Google krijgt boete van 50 miljoen euro voor onduidelijkheid over dataverwerking

De Franse privacywaakhond CNIL legt Google een boete op van 50 miljoen euro, omdat het zoekbedrijf de algemene verordening gegevensbescherming schendt. Het gaat om een gebrek aan transparantie en onduidelijke informatie bij toestemming voor gepersonaliseerde advertenties.

Volgens de CNIL gaat het om meerdere inbreuken op de algemene verordening gegevensbescherming. Bij dit onderzoek heeft de CNIL specifiek gekeken naar het proces dat gebruikers moeten doorlopen als ze een Google-account moeten aanmaken tijdens het configureren van mobiele apparaten die op Android draaien.

De privacywaakhond stelt dat de informatie die Google voorschotelt aan gebruikers niet eenvoudig toegankelijk is. Zo vindt de CNIL dat 'essentiële informatie' teveel verspreid is over verschillende documenten, waarbij er ook nog op verschillende knoppen en links moet worden gedrukt om de informatie te kunnen raadplegen. Het gaat dan bijvoorbeeld over het doel van dataverwerking, de duur van de gegevensopslag en de categorieën van persoonlijke data voor advertentiedoeleinden. Dit soort relevante informatie is volgens de toezichthouder soms pas zichtbaar na vijf of zes stappen.

Daar komt nog bij dat sommige informatie niet altijd duidelijk of volledig is. Dat leidt er volgens de CNIL toe dat gebruikers niet in staat zijn om de reikwijdte van de gegevensverwerking door Google geheel te doorgronden. De toezichthouder stelt dat bijvoorbeeld de doelen van de dataverwerking te vaag zijn omschreven, evenals de categorieën van dataverwerking. Verder is niet altijd de bewaartermijn van data omschreven en is er onduidelijkheid over de juridische basis voor het verwerken van gepersonaliseerde advertenties.

Verder constateert de Franse privacywaakhond dat de toestemming die gebruikers aan Google moeten geven, zodat hun data voor gepersonaliseerde advertenties inzetbaar is, om twee redenen niet geldig wordt verkregen. Ten eerste stelt de CNIL dat gebruikers over de toestemming onvoldoende worden geïnformeerd. Zo wordt het gebruikers in de sectie over gepersonaliseerde advertenties niet duidelijk dat het gaat om een veelheid aan diensten, websites en apps, waaronder Googles zoekmachine, YouTube, Google Maps en de Play Store. Daarnaast is de toestemming niet specifiek en ondubbelzinnig, stelt de CNIL. Van ondubbelzinnigheid is volgens de avg pas sprake als de gebruiker actief een actie moet ondernemen door bijvoorbeeld een vinkje te zetten; de privacywaakhond stelt vast dat de toestemming voor het tonen van gepersonaliseerde advertenties standaard al staat aangevinkt.

Het AFP meldt dat een woordvoerder van Google heeft laten weten dat het bedrijf zich sterk inzet om te voldoen aan de verwachtingen over transparantie en de voorwaarden die voortvloeien uit de algemene verordening gegevensbescherming. De woordvoerder stelt dat zijn bedrijf het besluit van de CNIL bestudeert, waarna bepaald wordt welke vervolgstappen worden genomen. Het is dus nog onbekend of Google de boete gaat aanvechten of hoe het precies gaat reageren op het besluit van de Franse toezichthouder.

Door Joris Jansen

Redacteur

21-01-2019 • 17:35

79

Reacties (79)

79
78
38
10
2
36
Wijzig sortering
Zo vindt de CNIL dat 'essentiële informatie' teveel verspreid is over verschillende documenten, waarbij er ook nog op verschillende knoppen en links moet worden gedrukt om de informatie te kunnen raadplegen. Het gaat dan bijvoorbeeld over het doel van dataverwerking, de duur van de gegevensopslag en de categorieën van persoonlijke data voor advertentiedoeleinden. Dit soort relevante informatie is volgens de toezichthouder soms pas zichtbaar na vijf of zes stappen.
Natuurlijk moet Google zich aan de regels houden als ieder ander, maar kan iemand mij wijzen waar in wetgevingen staat dat 't niet mag na X klikken? Het probleem met veel zaken als AVG/GDRP is, dat de regels/wetgeving niet nauwkeurig of ondubbelzinnig is. Er is geen jurisprudentie, je kant 't nooit goed doen bijna. Bedrijven als Google bashen is makkelijk, maar ik denk dat 95% van de bedrijven in NL niet 100% aan de AVG voldoet.
Zie de website van CNIL waarnaar verwezen wordt.

Meer bepaald gaat het onder andere over
First, the restricted committee notices that the information provided by GOOGLE is not easily accessible for users.
Dit gaat over artikel 12 van de GDPR:
The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child.
Verder wordt er niet duidelijk toestemming gevraagd om gepersonaliseerde advertenties te tonen:
- Het is niet duidelijk dat de toestemming geldig is voor een veelheid van diensten
- de toestemming zit verborgen onder een "More options" knop en is standaard aangekruist (opt-out ipv opt-in)

Dit verwijst naar recital 32 van de GDPR:
Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement.
...
Silence, pre-ticked boxes or inactivity should not therefore constitute consent.
Dat laatste is erg misleidend.

Binnen GDPR is er een hele reeks opties op basis waarvan een bedrijf data kan verwerken. Je hebt extreem logische (als een andere wet het je verplicht, als het een levensbedreigende situatie is (voor ziekenhuizen dus vooral), etc.), maar voor gewone bedrijven zijn er twee belangrijke:
  • based on consent
  • based on a legitimate interest
De eerste is denk ik duidelijk en is waar jij dus over praat. De tweede gaat erom dat je als bedrijf stelt "deze verwerking van jouw data heeft een groot voordeel voor ons en minimaal effect op jouw privacy". Article 21(2) geeft de gebruiker het recht om te "objecten" tegen een dergelijke legitimate interest, in welk geval het bedrijf of heel erg goed moet kunnen verdedigen dat het wel degelijk okay is (laten we zeggen dat dat bijna onmogelijk is). Hoe dan ook, je hebt dus wel degelijk een vorm van een "opt-out", maar het is veel moeilijker om te verdedigen dat iets een legitimate interest is dus er zijn nog steeds zaken waar je expliciet voor "consent" wilt vragen.

Persoonlijk moet ik wel zeggen dat ik het enigszins jammer vindt dat Google het niet duidelijker en simpeler heeft gemaakt. Zeker als ik zie hoe sommige consents veel en veel te breed zijn.

[Reactie gewijzigd door David Mulder op 22 juli 2024 23:27]

Echter, als gegevens op basis van 'legitimate interest' verwerkt gaan worden en niet direct door de het data-subject zelf verstrekt worden, komt artikel 14.2 b) in het spel, welke stelt dat het data-subject ingelicht dient te worden over deze 'legtimate interests'.

En mocht dit vallen onder gegevens die wel direct van het data-subject afkomstig zijn, dan geldt alsnog artikel 13.2 f), welke stelt dat Google uitsluiting moet geven over de mate waarin de gebruiker geprofileert wordt; welke gegevens hier een rol in spelen, voor welke doeleinden deze profilering plaatsvindt; en cruciaal: een betekenisvolle uitleg over de implementatie van de profilerings-logica. Google moet hiermee in elk geval een basale versie van hun beslissingslogica prijs geven.

Hoe je het ook went of keert; het feit dat Google dit hele gebeuren wegmoffelt onder een uitklapsectie, kan niet door de deur.

[Reactie gewijzigd door R4gnax op 22 juli 2024 23:27]

Dag David, ik zie het je een paar keer doen, maar in Nederland zou ik gewoon naar de Nederlandse teksten van de AVG verwijzen. Die zijn namelijk leidend voor Nederland. Het is al ingewikkeld genoeg zonder te schakelen naar het Engels (ook voor de mensen die er wel veel mee werken). Interessant blog hierover:
https://iapp.org/news/a/gdpr-lost-in-translation/
- Het is niet duidelijk dat de toestemming geldig is voor een veelheid van diensten
Maar dat is natuurlijk de spagaat.
Of je krijgt, per dienst, een mooi document wat ze wel en niet delen.
Of je krijgt 1 document dat 'alles' dekt, maar dus ook meteen toestemming voor alles geeft.

Google GMail is een totaal andere dienst dan Search of News. En Android is weer anders.
Als je 1x toestemming zou geven, dan geef je bij Search al toestemming om in GMail te scannen. En geld die toestemming dan ook voor de mailclient van Android?

Met deze €50 miljoen hebben ze de aandacht van Google, maar hopelijk zorgen ze ervoor dat ze SAMEN duidelijkheid scheppen. Gewoon maar Google bashen heeft weinig zin, vooral omdat juist sommige kleinere bedrijven de regels veel erger aan hun laars lappen.
Vanwege werk ken ik maar een klein deel van de GDPR regulation goed, maar volgens mij is het:
quote: Art. 12.1 GDPR
The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language
Natuurlijk is het dus niet dat "X klikken", maar meer dat het bij Google simpelweg oprecht lastig is om bepaalde informatie te vinden. Dus ja, je kiest een groot bedrijf die het zeker niet okay doet en je begint langzaam aan aan te geven wat wel en niet okay is. Dat is denk ik ook de reden waarom deze boete zo super laag is. Ze hadden een boete kunnen geven tot 2% van Google's omzet, maar mijn gok is dat ze eerst rustig klein beginnen zodat iedereen langzaam zich aan de regels begint te houden. Het grote verschil is nu dat Google niet kan zeggen "ach ja, die 50 miljoen ieder jaar kunnen we wel betalen", want als ze nu doorgaan blijft die 2% van hun omzet boete hun boven het hoofd hangen.

[Reactie gewijzigd door David Mulder op 22 juli 2024 23:27]

Yup, dat is hoe de data eruit moet zien. Maar geen maximum aantal klikken om 't te verkrijgen. Mijn probleem is dat net dat soort zaken niet hard in de wetgeving staat. (let wel, ik ben vóór makkelijk vinden en krijgen van die info!)

[Reactie gewijzigd door Tjark op 22 juli 2024 23:27]

Het is juist super belangrijk dat dat niet hard in de wet staat. De wet gaat om intentie, niet om letterlijke interpretatie. Als je contracten interpreteert dan ben je vaak bezig met "rule lawyering", als je de wet aan het interpreteren bent merk je toch vaak op dat het express wat vaag is, omdat vaag juist veel duidelijker is.

Stel je zegt "maximaal in 2 klikken" en je stelt bij de rechter "ja, onderaan is een sitemap, en daar is een link naar iedere pagina die we waar dan ook hebben staan inclusief deze informatie". Of stel dat je zegt "het moet vanaf je homepage worden gelinkt" en je stopt de link 6 `:hover`s diep in een submenu, etc.

Dus ja, "concise, transparent, intelligible and easily accessible form, using clear and plain language" klinkt misschien wat vaag, maar iedere rechter zal dat bijv. interpreteren als "traditionele privacy policies zijn zeker niet okay", want die zijn geschreven om expres onbegrijpbaar te zijn. En ja, ik denk ook dat iedere rechter zal stellen dat 6 klikken niet "easily accessible" is.

[Reactie gewijzigd door David Mulder op 22 juli 2024 23:27]

Precies, en dan krijg je dus gesteggel, en dat wil je niet. Dus kan Google het gaan rekken met gesteggel.

Een ander voorbeeld: alles wat in een systeem uniek herleidbaar zou kunnen zijn naar iemand is een persoonsgegeven. Sla je het helemaal plat (en zo streng kán je interpretatie zijn), dan zijn zelfde database-id's een persoonsgegeven. Bij recht van vergeten, moet je dus overal alles met die database-id verwijderen. Ik schat dat 90% van de NL bedrijven dit NIET zo interpreteert en geïmplementeerd heeft.
Dat is onzin natuurlijk. Als ik hier een database ID post weet jij niet om wie het gaat. Zelfs niet als ik je daarbij vertel om welke database en tabel het gaat. Jij kunt immers niet in die database. Een database ID is dus geen persoonsgegeven. Iets is pas een persoonsgegeven als het door *iedereen* herleidbaar kan zijn naar een persoon, zoals een adres, telefoonnummer, bsn, etc. Via dat soort gegevens kun je meer informatie over mij opzoeken. Via een willekeurig gegenereerde DB-specifieke ID niet.
Dat klopt dus totaal niet (uit de definitie sectie van GDPR):
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
en
‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
en recital 26
1The principles of data protection should apply to any information concerning an identified or identifiable natural person. 2Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. 3To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. 4To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. 5The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. 6This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.
Een dergelijk database id is dus een type van pseudoanonieme data, wat dus wel degelijk persoonlijke gegevens zijn.

Het belangrijike ding is dus: Stel ik ben een zoekmachine die met het idee komt om "anoniem" een hele reeks zoekacties te publiceren (https://en.wikipedia.org/wiki/AOL_search_data_leak). Klinkt leuk, maar toen kwam een journalist die naar concrete ID's ging kijken en waarnaar ze zochten en wist op die manier een hele reeks mensen te identificeren. GDPR maakt nu dus duidelijk dat in dat geval die ID's 100% persoonlijke gegevens zijn.

Het is mij (en de advocaten van twee bedrijven waarmee m'n collegas hebben gesproken) minder duidelijk of het wel of niet persoonsgegevens zijn indien het voor het publiek niet te herleiden is, maar voor jouw als controller wel. Mijn interpretatie op dit moment is dat iets een persoonsgegeven kan zijn voor 1 groep terwijl dat het voor iemand anders niet hoeft te zijn (op basis van hoe waarschijnlijk het is dat het te herleiden valt, zie recital 26).

[Reactie gewijzigd door David Mulder op 22 juli 2024 23:27]

Een dergelijk database id is dus een type van pseudoanonieme data, wat dus wel degelijk persoonlijke gegevens zijn.
+1
Dit is ten tijde van de wbp een uitgebreide discussie geweest; men hanteerde vroeger de leer dat sommige gegevens voor de ene partij wel een persoonsgeven was, terwijl het voor de ander niet (voor nummerborden of IP adressen bijvoorbeeld). De jurisprudentie was verreweg van eenduidig op dit punt. Onder de AVG zijn al deze zaken gewoon persoonsgegevens. Ik neig dat in jouw specifieke geval dat ook het geval zal zijn, ook al is de data gespeudonimiseerd en bezit alleen de organisatie de decryptie. Rectial 26 laat de mogelijkheid open dat in unieke gevallen pseudonieme data zo dicht bij anonieme data ligt, dat identificatie onwaarschijnlijk is. Het gebrek aan precedent hierover schept weinig duidelijkheid.

[Reactie gewijzigd door WouterL op 22 juli 2024 23:27]

Nee, inderdaad niet. 1 database ID niet. Maar als die database id weer terug komt op andere plekken, een log met handelingen, die in combinatie met tijdstip toch weer 'iemand' eruit kan vissen, dan soms weer wel. Dát maakt 't zo moeilijk ( https://www.itgovernance....-exactly-is-personal-data ).
In de praktijk hoef je inderdaad het niet zo op te vatten, maar de opsomming in de GDPR tekst sluit het níét uit. 'natuurlijk' zullen er geen rechtzaken over database id's gehouden worden, maar 't is hoe hard line je een interpretatie maakt.
Iets is pas een persoonsgegeven als het door *iedereen* herleidbaar kan zijn naar een persoon
Een gegeven is een persoonsgegeven als het door enig persoon of rechtspersoon die er toegang toe heeft, redelijkerwijs al dan niet in combinatie met andere gegevens, herleidbaar is tot een natuurlijk persoon.

Een niet-natuurlijke sleutel voor een database-regel kan daarmee wel degelijk een persoonsgegeven zijn, als deze sleutel direct of indirect op NAW gegevens aansluit die bijv. voor medewerkers toegankelijk zijn.

Het hoeft dus echt niet voor iedereen herleidbaar te zijn; één partij is voldoende.

[Reactie gewijzigd door R4gnax op 22 juli 2024 23:27]

Bij het recht op erasure (weet niet wat de Nederlandse naam is) is het prima om de data te anonimiseren. Met andere worden, op het moment dat jij de voornaam, achternaam en andere identificeerbare gegevens verwijderd zal het niet meer mogelijk zijn om via het database id de relatie te herleiden tot een concreet persoon. En ja, dat is volgens mij de interpretatie die iedere advocaat je zal geven. Juist de definitie van wat een persoonsgegeven is, is zo heerlijk duidelijk. Enige discussie die ik op dit vlak legaal heb gezien is of pseudo anonieme data waar de controller of processor *niet* de "link" heeft om het te herleiden tot een concreet persoon wel of niet vanuit de optiek van de controller/processor een persoonsgegeven zijn (bijv. als de gebruiker zelf een random hash op z'n PC heeft staan waarmee hij zich kan identificeren).
Enorm veel wetgeving is relatief open geschreven met een goede reden. Te harde regels opstellen zorgt voor te makkelijke loopholes. Er staat dat het makkelijk moet zijn, en het was onredelijk moeilijk. Zo simpel is het.
Beetje impliciet, maar in artikel 7.3:

“Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Deze geldt als je al toestemming hebt gegeven. Als dat met één klik kan, moet intrekken ook met één klik kunnen, want even eenvoudig.
Dat gaat om het geven en onttrekken van consent tot het verwerken van je data. In dit geval gaat de boete om het verstrekken van informatie over hoe je data wordt verwerkt wat in dit geval wordt omschreven in Artikel 13.2(f).
the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
En Artikel 12.1 stelt dus dat de informatie die je per 13.2(f) moet verstrekken eenvoudig te vinden moet zijn en te begrijpen voor normale mensen.

[Reactie gewijzigd door David Mulder op 22 juli 2024 23:27]

Anoniem: 1116377 @Tjark21 januari 2019 17:59
De gegevens moeten op een duidelijk leesbare wijze worden opgeleverd. Dat staat in de wet. Als Google het expres moeilijk maakt om de gegevens te bemachtigen zijn ze daadwerkelijk in overtreding en krijgen ze geheel terecht een boete.
'expres moeilijk' is lastig te bewijzen helaas.... En geleverd moet 't inderdaad duidelijk. Je mag geen binary blob opleveren.
Je hebt gelijk, het is heel moeilijk om het goed te doen, de meeste bedrijven zondigen er tegen, en uit de wet kun je geen eenvoudig stappenplan halen.
Daar staat tegenover dat er ook wel heel erg veel mis is met hoe er in deze wereld met onze data wordt omgesprongen. Dusver werkt die onduidelijkheid in het voordeel van de datagraaiers. Ze vragen voor van alles en nog wat toestemming en hebben dus een hele juridische bibliotheek nodig om het allemaal uit te leggen. Consumenten kunnen daar geen leger aan advocaten tegenover stellen om het allemaal uit te pluizen en trekken dus altijd aan het kortste eind. Die bedrijven stellen dan dat zij er niks aan kunnen doen dat de consument geen uren moeite wil doen om hun voorwaarden te begrijpen. Het wordt dan erg moeilijk om te stellen dat die consument goed voorgelicht is en willens en weten instemt.

Daar steekt het CNIL nu een stokje voor en draait het om: "Als het niet goed kan, dan maar niet".
Een taxi-bedrijf moet ook niet aankomen met de smoes dat veilig rijden te duur is. Als het niet veilig kan, dan niet.
De verantwoordelijkheid om op eenvoudige wijze duidelijk te maken wat er met data gebeurt ligt primair bij de bedrijven en die mogen dat niet afschuiven op de consument. Als ze dat niet eenvoudig kunnen uitleggen dan moeten ze op zoek naar eenvoudigere regels zoals "Wij tracken niet." en dan maar wat minder gepersonaliseerde advertenties serveren.
Ik kan je niet modereren, dan maar zo: +1 :)
Ik ben Google helemaal zat, ik heb geen zin meer in dat eindeloze geklik, ik moet klikken uitgelogd en ingelogd.
En als ik later weer kijk staan er weer dingen aan!

ik ben Google en al die andere tech spionnen en informatie zeven helemaal zat.
Ik wil in 1 klik van ze af, en dat schijnt niet te kunnen.
Ik heb een VPN, ben er klaar mee, ik vertrouw ze helemaal niet.

Ik denk dat ze in het geniep gewoon doorgaan en ik vind ze eng worden.
Ze manipuleren/beïnvloeden je gedachtes tijdens de verkiezingen al en god weet wat ze nog meer doen met die Google Home.
Dat jij geen moeite hebt met Google en het traineren moet jij weten, ik denk dat Google en de andere zeefjes een gevaar zijn, dit zijn geen "zoekmachines" meer, dat is voorbij.

Van mij mogen ze in stukken worden gehakt, en zich alleen met zoeken bezig houden net, als het telefoonboek van vroeger..
Zo, dat ben ik kwijt.
jij denkt dat je VPN provider niet iets van dataverzameling doet over all dat verkeer dat over hun netwerk gaat ?:P tig loopholes waardoor ze gewoon kunnen zeggen "wij verzamelen geen persoonlijke data"

[Reactie gewijzigd door dakka op 22 juli 2024 23:27]

ik ben het zeker met je eens, maar in dit geval vind ik de boete zeer terecht.

Je bent als je Google / YouTube / GMail / Google Maps gebruikt eigenlijk altijd 'ingelogd' bij Google. Die data-opslag is zeer onduidelijk voor een gemiddelde consument. En als je je data in wilt zien, worden er van allerlei opstakels opgeworpen om het maar zo onduidelijk mogelijk te houden.

Je hebt als consument recht op inzage van je gegevens, het wijzigen er van en in sommige gevallen het verwijderen er van. Dit recht tegenwerken/bemoeilijken mag van mij hard aangepakt worden.
AVG/GDPR is juist duidelijk. Je moet voor elke dataverwerking die niet strict noodzakelijk is voor de bedrijfsvoering toestemming vragen, het is in principe echt uiterst simpel. Het is allemaal heel moeilijk verwoord en er komen ook veel meer zaken bij kijken dan het beetje rondsurfen en shit posten zoals we hier doen.

En die toestemming moet je in jip en janneke taal kunnen verwoorden, zo niet. Dan doe je wat verkeerd en doe je meer met die data dan goed is voor de privacy van de end-user. Als het strict noodzakelijk is voor de bedrijfsvoering en goede werking van een site of dienst, hoef je namelijk niet zo moeilijk te doen met het vragen van toestemming tot van alles en nog wat. Maar men doet natuurlijk altijd wat anders met die gegevens, hè :)

Er is geen wetgeving van "dit mag niet" (of naja, ook wel, maar in deze discussie niet echt van toepassing). Er is een wetgeving van "Wil je dit, vraag de gebruiker daar dan maar lekker toestemming voor".

[Reactie gewijzigd door batjes op 22 juli 2024 23:27]

Klopt, eens! Een heleboel mag juist wel van de AVG, zolang je 't maar op tafel legt. En ja, ik vind ook dat Google 't duidelijk moet doen, maar probeer je gegevens maar eens op te vragen bij bv Ziggo. Dán ben je pas ook lang bezig (uitdaging voor ieder hier: vraag ziggo eens om wat zij opslaan van data die door je mediabox gegenereerd wordt: succes!.
Dus ja, ik vind ook dat Google het duidelijk in Jip-Janneke moet doen, maar aan de andere kant, als een bedrijf het weer té eenvoudig doet, fileren mensen (juristen) ze wel er weer op dat niet àlles er weer in staat.
probeer je gegevens maar eens op te vragen bij bv Ziggo. Dán ben je pas ook lang bezig
Helaas stelt de GDPR in artikel 15 inderdaad geen uiterste termijn waarbinnen iemand antwoord moet hebben gekregen. De term 'binnen redelijke termijn' valt daar niet eens. In principe kan een tegenpartij dus eindeloos traineren zolang ze bij herhaaldelijk contact maar elke keer terugsturen: "we zijn er nog mee bezig..."

Leuke loop-hole trouwens ...
[...]

Natuurlijk moet Google zich aan de regels houden als ieder ander, maar kan iemand mij wijzen waar in wetgevingen staat dat 't niet mag na X klikken? Het probleem met veel zaken als AVG/GDRP is, dat de regels/wetgeving niet nauwkeurig of ondubbelzinnig is. Er is geen jurisprudentie, je kant 't nooit goed doen bijna. Bedrijven als Google bashen is makkelijk, maar ik denk dat 95% van de bedrijven in NL niet 100% aan de AVG voldoet.
Dus mag Google doen wat ze willen, omdat er ook andere bedrijven zijn die de boel niet goed voor elkaar hebben ?
Nee, zeg ik ook niet toch? Heb 't zelfs bold staan...

[Reactie gewijzigd door Tjark op 22 juli 2024 23:27]

Ik heb zojuist een Android One telefoon ingesteld voor iemand en kwam tot mijn verbazing erachter dat Google standaard periodiek mag kijken naar omliggende wifi en bluetooth netwerken ook al staan deze uit vanuit de instellingen.

Dat ze dingen scannen als het aan staat kan ik enigszins begrijpen dat Google dat doet, maar als ik iets uitzet dan zet ik het ook uit en wil ik niet dat google uit zich besluit het aan te zetten om te kijken wat voor informatie er te vinden is.


Ik ben blij dat ik geen google zooi gebruik zelf want dit is een van de vele voorbeelden van inbreuk.
"Natuurlijk moet Google zich aan de regels houden als ieder ander, maar kan iemand mij wijzen waar in wetgevingen staat dat 't niet mag na X klikken?"

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

(39) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn

Met andere woorden, obfuscatie-truuken (= jouw 'na X klikken') is dus niet de bedoeling.
Anoniem: 1128097 @Tjark22 januari 2019 11:19
Tjah, als je eerst door 400 menus heen moet, haakt een ieder wel af, dat is gewoon met opzet mensen proberen te stoppen.
50 miljoen euro? :*)
Peanuts voor Google... :O
50 miljoen euro? :*)
Peanuts voor Google... :O
Dus een hogere boete voor bedrijven die veel geld hebben? Afgezien van dat dat gewoon niet kan in het Frans rechtssysteem, hoeveel boete geef je dan aan een bedrijf dat alleen maar verlies maakt? Niets? 5 euro? 500 Euro? -50 miljoen?
Dat kan wel! Op basis van de AVG kunnen bewdrijven een boete krijgen van maximaal 10.000.000 euro of 2 % van de wereldwijde jaaromzet. Dat is voor bedrijven die veel winst maken dus hoger dan voor bedrijven die minder winst maken.
Dat kan wel! Op basis van de AVG kunnen bewdrijven een boete krijgen van maximaal 10.000.000 euro of 2 % van de wereldwijde jaaromzet. Dat is voor bedrijven die veel winst maken dus hoger dan voor bedrijven die minder winst maken.
Was volgens mij 20mil of 4%
Is dat anders geworden?

[Reactie gewijzigd door R4gnax op 22 juli 2024 23:27]

Even nagezocht: je hebt gelijk!
Dat maximum van 10 miljoen of 2 % geldt enkel voor de meer procedurele/administratieve schendingen (artikel 83 lid 4 van de AVG). Op meer inhoudelijke schendingen (lid 5) en het niet luisteren naar toezichthouders (lid 6) staat maximaal 20 miljoen of 4 %!
Anoniem: 1128097 @Krulliebol22 januari 2019 11:20
Dat is nog steeds een peulenschil voor google
Ook bedrijven die geen winst maken kunnen een hoge omzet hebben. Tesla maakt best wat omzet maar grote winsten maken ze nog niet.
Omzet is wat anders dan winst. Voor bedrijven met een hoge omzet en lage winst dus extra pijnlijk ;)
Klopt, maar het gaat er hier niet om om Google in 1 rechtszaak failliet te krijgen, maar om ze te bewegen hun gedrag te verbeteren. Als ze dat namelijk niet doen zal de volgende boete vanzelf hoger uitvallen. Bovendien is dit goed als voorbeeld voor andere (potentiële) dataminers. Die zullen door dit soort boetes af worden geschrikt om de wet te breken. Dus zo irrelevant is die boete niet.
Goed punt, had er niet op deze manier naar gekeken.
Mogen ze mij ook wel een paar miljoen doen. Die peanuts wil ik wel.
Ik moet het nog maar zien. Google heeft over het algemeen genoeg geld om het te betalen en er daarna niet meer naar om te kijken.
En geld genoeg om een leger advocaten dit aan te laten vechten waardoor het nog jaren kan duren voordat er überhaupt een boete komt.
Aan de andere kant: ieder land kan Google zo'n boete opleggen en het bedrag per boete kan oplopen tot 4% van de wereldwijde jaaromzet. Dan kan het toch echt om veel geld gaan.

[Reactie gewijzigd door Krulliebol op 22 juli 2024 23:27]

Werkt dat daadwerkelijk zo?
28 EU landen,
Max 4% boete
Als we er vanuit gaan dat elk land de macimale boete aan hetzelfde bedrijf geeft is dat 112% van de wereldwijde jaaromzet.
Ja, dat zou kunnen. En Google heeft genoeg geld op de bankrekening om dat te betalen.
Deze boetes hebben natuurlijk nauwelijks tot helemaal geen nut of effect.

Een bedrijf als Google (en pasgeleden nog Facebook) voelen hier niks van. De hoogte van de boete is gewoon te laag. Dit betalen ze met gemak en het is weer wachten op de volgende.
De reden dat ze überhaupt een boete ontvangen moet voor mensen wel een duidelijk signaal zijn om toch maar eens naar Google-vervangers te gaan kijken. Hoe moeilijk dit ook is.
Het is een eerste boete. Meestal begint het klein.
Ik ben me al een tijdje aan het ontgooglen.
Drive vervangen door Stack, zoeken op duckduckgo, youtube door vimeo. Zit enkel nog met gmail. Dat heeft helaas wat meer voeten in de aarde om zo maar even op te zeggen, maar goed, daar komt weinig boeiends op binnen.

Zakelijk helaas wel nogal wat diensten die ik niet zomaar kan missen. GSuite (mail en drive (ivm samenwerking met andere bedrijven) Analytics, webmastertools dat zijn toch wel handige dingen.
Kijk eens naar https://zoho.eu misschien dat je dit een goede vervanger vindt en heeft ook een EU omgeving.
Ik gebruik zelf protonmail. Het is zwitsers en goed aangeschreven vanuit een privacy oogpunt.

Ook hoor ik veel goede verhalen van tutanota, al heb ik er zelf geen ervaring mee.
Zelfde hier, alleen gebruik ik nog alleen YouTube en Android van Google, de rest van alle Apps/sites van Google gebruik ik niet meer, en ja ik gebruik duckduckgo, gebruik buiten die twee zo min mogelijk producten van Google.

En ja €50 miljoen is NIKS voor zo een enorme bedrijf als Google, dat is letterlijk zak centjes.

[Reactie gewijzigd door AmigaWolf op 22 juli 2024 23:27]

Als deze boete standhoud in de rechtbank, dan kunnen de volgende -hogere- vervolg boetes makkelijker gegeven worden.
In het vervolg kun je niet veel hogere boetes uitdelen aangezien de rechter dan zegt: Bij partij A was de boete €x,00 en de zamen zijn vergelijkbaar. Waarom zou Partij B 2x moeten betalen?
Deze boetes hebben natuurlijk nauwelijks tot helemaal geen nut of effect.
Één zo'n boete niet, maar de hoeveelste keer is dit wel niet dat Google/Facebook/... een miljoenenboete krijgen van een of ander land. Samen moet het toch aardig door beginnen te tellen. Er zijn ongetwijfeld al een paar aandeelhouders komen klagen dat ze zonder die boetes nog meer hadden kunnen verdienen.
De reden dat ze überhaupt een boete ontvangen moet voor mensen wel een duidelijk signaal zijn om toch maar eens naar Google-vervangers te gaan kijken. Hoe moeilijk dit ook is.
Dat is sowieso een uitstekend plan. Nooit al te veel afhankelijk worden van één bedrijf, en zeker niet zo'n bedrijf als Google waar je deel van het product bent en zelf eigenlijk geen rechten hebt.
Hoewel je bij Google wel (bijna?) alle data die van je is opgeslagen terug kan vinden, kan ik de uitspraak begrijpen. Het is niet echt overzichtelijk.
Anoniem: 343919 @WillySis21 januari 2019 17:51
Je hoopt dat je alles kunt zien. Ik heb wat dit betreft een beetje een tinfoil hat op. Maar ik denk dat er veel meer verzameld wordt dan dat ze daadwerkelijk laten weten.
Je moet goed zoeken en dan kan je best veel vinden. Ik kan men niet voorstellen dat ze nog veel meer weten dan mijn hele zoekgeschiedenis (inclusief de gesproken opdrachten van Google Assistent), de plekken waar ik geweest ben, waar ik woon en werk.
Wat ik wel in het overzicht mis zijn de links en advertenties waar ik op geklikt heb. Van de advertenties ben ik er bijna zeker dat ze dat opslaan. Van de kliks op de links in de zoekresultaten zullen ze ook wel bijhouden wie en wanneer ergens op klikt. Ook via de trackers van Google analytics zullen ze best veel informatie over je internet gedrag verzamelen. Dat is dan semi anoniem, want op basis van je IP-adres weten ze heus wel wie je bent.
Ze weten waarschijnlijk ook wel wie je vrienden, familie en collegas zijn aangezien men gewoon telefoonnummers met google delen met namen. Link het aan elkaar en je weet precies wie elkaar kent.
Je moet goed zoeken en dan kan je best veel vinden. Ik kan men niet voorstellen dat ze nog veel meer weten dan mijn hele zoekgeschiedenis (inclusief de gesproken opdrachten van Google Assistent), de plekken waar ik geweest ben, waar ik woon en werk. .
Juist wél! De dingen die je vrijwillig afstaat aan Google zijn slechts de parameters voor hun algoritmen om de blanco velden in te vullen.
Ik snap je punt niet helemaal. De gegevens die ik "vrijwillig" aan Google geef zijn netjes terug te vinden. Dat ze daar algoritmes op los laten betekent niet dat ze ineens nog meer van mij weten. Algoritmen geven over het algemeen een goed beeld van de massa, maar dat betekend niet automatisch dat ze ook per individu de juiste inschatting maken. Google is daar ook helemaal niet in geïnteresseerd. Als het voor het grootste deel maar een beetje klopt zijn ze dik tevreden.
Als ik kijk wat voor restaurants ik de laatste tijd als "aanbeveling" krijg is dat bijvoorbeeld gewoon om je rot te lachen. Ik heb Google al nodig om op te zoeken waar de plaatsen alleen al liggen. Dus kloppen met de werkelijkheid doet het niet altijd.
Daarom denk ik niet dat ze nog veel meer van mij weten dan wat ze ook laten zien.
Als persoon ben je niet uniek (met dat idee worden we wel opgevoed, maar dat is gewoon niet zo), dus met de parameters die jij afstaat kan men karakteristieken bepalen die je zelf nooit zou opgeven. Dat de daaruit resulterende advertentieruimte niet efficiënt wordt benut zegt niet zoveel.
Als individu ben je nog wel zo uniek dat lang niet alle gegevens die men met algoritmes probeert in te vullen ook kloppen. Het zijn daarom ook niet mijn gegevens (maar een inschatting van Google) en ik verwacht die ook niet terug te kunnen vinden als ik de verzamelde gegevens opvraag.
Inmiddels hebben ze een heel nieuwe truuk - ze veranderen die privacyvoorwaarden gewoon iedere paar weken op futiele punten. Ze weten donders goed dat iedereen het verschrikkelijk irritant vindt om steeds diezelfde lappen tekst door te lopen, bovendien ga je meestal naar Google met een bepaald (zoek)doel en is dit dus sowieso 'nasty surprise' ongewenst oponthoud, kortom hoe vaker je de boel update hoe groter de kans dat mensen op een gegeven moment gewoon 'ja fok it' denken en blindelings OK klikken.
Ik ben het allang zat ja, vooral dat je niet snel je keuzes kan aanvinken maar meerdere pagina's moet doorklikken en verschillende schermen moet openen. Top dat ze er in Frankrijk wel iets aan doen 👍
50 miljoen :+ :+ :O :O 8)7 8)7 |:( |:(
Letterlijk een druppel water op een hete plaat.

En CNIL heeft 100% gelijk : de wetgeving zegt oa dat de hele gegevensverwerkinguitleg oa voor iedereen begrijpbaar en duidelijk moet zijn wat je met zijn/haar gegevens uitspookt.
Ja, lees de 80 paginas ofzo van Google maar weer eens na. Zelfs een dozijn advocaten besluiten er 14 verschillende dingen door wat ze nu eigenlijk uitspoken, en de kans is groot dat ze zelfs dan nog verkeerd interpreteren wat Google ( en zij niet alleen ), met je gegevens uitspoken.
En zoals aangegeven, tegen dat die advocaten eruit zijn, heeft Google zijn voorwaarden weer met 5 zinnen aangepast.

Eigenlijk zou elke gebruiker zulke bedrijven moeten aanklagen bij zijn/haar privecycommisie, echter is de vraag of Jan-met-de-pet zelf elke keer 50 miljoen van Google zou krijgen, want dan zouden ze het pas voelen. Enige dat momenteel iets hebben aan die AVG, zijn de privecycommisies zelf, die de bedragen op hun rekening geschreven krijgen.

[Reactie gewijzigd door Falcon10 op 22 juli 2024 23:27]

de wetgeving zegt oa dat de hele gegevensverwerkinguitleg oa voor iedereen begrijpbaar en duidelijk moet zijn.
Maar dat is toch enorm relatief? Wat begrijpbaar en duidelijk voor de een is, is dat niet voor de ander. Ik snap wel dat bedrijven hiermee worstelen.

[Reactie gewijzigd door JorzoR op 22 juli 2024 23:27]

Het nettoresultaat van Google in het derde kwartaal ging van 6,7 miljard dollar in 2017 naar 9,2 miljard dollar in 2018. Het resultaat van het kwartaal ervoor was wel iets minder door de recordboete van 4,34 miljard dollar opgelegd door de EU vanwege het misbruiken van machtspositie met het mobiele besturingssysteem Android. Google is pretty much monopolist op de smartphone markt (ja je hebt ook nog IOS van Apple. Maar daar kleven ook nadelen aan)

Vijftig miljoen? Druppel. Gloeiende plaat.
Mooi spelletje van de overheden. Geen belasting innen maar wel boetes schrijven.
En die boetes zijn een lachertje voor dit soort bedrijven ook.
LOL. EU en zo. Zou nu iedere lidstaat hetzelfde kunnen doen?
Frankrijk trollt er op los.
Ja, iedere lidstaat apart kan Google hier een boete voor geven. Dan loopt het bedrag aardig op.

Op dit item kan niet meer gereageerd worden.