Het is zo ver! Nadat Google in mei al een aankondiging deed, wordt de ’auto-delete functie’ van Google nu daadwerkelijk langzaamaan uitgerold. Met de auto-delete functie krijgen gebruikers van Google meer controle over de duur van opslag van onder meer hun locatiegegevens en activiteitengeschiedenis online. Een interessante marketingstrategie is het zeker: een functie toevoegen die het vertrouwen van gebruikers vergroot. De vraag is echter of Google met de invoering van deze nieuwe functie wettelijk gezien wel ver genoeg gaat, of dat de extra opties die het biedt slechts dienen als zoethouder richting de gebruikers?
Met het van toepassing zijn van de AVG sinds mei vorig jaar is er veel gebeurd omtrent het onderwerp ‘privacy’. Met deze opkomende interesse in, en waardering voor, het belang van privacy, zetten commerciële partijen in toenemende mate in op het onderwerp privacy. Ook organisaties die juist bekend staan om - en/of juist enorm baat hebben bij – het verwerken van persoonsgegevens lijken hun bedrijfsstrategieën deels om te draaien om zo mee te kunnen liften op deze interesse in privacy (het welbekende bandwagon-effect).
De focus (gedeeltelijk) leggen op het waarborgen van de privacy van gebruikers als onderdeel van het eigen verdienmodel is niet nieuw. Zo lijkt onder andere Apple zich in toenemende mate te profileren als privacy minded organisatie. Er zijn echter ook partijen waarvoor het verwerken van een grote hoeveelheid aan persoonsgegevens uiterst cruciaal is, waardoor het meelopen in de ‘privacypolonaise’ wat houterig over kan komen. Zo draaien de werkzaamheden van techgigant Google voor een aanzienlijk deel om het beschikbaar maken van data van gebruikers aan onder meer website eigenaren en adverteerders. Denk hierbij onder andere aan het delen van gegevens middels gebruik van haar Google Analytics tooling.
Toch lijkt ook Google gevoelig voor de roep om meer macht over de eigen gegevens door haar gebruikers: “We work to keep your data private and secure, and we’ve heard your feedback that we need to provide simpler ways for you to manage or delete it.'' Echter, hoe nobel deze tegemoetkoming van Google ook lijkt – door onder ander het aanbieden van de auto-delete functionaliteit - kun je je met de AVG in het achterhoofd afvragen of het bieden van dergelijke opties niet simpelweg wettelijk verplicht is. De logische vervolgvraag hierop is dan ook of de geboden functionaliteiten wel ver genoeg gaan met het oog op de wettelijke verplichtingen die uit de AVG volgen?
Een van de paradepaardjes van de EU bij het ontwerpen van de AVG was het ‘Privacy by Design/by Default’ principe. 'Wat houdt dit in?', hoor ik u vragen. Laat mij het kort uitleggen: Privacy by Design/by Default houdt voor een groot gedeelte in wat de terminologie al lijkt te verraden. Namelijk het ‘inbakken’ van privacy bevorderende instellingen en maatregelen middels- en bij het ontwerpen van technologie. Het uitstapje ‘by Default’ gaat nog een tandje verder en verplicht aanbieders van diensten en producten om standaard gebruik te maken van de meest privacyvriendelijke optie. Een bekend voorbeeld van dit laatste is om cookiebanners met meerdere mogelijkheden m.b.t. de soorten en hoeveelheden geplaatste cookies, standaard op het minimale gebruik van deze cookies in te stellen.
Wanneer we de auto-delete functionaliteit van Google toetsen op het naleven van de bovengenoemde principes, dan valt op dat er een goede start is gemaakt om in ieder geval ‘Privacy by Design’ te handelen. In plaats van het onbeperkt opslaan van bepaalde gebruikersgegevens geeft het deze gebruikers nu immers de kans om ervoor te kiezen bepaalde gebruikersgegevens automatisch te laten verwijderen. Google geeft hierbij twee standaard-opties: automatisch verwijderen na 3 of na 18 maanden.
Hoewel dit prijzenswaardig is, mist Google hier nog de boot met betrekking tot het stukje ‘Privacy by Default’. De reeds beschikbare mogelijkheid om deze gegevens handmatig te verwijderen krijgt namelijk initieel nog altijd de voorkeur. De gebruiker dient zelf te kiezen voor het automatisch verwijderen van de gegevens en de bijbehorende termijn. Dit terwijl er met het oog op ‘Privacy by Default’ genoeg redenen zijn om juist te kiezen voor één van de andere opties.
Buiten de principes van Privacy by Design/by Default om zijn er mogelijk nog andere argumenten op te noemen om van automatische verwijdering van gebruiker gegevens bij Google de norm te maken. Immers, buiten het bieden van meer macht aan de gebruiker dient ook Google zelf na te denken over vragen als: hoe lang mogen wij deze gegevens überhaupt verwerken? Is het nog wel noodzakelijk om al deze gegevens van onze gebruikers te bewaren als ze zelf niet kiezen voor automatische verwijdering (je mag op grond van de AVG namelijk enkel gegevens verwerken wanneer dit noodzakelijk is)? Zijn er geen andere manieren beschikbaar om eenzelfde kwaliteit platform te bieden zonder dat gevoelige gegevens voor een lange periode blijven opgeslagen?
Is deze poging van Google dan voor niets geweest? Nee, die stelling gaat wat ver als je het mij vraagt. Wel is het erg belangrijk om door de eventuele marketingtrucs van de techgiganten heen te kijken en kritisch te blijven richting dat wat ons voorgeschoteld wordt. Alleen dan kan de daadwerkelijke waarde ingeschat worden van de intenties van dergelijke grote technologie dienstverleners.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.