Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google krijgt boete van 50 miljoen euro voor onduidelijkheid over dataverwerking

De Franse privacywaakhond CNIL legt Google een boete op van 50 miljoen euro, omdat het zoekbedrijf de algemene verordening gegevensbescherming schendt. Het gaat om een gebrek aan transparantie en onduidelijke informatie bij toestemming voor gepersonaliseerde advertenties.

Volgens de CNIL gaat het om meerdere inbreuken op de algemene verordening gegevensbescherming. Bij dit onderzoek heeft de CNIL specifiek gekeken naar het proces dat gebruikers moeten doorlopen als ze een Google-account moeten aanmaken tijdens het configureren van mobiele apparaten die op Android draaien.

De privacywaakhond stelt dat de informatie die Google voorschotelt aan gebruikers niet eenvoudig toegankelijk is. Zo vindt de CNIL dat 'essentiële informatie' teveel verspreid is over verschillende documenten, waarbij er ook nog op verschillende knoppen en links moet worden gedrukt om de informatie te kunnen raadplegen. Het gaat dan bijvoorbeeld over het doel van dataverwerking, de duur van de gegevensopslag en de categorieën van persoonlijke data voor advertentiedoeleinden. Dit soort relevante informatie is volgens de toezichthouder soms pas zichtbaar na vijf of zes stappen.

Daar komt nog bij dat sommige informatie niet altijd duidelijk of volledig is. Dat leidt er volgens de CNIL toe dat gebruikers niet in staat zijn om de reikwijdte van de gegevensverwerking door Google geheel te doorgronden. De toezichthouder stelt dat bijvoorbeeld de doelen van de dataverwerking te vaag zijn omschreven, evenals de categorieën van dataverwerking. Verder is niet altijd de bewaartermijn van data omschreven en is er onduidelijkheid over de juridische basis voor het verwerken van gepersonaliseerde advertenties.

Verder constateert de Franse privacywaakhond dat de toestemming die gebruikers aan Google moeten geven, zodat hun data voor gepersonaliseerde advertenties inzetbaar is, om twee redenen niet geldig wordt verkregen. Ten eerste stelt de CNIL dat gebruikers over de toestemming onvoldoende worden geïnformeerd. Zo wordt het gebruikers in de sectie over gepersonaliseerde advertenties niet duidelijk dat het gaat om een veelheid aan diensten, websites en apps, waaronder Googles zoekmachine, YouTube, Google Maps en de Play Store. Daarnaast is de toestemming niet specifiek en ondubbelzinnig, stelt de CNIL. Van ondubbelzinnigheid is volgens de avg pas sprake als de gebruiker actief een actie moet ondernemen door bijvoorbeeld een vinkje te zetten; de privacywaakhond stelt vast dat de toestemming voor het tonen van gepersonaliseerde advertenties standaard al staat aangevinkt.

Het AFP meldt dat een woordvoerder van Google heeft laten weten dat het bedrijf zich sterk inzet om te voldoen aan de verwachtingen over transparantie en de voorwaarden die voortvloeien uit de algemene verordening gegevensbescherming. De woordvoerder stelt dat zijn bedrijf het besluit van de CNIL bestudeert, waarna bepaald wordt welke vervolgstappen worden genomen. Het is dus nog onbekend of Google de boete gaat aanvechten of hoe het precies gaat reageren op het besluit van de Franse toezichthouder.

Door Joris Jansen

Nieuwsredacteur

21-01-2019 • 17:35

79 Linkedin Google+

Reacties (79)

Wijzig sortering
Dag David, ik zie het je een paar keer doen, maar in Nederland zou ik gewoon naar de Nederlandse teksten van de AVG verwijzen. Die zijn namelijk leidend voor Nederland. Het is al ingewikkeld genoeg zonder te schakelen naar het Engels (ook voor de mensen die er wel veel mee werken). Interessant blog hierover:
https://iapp.org/news/a/gdpr-lost-in-translation/
- Het is niet duidelijk dat de toestemming geldig is voor een veelheid van diensten
Maar dat is natuurlijk de spagaat.
Of je krijgt, per dienst, een mooi document wat ze wel en niet delen.
Of je krijgt 1 document dat 'alles' dekt, maar dus ook meteen toestemming voor alles geeft.

Google GMail is een totaal andere dienst dan Search of News. En Android is weer anders.
Als je 1x toestemming zou geven, dan geef je bij Search al toestemming om in GMail te scannen. En geld die toestemming dan ook voor de mailclient van Android?

Met deze €50 miljoen hebben ze de aandacht van Google, maar hopelijk zorgen ze ervoor dat ze SAMEN duidelijkheid scheppen. Gewoon maar Google bashen heeft weinig zin, vooral omdat juist sommige kleinere bedrijven de regels veel erger aan hun laars lappen.
jij denkt dat je VPN provider niet iets van dataverzameling doet over all dat verkeer dat over hun netwerk gaat ?:P tig loopholes waardoor ze gewoon kunnen zeggen "wij verzamelen geen persoonlijke data"

[Reactie gewijzigd door dakka op 22 januari 2019 00:01]

AVG/GDPR is juist duidelijk. Je moet voor elke dataverwerking die niet strict noodzakelijk is voor de bedrijfsvoering toestemming vragen, het is in principe echt uiterst simpel. Het is allemaal heel moeilijk verwoord en er komen ook veel meer zaken bij kijken dan het beetje rondsurfen en shit posten zoals we hier doen.

En die toestemming moet je in jip en janneke taal kunnen verwoorden, zo niet. Dan doe je wat verkeerd en doe je meer met die data dan goed is voor de privacy van de end-user. Als het strict noodzakelijk is voor de bedrijfsvoering en goede werking van een site of dienst, hoef je namelijk niet zo moeilijk te doen met het vragen van toestemming tot van alles en nog wat. Maar men doet natuurlijk altijd wat anders met die gegevens, hè :)

Er is geen wetgeving van "dit mag niet" (of naja, ook wel, maar in deze discussie niet echt van toepassing). Er is een wetgeving van "Wil je dit, vraag de gebruiker daar dan maar lekker toestemming voor".

[Reactie gewijzigd door batjes op 21 januari 2019 18:31]

Klopt, eens! Een heleboel mag juist wel van de AVG, zolang je 't maar op tafel legt. En ja, ik vind ook dat Google 't duidelijk moet doen, maar probeer je gegevens maar eens op te vragen bij bv Ziggo. Dán ben je pas ook lang bezig (uitdaging voor ieder hier: vraag ziggo eens om wat zij opslaan van data die door je mediabox gegenereerd wordt: succes!.
Dus ja, ik vind ook dat Google het duidelijk in Jip-Janneke moet doen, maar aan de andere kant, als een bedrijf het weer té eenvoudig doet, fileren mensen (juristen) ze wel er weer op dat niet àlles er weer in staat.
probeer je gegevens maar eens op te vragen bij bv Ziggo. Dán ben je pas ook lang bezig
Helaas stelt de GDPR in artikel 15 inderdaad geen uiterste termijn waarbinnen iemand antwoord moet hebben gekregen. De term 'binnen redelijke termijn' valt daar niet eens. In principe kan een tegenpartij dus eindeloos traineren zolang ze bij herhaaldelijk contact maar elke keer terugsturen: "we zijn er nog mee bezig..."

Leuke loop-hole trouwens ...
[...]

Natuurlijk moet Google zich aan de regels houden als ieder ander, maar kan iemand mij wijzen waar in wetgevingen staat dat 't niet mag na X klikken? Het probleem met veel zaken als AVG/GDRP is, dat de regels/wetgeving niet nauwkeurig of ondubbelzinnig is. Er is geen jurisprudentie, je kant 't nooit goed doen bijna. Bedrijven als Google bashen is makkelijk, maar ik denk dat 95% van de bedrijven in NL niet 100% aan de AVG voldoet.
Dus mag Google doen wat ze willen, omdat er ook andere bedrijven zijn die de boel niet goed voor elkaar hebben ?
Nee, zeg ik ook niet toch? Heb 't zelfs bold staan...

[Reactie gewijzigd door Tjark op 21 januari 2019 23:20]

Ik heb zojuist een Android One telefoon ingesteld voor iemand en kwam tot mijn verbazing erachter dat Google standaard periodiek mag kijken naar omliggende wifi en bluetooth netwerken ook al staan deze uit vanuit de instellingen.

Dat ze dingen scannen als het aan staat kan ik enigszins begrijpen dat Google dat doet, maar als ik iets uitzet dan zet ik het ook uit en wil ik niet dat google uit zich besluit het aan te zetten om te kijken wat voor informatie er te vinden is.


Ik ben blij dat ik geen google zooi gebruik zelf want dit is een van de vele voorbeelden van inbreuk.
"Natuurlijk moet Google zich aan de regels houden als ieder ander, maar kan iemand mij wijzen waar in wetgevingen staat dat 't niet mag na X klikken?"

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

(39) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn

Met andere woorden, obfuscatie-truuken (= jouw 'na X klikken') is dus niet de bedoeling.
Tjah, als je eerst door 400 menus heen moet, haakt een ieder wel af, dat is gewoon met opzet mensen proberen te stoppen.
Dat kan wel! Op basis van de AVG kunnen bewdrijven een boete krijgen van maximaal 10.000.000 euro of 2 % van de wereldwijde jaaromzet. Dat is voor bedrijven die veel winst maken dus hoger dan voor bedrijven die minder winst maken.
Was volgens mij 20mil of 4%
Is dat anders geworden?

[Reactie gewijzigd door R4gnax op 21 januari 2019 22:49]

Even nagezocht: je hebt gelijk!
Dat maximum van 10 miljoen of 2 % geldt enkel voor de meer procedurele/administratieve schendingen (artikel 83 lid 4 van de AVG). Op meer inhoudelijke schendingen (lid 5) en het niet luisteren naar toezichthouders (lid 6) staat maximaal 20 miljoen of 4 %!
Dat is nog steeds een peulenschil voor google
Ook bedrijven die geen winst maken kunnen een hoge omzet hebben. Tesla maakt best wat omzet maar grote winsten maken ze nog niet.
Omzet is wat anders dan winst. Voor bedrijven met een hoge omzet en lage winst dus extra pijnlijk ;)
Goed punt, had er niet op deze manier naar gekeken.
Werkt dat daadwerkelijk zo?
28 EU landen,
Max 4% boete
Als we er vanuit gaan dat elk land de macimale boete aan hetzelfde bedrijf geeft is dat 112% van de wereldwijde jaaromzet.
Ja, dat zou kunnen. En Google heeft genoeg geld op de bankrekening om dat te betalen.
Ik ben me al een tijdje aan het ontgooglen.
Drive vervangen door Stack, zoeken op duckduckgo, youtube door vimeo. Zit enkel nog met gmail. Dat heeft helaas wat meer voeten in de aarde om zo maar even op te zeggen, maar goed, daar komt weinig boeiends op binnen.

Zakelijk helaas wel nogal wat diensten die ik niet zomaar kan missen. GSuite (mail en drive (ivm samenwerking met andere bedrijven) Analytics, webmastertools dat zijn toch wel handige dingen.
Ik gebruik zelf protonmail. Het is zwitsers en goed aangeschreven vanuit een privacy oogpunt.

Ook hoor ik veel goede verhalen van tutanota, al heb ik er zelf geen ervaring mee.
Zelfde hier, alleen gebruik ik nog alleen YouTube en Android van Google, de rest van alle Apps/sites van Google gebruik ik niet meer, en ja ik gebruik duckduckgo, gebruik buiten die twee zo min mogelijk producten van Google.

En ja €50 miljoen is NIKS voor zo een enorme bedrijf als Google, dat is letterlijk zak centjes.

[Reactie gewijzigd door AmigaWolf op 21 januari 2019 18:46]

Als deze boete standhoud in de rechtbank, dan kunnen de volgende -hogere- vervolg boetes makkelijker gegeven worden.
In het vervolg kun je niet veel hogere boetes uitdelen aangezien de rechter dan zegt: Bij partij A was de boete €x,00 en de zamen zijn vergelijkbaar. Waarom zou Partij B 2x moeten betalen?
Deze boetes hebben natuurlijk nauwelijks tot helemaal geen nut of effect.
Één zo'n boete niet, maar de hoeveelste keer is dit wel niet dat Google/Facebook/... een miljoenenboete krijgen van een of ander land. Samen moet het toch aardig door beginnen te tellen. Er zijn ongetwijfeld al een paar aandeelhouders komen klagen dat ze zonder die boetes nog meer hadden kunnen verdienen.
De reden dat ze überhaupt een boete ontvangen moet voor mensen wel een duidelijk signaal zijn om toch maar eens naar Google-vervangers te gaan kijken. Hoe moeilijk dit ook is.
Dat is sowieso een uitstekend plan. Nooit al te veel afhankelijk worden van één bedrijf, en zeker niet zo'n bedrijf als Google waar je deel van het product bent en zelf eigenlijk geen rechten hebt.
Je moet goed zoeken en dan kan je best veel vinden. Ik kan men niet voorstellen dat ze nog veel meer weten dan mijn hele zoekgeschiedenis (inclusief de gesproken opdrachten van Google Assistent), de plekken waar ik geweest ben, waar ik woon en werk.
Wat ik wel in het overzicht mis zijn de links en advertenties waar ik op geklikt heb. Van de advertenties ben ik er bijna zeker dat ze dat opslaan. Van de kliks op de links in de zoekresultaten zullen ze ook wel bijhouden wie en wanneer ergens op klikt. Ook via de trackers van Google analytics zullen ze best veel informatie over je internet gedrag verzamelen. Dat is dan semi anoniem, want op basis van je IP-adres weten ze heus wel wie je bent.
Ze weten waarschijnlijk ook wel wie je vrienden, familie en collegas zijn aangezien men gewoon telefoonnummers met google delen met namen. Link het aan elkaar en je weet precies wie elkaar kent.
Je moet goed zoeken en dan kan je best veel vinden. Ik kan men niet voorstellen dat ze nog veel meer weten dan mijn hele zoekgeschiedenis (inclusief de gesproken opdrachten van Google Assistent), de plekken waar ik geweest ben, waar ik woon en werk. .
Juist wél! De dingen die je vrijwillig afstaat aan Google zijn slechts de parameters voor hun algoritmen om de blanco velden in te vullen.
Ik snap je punt niet helemaal. De gegevens die ik "vrijwillig" aan Google geef zijn netjes terug te vinden. Dat ze daar algoritmes op los laten betekent niet dat ze ineens nog meer van mij weten. Algoritmen geven over het algemeen een goed beeld van de massa, maar dat betekend niet automatisch dat ze ook per individu de juiste inschatting maken. Google is daar ook helemaal niet in geïnteresseerd. Als het voor het grootste deel maar een beetje klopt zijn ze dik tevreden.
Als ik kijk wat voor restaurants ik de laatste tijd als "aanbeveling" krijg is dat bijvoorbeeld gewoon om je rot te lachen. Ik heb Google al nodig om op te zoeken waar de plaatsen alleen al liggen. Dus kloppen met de werkelijkheid doet het niet altijd.
Daarom denk ik niet dat ze nog veel meer van mij weten dan wat ze ook laten zien.
Als persoon ben je niet uniek (met dat idee worden we wel opgevoed, maar dat is gewoon niet zo), dus met de parameters die jij afstaat kan men karakteristieken bepalen die je zelf nooit zou opgeven. Dat de daaruit resulterende advertentieruimte niet efficiënt wordt benut zegt niet zoveel.
Als individu ben je nog wel zo uniek dat lang niet alle gegevens die men met algoritmes probeert in te vullen ook kloppen. Het zijn daarom ook niet mijn gegevens (maar een inschatting van Google) en ik verwacht die ook niet terug te kunnen vinden als ik de verzamelde gegevens opvraag.
de wetgeving zegt oa dat de hele gegevensverwerkinguitleg oa voor iedereen begrijpbaar en duidelijk moet zijn.
Maar dat is toch enorm relatief? Wat begrijpbaar en duidelijk voor de een is, is dat niet voor de ander. Ik snap wel dat bedrijven hiermee worstelen.

[Reactie gewijzigd door JorzoR op 22 januari 2019 08:46]

Mooi spelletje van de overheden. Geen belasting innen maar wel boetes schrijven.
En die boetes zijn een lachertje voor dit soort bedrijven ook.
Ja, iedere lidstaat apart kan Google hier een boete voor geven. Dan loopt het bedrag aardig op.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True