Europese Privacywaakhond tikt zoekmachines op de vingers
Volgens de Artikel 29 Werkgroep, de Europese koepelorganisatie van de nationale privacytoezichthouders, handelen Google, Microsoft en Yahoo! in strijd met Europese privacyregels. De zoekmachines nemen onvoldoende maatregelen om de zoekgegevens van gebruikers te anonimiseren binnen de gestelde termijn van 6 maanden.
Zoals bekend bevatten zoekgegevens gevoelige persoonlijke informatie. Aan de hand van al je zoekopdrachten laat je als het ware een ‘digital fingerprint‘ achter. Om een idee te krijgen van de hoeveelheid informatie die je blootgeeft via je zoekopdrachten, raden we je aan om een keer de serie korte films “I love Alaska” te bekijken van de Nederlandse filmmakers Sander Plug en Lernery Engelberts. Niet voor niets beschouwt de Werkgroep dit soort gegevens als ‘highly confidential’ .
De eisen (PDF) die de Werkgroep stelt aan de zoekmachines zijn helder: de opgeslagen zoekgegevens moeten na 6 maanden worden verwijderd of volledig worden geanonimiseerd. Daarnaast moet een onafhankelijke auditor erop toezien dat dit ook daadwerkelijk gebeurt.
Met name Google krijgt van de Werkgroep ervan langs (PDF). Niet alleen bewaart Google de niet-geanonimiseerde zoekgegevens te lang (9 maanden), maar zij anonimiseert de gegevens vervolgens onvolledig, waardoor het mogelijk blijft om personen weer te heridentificeren. Ook Microsoft (PDF) en Yahoo! (PDF) blijken nog steeds niet voldoende maatregelen te nemen om te garanderen dat de zoekgegevens van gebruikers binnen 6 maanden volledig worden geanonimiseerd. In 2008 stelde (PDF) de Werkgroep deze strikte eisen al aan zoekmachines.
De Werkgroep pakt het deze keer grondig aan en roept ook de Amerikaanse Federal Trade Commission op om te onderzoeken of het beleid van de zoekmachines op dit gebied niet in strijd is met het Amerikaanse verbod op oneerlijke en misleidende praktijken.
Het signaal van de Werkgroep aan zoekmachines is duidelijk: gedeeltelijke anonimisering is onvoldoende om de privacy van gebruikers te waarborgen, zeker in het licht van de vele mogelijkheden om uit gedeeltelijk geanonimiseerde gegevens gebruikers alsnog te heridentificeren. Zie voor een interessante analyse van dit probleem van heridentificatie van ‘geanonimiseerde’ gegevens een artikel van de Amerikaanse hoogleraar Paul Ohm.