Gisteren publiceerde de Nederlandse toezichthouder op het gebied van privacy, de CBP, haar bevindingen naar aanleiding van het onderzoek naar het nieuwe privacybeleid van Google. Aanleiding voor het onderzoek waren de wijzigingen in het privacybeleid van Google per 1 maart 2012 met als belangrijkste wijziging dat Google de gebruikersdata van zijn verschillende diensten zou gaan samenvoegen tot één profiel per gebruiker.

Het grootste deel van de conclusies komt overeen met eerdere bevindingen uit de onderzoeken van bijvoorbeeld het CNIL. Het onderzoek betrof dan ook een Europees gecoordineerde actie tussen meerdere DPA’s zoals de eerder genoemde CNIL, de ICO, het CBP en de AEPD.

Kort de belangrijkste conslusies op een rij:

Google verzamelt persoonsgegevens van drie soorten gebruikers: geauthenticeerde gebruikers d.m.v. een Google account, niet geauthenticeerde gebruikers die de diensten van Google gebruiken, andere gebruikers die via derden cookies van Google op hun pc krijgen (denk aan Google Analytics)
De doeleinden waarvoor Google de gegevens verzamelt en verwerkt zijn niet voldoende specifiek en worden daarom niet voor grechtvaardigde doeleinden verzameld
Google voldoet niet aan de kennisgevingsplicht, noch voor geauthenticeerde gebruikers, noch andere soorten gebruikers
Er is geen sprake van ondubbelzinnige toestemming van de gebruikers, waarbij de CBP specifiek aangeeft dat de algemene acceptering van de gebruiksvoorwaarden niet genoeg is om gezien te worden als ondubbelzinnige toestemming
Ook concludeert het CBP dat door de aard van de gegevens, de diversiteit van de diensten, het ontbreken van adequate en specifieke informatie en effectieve opt-outmogelijkheden het gerechtvaardigd belang van Google niet opweegt tegen het recht van betrokkenen op bescherming van hun persoonsgegevens en persoonlijke levenssfeer (van alle drie soorten gebruikers).
De conclusies van het CBP zijn niet schokkend en bouwen grotendeels voort op eerder verschene rapporten van andere DPA’s. Wat echter ook interessant is, is de opgenomen zienswijze van Google. Een aantal van de aangehaalde punten zijn zeker niet zonder meer van tafel te vegen. De belangrijkste tegenwerpingen van Google op een rij:

Google Nederland niet de verantwoordelijke voor de gegevensverwerking

Google betoogt dat niet Google Nederland maar Google Inc (gevestigd in Californie, VS) de diensten aanbiedt en dat gebruikers een overeenkomst aangaan met Google Inc. Google Nederland is ook geen nationale vertegenwoordiger voor Google Inc.

Identificatie van gebruikers

Met betrekking tot niet geauthenticeerde gebruikers en gebruikers die in aanraking komen met cookies van Google op sites van derden beargumenteert Google dat zij geen reeel methodes heeft om deze gebruikers persoonlijk te identificeren. Er is dan ook geen sprake van persoonsgegevens.

Het nieuwe privacybeleid bevat wel degelijk voldoende details en informatie

Aangezien Google zeer uiteenlopende diensten aanbiedt en het privacybeleid moet gelden voor een grote groep gebruikers is het onvermijdelijk dat vaak woorden zoals “kan” gebruikt worden. Daarnaast is het privacybeleid niet onnodig ingewikkeld of juridisch geformuleerd en zijn termen zoals IMEI, MAC adressen en UUID bewust weggelaten aangezien de grote groep gebruikers niet bekend is met deze termen.

Google betoogt ook dat een privacybeleid niet specifiek moet omschrijven wat men niet zal doen en hoeft niet aan te geven wat eventuele toekomstige verwerkingen kunnen zijn. E.e.a. is geciteerd uit de opinie van de Art 29 Werkgroep over doelbinding. Verder geeft Google aan dat het niet zo is dat waneer men iets niet specifiek uitsluit in het privacybeleid dat men dit in de toekomst dan gaat doen.

Wel degelijk toestemming betrokkenen en grond voor verwerking

Geauthenticeerde gebruikers hebben allen de Servicevoorwaarden en het privacybeleid geaccepteerd voor men de diensten van Google kan gebruiken. Niet geauthenticeerde gebruikers geven impliciet (maar wel ondubbelzinnig) toestemming door de diensten van Google te blijven gebruiken. Met betrekking tot cookies voldoet de site van Google aan alle voorwaarden, sites van derden zijn zelf verantwoordelijk voor de manier waarop zij diensten zoals Google Analytics inzetten op basis van de contractuele afspraken van deze derden met Google.

Google geeft ook aan dat haar gerechtvaardigd belang de fundamentele rechten van gebruikers niet schaadt: alle tools zijn beschikbaar voor gebruikers om hun rechten uit te oefenen. Tot slot heeft Google een contractuele verbinding om de gegevens van gebruikers te verwerken: zonder deze verwerkingen kunnen de contractueel vastgelegde diensten niet geleverd worden.

Het volledige rapport van de CBP is hier terug te lezen en de moeite waard. In het bijzonder aangezien de grondslag van de bevindingen gebaseerd is op de Europese richtlijn 95/46/EG wat de genoemde bevindingen voor een groot deel relevant maakt voor alle EU landen, mits vertaald naar de nationale privacywet.