Het combineren van persoonsgegevens door Google is in strijd met de Wet bescherming persoonsgegevens (Wbp). Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek.
Uit het onderzoek blijkt dat Google gebruikers onvoldoende duidelijk maakt welke persoonsgegevens het bedrijf verzamelt en koppelt, en voor welke doeleinden het bedrijf dat doet. Google koppelt sinds maart 2012 – toen het bedrijf nieuwe privacyvoorwaarden invoerde - persoonsgegevens van internetgebruikers die via de diverse Google-diensten worden verkregen. Het informeert deze gebruikers daarover vooraf niet goed en vraagt ook geen toestemming.
“Google spint een onzichtbaar web van onze persoonsgegevens, zonder onze toestemming. En dat is bij wet verboden”, aldus CBP-voorzitter Jacob Kohnstamm. De door de wet vereiste toestemming voor het combineren van persoonsgegevens uit verschillende Google-diensten, kan in ieder geval niet worden verkregen via aanvaarding van de algemene (privacy)voorwaarden.
Het CBP heeft Google uitgenodigd voor een hoorzitting waarna de toezichthouder zal bepalen of het handhavende middelen tegen Google zal inzetten. Het CBP kan geen boete opleggen, maar wel een last onder dwangsom, wat inhoudt dat Google een bedrag moet betalen voor iedere dag dat ze (nog) niet aan de wet voldoet.
Volgens het CBP bereikt Google met zijn online diensten vrijwel elke Nederlander met internettoegang. Het is bijna onmogelijk om op internet niet van Google-diensten gebruik te maken, zoals de zoekmachine, videodienst Youtube of Gmail.
In het rapport zijn gebruikers van Google-diensten ingedeeld in drie groepen: mensen met een Google-account, mensen zonder Google-account die gebruik maken van open diensten van Google zoals de zoekmachine en YouTube, en mensen die geen gebruik maken van Google. Google verzamelt ook over deze laatste groep gegevens als zij bijvoorbeeld een van de meer dan twee miljoen websites wereldwijd bezoeken met Google advertentiecookies.
Uit het onderzoek van het CBP blijkt dat Google persoonsgegevens van internetgebruikers combineert die het bedrijf uit alle verschillende diensten verkrijgt. Dit doet het voor onder meer het tonen van gepersonaliseerde advertenties en personalisatie van gevraagde diensten. Het gaat deels om gegevens van gevoelige aard, zoals betalingsinformatie, locatiegegevens en gegevens over surfgedrag over meerdere websites. Gegevens over bijvoorbeeld zoekopdrachten, locatiedata, en bekeken video's kunnen met elkaar worden gecombineerd terwijl de afzonderlijke diensten hele andere doelen dienen.
De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, maakten in oktober 2012 al bekend dat na gezamenlijk onderzoek bleek dat wijzigingen in Googles privacyvoorwaarden in strijd waren met de Europese privacyrichtlijn. Het onderzoek was uitgevoerd door de Franse privacytoezichthouder (CNIL) namens alle 27 Europese privacytoezichthouders uitvoerde (inmiddels telt de EU 28 lidstaten). Het was de eerste keer dat op deze wijze grensoverschrijdend onderzoek werd uitgevoerd.
Uit het onderzoek van de CNIL bleek onder meer dat Google bepaalde persoonsgegevens van gebruikers van de diverse Google-diensten combineerde zonder de gebruikers daarover vooraf goed te informeren en zonder vervolgens toestemming te vragen. Het zonder toestemming combineren van persoonsgegevens voor online marketing- en reclamedoeleinden is in strijd met de Europese privacyrichtlijn, aldus de conclusie van de CNIL. Het is van belang dat mensen zelf zeggenschap hebben over het gebruik van hun persoonsgegevens.
De Canadese privacytoezichthouder en de autoriteiten verenigd in APPA (Asia Pacific Privacy Authorities) lieten destijds in een brief aan de Europese privacytoezichthouders weten de resultaten van het onderzoek naar de privacyvoorwaarden van Google te onderschrijven.
Eerder deze schreef de Britse privacyvoorvechter Simon Davis zijn blog dat hij bij toezichthouders in 14 Europese landen klachten heeft ingediend over de nieuwe voorwaarden van Google. Volgens deze nieuwe voorwaarden mag Google positief commentaar van gebruikers van diensten zoals Google+ en Youtube gebruiken bij advertenties voor de genoemde producten en diensten. Davis eist bij de diverse nationale databeschermingsinstanties dat Google zijn beleid op dit punt aanpast.
Google paste op 11 november 2013 zijn algemene voorwaarden aan met een ‘shared endorsement’-beleid. Google eigent zich het recht toe om namen, foto’s en commentaren van volwassen gebruikers van Google-diensten in te zetten voor advertentiedoeleinden. Deze ‘shared endorsements’ kunnen verschijnen op twee miljoen websites in Googles advertentienetwerk.
Google ligt ook al langere tijd onder de loep van de Europese Commissie. Zo heeft de onderneming diverse malen voorstellen moeten indienen om de praktijk aan te passen waarbij het in zoekresultaten eigen diensten voorrang geeft.
