Privacyvoorwaarden Google in strijd met de wet

privacy-statement.jpgHet combineren van persoonsgegevens door Google sinds de invoering van hun herziene privacyvoorwaarden is in strijd met de Nederlandse privacywet, de Wbp. Dat concludeerde privacytoezichthouder Cbp vorige week. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. En nee, in je privacyverklaring zeggen dat je iets doet is niet hetzelfde als “informeren en toestemming vragen”.

Het grote probleem met de sinds juni 2012 samengevoegde privacyverklaring is dat ‘ie veel te vaag is. Dat hebben alle sites, en het is ergens ook logisch want je kunt moeilijk tot in detail uitleggen wat je allemaal precies doet. Laat staan op een manier die iedereen begrijpt en op een moment dat het niemand ook maar één iota interesseert wat je allemaal doet. Het fundamentele probleem met de privacywet is dan ook de gedachte “leg het mensen uit en dan kunnen ze een geïnformeerde vrijwillige toestemming geven of weigeren, waarmee er geen probleem meer kan zijn”.

Bijzonder puntje bij Google is dat in hun privacyverklaring heel vaak het woord ‘kan’ valt. Ze zeggen daarover zelf:

Dat Google vaak woorden gebruikt als ‘kan’ is onvermijdelijk, omdat daadwerkelijke verwerking afhankelijk is van meerdere factoren, zoals of de gebruiker een bepaalde Google-dienst gebruikt.

Dat geloof ik graag maar het kán (haha) natuurlijk ook betekenen dat Google diverse varianten en invullingen gaat geven die heel anders kunnen (haha) werken of uitpakken dan de gebruiker verwacht. En dat is nou net niet de bedoeling van de Wbp: je moet niet zeggen wat er kán gebeuren maar wat er zál gebeuren. Specifiek, en in voldoende detail om mijn moeder te laten begrijpen wat dat inhoudt. En wat je niet uitlegt dat mag je niet doen. Nee, dat doet niemand en mijn moeder wíl dat ook helemaal niet lezen. Die wil gewoon dat Google zich netjes gedraagt.

Ook het verweer van Google dat zij geen persoonsgegevens verzamelen, wordt afgewezen. Google maakt profielen en voegt informatie samen. Zodra je genoeg informatie in een profiel hebt om één persoon uniek te onderscheiden van andere personen, is dat profiel een persoonsgegeven. Het doet er niet toe of ze weten hoe je heet, waar je woont of wat je e-mailadres is. Oh wacht:

We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Een quote van Google-directeur Schmidt, met ambtelijk sarcasme geciteerd in het Cbp rapport. Google weet alles van ons, zo zeggen ze zelf. Dús weten ze onze persoonsgegevens.

Ja mooi. Maar eh je geeft toch toestemming voor al dat verwerken door Google te gebruiken? Dat staat overal in de privacyvoorwaarden en in van die handige wegklikbalkjes. Maar nee, dat is niet het soort toestemming dat de privacywet op het oog heeft. Je moet het apart vragen en je moet op antwoord wachten. En eigenlijk ook een ‘nee’ als antwoord accepteren, als ik dit goed lees:

Weliswaar kan ondubbelzinnige toestemming ook verkregen worden uit een actieve handeling, maar alleen als de gebruiker een (vrije, specifieke en geïnformeerde) keuze heeft kunnen maken om in te stemmen of te weigeren, en dat is niet het geval. Google verkrijgt evenmin ondubbelzinnige toestemming via aanvaarding van haar servicevoorwaarden of het gebruik blijven maken van haar open diensten.

“Hoi wij gaan cookies zetten en u tracken, dat vindt u goed anders moet u deze site maar verlaten” en een ok-knop is dus géén toestemming. Dat wordt dus een leuke bij dat cookiewetswijzigingsvoorstel.

Sluit je dan misschien een contract met Google door hun site te gebruiken? Immers je mag persoonsgegevens gebruiken voor een goede uitvoering daarvan. Nou, niet voor mensen die gewoon langssurfen en de zoekmachine gebruiken. Die wéten niet eens dat ze een overeenkomst sluiten, laat staan onder de Servicevoorwaarden. Dus nee, een linkje onderaan met je algemene voorwaarden (of disclaimer, for that matter) gaat je dus niet helpen.

Plus, zelfs al bouw je een constructie waarbij je wél mensen bindt aan een overeenkomst en rechtsgeldig de voorwaarden elektronisch ter hand stelt, dan nog mag je die persoonsgegevens alleen gebruiken als dat noodzakelijk is voor die overeenkomst. Dus daarmee krijg je echt niet al dat geprofileer en getarget gerechtvaardigd.

De eigen dringende noodzaak gaat hem ook niet worden: waar dat bij Street View nog de escape, hier niet want alles werkt met cookies en daar had je nou eenmaal toestemming voor nodig.

Maar stel ze gaan naar een cookieloos Google, dan nog: je moet dan wel, ahem, een dringende noodzaak hebben. En wat is die noodzaak dan om Youtube en Google en al die andere diensten te bundelen en één profiel op te bouwen? Ja, dat je gericht kunt adverteren maar daarbij zul je echt meer rekening moeten houden met de privacy. En dat is dan niet alleen een opt-out per dienst of het aanreiken van tools, maar een eigen afweging of het nou echt wel nodig is om zo diep inbreuk te maken op de privacy van zoekers, Mappers en andere Googledienstgebruikers.

Uiteraard herkent Google zich niet in de kritiek en wordt een stofwolk aan marketingpraat (verwijzen naar vage Europese regels, spreken van gebruikerservaring, het woord ‘engageren’) gebruikt om om het punt heen te dansen. En het zal bij dansen blijven: ik zie niet hoe het Cbp effectief een maatregel kan opleggen die erg genoeg is om Google fundamenteel anders te laten werken. Wat jammer is, want dit is een van de stevigste rapporten die ons Cbp in lange tijd heeft opgesteld.

Arnoud

33 reacties

  1. Dat Google vaak woorden gebruikt als ‘kan’ is onvermijdelijk, omdat daadwerkelijke verwerking afhankelijk is van meerdere factoren, zoals of de gebruiker een bepaalde Google-dienst gebruikt.
    Ze hadden in plaats van “kan” ook makkelijk “indien, dan” kunnen gebruiken. Dus onvermijdelijk is het zeker niet.

  2. Vanuit juridisch oogpunt kan (haha) ik je benadering onderschrijven Arnoud. Maar het echte probleem is niet zo eenzijdig. Een belangrijke factor vormt het gedrag van de gebruikers, de betrokkenen. Die denken nog in de zin van de wetgever, maar in de zin van gratis. Zij gebruiken privacy als betaalmiddel en dat hebben ze onvoldoende door. Sterker nog, als een dienst als Whatsapp straks nog geen euro per jaar gaat vragen voor haar service, steekt op internet en in sociale media een storm van protest op. En dat terwijl men die dienst de hele dag door gebruikt. Het wordt tijd dat men zich gaat realiseren dat je weer moet betalen voor producten en diensten. Dan is jouw geld van invloed bij het sluiten van de overeenkomst en heb je meer invloed op de geleverde dienst, o.a. of je jouw gegevens wilt verstrekken. Als een leverancier te veel gegevens vraagt of verwerkt, dan ga je naar een andere leverancier. Dat bevordert hopelijk ook wat differentiatie in het aanbod. Want het vendor locked in probleem van Google, Facebook, Whatsapp is enorm. Stap maar eens over naar een andere aanbieder van vergelijkbare diensten, heb je opeens geen ‘vrienden’ meer… 😉 Keihard optreden vanuit de toezichthouders is één ding, maar mensen overtuigen van het feit dat privacy geen betaalmiddel zou moeten zijn is in deze tijd van gratis een hele andere opgave. NSA en AIVD vinden we in de politiek en de krant verschrikkelijk, maar er komt niet echt een volksoproer op gang merk ik.

    1. Want het vendor locked in probleem van Google, Facebook, Whatsapp is enorm. Stap maar eens over naar een andere aanbieder van vergelijkbare diensten, heb je opeens geen ‘vrienden’ meer… 😉

      Met die vendor lock-in valt het behoorlijk mee. Ja, iedereen gebruikt dezelfde dienst maar gaan ook als sprinkhanen naar “the next hip thing”. Hyves had ook een enorme ‘lock-in’ met 7 miljoen gebruikers maar dat was snel afgelopen; Myspace idem, en Facebook loopt bij de jongere generaties ook alweer terug. Zodra je moeder ook op een medium zit is het ten dode opgeschreven 😉

      1. Ha Thijs, dat ben ik met je eens. Ik denk ook dat Facebook zal verdwijnen en een nieuw ding zonder je moeder en in sommige gevallen zelfs je oma komt daarvoor in de plaats. Maar het probleem blijft nog wel bestaan als men bij ’the next hip thing’ hetzelfde gedrag vertoont. Want de kans is zeer aannemelijk dat the next hip thing ook weer gratis zal zijn, doordat het groeit uit een klein idee en op een bepaald moment commerciëler en commerciëler wordt door data te bundelen en te verkopen, zeker als het naar de beurs gaat.

        Wat nu als we eens werken met een sociaal netwerk waar je gewoon voor betaalt, dat niet al je data bij elkaar grabbelt en waar je niet wordt doodgegooid met reclame. Als dat normaal is, dan vindt een massa mensen het opeens ‘niet’ normaal meer dat hun gegevens worden gebruikt.

        Er zijn al van dat soort initiatieven, helaas zijn die nog niet ’the next hip thing’.

        1. Volgens mij is zo’n sociaal netwerk alleen leuk ALS ze je privacy schenden. Waarom? Omdat juist door het analyseren van mijn gedrag, likes, vrienden etc, mijn timeline gevuld kan worden met interessante posts. Als Facebook niet zo analyseren en zomaar alle updates van mijn 250 vrienden zou posten, dan is er geen bijhouden meer aan. Dat algoritme wordt dus niet alleen gebruikt voor advertenties, maar ook voor zaken die je wel graag wil dat een sociaal netwerk doet. Verder worden die gegevens natuurlijk gebruikt om suggesties te doen welke vrienden ik allemaal nog wil hebben. Facebook had laatst zelfs bedacht op welke school ik heb gezeten en wilde dat ik dat zou bevestigen. Eng, of een leuke feature waarmee ik oude klasgenoten leer kennen?

          Voor veel mensen zijn die privacyschendende features een handigheid, en zou Facebook (of welke andere dienst dan ook) veel minder aantrekkelijk zijn.

          Of moeten we weer terug naar banners voor de hoogste bieder?

          1. Bart, de WBP staat vrijwel alle gegevensverwerking toe als de persoon daarvoor expliciet toestemming gegeven heeft. Een sociaal netwerk kan een “knop” aanbieden die zegt “zoek naar oude schoolvrienden” en dan mag dat netwerk jouw gegevens daarvoor gebruiken. Maar als ik niet gevonden wil worden door de pestkoppen van mijn oude school heeft het netwerk daar ook rekening mee te houden. Privacy is de controle hebben over hoe jouw persoonlijke gegevens gebruikt worden.

          2. Tot op zekere hoogte ben ik het met je eens. Als je Facebook ziet als een kunstmatig intelligente entiteit die je helpt je sociale leven te beheren dan is het natuurlijk heel mooi dat hij op allerhande manieren achterhaald wat interessant is voor jou. Op een soort dwangneurotische, obsessieve, stalkende manier. Maar dan had ik liever gehad dat deze AI niet ook tegelijkertijd je elke seconde nieuwe schoenen probeert te verkopen.

  3. Dit is een zaak die interessante jurisprudentie kan scheppen. Wat Google doet is vrij gebruikelijk voor Amerikaanse internetbedrijven en als Google hier een serieuze schrobbering krijgt dan zullen een heleboel bedrijven (Microsoft(Bing), Apple, Yahoo) hun processen moeten aanpassen. En die aanpassing zal voor de advertentienetwerken heel pijnlijk zijn, want de waarde die zij “toevoegen” ligt voornamelijk in de database die zij opgebouwd hebben over de ontvangers van hun advertenties. En ik zie niet veel mensen vrijwillig cookies en advertenties van een advertentienetwerk accepteren.

  4. Ik wou dat ik advocaat was, dan ging ik hetzelfde doen als stichting Brein met the pirate bay. Google als illegale internetsite laten blokkeren door de providers, dan is er nog hoop voor deze wereld 😉

  5. Het lijkt me ook dat het CPB moet eisen niet alleen aanpassing moet eisen van de manier waarop Google gegevens verzamelt maar ook dat alle onrechtmatig verzamelde profiel gegevens van inwoners van nederland alsnog gewist moeten worden.

  6. Ik ben benieuwd welke stappen het Cbp denkt te kunnen ondernemen tegen Google. Het hoofdkwartier staat immers in de USA en als de wetgever het hen te lastig is dan stoppen ze gewoon om zich specifiek op het Europese publiek te richten. De markt op het Amerikaanse continent in Asie is ook groot genoeg. Daarnaast kunnen Europeanen dan nog steeds Google benaderen, maar door het ontbreken van Europese hoofdkwartieren zal het best lastig worden om Google goed aan te pakken. Economisch gezien zou een dergelijke aanpak ongewenst zijn.

    Daarnaast levert Google ook diverse betaalde services waarvoor de gebruikers dus akkoord moeten gaan met deze voorwaarden. De extra cloudruimte voor je bestanden in de Google Cloud, Google Apps en diverse andere diensten vereisen dat je akkoord gaat (en betaalt) voordat Google je persoonsgegevens verder gaat verwerken.

    Maar wat ik opvallender vind is dat Google -als searchengine- enorm veel prive-informatie kan vinden op het Internet en dit alles verzamelt. Okay, Jan Jansen zal redelijk anoniem zijn, maar Arnoud Engelfriet zal hier al zijn (online) activiteiten snel terugzien. LinkedIn, Wikipedia, zijn eigen sites, rechten.vu.nl en ruim 100.000 andere sites. Nu is Arnoud ook erg aktief op het Internet maar Google geeft ons allen inzicht in zijn prive-gegevens. En op WebMii staat ook verzamelde informatie over Arnoud (en over veel anderen) en ook dat kan als privacy-schending worden gezien. Toch doen dit soort sites niet veel meer dan het verzamelen van gegevens die vrijelijk op Internet te vinden zijn. Is wat WebMii doet niet vrijwel even schadelijk als wat de Google search-engine doet?

    1. Ik ben benieuwd welke stappen het Cbp denkt te kunnen ondernemen tegen Google.

      Het CBP kan boetes opleggen en als Google weigert die boetes te betalen dan kunnen ze beslag laten leggen op bezittingen in Nederland van Google. Bijvoorbeeld het Nederlandse domein google.nl

      Eventueel in theorie kan het CBP als Google dan nog weigert te betalen naar een rechter stappen en vragen om Google.com te laten blokkeren maar of dat kans van slagen heeft weet ik niet. Maar Brein kan het dus waarom het CBP niet.

      1. google.nl is voornamelijk een handigheidje, niet iets noodzakelijks. Google.com is bekend genoeg. Het zal even voor wat lichte irritatie bij de gebruikers richting het CPB zorgen maar meer niet. Maar als je alle ISP’s gaat dwingen googlediensten te blocken denk ik dat de eerste stap zal moeten zijn het kantoor van het CPB naar een legerbasis of zo te verhuizen en het personeel 24×7 zal moeten beschermen. Voor veel mensen zijn de diensten van google (en facebook) essentiële onderdelen van hun dagelijks leven.

      2. Tja, google.com blokkeren simpelweg omdat ze een boete niet betalen? Ik denk dat half Nederland dan gaat protesteren tegen deze vorm van censuur. De andere helft doet wat de Chinezen doen en gaan het TOR netwerk op om de blokkades te omzeilen. Daarnaast heeft Nederland heel wat uit te leggen als ze een dergelijke blokkade uitvoeren. Immers, wat Google doet is legaal in de USA. Daarnaast, boetes? Hoe hoog kunnen die uiteindelijk worden? Google kan sowieso een blikje advocaten opentrekken en er een langslepend proces van maken, met behoorlijk wat negatieve publiciteit voor Nederland betreffende het Internet-klimaat. En als die boetes oplopen tot enkele miljoenen dan heeft Google daar alsnog niet veel problemen mee, na een lange rechtzaak. Vergeet niet dat Google sowieso al enorm veel informatie heeft, waaronder informatie die wij in Nederland mogelijk stil willen houden. De Googlebot vindt vrijwel alles dat in verbinding staat met het Internet dus daar kan materiaal tussen zitten wat voor diverse bedrijven in Nederland erg onvoordelig kan zijn als het uitlekt. En dat uitlekken kan natuurlijk via-via, zodat we niet kunnen bewijzen dat het van Google komt. Google heeft een database van 20 jaar Internet, op zijn minst. Wil je daar wat tegen doen dan is het bombarderen van hun serverpark eigenlijk de enige oplossing. Alleen worden dan de Amerikanen boos. 😉 Sowieso zijn de diensten van Google voor enorm veel mensen extreem belangrijk voor hun dagelijkse werk. Google maps voor routeplanners, Google mail voor enorme mailboxen, google Drive voor backup van data, Google Translate voor vertalingen, Blogger, Android en ga zo maar door. Google is enorm groot en het Cbp vindt dat vervelend omdat Google zo enorm veel informatie over iedereen kan verzamelen. Een blokkade van Google betekent sowieso het verbannen van ALLE Android telefoons. Daar gaat het Cbp echt niet aan beginnen. Dan maar gedogen…

    1. Hoezo niet de lusten? Ze hebben die maps toch op hun site staan? En waarom zouden ze niet ook de lasten dragen, nu is het wel de lusten en niet de lasten. PS. Wat is die site trouwens slecht berekend op kleurenblinden. In het dagelijks leven nauwelijks last van, maar deze site kan ik niet goed bekijken.

  7. Is het niet voor Google dringende noodzaak om op deze manier om te gaan met privacy omdat ze anders gewoonweg niet gratis kunnen bestaan? Ze zijn gratis doordat ze zoveel van iedereen weten en dat kunnen gebruiken voor adverteerders en een beter product. Als ze niet zoveel over jou zouden opslaan, zouden ze niet gratis kunnen zijn. Dus het is voor Google een keuze: óf gratis en zoveel opslaan, óf niet gratis. Zij hebben voor de eerste optie gekozen en doordat jij gebruik maakt van hun, ga je daarmee akkoord.

    1. Is het niet voor Google dringende noodzaak om op deze manier om te gaan met privacy omdat ze anders gewoonweg niet gratis kunnen bestaan?
      Google en internetadvertenties bestonden ook al voordat adverteerders van iedereen gegevens gingen verzamelen en combineren in profielen.

      Misschien worden ze iets minder winstgevend als ze hun reclames met minder privacyschending moeten aanleveren maar hogere winsten voor Google lijken me geen argument om privacyschendingen te gedogen.

    2. Is het niet voor Google dringende noodzaak om op deze manier om te gaan met privacy omdat ze anders gewoonweg niet gratis kunnen bestaan?

      Is het niet noodzaak voor een kinderporno leverancier om met zijn gore poten aan kinderen te komen anders heeft hij niets te verkopen? Moet Google maar een ander businessmodel vinden ipv zich met digitale mensenhandel bezig te houden…. Ik zou ook wel ak-47’s willen verkopen in nederland maar dat mag nou eenmaal niet vinden we met zijn allen.

  8. Die cookie-wet is bout. Je kan getracked worden via URL parameters, included resources (zoals Google+ knop en Youtube embeds) en serverloganalyse.

    Als Google geen cookie meer mag zetten (en ze hebben hier vast een noodplan voor) dan nog diezelfde dag krijgen we de ellenlange zoekresultaat URL’s overal en gaan de serverlog parsers overuren draaien.

    Elke website slaat standaard uw IP op in het serverlog. Volgens CPB was alleen melden dat je een serverlog bijhoud genoeg om daar statistiek op te plegen.

    En ik zelf denk dat een “Nee” betekend: Log niet in op Google services. Je mag recommendations plaatsen voor je website shop gebruikers (gebaseerd op persoonsgegevens als voorgaande aankopen en locatie), mits deze zijn ingelogd en OK zijn gegaan met de voorwaarden. Waarom mag Google dan niet haar ingelogde gebruikers tracken? Een programma als Google Now, wat werkelijk alles van je weet, word vrijwillig gestart door gebruikers. Dus ja, ik zie een account aanmaken en ingelogd surfen als een contract aangaan met Google.

    1. Het antwoord is simpel: door niet in te loggen op google services. Combineer daarbij met iets als NoScript of een andere mooie browser extensie. Vink in je browser aan dat je geen 3rd-party cookies wilt. Etcetera. Je kunt beargumenteren dat men (Google e.d.) je privacy moet respecteren, maar het feit is nou eenmaal dat ze dat niet doen. Je moet dus je privacy in eigen hand nemen en er zelf voor zorgen dat je je beschermt. Helaas zorgt dat er wel voor dat privacy iets is/wordt voor de technisch onderlegden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.