Google verdedigt nieuw privacybeleid: specifieke vragen, algemene antwoorden
We schreven al eerder over het onderzoek dat het Franse CBP (CNIL) is gestart vanwege het nieuwe privacybeleid van Google dat in strijd met Europees recht zou zijn. Op 16 maart heeft de CNIL Google 69 vragen gesteld waarin ze Google verzoekt om tekst en uitleg over de wijzigingen. Aan de hand van de antwoorden van Google zal de CNIL kunnen beoordelen of de voorwaarden inderdaad niet aan de wet voldoen. Inmiddels heeft Google de eerste 24 vragen van de CNIL beantwoord.
De eerste vragen van de CNIL gaan over de informatie aan gebruikers en de reacties op de wijzigingen. Opvallend is dat Google niet kan aangeven hoeveel klachten ze heeft ontvangen van gebruikers naar aanleiding van het nieuwe beleid, en ook niet hoeveel unieke bezoekers de ‘privacy main page’ hebben bezocht waar het nieuwe beleid werd aangekondigd.
Verder valt op dat een belangrijk deel van de antwoorden erg algemeen is. Google kan niet specifiek aangeven welke gebruikersgegevens worden verwerkt voor welke doelen. Ze gebruikt het grootste deel van de gebruikersgegevens naar eigen zeggen ‘voor het verlenen en verbeteren van de diensten’. Het is de vraag of de CNIL veel wijzer wordt van dit antwoord, en of zulke brede omschrijvingen van ‘gebruiksdoelen’ zijn toegestaan. Ook Googles uitleg over de manier waarop gegevens worden geanonimiseerd of gepseudonimiseerd geeft weinig concrete informatie. Niet duidelijk wordt wanneer deze technieken worden toegepast (‘where appropriate’) en of er na het toepassen van één of meer van de technieken nog sprake is van persoonsgegevens. Waar Google wordt gevraagd hoe ze toestemming (‘opt-in consent’) van haar gebruikers gaat vragen, luidt het antwoord simpelweg dat dat afhangt van het product of de dienst, en dat daar nu nog niets over gezegd kan worden.
De CNIL vraagt verder of het feit dat je als gebruiker niet kunt ontkomen aan het combineren van je gegevens door Google een ‘vermindering van je privacyrechten’ inhoudt. Volgens Google is dat niet het geval, omdat je als gebruiker ‘choice and control’ hebt over de manier waarop je gegevens worden verzameld en verwerkt. Die keuzes blijven gewoon behouden, aldus Google. Deze redenering is niet juist: de mogelijkheid om af te zien van het combineren van je gegevens verdwijnt immers. Het feit dat informatie standaard met alle diensten en voor alle doelen gedeeld wordt is al een beperking van de rechten van gebruikers – of die beperking nou wel of niet is toegestaan.
Google verwacht de rest van de vragen van de CNIL voor 15 april te kunnen beantwoorden. Die vragen gaan ondermeer over de juridische grondslag waarop Google data verzamelt en combineert, het gebruik van cookies, mobiele data en toestemming – de interessante dingen dus. Wordt vervolgd!