Google is verontwaardigd over een aantal Europese privacytoezichthouders, die het concern publiekelijk aan de schandpaal nagelden voordat het onderzoek naar Google’s nieuwe privacyvoorwaarden begonnen is. ‘ We find it disappointing that some regulators publicly express doubts of lawfulness without having accorded usany chance to engage on the issues of concern’, zo schrijft Peter Fleischer, Google’s belangrijkste privacyjurist, aan de Franse privacywaakhond CNIL.
Per 1 maart zijn de nieuwe gebruikers- en privacyvoorwaarden ingegaan. De belangrijkste verandering is een consolidatie van de versnipperde voorwaarden die Google voorheen hanteerde voor zijn tientallen verschillende diensten. De samenvoeging van die vele voorwaarden is handig en overzichtelijk voor de gebruiker, aldus het concern. Maar voor Google zelf is er ook een groot voordeel: het kan nu gebruikersdata van verschillende diensten bij elkaar vegen en combineren tot één totaalprofiel.
Het plan kwam onder hevig vuur, zowel in Europa als in de VS. Het Franse CNIL doet namens de Europese toezichthouders onderzoek naar Google’s omstreden nieuwe privacybeleid, en stelde onlangs 69 vragen aan Google. Het internetbedrijf geeft nu antwoord op de eerste 24 vragen, maar uit eerst kritiek.
‘Following Google’s decision not to “pause” the launch of its Privacy Policy, some EU OPAs publicly criticised us, “raising strong doubts about the lawfulness” of our new Privacy Policy. Further, OPAs have made numerous comments to the media before they had addressed a single question to Google, or responded to our numerous requests for a meeting to discuss the issues’.
In het antwoord aan CNIL benadrukt Google dat een geconsolideerd privacybeleid en het combineren van gebruikersdata van verschillende diensten in lijn is met het beleid van andere techreuzen zoals Microsoft, Facebook, Apple en Yahoo. Het bedrijf bevestigt expliciet dat het data uit al zijn verschillende diensten kan gebruiken voor het relevanter maken van getoonde zoekresultaten en advertenties.
Om gebruikers op de hoogte te stellen, ‘We undertook the largest user notification campaign in our history. It was important to us that we did as much as we reasonably could to inform users about the changes and explain them clearly’, via e-mail, meldingen op de homepage, en popup vensters. Het heeft 1000 vragen vanuit de media ontvangen, plus de uitgebreide vragenlijst van CNIL, maar klachten van gebruikers zijn minimaal, sust Google.
Opmerkelijk genoeg zegt het concern geen cijfers te kunnen leveren over de hoeveelheid unieke bezoekers op de privacypagina van Google of überhaupt het totale aantal unieke bezoekers aan de verschillende websites van Google. Dat is natuurlijk een volstrekt ongeloofwaardig antwoord. Google weet heel goed hoeveel unieke bezoekers een pagina heeft. Het kan natuurlijk zijn dat het aantal bezoekers laag is en dat blijk geeft van het feit dat de ‘notification campaign’ wel erg passief is geweest.
Een aantal vragen beantwoordt Google ontwijkend of vaag. Zo meldt Google in zijn privacyvoorwaarden de soorten data die het bedrijf verzamelt, zoals ‘device informatie’, cookies, logs en locatiegegevens. Of deze lijst compleet is, vraagt CNIL zich af. Google stelt dat de lijst niet noodzakelijkerwijs uitputtend is. Google weigert ook aan te geven hoe lang het gebruikersdata opslaat als back-up op tapes nadat de gebruiker de data heeft weggegooid. Het sust dat deze data is versleuteld en niet gebruikt wordt voor zoek- of reclamedoeleinden. Of politie en justitie wel bij deze data kunnen, blijft in het midden. Het bedrijf meldt slechts dat zijn backup- en datavernietigingsbeleid gedocumenteerd is, maar het is twijfelachtig of deze openbaar is.
Half april zal Google vragen 25 tot en met 69 beantwoorden, belooft Fleischer. CNIL en de artikel 29 werkgroep hebben nog geen reactie gegeven.