NL EN
  • Home»
  • Weblog »
  • Artikel 29 Werkgroep niet blij met het nieuwe privacybeleid van Google

Artikel 29 Werkgroep niet blij met het nieuwe privacybeleid van Google

Vanaf 1 maart 2012 heeft Google een nieuw privacybeleid ingevoerd. Het doel van de wijziging van het privacybeleid is om het privacybeleid van Google simpeler te maken. Google heeft daarom één privacybeleid opgesteld dat voor alle diensten van Google geldt. De grootste verandering in het privacybeleid zelf zit er in dat Google de persoonsgegevens die zij verkrijgt uit haar verschillende diensten met elkaar kan combineren. Dit nieuwe beleid is echter in strijd met de Europese wetgeving voor de verwerking van persoonsgegevens, zo concludeert het onderzoek van de Artikel 29 Werkgroep in haar bevindingen van 16 oktober 2012.

Het onderzoek naar het nieuwe privacybeleid van Google werd gestart in februari dit jaar, onder leiding van de Franse privacytoezichthouder CNIL. De Artikel 29 Werkgroep baarde zich zorgen over de aankomende veranderingen in het privacybeleid van Google. Door de diversiteit aan diensten die Google aanbiedt en de populariteit van de diensten van Google in Europa zou het eventuele niet voldoen aan de Europese regels voor bescherming van persoonsgegevens namelijk grote consequenties kunnen hebben voor burgers van de EU. Tevens verzocht de Artikel 29 Werkgroep Google om met de implementatie van haar nieuwe privacybeleid te wachten totdat het onderzoek is afgerond, maar dit verzoek werd door Google in de wind geslagen.

Het onderzoek van de Artikel 29 Werkgroep is dus recentelijk afgerond en de onderzoeksresultaten zijn gepresenteerd door CNIL. De conclusie van het onderzoek is gelijk aan de eerste bevindingen bij de start van het onderzoek: het nieuwe privacybeleid van Google is in strijd met EU-wetgeving. Drie punten zitten de Artikel 29 Werkgroep dwars aan Googles nieuwe privacybeleid:

1.     De informatievoorziening aan gebruikers van de diensten

2.     Het combineren van de persoonsgegevens

3.     De bewaarperiode van de persoonsgegevens

Informatievoorziening

Google geeft incomplete of onafdoende informatie over de doelen waarvoor en de categorieën van persoonsgegevens die worden verzameld en voldoet daardoor niet aan de informatieverplichtingen van sectie IV van de Richtlijn 95/46/EC, aldus de Artikel 29 Werkgroep.

De doelen worden door Google niet gedetailleerd genoeg omschreven en voldoen niet aan de doelbeperking die nagestreefd dient te worden. Dit wordt op twee manieren door de Werkgroep uitgelegd. Ofwel zijn de beschreven doelen voor de gegevensverwerking de werkelijke doelen van Google, waardoor deze in strijd zijn met artikel 6, sub b van Richtlijn 95/46/EC, ofwel de persoonsgegevens worden door Google voor specifiekere doelen gebruikt, waardoor Google in strijd handelt met de informatieverplichtingen van artikelen 10 en 11 van de Richtlijn 95/46/EC.

Daarnaast zijn ook de categorieën van gegevens die worden verzameld te breed geformuleerd en daarmee dus in strijd met de informatieverplichting, en worden ‘passive users’ (gebruikers die niet rechtstreeks gebruik maken van de diensten van Google, maar waarvan wel gegevens worden verzameld, bijvoorbeeld via Google Analytics) vaak niet geïnformeerd over de verwerking van hun persoonsgegevens door Google.

Combineren van persoonsgegevens

De Artikel 29 Werkgroep overweegt dat Google op veel verschillende manieren persoonsgegevens combineert en de vergaarde informatie lang bewaart (1,5 tot 2 jaar).

Daarnaast onderscheid de Werkgroep 8 doelen voor het combineren van gegevens door Google:

1.     op het verzoek van de gebruiker van de dienst tot combineren van de gegevens;

2.     ten behoeve van een door de gebruiker verzochte dienst, zonder dat die gebruiker dit weet;

3.     voor beveiligingsdoeleinden;

4.     voor productontwikkeling en marketing innovatie;

5.     ten behoeve van een Google Account;

6.     voor reclamedoeleinden;

7.     ten behoeve van analyse;

8.     voor academische studie;

De Artikel 29 Werkgroep stelt vast dat de doelen 2, 4, 6 en 7 geen wettelijke grondslag hebben. Geen van de vier doelen is gebaseerd op toestemming van de gebruiker van de diensten van Google (ook niet bij doel 2, omdat de gebruiker niet op de hoogte is van het combineren van zijn gegevens en van toestemming dus niet gesproken kan worden). Ook kunnen de redelijke belangen van Google geen grondslag bieden, nu deze volgens de Artikel 29 Werkgroep moeten wijken voor de fundamentele belangen van de gebruiker van de dienst.

Daarnaast merkt de Artikel 29 Werkgroep op dat de huidige opt-out mechanismen van Google te ingewikkeld en ineffectief zijn. Daarbij voldoet Google niet aan het vereiste van toestemming van ‘passive users’ voor het gebruik van cookies op third-party websites. Uitzondering hierop vormt Duitsland, daar heeft Google wel extra waarborgen ingebouwd wanneer persoonsgegevens worden gecombineerd ten behoeve van het analyseren van de gegevens.

Bewaartermijn

Tenslotte merkt de Artikel 29 Werkgroep op dat Google niet heeft kunnen antwoorden op de vraag wat de maximum of een gemiddelde bewaartermijn is van persoonsgegevens die door Google worden verwerkt. Hierdoor twijfelt de Werkgroep aan de effectiviteit van de opt-out mechanismen en verzoeken om verwijdering van gegevens door gebruikers van de diensten.

Aanbevelingen

De Artikel 29 Werkgroep voorziet Google vervolgens van uitgebreide en specifieke aanbevelingen om te voldoen aan de geldende wet- en regelgeving. Samengevat komen de aanbevelingen hierop neer:

-       Google moet de informatie aan gebruikers van zijn diensten aanvullen zodat deze in detail voor elke verwerking informeren over doelen van de verwerking en de verzamelde gegevens, op een duidelijke en heldere wijze en in lijn met de regels van proportionaliteit en minimale gegevensverzameling;

-       Google moet de opt-out mechanismen verbeteren en vereenvoudigen alsmede alle informatievoorziening toegankelijker maken voor de gebruikers van de diensten;

-       Google moet het gebruik van cookies aanpassen aan de hand van noodzakelijkheid van de cookie en waar nodig toestemming verkrijgen;

-       Google moet, waar vereist, toestemming verkrijgen van de gebruikers van de dienst voor het combineren van de gegevens;

-       Google moet gebruikers controle geven over op welke diensten zij wensen ingelogd te zijn;

-       Google moet de waarborgen, zoals geïmplementeerd in Duitsland, uitbreiden over heel Europa;

-       Google moet de bewaartermijn duidelijker definiëren.

Ook andere privacytoezichthouders hebben zich achter het onderzoek van de Artikel 29 Werkgroep geschaard. Echter de privacytoezichthouder van de Verenigde Staten, de Federal Trade Commission, heeft in te kennen gegeven het onderzoek en de aanbevelingen van de Artikel 29 Werkgroep niet te steunen.

De zet is nu aan Google, in haar brief van 16 oktober verzoekt de Artikel 29 Werkgroep Google om bij CNIL aan te geven op welke wijze en binnen welk tijdsbestek Google haar privacy policy en haar praktijk zal updaten om de aanbevelingen van de Artikel 29 Werkgroep te implementeren.

BRON: webwereld.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.