Privacyfittie: Google versus de Europese Commissie

google-privacy.pngDit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (“People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” – de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

21 reacties

  1. Ik ben het op veel vlakken met je eens. Google heeft zo wel heel veel data en zegt heel zwart/wit dat je maar op moet rotten als je het niets vind. Ergens vindt ik dat nergens op slaan, maar aan de andere kant…ik wil persoonlijk mijn data best inleveren voor het gbruik van de veelal gratis diensten. Punt 1 komt dan wel om de hoek kijken. Ik zou bereid zijn te betalen voor een dienst zonder alle data zaken en dergelijke. Het nadeel hiervan is echter dat diensten niet meer zo zullen toegepast op jezelf…in het geval van ads zie ik liever een advertentie die mij daadwerkelijk aanspreekt, dan oninteressante rommel.

    Wat ik wel raar vindt is dat iedereen nu begint te roepen tegen het oh zo evil Google. Naar mijn idee zijn ze ongeveer de enigste die enige transparantie hierin geven aan de gebruiker! Dus naar mijn idee zijn ze met punt 2 al de goede richting ingeslagen…maar dat kan en moet natuurlijk veel beter!

    Dat geldt trouwens ook voor punt 3. Inzage in de data die je als gebruiker genereert en hebt. Voor een deel doen ze dit al met je eigen data via de Google TakeOut, maar dat zijn nog niet alle diensten. Dit wordt langzaam uitgebreid, wat ik ook positief vindt, maar de data die je zelf als gebruiker niet ziet….die zou ik daar erg graag ook willen kunnen downloaden / bekijken. Een soort download van het Google Dashboard, dat dat al voor een groot deel doet.

    Punt 4 is een aardige sanctie om op te leggen. Dat kan flink oplopen in de kosten!

  2. Naar aanleiding van het nieuwe beleid van Google heb ik vorige week mijn oude Google account opgeheven. (De Gmail die er bij hoorde gebruikte ik al niet meer.) Ik gebruikte de account ook nog voor 2 andere dingen: een Recaptcha account (irritant dat die ook door Google overgenomen is) en voor het bekijken van een afgeschermd blog bij Blogger. Voor beide heb ik onafhankelijke nieuwe accounts aangemaakt die ik verder niet voor andere zaken gebruik (en waar ik ook niet ingelogd blijft). Google cookies worden niet bewaard na de sessie. En met NoScript en Ghostery blokkeer ik de meeste scripts van (o.a.) Google. Zeker Google Analytics e.d.

    Op die manier kan je aardig wat tegenhouden denk ik.

  3. Arnoud,

    ben het met je eens dat het geen verbetering is, die nieuwe privacyregels van Google. En ja, ik krijg ook op willekeurige adressen die mail van Google…zelfs 1x op een adres waarvan ik zeker weet dat ik de enige ben die dat emailadres kent, en het wordt ook maar heel spaarzaam gebruikt!

    Maar jouw voorstel is niet werkbaar denk ik:

    3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt; 4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

    Geloof dat Facebook al tegen punt (3) geageerd heeft omdat dat onder bedrijfsgeheim zou vallen (hoe je daar conclusies uit trekt). Kan ik mij hoe vervelend ook wel in vinden. Algoritmes worden steeds belangrijker voor bedrijven. Google’s ranking mechanisme voor zoekresultaten is daar een prima voorbeeld van. Vooral jouw laatste punt, dat iedere burger geld krijgt voor foutieve conclusies is onwerkbaar. Gevolg zal zijn dat veel burgers herhaaldelijk een informatieverzoek doen, deze gegevens doorspitten en bij iedere foute comma claimen dat het niet klopt en hij/zij dus ??? 150,- krijgt. Ik denk dat die customer service afdeling dan snel groter zal worden dan de juridische afdeling van Google 😀 Zie een heel nieuw beroep hierdoor ontstaan…hoe zou dat beroep moeten heten?

  4. @A de Haan: het is de bedóeling dat iedereen gaat pluizen door voorwaarden en teksten om fouten eruit te halen. Dat gaat namelijk veel sneller dan dat je toezichthouders dat laat doen, waarna de boetes in de staatskas verdwijnen. En zo is dus ook de boel veel sneller op orde.

  5. @6: dat het sneller is om gebruikers door voorwaarden te laten ploeteren om fouten er uit te halen (probleem: zijn ‘fout’ en ‘niet gewenst’ hier hetzelfde?) snap ik. Maar ik dacht dat je bedoelde dat gebruikers ook door de verzamelde data en daaruit gegenereerde gegevens konden snuffelen en bij iedere foute conclusie konden claimen. Fouten in verzamelde gegevens zouden nooit tot een schadeclaim kunnen leiden omdat situaties nu eenmaal veranderen; als ik nu een relatie heb, en Google registreert dat omdat dat op bijvoorbeeld Google+ staat, wil niet zeggen dat ik dat over een half jaar nog heb. Ik kan dan niet claimen dat het een fout is en ik geld moet hebben; hoogstens dat Google die data aanpast of verwijderd. Fouten daarentegen in beredeneerde of gegenereerde gegevens zouden mijns inziens dus wel kunnen leiden tot een claim. Al heb je wel te maken met belangenverstrengeling: ik kan claimen dat conclusies fout zijn, maar ik kan zelf die conclusies beïnvloeden door ergens anders data van/over mij aan te passen…

  6. Dat er uiteindelijk door die nieuwe privacyregels niets verandert, mag geen verrassing heten.

    En wat Google betreft… hun verdienmodel = advertenties. Als zij de keuze geven: je gegevens worden verzameld of je betaalt voor de diensten, dan kiest elke doorsnee internetter blind voor het verzamelen van gegevens. Ik betwijfel dus of het echt een probleem is dat ze vanalles opslaan…

  7. Ik had eerst zoiets van ik ga weg bij google en neem net als vroeger gewoon weer een eigen mail server op mijn eigen domein. (Ik gebruik nu google aps voor het hosten van de mail op mijn eigen domein)

    Maar uiteindelijk kom ik tot de conclusie dat het me voor veel zaken niet echt uitmaakt. En daar waar ik niet wil dat google te veel over me weet, gebruik ik geen google e-mail adres, maar een adres waarvan google niet weet dat het van mij is.

    Ik denk dat dit google beleid voor mij vooral betekent dat ik een opt out doe voor alles waar dat mogelijk is en dat ik wat extra e-mail adressen bij een andere provider aan maak voor de zaken die ik privé wil houden, zoals commentaren op politieke blogs.

  8. @Bas: is dat zo? Op zich zou ik best voor een aantal services die ik gebruik willen betalen mits ze kunnen garanderen dat ze mijn gegevens niet opslaan/bijhouden wat ik doe e.d. Die garantie kunnen (en willen) ze m.i. toch nooit geven.

  9. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn

    Google heeft al issues met de antitrust autoriteiten in de EU. Zich hard opstellen tov de EU kan leiden tot gigantische boetes.

  10. Kan leiden tot gigantische boetes ja, maar kan ook leiden tot dat google europa in de blocklist zet. Dan maar eens zien of Europa googleloos kan/wil. Ik denk dat het dus uiteindelijk wel mee zal vallen met die boetes…

  11. Hoe moet er omgegaan worden met diensten waar de persoon wiens gegevens zijn opgeslagen niet voor heeft gekozen? Bijvoorbeeld: * ik bezoek een website waar Google ads op staan. Google kan nu zien dat ik die site op een bepaald moment bezocht heb. * ik wissel e-mails uit met iemand die een Gmail-account heeft. Google kan nu ook mijn e-mails zien. * iemand anders zet informatie over mij op Facebook, terwijl ik zelf niet eens een Facebook-account heb. Daarbij heb ik niet de mogelijkheid tot opt-out gekregen.

    Bij punt 1 schrijf je trouwens “tegen betaling”. Dat is interessant, want je kunt bijna nergens anoniem elektronisch betalen. Als je aan je privacy hecht, en dus anoniem wilt blijven, dan is die betaling toch juist een grote hindernis?

    Verder vind ik je regels wel OK. Misschien kunnen ze ook buiten het internet toegepast worden. Ik wil graag met het OV kunnen reizen zonder dat er allemaal camera’s op mij gericht staan. Ik ben bereid om daar extra voor te betalen.

  12. Hoe moet er omgegaan worden met diensten waar de persoon wiens gegevens zijn opgeslagen niet voor heeft gekozen? Bijvoorbeeld: * ik bezoek een website waar Google ads op staan. Google kan nu zien dat ik die site op een bepaald moment bezocht heb. * ik wissel e-mails uit met iemand die een Gmail-account heeft. Google kan nu ook mijn e-mails zien. * iemand anders zet informatie over mij op Facebook, terwijl ik zelf niet eens een Facebook-account heb. Daarbij heb ik niet de mogelijkheid tot opt-out gekregen.

    Bij punt 1 schrijf je trouwens “tegen betaling”. Dat is interessant, want je kunt bijna nergens anoniem elektronisch betalen. Als je aan je privacy hecht, en dus anoniem wilt blijven, dan is die betaling toch juist een grote hindernis?

    Verder vind ik je regels wel OK. Misschien kunnen ze ook buiten het internet toegepast worden. Ik wil graag met het OV kunnen reizen zonder dat er allemaal camera’s op mij gericht staan. Ik ben bereid om daar extra voor te betalen.

  13. Inmiddels 12 mails gehad van Google over het wijzigen van de Privacy Policy, en inderdaad ook op vage emailadressen.

    Ik zit helaas grondig aan Google vast, in ieder geval met Gmail, en in mindere mate Google Talk.

    Voor Gmail heb ik Mozilla Thunderbird geïnstalleerd en voor Google Talk het gratis Pidgeon. Ik log niet meer in op Google services via de browser, of als het echt moet gebruik daar een aparte browser voor.

    Mijn grootste probleem met de wijzigingen is dat ik de context mis waarin ik mijn informatie deel. Ik deel bijvoorbeeld informatie met Google via m’n mail, die nu mogelijk gebruikt gaat worden als ik aan het Youtuben ben. Uiteindelijk wordt natuurlijk al deze informatie geconsolideerd, het liefst onder mijn echte naam (real-name policy).

    In deze paper van een Nederlandse student: http://papers.ssrn.com/sol3/papers.cfm?abstractid=1717563 (Facebook Tracks and Traces Everyone: Like This!) komt het trefwoord “contextual integrity” voor. Dit trefwoord refereerd aan een paper uit 2004 http://papers.ssrn.com/sol3/papers.cfm?abstractid=534622 (Privacy as Contextual Integrity) die zegt:

    “Contextual integrity ties adequate protection for privacy to norms of specific contexts, demanding that information gathering and dissemination be appropriate to that context and obey the governing norms of distribution within it.”

    Daar zit bij mij de crux van de nieuwe privacy policy regeling van Google. Ik wil geen informatie delen met Google talk als ik inlog op mn Gmail. Ik wil rare filmpjes op Youtube kunnen bekijken zonder dat dit in een profiel komt, waarmee mijn zoekresultaten worden gepersonaliseerd. Chatten, surfen, delen, zoeken, videos bekijken – voor mij zijn dit compleet andere contexten. Voor Google is dit één dienst.

    Ik hoop dat daar nog wat sterker op ingezet wordt. Die “contextuele integriteit” is voor mij het belangrijkste.

    Nu het tweeten van grappig bedoelde opmerkingen of “slang” als terroristisch kan worden opgevat (“Destroy America”), is het gevaar mij te groot. Google valt onder de Amerikaanse Patriot Act. Google is ook de enige die like/share knoppen via een normale link onmogelijk maakt. Om met Google+ mee te doen moet je javascript op je pagina plaatsen die externe resources laad. Hiermee geef je dus ook je klikgedrag door aan Google, weer in een andere context. (Bovendien staat het plaatsen van een G+ knop op je site gelijk aan een directive aan Google om die site te indexeren. Ofwel: G+ knop gaat voor robots.txt of noindex).

    hAl zegt: Onzin. Dat zou leiden tot miljarden claims van hun adverteerders en een run naar concurrenten.

    http://www.denieuwereporter.nl/2011/07/google-versus-belgische-kranten-websites-niet-langer-vindbaar-via-zoekmachine/

    De Franstalige en Duitstalige kranten in België hebben het verbruid bij Google, ze zijn niet langer vindbaar via de zoekmachine. […] de vereniging van Frans- en Duitstalige krantenuitgevers van België, liet weten dat Google niet het recht had om zomaar krantenberichten op te nemen in Google News. In 2007 kregen de kranten in een kort geding gelijk van de rechter en dat besluit werd in mei 2011 bekrachtigd door het hof van beroep van Brussel. Gisteren volgde de reactie van Google: niet alleen wordt de content van de betreffende kranten verwijderd uit Google News, ook zal niets van deze kranten nog vindbaar zijn via de Googlezoekmachine.
    Deze “strong-arm” tactics worden ogenschijnlijk ook gebruikt voor andere partijen die niet willen meewerken met Google, zoals bv Yelp.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.