) uitvoering overeenkomst en (3) gerechtvaardigd belang.

De werkgroep loopt deze grondslagen heel snel (impliciet, wat tussen de regels door) af:

  1. toestemming: hiervan is geen sprake, Google vraagt niet om toestemming voor de verwerking van persoonsgegevens.
  2. uitvoering overeenkomst: deze grondslag geldt slechts voor zover de gegevensverwerking noodzakelijk is voor het uitvoeren van de overeenkomst. De werkgroep concludeert in vrij algemene, stellige bewoordingen, dat dit nooit het geval kan zijn: “no contract justifies this large combination of data“;
  3. gerechtvaardigd belang: deze grondslag vereist een afweging tussen twee belangen, de grootte van de database van Google brengt mee dat het privacybelang hier zwaarder weegt: “the protection of the individual’s fundamental rights and freedoms overrides Google’s legitimate interests to collect such a large database

Met andere woorden: er is helemaal geen grondslag aanwezig voor het combineren van gebruikersdata. Alleen om deze reden al is hetgeen Google doet in strijd met het privacyrecht.

Verder wijst de werkgroep er op dat zelfs al zou Google om toestemming vragen, dat dan nog steeds geldt dat:

  1. Google niet heeft aangetoond dat het, gelet op de doeleinden, proportioneel is om een dergelijke grote databank aan te leggen (proportionaliteit);
  2. Google zichzelf geen enkele grenzen heeft opgelegd met betrekking tot de gegevensverzameling (noodzakelijkheid);
  3. Google de gebruiker niet in staat stelt om zelf controle te houden over zijn persoonsgegevens.

4. Geen bewaartermijnen

Google heeft niet aan de werkgroep aangegeven hoe lang zij de persoonsgegevens bewaart. De brief maakt niet expliciet duidelijk op grond waarvan Google deze informatie zou behoren te geven, maar ik verwacht dat de toezichthouders de mening zijn toegedaan dat dergelijke informatie in een privacystatement thuishoort op grond van artikel 10 lid 3 van de privacyrichtlijn.

Aanbevelingen aan Google

De werkgroep doet in de brief enkele heel concrete aanbevelingen aan Google. Deze zijn onderverdeeld in aanbevelingen met betrekking tot de informatieverplichtingen en aanbevelingen met betrekking tot het combineren van data. Voor de meeste van deze aanbevelingen geldt dat uit bestaande opinies van de werkgroep wel (in ieder geval in globale zin) kan worden afgeleid, hoe hier volgens de werkgroep concreet aan kan worden voldaan.

Met betrekking tot de informatieverplichtingen adviseert de werkgroep het volgende:

  1. Verschaf de infromatie op een gelaagde manier (opmerking MJ: zie ook opinie 100 en opinie 187 van deze werkgroep);
  2. Ontwikkel interactieve presentaties over de voorwaarden, waar gebruikers eenvoudig doorheen kunnen bladeren;
  3. Geef specifieke aanvullende informatie over het verwerken van persoonsgegevens die een significante impact op de eindgebruiker kan hebben, te weten locatiegegevens, credit card gegevens, device fingerprinting gegevens, telefoongegevens en biometrische gegevens
  4. Pas de informatie aan voor gebruikers van de mobiele versie van de producten;
  5. Zorg ervoor dat passieve gebruikers adequaat worden geinformeerd.

Opvallend aan het tweede punt is dat de werkgroep een nieuwe categorie van persoonsgegevens introduceert. De privacyrichtlijn maakt namelijk alleen onderscheid tussen “gewone” en bijzondere persoonsgegevens. Kennelijk is er ook een soort tussencategorie van persoonsgegevens waar extra zorgvuldig mee moet worden omgesprongen. Tegelijkertijd is dit ook weer niet zo verrassend, want juist aan de verwerking van dit soort gegevens heeft de werkgroep al in diverse opinies aandacht geschonken.

Met betrekking tot het combineren van gegevens adviseert de werkgroep het volgende:

  1. De methode om gebruik te maken van het opt-out recht moet eenvoudiger worden en op een plaats worden aangeboden (opmerking MJ: kennelijk voldoet het Google Dashboard niet);
  2. Maak onderscheid tussen de verschillende doeleinden die er voor het combineren bestaan;
  3. Verkrijg expliciet toestemming voor het combineren van gegevens voor hele bepaalde/specifieke doeleinden ;
  4. Geef gebruikers de mogelijkheid te controleren op welke Google-diensten ze zijn ingelogd
  5. Beperk het combineren van gegevens van passieve (niet-ingelogde) gebruikers;
  6. Vraag geldige toestemming voor cookiegebruik;
  7. Pas de werkwijze die in Duitsland met betrekking tot Google Analytics bestaat in heel Europa toe;

Vervolgstappen

Ik ben erg benieuwd of en zo ja hoe Google op deze aanbevelingen zal reageren. De aanbevelingen voor het combineren van persoonsgegevens zijn namelijk waarschijnlijk stuk voor stuk, althans toch in ieder geval in combinatie, in feite de doodsteek voor het overkoepelende privacyprofiel. Zo is het maar de vraag hoeveel mensen daadwerkelijk toestemming zullen geven voor het verzamelen en combineren van (grote hoeveelheden) persoonsgegevens, wanneer Google hen daadwerkelijk adequaat informeert over wat er nu precies voor welke doeleinden en met welke bewaartermijn wordt verwerkt. En wanneer Google gedwongen zou worden om het inlogproces voor de verschillende diensten weer uit elkaar te trekken, gaat waarschijnlijk een heleboel programmeerwerk (en daarmee geld) van de laatste tijd in een klap verloren.

De status van de brief van de werkgroep is overigens wat onduidelijk. De brief eindigt met een uitnodiging aan Google om te reageren. Gezien de nieuwswaarde van de brief, zal Google dat ook ongetwijfeld wel (al dan niet publiekelijk) doen. Of de verschillende nationale toezichthouders echter voornemens zijn te gaan handhaven, wordt uit de brief niet duidelijk. Mogelijk dat deze brief op Europees niveau dan ook nog een nationaal vervolg krijgt (door bijvoorbeeld een besluit tot handhaving in diverse landen van de EU). We houden u op de hoogte.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Gerelateerde artikelen:
  1. Toezichthouders: nieuwe privacybeleid Google voldoet niet
  2. Google’s nieuwe privacybeleid onderzocht door gezamenlijke Europese privacytoezichthouders
  3. Google vervangt privacybeleid voor verdere opbouw profielen

Gelabeld met:

Disclaimer & privacy statement © Dirkzwager advocaten & notarissen N.V. Alle rechten voorbehouden.
Naar boven scrollen