Handhaving privacyautoriteiten vs. Google graadmeter voor wat straks online wel en niet mag

De gezamenlijke Europese privcytoezichthouders treden gezamenlijk op tegen Google naar aanleiding van het nieuwe privacybeleid van deze onderneming. Op termijn zou dit kunnen betekenen dat Google dwangsommen of boetes verbeurt. De ontwikkelingen in deze kwestie zijn relevant voor bijna alle aanbieders van online diensten, aangezien in deze kwestie in feite de norm wordt bepaald voor wat er online wel en niet mag gebeuren met persoonsgegevens.

Wat er tot nu toe is gebeurd

Wat is er ook alweer aan de hand? Ongeveer anderhalf jaar geleden heeft Google haar privacybeleid gewijzigd. Direct na lancering van dit nieuwe beleid gingen al stemmen op dat dit nieuwe beleid waarschijnlijk niet aan de privacywet zou voldoen. Enkele weken later kwamen ook de toezichthouders tot die conclusie. In het najaar van 2012 volgenden meer definitieve conclusies van de toezichthouders. Vervolgens ging afgelopen voorjaar de eerste sommatie uit naar Google namens verschillende Europese toezichthouders. Google heeft niet voldaan aan die sommatie.

Hoe gaat het nu verder?

De Franse privacy-autoriteit (CNIL) coordineert de gezamenlijke handhaving door de verschillende Europese privacytoezichthouders. Uit het persbericht van CNIL volgt dat de Franse toezichthouder Google heeft gesommeerd om binnen drie maanden actie te ondernemen. De Italiaanse toezichthouder heeft al een onderzoek gestart en wacht nu op antwoorden van Google. De Spaanse en een van de Duitse toezichthouders heeft formeel een onderzoek naar Google geopend. Door het Nederlandse College Bescherming Persoonsgegevens (CBP) wordt eerst een rapport van voorlopige bevindingen opgemaakt en aan Google om een reactie gevraagd. Naar aanleiding daarvan besluit het CBP vervolgens om al dan niet handhavend op te treden.

Waarom is dit relevant?

Uit het voorgaande volgt dat er in veel landen wel iets gebeurt of zal gaan gebeuren, maar tegelijk wordt duidelijk dat tot nu toe er geen concrete sancties aan Google zijn opgelegd. Het is nog afwachten hoe de zaak verder loopt. Waarom dan toch dit nieuws?

Ondanks het gebrek aan concreet resultaat, is dit nieuws om meerdere redenen interessant:

1. het laat zien hoe versnipperd het huidige Europese privacyrecht nog is en hoe een overkoepelende privacyrichtlijn, ondanks coordinatie middels de artikel 29 werkgroep, in de praktijk leidt tot een heel diffuus beeld van handhaving (de privacyverordening brengt hierin misschien verandering, hoewel het maar afwachten is of die er ook echt komt);


2. het laat ook zien hoe lastig het kan zijn om vanuit Europa handhavend op te treden tegen een Amerikaans bedrijf dat op internet actief is en de diensten ook aanbiedt aan Europese burgers;


3. de uitkomsten van deze procedure zetten waarschijnlijk de toon voor hoe er in de toekomst online met privacy wordt omgegaan: Google heeft er alle belang bij om die privacylat zo laag mogelijk te leggen, terwijl de toezichthouders er alle belang bij hebben die lat juist heel hoog te leggen (zeker bij een voorbeeldcase als deze).

We houden u op de hoogte.