05/11/2012

Google tweede zit bij onderzoek van EU privacytoezichthouder

103_detail.jpg

Per 1 maart van dit jaar wijzigde Google zijn privacybeleid. Reeds vóór het in voege treden van deze nieuwe regels had Google de wind van voren. Eind februari reeds waarschuwde Groep29 - 

Thans heeft Groep29 haar onderzoek afgerond en haar onderzoeksresultaten aan Google meegedeeld. Groep29 kwam tot de conclusie dat Google op diverse vlakken niet in orde is met de EU-privacyreglementering.de onafhankelijke Europese werkgroep die kwesties op het gebied van de bescherming van persoonsgegevens en privacy behandelt - Google reeds dat zij nieuwe policy in strijd is met de Europese privacyregels. 

Informatie aan gebruikers

De eerste vaststelling van de EU-privacytoezichthouder was dat Google onvolledige informatie geeft aan de gebruikers van haar diensten. In concreto schiet Google tekort inzake de informatieverstrekking m.b.t. de doeleinden van de verwerking en de categoriën van verwerkte gegevens. De door Google omschreven doeleinden en categoriën zijn niet alleen te vaag, maar voldoen bovendien niet aan het proportionaliteitsprincipe. Dit principe inzake verwerking van persoonsgegevens schrijft immers voor dat u slechts die gegevens mag verwerken die daadwerkelijk noodzakelijk zijn voor het beoogde doel. Kortom: Google verzamelt onnodig te veel gegevens en communiceert daarover te weinig.

Daarenboven zijn zogenaamde ‘passive users’ (gebruikers die niet rechtstreeks, via de site(s) van Google gebruik maken van de Google dienstverlening, maar wiens gegevens wel onrechtstreeks worden verwerkt, zoals via Google Analytics of Google+ plugins) veelal niet op de hoogte dat Google hun persoonsgegevens verwerkt. Dit is gelijkaardig aan de problematiek die we kennen inzake Facebook plugins op sites.

Combinatie van persoonsgegevens van verschillende diensten

Een tweede probleem dat Groep29 onderkende was het feit dat Google de persoonsgegevens die het via zijn verschillende diensten verzamelt - bijv. via GMail, Goolge+, Youtube account, enz. - is gaan combineren om één overkoepelend, uitgebreid profiel te gaan opzetten van de gebruiker. De nieuwe privacyregels van Google staan immers toe dat Google alle data van gelijk welke van haar diensten gaat combineren. Van de acht redenen die Google voor deze combinatie van gegevens opgeeft, zijn er volgens Group29 vier niet legitiem...:

More generally and for all purposes, combination of data must respect the principles of proportionality, purpose limitation, data minimization and right to object. Google does not publicly endorse these principles and failed to provide clear and definite answers on these matters: there is no guarantee that only the data necessary to the purpose is combined, information is insufficient (cf. section “Information”) and the current opt-out mechanisms are too complex and ineffective. 

Bewaartermijn persoonsgegevens

Tot slot oordeelt Groep29 dat Google geen afdoende antwoord heeft geformuleerd op haar op haar vraag wat de maximale of gemiddelde bewaartermijn voor de persoonsgegevens die door Google worden verwerkt. Deze vaststelling doet Groep29 er aan twijfelen of de opt-out systemen en verzetsprocedures die google aan zijn gebruikers biedt wel voldoende effectief zijn.

Op naar een tweede zit voor Google?

Naar aanleiding van dit onderzoek heeft Groep29 een aantal specifieke aanbevelingen geformuleerd aan Google om aan de vastgestelde problemen te verhelpen. Deze aanbevelingen hebben betrekking op informatieverstrekking, het toepassen van het proportionaliteitsprincipe, de betwaartermijn en het verkrijgen van toestemming inzake combineren van profielen.

De bal ligt dus in het kamp van Google, en wij volgen alvast deze problematiek verder op.

En hoe verwekt u persoonsgegevens?

De schaal waarop Google persoonsgegevens verwerkt, is natuurlijk niet te vergelijken met de verwerking binnen Belgische KMO's. Evenwel spelen ook bij KMO's de privacyregels een rol: sociale administratie, direct marketing, klantenbeheer, online dienstverlening, enz. zijn immers aan deze regels onderhevig. Daarbij doet u er goed aan om als onderneming minstens uw verplichtingen te kennen en, wanneer nodig, een privacyverklaring te voorzien bij de uitoefening van uw activiteiten.

Vragen inzake de privacyverplichtingen van uw onderneming? Schrijf u dan zeker in voor Breakfast@Bright: Cookies zonder cream.