Privacywerkgroep slaat koektrommel dicht op Google’s handen

Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep. Dit samenwerkingsverband van Europese privacytoezichthouders (met de op het OHIM na onwaarschijnlijkste naam voor een overheidsinstelling) heeft een Opinie over zoekmachines en privacy uitgegeven met als doel het verzamelen van persoonsgegevens van Europeanen door Amerikaanse zoekmachines (u mag drie keer raden wie) aan banden te leggen.

Uitgangspunt is dat iemands zoekgeschiedenis (natuurlijk) persoonsgebonden informatie is, en daarmee onderworpen aan de privacywetgeving. Ook als er geen naam aan vast zit: via een cookie of e-mailadres zijn mensen ook te herkennen. En de mogelijkheid dat je een stukje informatie tot iemand kunt herleiden, is genoeg om die informatie tot persoonsgegeven te maken.

Maar hoe kan Europese privacywetgeving nu van toepassing zijn op een Amerikaans bedrijf? Simpel, omdat het bedrijf apparatuur en computersystemen in Europa gebruikt. Een datacentrum in Groningen bijvoorbeeld. Of een cookie op een PC van een Europeaan.

Inderdaad, het plaatsen van een cookie op een Europese PC is genoeg om je aan de Europese wetgeving te binden. Dat concludeerde deze werkgroep al in 2002 maar toen luisterde niemand, dus zegt men het nu nog maar een keer:

The use of cookies and similar software devices by an online service provider can also be seen as the use of equipment in the Member State’s territory, thus invoking that Member State’s data protection law. … [T]he user’s PC can be viewed as equipment in the sense of Article 4 (1) c of Directive 95/46/EC. It is located on the territory of a Member State.

De specifieke regels die zoekmachines vervolgens voor hun kiezen krijgen, zijn niet verrassend: men moet blokkades zoals robots.txt respecteren, duidelijk aangeven welke informatie men verzamelt en deze zo snel mogelijk, maar uiterlijk na zes maanden weer weggooien (waar Google het niet mee eens is). Of anonimiseren, maar dat is een vrijwel onmogelijke opgave. En wie dat wil, kan zoekmachines aanschrijven met een verzoek tot inzage in het over hem opgebouwde profiel.

Wat nog opvalt, is dat het document vooral ingaat op het verzamelen van persoonsgegevens van gebruikers van de dienst (zoekopdrachten en andere informatie over zoekgedrag). Het feit dat bij indexatie van webpagina’s ook persoonsgegevens worden hergepubliceerd en op nieuwe manieren wordt gekoppeld, komt slechts heel kort aan bod. Maar dat is natuurlijk ook een vele malen complexer probleem.

Via Tweakers.

Arnoud

12 reacties

  1. Ik vindt het wel een beetje krom dat de overheid enerzijds verbiedt dat dit soort gegevens langer dan 6 maanden bewaard blijven terwij diezelfde overheid van de providers wil eisen dat gegevens over e-mailverkeer minimaal 18 maanden worden opgeslagen.

  2. Ze zijn op zichzelf niet bindend, jij kunt niet naar de rechter met dit advies. Wel zullen de nationale privacyorganen (zoals bij ons het College Bescherming Persoonsgegevens) dit advies overnemen als zij een uitspraak doen. En het CBP kan boetes opleggen. Als het CBP om advies gevraagd wordt, zullen ze ook alleen maar iets zeggen dat binnen dit advies past.

  3. Erwin heeft ze ook netjes in Google maps aangegeven zie ik 🙂

    Ook al is het advies zelf niet bindend, de (omzetting in Nederlandse wetgeving van) de privacyrichtlijnen is dat wel. Een particuliere belangenorganisatie die opkomt voor privacybescherming kan m.i. bij de rechter vorderen dat Google zich eraan houdt. Als de rechter wil afwijken van de uitleg die de werkgroep geeft aan de privacyrichtlijn, lijkt het mij in de rede te liggen dat de rechter eerst een vraag stelt aan het Hof van Justitie in Luxemburg. De hoogste rechter kan daar vrijwel niet onderuit.

  4. Cookies persoonsgegevens?

    Zou je dat misschien uit kunnen leggen? Naar mijn idee is een cookie een bestandje dat op de computer van de bezoeker staat. Op het moment dat een website deze opvraagt, is het aan de bezoeker of hij de inhoud van dit bestandje naar de website verzend. Dat dit veelal geautomatiseerd wordt dmv een browser, doet er m.i. niet toe.

  5. Een persoonsgegeven is “elk gegeven betreffende een ge?dentificeerde of identificeerbare natuurlijke persoon”. Een cookie bevat een uniek nummer waarmee je elke paginaopvraging van een bepaalde gebruiker kunt volgen. Of er staat je gebruikersnaam en wachtwoord in, of een autorisatiecode waarmee je bij beveiligde pagina’s mag. Hoe dan ook, de inhoud van het cookie is tot een persoon terug te traceren. Jij krijgt andere session cookies dan ik. Daarmee is het een persoonsgegeven.

  6. Dat een cookie geautomatiseerd wordt doorgestuurd maakt een cookie inderdaad niet meer of minder een persoonsgegeven; een met de hand ingevoerd tot een natuurlijk persoon herleidbaar gegeven is ook een persoonsgegeven.

    Maar misschien bedoelt Freeagingme dat een op de computer van de bezoeker opgeslagen cookie zich nog volledig binnen het domein van de gebruiker bevindt? Het is dus alsof de website je een persoonlijk ID toekent, die jij op een stuk papier noteert en bij een volgend bezoek opnieuw mag invoeren. Alleen wordt bij een cookie die ID opgeslagen op de computer van de bezoeker en automatisch doorgestuurd.

    Als je zo’n ID hier in Europa zelf op een stuk papier noteert lijkt dat niet voldoende te zijn om te concluderen dat de website onder de privacywetgeving valt. Valt zo’n site er dan wel onder door het opslaan van een cookie op een Europese PC, die in principe volledig onder controle staat van de gebruiker?

  7. Of in termen van art. 4 lid 1 sub c van Richtlijn 95/46/EG: wie is de verantwoordelijke persoon voor een cookie op je PC. Is dat de beheerder van de website die de cookie heeft geplaatst, of ben jij dat zelf?

  8. Dat is inderdaad wat ik bedoelde (hoewel ik het achteraf gezien inderdaad krom formuleerde).

    “wie is de verantwoordelijke persoon voor een cookie op je PC. Is dat de beheerder van de website die de cookie heeft geplaatst, of ben jij dat zelf?”

    Nu ben ik geen jurist, maar het lijkt mij dat de bezoeker (jij zelf) hiervoor verantwoordelijk bent. Immers, de website biedt jouw een tekstbestandje aan, dat je vrijwillig op je computer zet. Vaak automatiseert de bezoeker dit middels zijn/haar browser, sommige browsers vragen zelfs expleciet of deze cookies moeten worden opgeslagen.

  9. De visie van de Artikel 29-werkgroep (die ik geneigd ben te volgen) is dat het de website is die gebruik maakt van jouw computer om jouw persoonsgegevens te verwerken. Net zoals het klantnummer op jouw Bijenkorfpas in jouw portemonnee zit. Jij werkt dan mee (door de pas bij je te houden) maar de Bijenkorf verwerkt toch echt jouw persoonsgegevens met behulp van die pas. Zelfs als ze alle data op een chip op de pas zouden opslaan.

    Verder wordt er vrijwel altijd data op de server bijgehouden die gekoppeld is aan de informatie uit het cookie. In het cookie staat niet meer dan een nummer, een identifier. Doordat jouw browser elke keer dat cookie meestuurt, kan de server zien dat dit wederom de heer bona fides is en op basis daarvan jouw geschiedenis uit de database op de server halen.

  10. De formulering die Arnoud gebruikt is beter dan de mijne. Als je art. 4 lid 1 sub c goed leest gaat het inderdaad om de vraag of de beheerder van de (Amerikaanse) website “gebruik maakt van” de PC van de gebruiker voor de verwerking van de cookie. (Want buiten kijf staat d?t die beheerder verantwoordelijk is voor de verwerking, die cookies zijn er immers om zijn site beter te laten functioneren.)

    Maar de redenering van de werkgroep uit 2002 volgend komt het ongeveer op hetzelfde neer (par. 3 onder A): “The controller decided to use this equipment for the purpose of processing personal data and (…) several technical operations take place without the control of the data subject. The controller disposes over the user???s equipment (…)”

    Freeagingme heeft m.i. gelijk dat de gebruiker meestal wel degelijk kan verhinderen dat cookies zonder zijn toestemming worden opgeslagen (precies volgens de suggestie van de werkgroep, overigens). Alleen doet vrijwel niemand dat omdat het irritant is om steeds te worden gevraagd.

    Aan de andere kant hoeft het antwoord op de vraag art. 4 lid 1 sub c van toepassing is op cookies op je PC niet noodzakelijk op basis van alleen technische overwegingen te worden gegeven. Wat ook meespeelt is of het doel van de richtlijn wel wordt bereikt als je cookies erbuiten laat, bijvoorbeeld.

    Lijkt me een mooie vraag om eens aan het Hof van Justitie in Luxemburg voor te leggen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.