Google beslissing CBP: vaag privacybeleid niet voldoende
Het College bescherming persoonsgegevens (Cbp) heeft vandaag de resultaten bekend gemaakt van een langlopend onderzoek naar Google. Conclusie: Google’s privacybeleid is in strijd met een heel aantal belangrijke onderdelen van het Nederlands privacyrecht.
Bijna twee jaar geleden schreven we voor het eerst over Googles nieuwe privacybeleid dat per 1 maart 2012 is gaan gelden. Op basis van dat beleid knoopt Google al jouw gegevens over het gebruik van haar diensten aan elkaar – en combineert dat nog eens met de gegevens die ze over je verzamelt door je bezoek aan websites die Google Analytics gebruiken.
Voordat het privacybeleid in werking trad waarschuwde het CBP al dat het in strijd was met de wet. Daar trok Google zich niets van aan. Sindsdien zijn er in Nederland en in andere Europese landen onderzoeken gedaan naar het beleid van Google en werd al in Frankrijk vastgesteld dat het beleid op de schop moet. De uitkomst van dit onderzoek is op zich dus niet heel verrassend.
Wel opvallend is dat het onderzoek behoorlijk stevige conclusies bevat. Volgens het Cbp handelt Google in strijd met een aantal belangrijke bepalingen uit het Nederlandse privacyrecht. Het onderzoek maakt onderscheid tussen verschillende typen gebruikers: ingelogde Google gebruikers, niet-ingelogde gebruikers en passieve gebruikers, waarvan gegevens worden verzameld doordat ze websites gebruiken die Google Analytics cookies plaatsen. Voor alle gebruikers geldt dat Google gegevens verzamelt voor te vage en algemene doelen en zonder dat ze daar een wettelijke basis (grondslag) voor heeft. Ook het ‘gerechtvaardigd belang’, een grondslag waarop veel bedrijven zich beroepen als ze geen toestemming willen of kunnen vragen voor het gebruik van je gegevens, is volgens het Cbp geen geldige basis.
En nu?
Het Cbp heeft Google inmiddels uitgenodigd voor een hoorzitting. Naar aanleiding daarvan zal worden beslist hoe het Cbp de Nederlandse wet gaat handhaven (zoals destijds met Google Streetview). Het Cbp kan geen boete opleggen, maar wel een last onder dwangsom, wat inhoudt dat Google een bedrag moet betalen voor iedere dag dat ze (nog) niet aan de wet voldoet.
De onderzoeksresultaten maken daarnaast nogmaals heel duidelijk dat de Nederlandse (en Europese) privacywet sterk verschilt van het Amerikaanse systeem, waarin Google haar roots heeft. Het hoarden (verzamelen en gebruiken) van grote hoeveelheden persoonlijke gegevens zonder goede reden is hier verboden. Om dat zo te houden moeten onze Europese politici zich inzetten voor een sterk Europees privacyrecht.