Oordeel CBP raakt alle cookiegebruik

‘Google is illegaal’

Ontbrekende of veel te vage duiding van grootscheepse koppeling van persoonsgegevens voor verschillende doeleinden komt Google op harde veroordeling te staan. Die, wat betreft cookies, het hele bedrijfsleven raakt. Effectvol of een wassen neus?

De noeste arbeid van het College is neergelegd in CBP bekendgemaakt, inclusief de uitgebreide bevindingen plus bijlage van 43 pagina’s.

Het onderzoek heeft ruim een jaar moeten duren. Het CBP werkt zeer nauwgezet, op grond van een draak van wetgeving, met zeer uitgebreide en daardoor moeilijk te doorgronden oordelen tot gevolg. Hoofdzaak: Google’s datahonger betekent ‘een grote inbreuk op de persoonlijke levenssfeer van de betrokken gebruikers’. Immers, vaak gaat het om gevoelige gegevens zoals betalingsinformatie, locaties en surfgedrag over meerdere websites. Dataverzameling van heel verschillende functies zoals zoeken, mailen, filmpjes kijken en locaties opzoeken leidden tot één grote persoonlijke databerg van de gebruiker.

En ook: “het is voor een Nederlandse internetter in de praktijk bijna onmogelijk om geen interactie aan te gaan met Google, ook zonder Google account aan te maken (hetzij via Search, YouTube of Maps), dan wel passief via websites van derde partijen via de DoubleClick- en/of Analytic-cookies.”

Media slaan niet aan

Het College is doorgaans niet van de ‘sweeping statements’ en dat is jammer. Hoewel het persbericht toch helder dit meldt: ““Google spint een onzichtbaar web van onze persoonsgegevens, zonder onze toestemming. En dat is bij wet verboden”, aldus CBP-voorzitter Jacob Kohnstamm.”

Het oordeel dat een bedrijf waar vrijwel alle Nederlanders dagelijks intensief gebruik van maken illegaal opereert zou opening krant kunnen zijn. Maar de Volkskrant heeft het bericht over Google onderop pagina 10 geplaatst. Vakpublicaties nemen niet de moeite om het hele oordeel te lezen. Ligt dat aan de media of aan het College?

Dat het College niet direct de schijnwerper zet, - of durft te zetten – op haar oordeel over het vragen van toestemming voor cookiegebruik is jammer. Immers, dit oordeel raakt alle organisaties die afgelopen tijd met een vinkje toestemming verkregen. Dat zou illegaal zijn. Hoe zit het? Voor snel commentaar is het CBP ook niet bereikbaar, wat ook niet echt helpt als je als club aandacht wenst voor je werk.  

Je kunt overigens ook de mening toegedaan zijn dat het CBP zich wel heel gedetailleerd bemoeit met een markt die dergelijke zaken zelf zou kunnen en moeten regelen. Maar dat stelselmatig nalaat.

Overtredingen

Eerst geven we de conclusie van alle overtredingen van ‘Google Inc. Google Netherlands B.V.’

* Er zijn vier doeleinden onderzocht waarvoor Google gegevens combineert:

1. personalisatie van gevraagde diensten

2. productontwikkeling;

3. gepersonaliseerde advertenties;

4 website analyse

Drie soorten gebruikers:

1. Ingelogd met een Google account

2. Niet-geauthenticeerde gebruikers (die

3. die websites bezoeken van derde partijen met Google-cookies.

Overtredingen:

1. Google maakt niet goed duidelijk waarvoor ze data verzamelt. Dat is in strijd met artikel 7 van de privacywet Wbp;

2. Google geeft geen goede redenen (‘grondslag’) voor de gegevensverwerkingen voor de onderzochte vier doeleinden. Ook dit is in strijd met artikel 7;

3. Google maakt zich niet goed kenbaar als baas van YouTube, geeft beroerde informatie en verzamelt in feite stiekem data voor andere Google diensten;  overtreding artikel 33 en 34 van de Wbp;

4. Google informeert niet goed wat ze met data doet die gebruikers zelf verstrekken, bijvoorbeeld voor Google account, voor gebruik van Search  of bij een filmpje uploaden naar YouTube; overtreding artikel 33

5. Idem dito voor gegevens die Google niet rechtstreeks van gebruikers krijgt, zoals verzameling van data bij gebruik van Google-diensten en bezoek aan websites van derde partijen die cookies plaatsen van  DoubleClick- en Analytics

6. Google verkrijgt geen ‘ondubbelzinnige toestemming’ (opt-in) om met tracking cookies data te verzamelen, noch op eigen websites noch met cookies op sites van derden; overtreding artikel 11.7 Telecomwet en overtreding Privacywet)

Toestemming cookies illegaalverkregen

Dat laatste oordeel is brisant, omdat het alle organisaties in Nederland raakt die zich afgelopen jaar toestemming toe eigenden voor het plaatsen van cookies door louter mede te delen dat die gebruikt worden.

Het CBP veroordeelt Google – en daarmee alle bedrijven die op de achtergrond ondoorsichtige koppelingen leggen met verzamelde data - omdat het gebruikers geen (voorafgaande) keuzemogelijkheid biedt om in te stemmen met de gegevensverwerking of deze te weigeren.

Letterlijk: “Voor zover Google zich beroept op toestemming door aanvaarding van de algemene voorwaarden en het privacybeleid, blijkt uit de wetsgeschiedenis dat ondubbelzinnige toestemming niet verkregen kan worden via algemene voorwaarden.

Uit de wetsgeschiedenis blijkt tevens dat ‘ondubbelzinnig’ betekent dat de verantwoordelijke niet mag uitgaan van toestemming die voortvloeit uit het uitblijven van actie of het stilzwijgen van de betrokkene. Google gaat echter uit van stilzwijgende toestemming en biedt hoogstens gedeeltelijke opt-out mogelijkheden aan.”

Dat is nogal wat. Temeer daar, om die ondubbelzinnige toestemming te verkrijgen, partijen specifiek informatie moeten verstrekken over de verwerking zodat gebruikers geïnformeerd zijn. Google doet dat ook niet goed, zie boven. Google heeft niet aangetoond en uit het onderzoek is niet gebleken dat de het verwerken en combineren van gegevens over en uit meerdere diensten noodzakelijk zijn, ofwel proportionaliteit zijn. Passieve gebruikers – op sites van derden met cookies van Google - zullen in de meeste gevallen niet eens weten dat ze te maken hebben gehad met Google cookies. Ze zijn niet ingelicht met servicevoorwaarden.

Volgens Bart Schermer, privacydeskundige van de Universiteit Leiden, hoeft deze uitspraak niet direct consequenties te hebben voor alle partijen die cookies plaatsen op pc's via websites: "Google verkrijgt geen specifieke toestemming om al die data te verzamelen en koppelen op de complexe wijze waarop Google dit doet. Voor andere partijen kan dat wel gelden. Daar is geen eensgezindheid over. Het CBP vindt ook dat sprake moet zijn van vrije toestemming. Daarvan is geen sprake als je gebruikers dwingt om met voorwaarden akkoord te gaan, vindt het CBP. Daar denkt een aantal juristen, waaronder ik, toch anders over."

In genoemde bijlage word de discussie tussen het CBP en Google tot in deail uitgesponnen.

De letterlijke tekst uit het rapport:

“Het door Google eind juni 2013 geïntroduceerde informatieveld op de Search-pagina’s over cookies bevat drie keuzemogelijkheden: OK klikken, doorklikken of ‘Meer informatie’.

Onder ‘Meer informatie’ vindt de gebruiker informatie hoe Google cookies gebruikt, en hyperlinks naar meer informatie over de verschillende soorten cookies die Google kan gebruiken voor onder meer het personaliseren van zoekresultaten, het tonen van gepersonaliseerde advertenties en Google Analytics en algemene informatie over het beheren van cookies in browsers.

De pagina bevat geen keuzemogelijkheid om de verschillende soorten cookies (via Google zelf) te weigeren.  In het gebruik van de term 'wilsuiting' ligt een actie van de betrokkene besloten  (oftewel, instemming en geen opt-out).

Uit het uitblijven van een opt-out van de betrokkene of het feit dat een betrokkene geen gebruik maakt van de mogelijkheid om via zijn browserinstellingen cookies te weigeren, mag Google niet afleiden dat de betrokkene instemt met deze gegevensverwerking.

Nog los van het feit dat Google al cookies plaatst op het moment dat haar verschillende websites laden, en aanvullend cookies plaatst op het moment dat de bezoeker op 'meer informatie' klikt, biedt de huidige pagina 'meer informatie' niet de mogelijkheid tot het verkrijgen van (ondubbelzinnige) toestemming.”

(meer volgt later)

Dossier

Gepubliceerd

29 nov 2013

Wat vinden de experts?

Bart Schermer
1 dec 2013
Bart Schermer
‘Take it or leave it’ niet acceptabel
Boeiend artikel! Daar moet aan toegevoegd worden dat het CBP eerder wel een 
wetgevingsadvies over de aanpassing van de cookiewet heeft gepubliceerd waar deze uitspraak over Google niet van afwijkt. Kort door de bocht zijn dit de meest relevante punten over cookies van het CBP:
Allereerst moet de toestemming een actieve handeling zijn: Het CBP bevestigt dat toestemming van de gebruiker onder omstandigheden kan worden afgeleid uit een actieve handeling van de gebruiker, zoals doorklikken op een site na een mededeling over cookiegebruik.
De gebruiker moet echter wel een vrije keuze hebben gehad en voldoende zijn geïnformeerd. Voldoende informeren moet idealiter al in die banner gebeuren, in een achterliggend privacy statement waar ook niet naar wordt verwezen in een banner is in ieder geval niet voldoende.
De pijn zit hem echter meer in die vrije, specifieke toestemming. Het
CBP eist eigenlijk gedifferentieerde toestemming (ook voor cookiegebruik). Volgens het CBP is onder omstandigheden gedifferentieerde toestemming voor social media en bijvoorbeeld advertentiecookies geen best practice, maar een vereiste.
Als voorbeeld wordt genoemd dat tieners zullen instemmen met advertentiecookies bij social media sites om niet uitgesloten te worden van bepaalde sociale interacties. In deze situatie is de toestemming dus niet vrij en kun je die ‘toestemming’ niet als grond voor de verwerking gebruiken (art. 8a Wet bescherming persoonsgegevens).
Deze opmerking legt zoals je schrijft in principe een bom onder een aantal vormen van gratis online dienstverlening. De pointe is: als iets echt belangrijk is voor je (zoals Google een social media website, of misschien zelfs wel Nu.nl) dan moet je bepaalde verwerkingen kunnen uitsluiten als gebruiker van je toestemming.
Een 'take it or leave it scenario' zoals websites aanbieden is dan eigenlijk niet acceptabel. Ultiem zou dit als consequentie kunnen hebben dat jij als gebruiker toch gratis gebruik mag blijven maken van Google, en dat Google niet die verwerkingen mag doen die haar businessmodel positief houden (bijv. targeted advertenties) waar jij geen toestemming voor geeft. Dat staat in ieder geval op gespannen voet met de contractsvrijheid.
Vooralsnog is er weinig reactie vanuit de markt gekomen hierop, ook al zei de Europese WP29 dit al in 2011 in haar opinie over toestemming. Alternatief is dan 8f Wbp (over het gerechtvaardigd belang) te hanteren. Maar dat gaat in casu bij Google niet op omdat het teveel (gevoelige) gegevens combineert voor profilering en te weinig opt-out mogelijkheden biedt.
 
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0