Een van de opvallende punten uit het nieuwe beleid is dat Google zich het recht toe-eigent om gegevens over het gebruik van verschillende Google producten, zonder voorafgaande toestemming, met elkaar te combineren. Met andere woorden: de filmpjes die u bekijkt op YouTube kunnen straks van invloed zijn op de zoekresultaten in Google(met mogelijk genante gevolgen richting huisgenoten).
Vanuit het perspectief van Google is deze keuze begrijpelijk. Het stelt Google immers in staat om een uitgebreider profiel op te bouwen van haar gebruikers en zo advertenties te tonen die waarschijnlijk beter aansluiten bij de interesses van haar gebruikers (en daarmee de clicktrough rate verhogen).
Google beweert dat gebruikers hierdoor een betere internetbeleving voorgeschoteld krijgen.
Na verloop van tijd kunt u betere zoekresultaten, advertenties en andere inhoud verwachten wanneer u services van Google gebruikt.
Het is maar de vraag of gebruikers hier op zitten te wachten. Iedere Google-gebruiker krijgt straks immers straks zogenaamde "persoonlijke" zoekresultaten gepresenteerd, dus een soort afgeschermd eigen sub-internet. Diverse auteurs en filosofen, zoals Morozov in onder meer het boek "the Net Delusion", laten de gevaren van een dergelijke ontwikkeling zien.
Welke gegevens nu precies gecombineerd worden blijft bovendien nogal onduidelijk. Het nieuwe beleid bevat hierover slechts de volgende passage.
We kunnen persoonlijke gegevens uit een bepaalde service combineren met gegevens uit andere Google-services, waaronder persoonlijke gegevens, zodat u bijvoorbeeld gemakkelijker dingen kunt delen met mensen die u kent.
Deze passage is kritisch beschouwd nagenoeg nietszeggend (let op de woorden kunnen, waaronder, bijvoorbeeld). Google lijkt in essentie te willen zeggen: wij combineren alle gegevens die we hebben naar eigen believen.
Iedereen met een Google-account krijgt met het nieuwe privacybeleid te maken (zoals gebruikers van GMail, mensen met een gebruikersnaam op YouTube, etc.). In de veelgestelde vragen maakt Google duidelijk dat wie niet akkoord gaat met het nieuwe privacybeleid, geen andere keuze heeft dan zijn account te sluiten:
Als u services van Google blijft gebruiken na 1 maart, doet u dit conform het nieuwe Privacybeleid en de nieuwe Servicevoorwaarden. Als u uw Google-account liever wilt sluiten, kunt u de instructies in ons Helpcentrum volgen. We blijven ons inzetten voor gegevensbevrijding, dus als u uw gegevens ergens anders naartoe wilt brengen, is dat mogelijk.
Grondslag aanwezig voor al die combinaties?
Vanuit juridische optiek kan hierover, bij eerste beschouwing, in ieder geval het volgende worden opgemerkt (*). Het combineren van persoonsgegevens is een verwerking van persoonsgegevens in de zin van de Wet bescherming persoonsgegevens. Dit brengt met zich mee dat voor het maken van die combinatie in ieder geval een grondslag in de zin van artikel 8 Wbp aan te wijzen moet zijn.
Het is mij niet helemaal duidelijk op welke grondslag Google zich in haar nieuwe privacystatement beroept. De twee mogelijke grondslagen in dit verband zijn ofwel ondubbelzinnige toestemming (sub a), ofwel het gerechtvaardigd belang van Google (sub f).
Voor wat betreft toestemming geldt dat (samengevat) alleen van geldige toestemming sprake kan zijn als sprake is van informed consent. In de opinie van 13 juli 2011 benadrukken de gezamenlijke privacytoezichthouders onder meer dat de gebruiker moet begrijpen waarvoor hij nu eigenlijk toestemming geeft:
uit de formulering van de toestemming moet duidelijk zijn dat de betrokkene precies op de hoogte is van de reikwijdte en de gevolgen van de gegevensverwerking waarvoor hij zijn toestemming geeft
Het is maar de vraag of de gemiddelde gebruiker van Google zich beseft (a) dat zijn gegevens worden gecombineerd en (b) tot welk een gigantisch profiel dat potentieel kan leiden. Dergelijke profielen kunnen zeer privacygevoelige informatie bevatten, zoals ook de AOL-case in 2006 heeft laten zien. Het is daarmee ook de vraag of van rechtsgeldige toesteming wel sprake kan zijn. Zie in dat kader ook de privacytoezichthouders in voornoemde opinie:
Hoe complexer een gegevensverwerking, hoe meer mag worden geëist van de voor de verwerking verantwoordelijke. Hoe moeilijker het voor de gemiddelde burger wordt om alle elementen van een gegevensverwerking te overzien en begrijpen, hoe groter de inspanningsverplichting voor de voor de verwerking verantwoordelijke zou moeten zijn om aan te tonen dat de toestemming is verkregen op basis van specifieke en begrijpelijke informatie.
Mocht Google zich beroepen op het gerechtvaardigd belang voor het combineren van al deze persoonsgegevens, dan val het volgende op. Een bedrijfsbelang, waaronder een marketingbelang (zoals hier met name speelt), geeft op zichzelf in de regel een gerechtvaardigd belang om persoonsgegevens te verwerken. De vraag is wel of die verwerking voldoet aan eisen van proportionaliteit en subsidiariteit (zie ook de Memorie van Toelichting bij de Wbp). Er zijn, gezien de enorme schaal waarop Google gegevens verzamelt, serieuze vraagtekens bij plaatsen of de verwerking in dit geval aan die eisen voldoet.
De vraag is bovendien ook of de belangen van de betrokkene in een specifieke situatie niet prevaleren. Google heeft na verloop van tijd een (zeer) omvangrijk profiel van iemand opgebouwd. Mogelijk dat alleen al vanwege de omvang van het profiel, al dan niet in combinatie met het feit dat uit onder meer zoekgedrag en gebruiken van andere diensten van Google zeer persoonlijke gegevens zijn te destilleren (waaronder bijvoorbeeld medische gegevens, daarvoor is een mailtje versturen met GMail over een ziekte aan een vriend al voldoende...), moet worden geconcludeerd dat de belangen van de betrokkene bij de betreffende verwerking prevaleren.
Strijd met verkrijgingsdoel?
Verder kan het volgende worden opgemerkt. Op grond van artikel 9 Wbp mogen persoonsgegevens niet worden gebruikt voor een doeleinde dat onverenigbaar is met het doel waarvoor de gegevens zijn verkregen. Het is onduidelijk of Google vanaf 1 maart 2012 ook in het verleden verzamelde gegevens gaat gebruiken voor het op te stellen profiel. Het ligt wel voor de hand dat Google hiervoor kiest (ze gooit ongetwijfeld niet de data verzameld voor 1 maart 2012 allemaal weg). Dat betekent wel dat kritisch getoetst zal moeten worden of het combineren van de data te verenigen is met het doel waarvoor de gegevens oorspronkelijk verzameld zijn. Dat zal mogelijk verschillen voor de verschillende diensten van Google. Voor dit moment voert het te ver dit nader te analyseren.
Andere opvallende punten
Op grond van de Wbp heeft iedereen inzagerecht: een bedrijf of instelling die persoonsgegevens verwerkt moet binnen 4 weken desgevraagd een volledig overzicht geven van alle verwerkte persoonsgegevens. Ook bestaat het recht te verzoeken gegevens te verwijderen of te corrigeren (het verwijder- en correctierecht is niet absoluut, de verantwoordelijke moet na ontvangst van een dergelijk verzoek een beslissing nemen).
Google merkt hierover het volgende op in het nieuwe privacybeleid:
Wanneer u onze services gebruikt, proberen we u toegang te geven tot uw persoonlijke gegevens. Als die gegevens onjuist zijn, proberen we u te voorzien van manieren om deze gegevens snel bij te werken of te verwijderen, tenzij we die gegevens moeten bewaren voor legitieme zakelijke of juridische doeleinden. Wanneer u uw persoonlijke gegevens bijwerkt, kunnen we u vragen uw identiteit te verifiëren voordat we uw verzoek kunnen verwerken.
Google lijkt hiermee het inzage-, correctie- en verwijderingsrecht te beperken. Volgens Google bestaat er namelijk geen inzagerecht, maar hoeft Google slechts te "proberen" om toegang te geven tot de eigen gegevens. Ook opvallend is dat voor wat betreft het correctie- enverwijderrecht Google lijkt te stellen dat haar belangen altijd voorgaan op die van de betrokkene. Ze geeft immers aan de gegevens te zullen bewaren voor "zakelijke doeleinden". Wat die doeleinden precies zijn is niet duidelijk, maar het lijkt er op dat hier al haar bedrijfsbelangen mee worden bedoeld (waaronder dus profielen bouwen).
Tot zover enkele eerste opmerkingen over dit hele actuele nieuws. Volgens nu.nl zijn de eerste kamervragen al gesteld, dus dit wordt ongetwijfeld vervolgd....
(*)NB. Het kader dat ik hier heb geschetst is gebaseerd op de Nederlandse Wet bescherming persoonsgegevens. Uiteraard is de voorvraag of deze Nederlandse wet op (een deel van) de activiteiten van Google van toepassing is en zo ja, in welke mate. Het hier geschetste kader zal in de andere landen van de Europese Unie (als het goed is) echter niet wezenlijk anders zijn, nu alle landen van de Europese Unie hun privacyrecht op de privacyrichtlijn moeten hebben gebaseerd.
