In mei 2019 kondigde Google aan een 'auto-delete' functionaliteit te ontwerpen, welke nu langzaam wordt uitgerold. Deze functionaliteit geeft gebruikers de mogelijkheid om de periode van de opslag van bepaalde gegevens, zoals locatiegeschiedenis en onlineactiviteiten ('Web and App Activity'), te bepalen. Voorheen was het al mogelijk om gegevens handmatig te verwijderen - door de nieuwe functionaliteit worden de geselecteerde gegevens automatisch na de gekozen periode verwijderd. Zet Google hiermee een stap in de goede richting?
Google onder vuur
Al geruime tijd krijgt Google veel kritiek over hoe zij omgaat met de persoonsgegevens en privacy van haar gebruikers. Sinds de invoering van de Algemene Verordening Gegevensbescherming ("AVG") lijkt deze tech-gigant onder een vergrootglas te liggen. Zo deelde de Franse autoriteit persoonsgegevens, de CNIL, in januari 2019 een boete uit van 50 miljoen euro vanwege het gebrek aan transparantie, het verschaffen van onduidelijke en incomplete informatie over de verwerking van persoonsgegevens en het niet voldoen aan de eisen met betrekking tot het verkrijgen van toestemming.
Ook de Ierse toezichthouder is een onderzoek gestart naar het gebruik van persoonsgegevens, meer specifiek in het kader van Google Ad Exchange. De Ierse toezichthouder onderzoekt onder meer of Google zich houdt aan de beginselen van transparantie en data minimalisatie en bekijkt haar bewaarbeleid.
Zeker na de enorme boete van de Franse CNIL is het wel duidelijk dat Google een flink aantal wijzigingen moet doorvoeren in haar procedures en systemen om verdere boetes te voorkomen.
Zeggenschap over persoonsgegevens
Op haar website geeft Google aan deze functionaliteit te hebben ontworpen om gebruikers op een eenvoudige wijze in staat te stellen hun persoonsgegevens te beheren. Dit naar aanleiding van feedback die Google zou hebben ontvangen.
Bovenstaande is inderdaad wat de AVG probeert te bewerkstelligen - meer zeggenschap over persoonsgegevens voor betrokkenen. Zo biedt de AVG niet alleen uitgebreide rechten voor betrokkenen, zoals het recht om vergeten te worden en het recht op informatie, ook moeten verwerkingen voldoen aan verschillende beginselen, zoals transparantie, minimalisatie en doelbinding (art. 5 lid 1 AVG).
Daarnaast is de verantwoordingsplicht (art. 5 lid 2 AVG), op grond waarvan organisaties aan moeten kunnen tonen dat zij geschikte en voldoende maatregelen hebben genomen om te voldoen aan de AVG, van groot belang. Niet alleen moeten organisaties procedures en informatie over de verwerking van persoonsgegevens op schrift zetten, ook moeten zij hier daadwerkelijk aan (kunnen) voldoen. Zo heeft een Deense rechtbank recent een boete uitgedeeld aan een bedrijf dat wel een bewaarbeleid had opgesteld, maar er toch niet in slaagde
om de door haar verwerkte persoonsgegevens binnen de bepaalde termijnen te verwijderen.
Opslagbeperking
Deze nieuwe tool lijkt in elk geval een uitwerking te zijn van het beginsel van opslagbeperking. Volgens dit beginsel mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doelen waarvoor zij zijn verzameld. In dat kader kan echter ook de vraag worden gesteld waarom de auto-delete functionaliteit niet omgekeerd wordt ingezet. Persoonsgegevens worden dan standaard tot 3 maanden bewaard, tenzij de gebruiker ervoor kiest om de gegevens voor gebruikersgemak langer te bewaren. Dat zou een volledige - en juiste - uitwerking zijn van het beginsel van opslagbeperking. Op basis van de huidige insteek van de tool blijkt immers dat er geen noodzakelijkheid bestaat om de persoonsgegevens (langer dan 3 maanden) te bewaren.
'Privacy by design' en 'privacy by default'
Bovenstaande zou ook aansluiten bij de principes van privacy by design en default - ook wel 'gegevensbescherming door ontwerp en door standaardinstellingen' genoemd. Deze principes houden in dat de verwerkingsverantwoordelijke ervoor moet zorgen dat gegevensbescherming een uitgangspunt is bij het ontwikkelen van systemen en procedures. Tevens mogen deze systemen en procedures slechts minimale impact hebben op de privacy van betrokkenen.
De auto-delete functionaliteit is deels in lijn met deze principes. Zo blijkt het mogelijk om de impact op de privacy van gebruikers - in elk geval ten aanzien van de duur van de opslag van informatie over locatiegeschiedenis en onlineactiviteiten - te beperken. Echter wordt slechts deels voldaan aan de principes van privacy by design en default nu de gebruiker zelf de instellingen moet wijzigen. Ook ziet de functionaliteit slechts op een klein deel van de diensten die Google aanbiedt. Daarbij blijft het onduidelijk of Google de verzamelde persoonsgegevens überhaupt wel nodig heeft voor de doeleinden waarvoor zij zijn verzameld.
Nieuwe norm?
Google zet met haar auto-delete functionaliteit een stap in de goede richting, maar is hiermee natuurlijk nog niet volledig AVG-compliant. De vraag is echter wat het gevolg hiervan zal zijn.
Worden dergelijke functionaliteiten, ook al geven ze slechts deels invulling aan de vereisten van de AVG, de nieuwe norm? Of houden autoriteiten voet bij stuk en zullen boetes volgen, omdat nog steeds geen sprake is van volledige compliance? De toekomst zal uitwijzen hoe relevante autoriteiten hiermee om zullen gaan.
In mei 2019 kondigde Google aan een 'auto-delete' functionaliteit te ontwerpen, welke nu langzaam wordt uitgerold. Deze functionaliteit geeft gebruikers de mogelijkheid om de periode van de opslag van bepaalde gegevens, zoals locatiegeschiedenis en onlineactiviteiten ('Web and App Activity'), te bepalen. Voorheen was het al mogelijk om gegevens handmatig te verwijderen - door de nieuwe functionaliteit worden de geselecteerde gegevens automatisch na de gekozen periode verwijderd. Zet Google hiermee een stap in de goede richting?
Google onder vuur
Al geruime tijd krijgt Google veel kritiek over hoe zij omgaat met de persoonsgegevens en privacy van haar gebruikers. Sinds de invoering van de Algemene Verordening Gegevensbescherming ("AVG") lijkt deze tech-gigant onder een vergrootglas te liggen. Zo deelde de Franse autoriteit persoonsgegevens, de CNIL, in januari 2019 een boete uit van 50 miljoen euro vanwege het gebrek aan transparantie, het verschaffen van onduidelijke en incomplete informatie over de verwerking van persoonsgegevens en het niet voldoen aan de eisen met betrekking tot het verkrijgen van toestemming.
Ook de Ierse toezichthouder is een onderzoek gestart naar het gebruik van persoonsgegevens, meer specifiek in het kader van Google Ad Exchange. De Ierse toezichthouder onderzoekt onder meer of Google zich houdt aan de beginselen van transparantie en data minimalisatie en bekijkt haar bewaarbeleid.
Zeker na de enorme boete van de Franse CNIL is het wel duidelijk dat Google een flink aantal wijzigingen moet doorvoeren in haar procedures en systemen om verdere boetes te voorkomen.
Zeggenschap over persoonsgegevens
Op haar website geeft Google aan deze functionaliteit te hebben ontworpen om gebruikers op een eenvoudige wijze in staat te stellen hun persoonsgegevens te beheren. Dit naar aanleiding van feedback die Google zou hebben ontvangen.
Bovenstaande is inderdaad wat de AVG probeert te bewerkstelligen - meer zeggenschap over persoonsgegevens voor betrokkenen. Zo biedt de AVG niet alleen uitgebreide rechten voor betrokkenen, zoals het recht om vergeten te worden en het recht op informatie, ook moeten verwerkingen voldoen aan verschillende beginselen, zoals transparantie, minimalisatie en doelbinding (art. 5 lid 1 AVG).
Daarnaast is de verantwoordingsplicht (art. 5 lid 2 AVG), op grond waarvan organisaties aan moeten kunnen tonen dat zij geschikte en voldoende maatregelen hebben genomen om te voldoen aan de AVG, van groot belang. Niet alleen moeten organisaties procedures en informatie over de verwerking van persoonsgegevens op schrift zetten, ook moeten zij hier daadwerkelijk aan (kunnen) voldoen. Zo heeft een Deense rechtbank recent een boete uitgedeeld aan een bedrijf dat wel een bewaarbeleid had opgesteld, maar er toch niet in slaagde
om de door haar verwerkte persoonsgegevens binnen de bepaalde termijnen te verwijderen.
Opslagbeperking
Deze nieuwe tool lijkt in elk geval een uitwerking te zijn van het beginsel van opslagbeperking. Volgens dit beginsel mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doelen waarvoor zij zijn verzameld. In dat kader kan echter ook de vraag worden gesteld waarom de auto-delete functionaliteit niet omgekeerd wordt ingezet. Persoonsgegevens worden dan standaard tot 3 maanden bewaard, tenzij de gebruiker ervoor kiest om de gegevens voor gebruikersgemak langer te bewaren. Dat zou een volledige - en juiste - uitwerking zijn van het beginsel van opslagbeperking. Op basis van de huidige insteek van de tool blijkt immers dat er geen noodzakelijkheid bestaat om de persoonsgegevens (langer dan 3 maanden) te bewaren.
'Privacy by design' en 'privacy by default'
Bovenstaande zou ook aansluiten bij de principes van privacy by design en default - ook wel 'gegevensbescherming door ontwerp en door standaardinstellingen' genoemd. Deze principes houden in dat de verwerkingsverantwoordelijke ervoor moet zorgen dat gegevensbescherming een uitgangspunt is bij het ontwikkelen van systemen en procedures. Tevens mogen deze systemen en procedures slechts minimale impact hebben op de privacy van betrokkenen.
De auto-delete functionaliteit is deels in lijn met deze principes. Zo blijkt het mogelijk om de impact op de privacy van gebruikers - in elk geval ten aanzien van de duur van de opslag van informatie over locatiegeschiedenis en onlineactiviteiten - te beperken. Echter wordt slechts deels voldaan aan de principes van privacy by design en default nu de gebruiker zelf de instellingen moet wijzigen. Ook ziet de functionaliteit slechts op een klein deel van de diensten die Google aanbiedt. Daarbij blijft het onduidelijk of Google de verzamelde persoonsgegevens überhaupt wel nodig heeft voor de doeleinden waarvoor zij zijn verzameld.
Nieuwe norm?
Google zet met haar auto-delete functionaliteit een stap in de goede richting, maar is hiermee natuurlijk nog niet volledig AVG-compliant. De vraag is echter wat het gevolg hiervan zal zijn.
Worden dergelijke functionaliteiten, ook al geven ze slechts deels invulling aan de vereisten van de AVG, de nieuwe norm? Of houden autoriteiten voet bij stuk en zullen boetes volgen, omdat nog steeds geen sprake is van volledige compliance? De toekomst zal uitwijzen hoe relevante autoriteiten hiermee om zullen gaan.