Privacywaakhond: privacybeleid Google in strijd met Europese regels
Op 16 oktober 2012 maakte de Franse privacywaakhond CNIL bekend dat Googles privacy policy in strijd is met Europese privacyregels. Sinds 1 maart 2012 hanteert Google voor al haar diensten één privacystatement en zijn alle persoonsgegevens van gebruikers van verschillende Googlediensten (Search, Youtube, Gmail, Google Calendar) aan elkaar gekoppeld. Dat heeft tot gevolg dat er uitgebreidere profielen van gebruikers ontstaan. Zoals we in februari al schreven, heeft dat gevolgen voor jouw privacy.
Google zette haar plan om gegevens te gaan combineren in februari gewoon door, ondanks protest vanuit Europa. Volgens Google zou er geen sprake zijn van strijd met EU regelgeving. Dat blijkt nu dus niet te kloppen. Vanmorgen maakte de CNIL (het Franse CBP), dat het onderzoek in opdracht van de andere Europese privacytoezichthouders heeft uitgevoerd, bekend dat het privacybeleid op een aantal punten niet voldoet aan de privacybeginselen. Google wordt verzocht een aantal wijzigingen door te voeren.
In een persconferentie liet de CNIL weten dat het nieuwe privacybeleid te breed is. Google geeft in de eerste plaats niet duidelijk genoeg aan voor welke doelen ze welke gegevens verzamelt zodat gebruikers niet weten waarvoor hun gegevens precies worden gebruikt of hoelang de gegevens worden bewaard. Ook bestempelt CNIL het combineren van verschillende gegevens door Google als ‘excessief’. Google heeft namelijk het recht om vrijwel alle gegevens van gebruikers met elkaar te combineren, zonder dat duidelijk is welke combinaties er met welk doel gemaakt worden. Gebruikers verliezen op die manier de controle over hun gegevens en het ontbreekt aan een goede opt-out mogelijkheid voor gebruikers die niet willen dat hun gegevens worden gecombineerd. Overigens noemde de CNIL de manier waarop Google medewerking aan het onderzoek verleende ‘gemiddeld’. Op veel vragen heeft Google namelijk geen duidelijke antwoorden gegeven.
In haar brief verzoekt de CNIL daarom aan Google om een duidelijker privacybeleid op te stellen. Google moet preciezere informatie geven over welke data ze verzamelt, zeker bij gevoelige gegevens zoals creditcarddata, locatiegegevens en biometrische gegevens. Google moet ook een beter opt-out systeem aanbieden aan klanten die hun gegevens niet gecombineerd willen hebben. Ze moet ook duidelijk maken welke gegevens voor welke doelen worden gecombineerd. Voor een aantal van die doelen zal voorafgaand toestemming moeten worden gevraagd. Google mag je gegevens straks niet meer ongevraagd combineren voor advertentiedoeleinden, om nieuwe diensten te ontwikkelen of bestaande diensten te verbeteren en voor traffic analysis. Dat is een groot verschil met de huidige ‘automatische’ koppeling van gegevens voor die doelen.