Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

| AE 11507 | Ondernemingsvrijheid, Privacy | 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van een bevel van de Franse toezichthouder dat Google wereldwijd zoekresultaten op persoonsnaam moet opschonen als naar Europees recht die resultaten verouderde of irrelevante informatie bevatten. Dat bevel gaat te ver – maar vooral omdat de Europese wetgever niet heeft gedurfd het vergeetrecht wereldwijd in te voeren.

Het zogeheten “recht te worden vergeten” staat natuurlijk in de AVG (artikel 17) maar is in 2014 al ingevoerd als brede uitleg van de oude privacyregels. Het komt erop neer dat je als persoon zeggenschap hebt over wat Google over je meldt als mensen op je naam zoeken, in die zin dat verouderde en irrelevante informatie buiten beeld moet blijven. Die is immers niet meer relevant vandaag de dag, maar kan je privacy raken doordat oude dingen je nagedragen blijven worden. En daarbij wint de privacy dan in beginsel boven het recht van Google om als bedrijf informatie te mogen ontsluiten.

Google volgde dit arrest maar zocht vanaf het begin de grenzen op. Eentje daarvan was dat de te vergeten resultaten alleen buiten beeld bleven in de zoekinterface met Europese domeinnamen (dus niet de .com). De Franse CNIL legde een bevel op dat dit te weinig was, en dat Google eigenlijk ongeacht locatie van de zoeker tot blokkade moet overgaan, omdat je anders triviaal dat vergeetrecht kunt schenden. (Google had overigens in de tussentijd IP-geolocatie ingevoerd, zodat het niet meer uitmaakte welke extensie je zoekinterface had. Je moet dus een niet-Europees IP-adres hebben om nog om de zoekbeperking heen te komen.)

De vraag kwam natuurlijk bij het Hof van Justitie. Dat oordeelt dat het vergeetrecht weliswaar uit het grondrecht tot bescherming van persoonsgegevens volgt, maar wel in balans moet staan met andere grondrechten, in dit geval de vrijheid van informatie van internetgebruikers wereldwijd. Die vrijheid kan aanzienlijk variëren; lang niet alle landen kennen iets als ons vergeetrecht. En dan gaat het wel heel ver om nu te zeggen, die grondrechten elders moeten maar wijken voor onze grondrechten.

Het kán wel, het Hof laat nadrukkelijk de optie open dat Europa wereldwijd bescherming van grondrechten afdwingt. Alleen, dat is wel iets dat de Uniewetgever dan expliciet moet regelen. Niets in de AVG suggereert dat ze dit hebben willen doen, terwijl er wel andere dingen in staan voor bedrijven buiten de EU. Dus kennelijk heeft de wetgever dat niet aangedurfd of niet gewild. En als dat zo is, dan moet de rechter natuurlijk niet alsnog die regel zelf op gaan leggen.

Het Hof laat wel een gaatje open: Europese landen mogen zelf aanvullende regels stellen over hoe om te gaan met informatievrijheid versus privacy, en het is daarin mogelijk om een regel in te voeren die gaat over wereldwijd vergeten van zoekresultaten. Dat is dan wel legaal, omdat een land er dan over nagedacht heeft en in een wetsartikel heeft vastgelegd wat de belangenafweging en motivatie dan moet zijn.

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

| AE 11061 | Privacy | 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud

Mag Google Spotify (en alleen Spotify) in haar Android Klok stoppen?

| AE 10755 | Informatiemaatschappij | 11 reacties

De Klok-applicatie van Android, die gebruikt kan worden om wekkers te zetten, krijgt Spotify-integratie. Dat meldde Tweakers vorige week. De integratie maakt het mogelijk om muzieknummers of afspeellijsten van de streamingdienst als wekker te gebruiken. Andere diensten (zoals Deezer) komen er niet in, wat in de comments de vraag opriep of dat wel mag van… Lees verder

Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Security | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon… Lees verder

Googles gebruik van de Java API is nu toch weer geen fair use

| AE 10509 | Intellectuele rechten | 13 reacties

Googles gebruik van de Java API packages is geen fair use, las ik bij ITenRecht. Dit is de vierde stap in hoger beroep van de Google/Oracle rechtszaak over auteursrecht op de Java API die al enige jaren loopt. In eerste instantie bleek de API niet beschermd, in hoger beroep wel, toen bleek Googles gebruik een… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder

Nee, googelen is niet hetzelfde als zoeken op internet

| AE 9455 | Ondernemingsvrijheid | 41 reacties

Het merk “Google” mag gewoon blijven bestaan, las ik bij Ars Technica. In een rechtszaak tegen een domeinnaamhouder met 763 Google-gerelateerde domeinen werd het verweer gevoerd dat “Google” een generieke term was geworden voor “zoeken op internet”, zodat het geen geldig merk meer kan zijn. Maar de rechtbank in hoger beroep verwierp het verweer: ondanks… Lees verder