Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Scoren met privacy door Google

3 juli 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Het is zo ver! Nadat Google in mei al een aankondiging deed, wordt de ’auto-delete functie’ van Google nu daadwerkelijk langzaamaan uitgerold. Met de auto-delete functie krijgen gebruikers van Google meer controle over de duur van opslag van onder meer hun locatiegegevens en activiteitengeschiedenis online. Een interessante marketingstrategie is het zeker: een functie toevoegen die het vertrouwen van gebruikers vergroot. De vraag is echter of Google met de invoering van deze nieuwe functie wettelijk gezien wel ver genoeg gaat, of dat de extra opties die het biedt slechts dienen als zoethouder richting de gebruikers? 

Privacy als verkoopstrategie

Met het van toepassing zijn van de AVG sinds mei vorig jaar is er veel gebeurd omtrent het onderwerp ‘privacy’. Met deze opkomende interesse in, en waardering voor, het belang van privacy, zetten commerciële partijen in toenemende mate in op het onderwerp privacy. Ook organisaties die juist bekend staan om – en/of juist enorm baat hebben bij – het verwerken van persoonsgegevens lijken hun bedrijfsstrategieën deels om te draaien om zo mee te kunnen liften op deze interesse in privacy (het welbekende bandwagon-effect).

De focus (gedeeltelijk) leggen op het waarborgen van de privacy van gebruikers als onderdeel van het eigen verdienmodel is niet nieuw. Zo lijkt onder andere Apple zich in toenemende mate te profileren als privacy minded organisatie. Er zijn echter ook partijen waarvoor het verwerken van een grote hoeveelheid aan persoonsgegevens uiterst cruciaal is, waardoor het meelopen in de ‘privacypolonaise’ wat houterig over kan komen. Zo draaien de werkzaamheden van techgigant Google voor een aanzienlijk deel om het beschikbaar maken van data van gebruikers aan onder meer website eigenaren en adverteerders. Denk hierbij onder andere aan het delen van gegevens middels gebruik van haar Google Analytics tooling.

Toch lijkt ook Google gevoelig voor de roep om meer macht over de eigen gegevens door haar gebruikers: “We work to keep your data private and secure, and we’ve heard your feedback that we need to provide simpler ways for you to manage or delete it.” Echter, hoe nobel deze tegemoetkoming van Google ook lijkt – door onder ander het aanbieden van de auto-delete functionaliteit – kun je je met de AVG in het achterhoofd afvragen of het bieden van dergelijke opties niet simpelweg wettelijk verplicht is. De logische vervolgvraag hierop is dan ook of de geboden functionaliteiten wel ver genoeg gaan met het oog op de wettelijke verplichtingen die uit de AVG volgen?

‘Privacy by design’ en ‘privacy by default’

Een van de paradepaardjes van de EU bij het ontwerpen van de AVG was het ‘Privacy by Design/by Default’ principe. ‘Wat houdt dit in?’, hoor ik u vragen. Laat mij het kort uitleggen: Privacy by Design/by Default houdt voor een groot gedeelte in wat de terminologie al lijkt te verraden. Namelijk het ‘inbakken’ van privacy bevorderende instellingen en maatregelen middels- en bij het ontwerpen van technologie. Het uitstapje ‘by Default’ gaat nog een tandje verder en verplicht aanbieders van diensten en producten om standaard gebruik te maken van de meest privacyvriendelijke optie. Een bekend voorbeeld van dit laatste is om cookiebanners met meerdere mogelijkheden m.b.t. de soorten en hoeveelheden geplaatste cookies, standaard op het minimale gebruik van deze cookies in te stellen.

Wanneer we de auto-delete functionaliteit van Google toetsen op het naleven van de bovengenoemde principes, dan valt op dat er een goede start is gemaakt om in ieder geval ‘Privacy by Design’ te handelen. In plaats van het onbeperkt opslaan van bepaalde gebruikersgegevens geeft het deze gebruikers nu immers de kans om ervoor te kiezen bepaalde gebruikersgegevens automatisch te laten verwijderen. Google geeft hierbij twee standaard-opties: automatisch verwijderen na 3 of na 18 maanden.

Hoewel dit prijzenswaardig is, mist Google hier nog de boot met betrekking tot het stukje ‘Privacy by Default’. De reeds beschikbare mogelijkheid om deze gegevens handmatig te verwijderen krijgt namelijk initieel nog altijd de voorkeur. De gebruiker dient zelf te kiezen voor het automatisch verwijderen van de gegevens en de bijbehorende termijn. Dit terwijl er met het oog op ‘Privacy by Default’ genoeg redenen zijn om juist te kiezen voor één van de andere opties. 

Overige mogelijke argumenten op grond van de AVG

Buiten de principes van Privacy by Design/by Default om zijn er mogelijk nog andere argumenten op te noemen om van automatische verwijdering van gebruiker gegevens bij Google de norm te maken. Immers, buiten het bieden van meer macht aan de gebruiker dient ook Google zelf na te denken over vragen als: hoe lang mogen wij deze gegevens überhaupt verwerken? Is het nog wel noodzakelijk om al deze gegevens van onze gebruikers te bewaren als ze zelf niet kiezen voor automatische verwijdering (je mag op grond van de AVG namelijk enkel gegevens verwerken wanneer dit noodzakelijk is)? Zijn er geen andere manieren beschikbaar om eenzelfde kwaliteit platform te bieden zonder dat gevoelige gegevens voor een lange periode blijven opgeslagen?

Is deze poging van Google dan voor niets geweest? Nee, die stelling gaat wat ver als je het mij vraagt. Wel is het erg belangrijk om door de eventuele marketingtrucs van de techgiganten heen te kijken en kritisch te blijven richting dat wat ons voorgeschoteld wordt. Alleen dan kan de daadwerkelijke waarde ingeschat worden van de intenties van dergelijke grote technologie dienstverleners.

Jorden Bailey

Juridisch adviseur

Jorden Bailey werkt als juridisch adviseur bij ICTRecht, en maakt onderdeel uit van het privacyteam. Binnen ICTRecht houdt Jorden zich voornamelijk bezig met juridische vraagstukken en het geven van praktische adviezen op het gebied van privacy. Ook is Jorden bij uitstek thuis in het adviseren over de inzet van biometrische technologieën, zoals gezichtsherkenning.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie