Toezichthouder AP hoeft niet op te treden tegen Google in Consumentenbondzaak

De Autoriteit Persoonsgegevens hoeft niet op te treden tegen Google in een zaak van de Consumentenbond. Die laatste eiste dat de privacytoezichthouder zou optreden tegen Google, maar de rechter zegt dat dat op Europees niveau moet worden uitgevochten.

De zaak draait om een klacht die de Consumentenbond in 2018 indiende tegen Google. Dat deed de bond samen met consumentenorganisaties uit Zweden, Noorwegen en Tsjechië. De Consumentenbond stelt dat Google in Android op misleidende wijze probeert om gebruikers over te halen hun locatiegeschiedenis in te schakelen. In 2020 had de Autoriteit Persoonsgegevens daar nog geen besluit over genomen. Daarop stapte de Consumentenbond naar de rechter. Die geeft de bond nu ongelijk.

De rechtbank zegt dat de AP niet zelf onderzoek hoeft te doen naar Google, omdat dat al door de Ierse toezichthouder gebeurt. "Het beeld is dat, nu het Europese hoofdkantoor van Google gevestigd is in Ierland, de Ierse autoriteit bevoegd is om op te treden als leidende toezichthouder", schrijft de rechter. De AP kan wel met de Ierse DPC samenwerken, maar hoeft zelf dus geen eigen onderzoek in te stellen.

Die uitspraak is niet verrassend, maar volgt wel een bekend pijnpunt van de AVG. Veel techbedrijven hebben hun Europese hoofdkantoren in Ierland zitten, wat betekent dat de Ierse Data Protection Commission in de eerste plaats verantwoordelijk is voor een onderzoek. Hoewel de DPC een handvol grote boetes heeft uitgedeeld, storen veel andere toezichthouders en privacyvoorvechters zich aan de vaak lakse houding van de DPC. Vorig jaar ontstond er wel een doorbraak in die zwakke schakel van het zogenaamde eenloketmechanisme. Toen concludeerde het Europees Hof van Justitie dat toezichthouders in andere landen onder bepaalde voorwaarden alsnog zelf mogen optreden. Een zo'n voorwaarde kan zijn als de hoofdtoezichthouder 'essentiële dialoog mijdt' met andere toezichthouders.

Op een ander punt geeft de rechter de Consumentenbond verder wel gelijk. De bond is volgens de rechter wel degelijk belanghebbende in de zaak. De AP had aangevoerd dat de Consumentenbond niet belanghebbend was omdat het niet direct sprak namens een groep slachtoffers. Een stichting kan dat bijvoorbeeld wel doen. Daar is de rechter het niet meer eens: "Volgens de de statutaire doelstelling komt de Consumentenbond op voor een algemeen en collectief belang en zich in dit kader met de genoemde feitelijke werkzaamheden in het bijzonder richt op voorkoming van misstanden op het gebied van de privacy van consumenten", schrijft de rechter. Daarom kan de Consumentenbond dus verzoeken om een onderzoek namens Nederlanders.

De Consumentenbond zegt teleurgesteld te zijn in de uitspraak. "Dit is een tegenslag voor consumenten", zegt directeur Sandra Molenaar. "Zij zijn gedwongen te wachten op een uitspraak van de Ierse toezichthouder, maar dat doen ze al ruim 3 jaar. En intussen blijven de overtredingen onbestraft. Dat is enorm frustrerend. De AP moet meer doen om dat proces te bespoedigen." Ook zegt ze dat 'de manier waarop het Europese toezicht is ingericht echt tekortschiet'.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-01-2022 12:32 28

19-01-2022 • 12:32

28

Lees meer

Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek
Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek Nieuws van 1 maart 2023
Google gaat 'gevoelige locaties' automatisch uit locatiegeschiedenis verwijderen
Google gaat 'gevoelige locaties' automatisch uit locatiegeschiedenis verwijderen Nieuws van 2 juli 2022
Achterstand klachten bij privacytoezichthouder is opgelopen tot meer dan 10.000
Achterstand klachten bij privacytoezichthouder is opgelopen tot meer dan 10.000 Nieuws van 20 april 2022
Twitter moet van Franse rechter inkijk geven in moderatiebeleid
Twitter moet van Franse rechter inkijk geven in moderatiebeleid Nieuws van 20 januari 2022
Derde Nederlandse claim tegen TikTok wil 6 miljard euro schadevergoeding
Derde Nederlandse claim tegen TikTok wil 6 miljard euro schadevergoeding Nieuws van 7 september 2021
Consumentenbond start rechtszaak tegen TikTok wegens privacyschending
Consumentenbond start rechtszaak tegen TikTok wegens privacyschending Nieuws van 31 augustus 2021
Consumentenbonden EU dienen klacht in tegen WhatsApp wegens 'druk op gebruikers'
Consumentenbonden EU dienen klacht in tegen WhatsApp wegens 'druk op gebruikers' Nieuws van 12 juli 2021
Rechtszaak over compensatie van Facebook aan Nederlandse gebruikers kan doorgaan
Rechtszaak over compensatie van Facebook aan Nederlandse gebruikers kan doorgaan Nieuws van 2 juli 2021
Groep van internationale consumentenbonden wil dat monitoring voor reclame stopt
Groep van internationale consumentenbonden wil dat monitoring voor reclame stopt Nieuws van 24 juni 2021
Consumentenbond eist 1,5 miljard euro schadevergoeding van TikTok
Consumentenbond eist 1,5 miljard euro schadevergoeding van TikTok Nieuws van 24 juni 2021
Meer producten en artikelen
Politiek en recht Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens

Reacties (28)

-Moderatie-faq
28
28
16
6
0
8
Wijzig sortering

Sorteer op:

Weergave:
Floort
19 januari 2022 13:04
Het probleem dat hier naar voren komt is dat het one-stop-shop mechanisme niet lijkt te werken zoals het ontworpen is. Het idee is dat je als Nederlandse burger (of als de Consumentenbond) een klacht bij de Nederlandse toezichthouder kan indienen en dat de Nederlandse toezichthouder zorgt dat de klacht netjes wordt afgehandeld door de LSA (leidende toezichthouder). Zolang er besluiten genomen worden lijkt dat mechanisme redelijk te werken. Maar bij gebrek aan actie moet je als Nederlander de AP kunnen aanspreken via het Bestuursrecht. Daar gaat het fout omdat de AP de termijn voor het nemen van een besluit voor onbepaalde termijn opschort omdat het wacht op input van een buitenlandse organisatie (Art. 4:15 lid 1.b Awb). Dat opschorten mag zolang dat redelijk is. Helaas is in deze uitspraak niet expliciet afgewogen of verder uitstel nog redelijk is. De rechter lijkt bijna aan te geven dat de AP überhaupt niet kan worden aangesproken op het uitblijven van een besluit. Ik vind deze uitspraak zorgelijk voor rechtsbescherming van mensen die klachten indienen. Het is zo bijzonder moeilijk om de AP aan te spreken op onredelijke termijnen.
bbob
@Floort19 januari 2022 13:33
De oplossing is een centrale eu toezichthouder en dus niet de toezichthouder in het land waar het bedrijf uit strategische redenen voor gekozen heeft. Je moet je afvragen of Ierland dit bewust niet frustreert. Het lijkt er eerder op dat Ierland voor deze bedrijven wil houden en hun toezichthouders te weinig geld geeft waardoor ze of te weinig geld hebben voor onderzoek of gewoon de boel bewust frustreren.

Dit soort bedrijven weet exact wat ze doen waar ze zich vestigen en hoe ze de boel kunnen frustreren. Ondertussen staat de politiek te kijken, loopt achter de feiten aan en gaat nog steeds van het goede van dit soort bedrijven uit.

Nieuwe EU regel die dit oplost is heel simpel.
Bied u diensten aan in minimaal 3 eu landen
Is uw omzet boven de x miljoen
Dan valt u automatisch onder de EU toezichthouder.
Floort
@bbob19 januari 2022 13:41
Ik denk dat dit probleem al kan worden opgelost met een lichte aanscherping van art 78(2) AVG. Bijvoorbeeld door na de eerste drie maanden een periodieke update voor te schrijven (bijv. elke maand daarna). Of door bijvoorbeeld een termijn voor te schrijven waarbinnen een klacht afgerond moet zijn tenzij uitzonderlijke omstandigheden van toepassing zijn.
bbob
@Floort19 januari 2022 13:44
Dat doet niet af aan het feit dat het nog steeds via Ierland moet lopen.
De AP kan op verschillende manieren op een klacht reageren. Ze hebben geen plicht een melding diepgaand te onderzoeken, pas als een rechter ze dat opdraagt kunnen ze daartoe verplicht worden.
Zou zeggen lees de website van de AP na ze hebben nog steeds veel vrijheden met een klacht om te gaan richting een bedrijf.
Floort
@bbob19 januari 2022 14:01
De AP is verplicht om klachten passend te behandelen, maar er is vrij veel beleidsvrijheid om te bepalen wat in welke situatie passend is. Om daar een beetje houvast in te geven heeft de AP een prioritiseringsbeleid. Maar ik denk niet dat dat beleid nu heel veel houvast bied. Wat het nog meer verwarrend maakt is dat een klacht onder de AVG niet precies hetzelfde is als een verzoek om een beschikking te nemen onder de Awb en dat de AP door de tijd heen daarover geen consistente interpretatie heeft gehanteerd. Die onduidelijkheid kan worden weggenomen door in de AVG een clausule op te nemen over behandeltermijnen.

Dat neemt niet weg dat de AP relatief veel vrijheid heeft (en nog meer vrijheid neemt) in hoe klachten worden behandeld. Voor een deel is dat volkomen terecht en voor een deel zie ik de AP wat onzorgvuldige stappen nemen om klachten af te wijzen waar ik sterke twijfels bij heb.

En bedankt voor de verwijzing naar de website van de AP. In aanvulling daarop kan ik oprecht aanraden om een paar klachten in te dienen bij de AP om te kijken hoe dat in de praktijk gaat en om bij de AP te werken om ook daadwerkelijk klachten af te handelen. Beide zijn zeer leerzaam en super nuttig.
bbob
@Floort19 januari 2022 14:39
Het een klacht ingediend bij Mollie een payment provider over 1 van hun klanten.
Mollie heeft zonder mijn toestemming mijn persoonlijke gegevens met hun klant gedeeld.
Klacht bij mollie ingediend en dit had niet mogen gebeuren was het antwoord.
Klacht ingediend met AP, conclusie, we sturen mollie een brief.
Mollie een bedrijf dat ondertussen miljarden waard is, payment provider dus met persoonlijke data zou moeten weten om te gaan krijgt een brief. Mollie vergelijk is dan niet met een privacy klacht tegen een willekeurig klein bedrijf, denk dat ook AP moeten weten dat ene bedrijf niet het andere is en zeker bij een payment provider moet dit niet kunnen. AP maakt zich hier te eenvoudig van af.
Karel Knip @bbob19 januari 2022 14:14
Liever geen centrale EU toezichthouder, want dan heb je als burger helemaal geen enkele invloed meer. We moeten dit in eigen land goed regelen, en ons niet afhankelijk maken van de onwil van andere landen, zoals nu het geval is.
MicGlou @Karel Knip19 januari 2022 14:21
Het zal dan een manier van verder opschalen zijn... uiteraard moeten we zelf een goede toezichthouder hebben, maar zoals in dit geval wordt het lastiger omdat je dus te maken hebt met een bedrijf wat opereert buiten onze eigen grenzen, dan is een toezichthouder wiens armen verder strekken wel handig.
bbob
@Karel Knip19 januari 2022 14:35
We kunnen dit in eigen land niet regelen omdat er EU regels zijn. Die regels zijn duidelijk, One stop.
Lokaal doe je daar niets aan.
Grote bedrijven weten dat kiezen Ierland en dus blijven we achter de feiten aanlopen.
Met een EU toezichthouder kun je voorkomen dan men kiest voor landen met slecht toezicht.
Fermion @Floort19 januari 2022 13:34
Ok, ik draai de zaken nu even om, wat heeft Brein dan te doen met aanvechten van illegale torrent sites? Sites bevinden niet in Nederland en meerendeel van de rechthebbenden voor films ook niet.

Als ik de lijn doortrek, dan moet Brein rustig in een hoekje zitten.

[Reactie gewijzigd door Fermion op 23 juli 2024 08:16]

KwakA 19 januari 2022 12:58
Ja we mogen echt veel verwachten van de Ierse DPC:
https://noyb.eu/en/irish-...ure-criminal-report-filed
Helium-3 19 januari 2022 12:35
Opzich helemaal mee eens dat dit (uiteindelijk) op Europees niveau moet worden uitgevochten, maar toch jammer dat de Nederlandse AP minder 'ballen' heeft dan de Oostenrijkse AP ;)

Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR
https://tweakers.net/nieu...s-in-strijd-met-gdpr.html

[Reactie gewijzigd door Helium-3 op 23 juli 2024 08:16]

Erik1337 @Helium-319 januari 2022 13:07
maar toch jammer dat de Nederlandse AP minder 'ballen' heeft dan de Oostenrijkse AP ;)
Dat valt reuze mee. Onze eigen AP is momenteel bezig met een onderzoek en Google Analytics wordt mogelijk verboden door de AP.

https://www.autoriteitper...bezoekers-beschermen-4898
Tc99m @Helium-319 januari 2022 12:46
Het gaat niet om 'ballen' maar of de Nederlandse AP de juiste partij is om het onderzoek te doen, en dat is dus in dit geval niet zo. Misschien dat de regels en wetgeving hieromtrent tekortschieten, maar de AP kan en mag die niet eigenhandig veranderen, dat is een taak van de wetgever. Sterker nog: als de AP buiten haar bevoegdheden gaat optreden, is de kans groot dat een boete of sanctie door een rechter wordt verworpen omdat de wettelijke basis ontbreekt, en is alle moeite voor niks geweest.

Het onderzoek dat de Oostenrijkse toezichthouder doet gaat overigens over iets anders (Google Analytics) dan dit onderzoek (opslaan locatiegegevens) naar Google. Dus dat heeft er verder niks mee te maken.
Iblies @Tc99m19 januari 2022 14:08
De uitspraak is dan ook compleet ridicuul gezien eerdere uitspraak van Hof,
nieuws: Privacytoezichthouders mogen zelf onderzoek doen als andere EU-landen...
Het Europees Hof erkent dat onder de AVG één autoriteit het voortouw neemt in een privacyonderzoek. Maar, zegt het Hof, dat hoeft niet de standaard te zijn. Er zijn voorwaarden denkbaar waarop het one-stop shop-mechanisme niet hoeft te gelden. Dat kan volgens het Hof als de hoofdtoezichthouder 'essentiële dialoog mijdt' tussen andere toezichthouders die bij het onderzoek betrokken zijn. Ook mag een hoofdtoezichthouder de inzichten van andere toezichthouders niet negeren. Als dat toch gebeurt, is het mogelijk dat de zaak alsnog door een nationale toezichthouder voor de rechter kan worden gebracht in dat specifieke land.
Ruim 2/3 van Nederland heeft een android-toestel, dan heb je het over 10mln mensen.
Als je vervolgens als rechtbank gaat beweren dat de nationale toezichthouder nog steeds niks te vertellen heeft, dan zijn we elkaar voor de gek aan het houden.
Hoop dan ook van harte dat ze of in beroep gaan of dat het in de tweede kamer langs zal komen.


In de VS is daarbij ook soortgelijke wetgeving waarbij je landelijk niks verkeerd kan doen,
maar op staten-niveau kan de wetgeving een heel stuk strenger zijn.

nieuws: Facebook schikt voor 550 miljoen dollar in zaak over gezichtsherkenning
Facebook heeft een schikking getroffen in een collectieve rechtszaak met gebruikers uit Illinois over het gebruik van gezichtsherkenning. Het sociale netwerk betaalt 550 miljoen dollar als schadevergoeding en voor het dekken van juridische kosten.

Een groep inwoners van Illinois spande een rechtszaak aan omdat ze vonden dat Facebook met het gebruik van gezichtsherkenning in overtreding is van de Biometric Information Privacy Act van de Amerikaanse staat.
gedonie @Iblies19 januari 2022 16:00
Hoe maakt een eerdere uitspraak dat een privacy toezichthouder een onderzoek mag doen deze uitspraak ridicuul. Immers de AP heeft overwogen en besloten het niet te doen, wat hun keuze is. Let wel dat er ook keuzes worden gemaakt door beperkte capaciteit binnen de AP, zeker als andere toezichthouders ook al exact hetzelfde onderzoeken.

Het zou van de zotte als een particuliere partij een rechtszaak start tegen een toezichthouder om die te dwingen een rechtszaak te starten tegen een andere particuliere partij. Als de consumentenbond denkt dat Google de wet overtreedt kunnen ze ook zelf een rechtszaak tegen Google starten.
bbob
@Tc99m19 januari 2022 13:37
De AP kiest er zelf voor geen onderzoek te doen.
De rechter kan ze niet dwingen.
Het staat de AP vrij zelfstandig onderzoek in te stellen, hier kiezen ze "bewust" niet voor.

nieuws: Privacytoezichthouders mogen zelf onderzoek doen als andere EU-landen...
Er zijn wettelijke grondslagen dat de AP wel onderzoek kan instellen. Wederom kan instellen niet verplicht.
Dus ook hier de AP zou het kunnen doen maar doet het niet. Dat is zorgelijk. Zie mijn commentaar hierboven. Voor bedrijven die aan bepaalde voorwaarden voldoen zou gewoon een EU toezichthouders verantwoordelijk moeten zijn.
Je kan namelijk stellen dat deze bedrijven bewust voor Ierland kiezen ook vanwege de al jaren lakse houding van de toezichthouders daar.
Helium-3 @Tc99m19 januari 2022 12:52
Zoals ik het hier lees wordt gezegd tegen de consumentenbond: De AP hoeft hier geen onderzoek te doen. Dat onderzoek doen betekent, naar wat ik weet "het uitvoeren van de wet" en niet het eigenhandig interpreteren of wetten maken. Dat uitvoeren/handhaven/controleren is juist de functie die de AP heeft in mijn gedachtes, dus daar kan je als consument(enbond) heen stappen als je misstanden vermoed. Verder weet ik er eigenlijk ook niet alles van.

Maar verder heb je waarschijnlijk wel gelijk.
Verwijderd @Helium-319 januari 2022 13:28
Opzich helemaal mee eens dat dit (uiteindelijk) op Europees niveau moet worden uitgevochten, ...
Alleen is dit een ietwat opmerkelijke definitie van Europees niveau; het gaat immers om de nationale (in dit geval Ierse) toezichthouder die de zaak voor heel Europa in behandeling neemt.
WillySis
19 januari 2022 12:44
Het Europees hoofdkantoor van Google zit in Dublin (Ierland). Dat maakt volgens de afspraken dan de Ierse variant van de AP in eerste instantie verantwoordelijk is op zaken tegen Google aan te pakken. Dat betekent overigens niet dat de Nederlandse AP dat niet mag.
De Ierse AP is door de vele grote techbedrijven die hun hoofdkantoor in Ierland hebben gevestigd behoorlijk overbelast en Ierland heeft (begrijpelijk) geen zin om in Ierland een enorme AP op te zetten. Hier blijkt dus duidelijk dat de Europese afspraken niet goed zijn overdacht en het systeem gemakkelijk kan falen.
GoBieN-Be @WillySis19 januari 2022 12:49
Ik denk dat de Ierse overheid bewust zijn AP niet te streng laat optreden om zo een aantrekkelijke plek te zijn voor Amerikaanse bedrijven om hun hoofdkantoor van hun EU dochter te vestigen.
WillySis
@GoBieN-Be19 januari 2022 13:01
Ierland was vooral belastingtechnisch al langer aantrekkelijk. De AP is daarna gekomen. Of Ierland bewust de investering in hun AP laag houdt om aantrekkelijk te blijven voor de grote techbedrijven zou ik niet direct durven te beweren. Kan me wel voorstellen dat ze niet meer willen investeren dan het gemiddelde Europese land.
bbob
@WillySis19 januari 2022 13:38
Ik durf het gewoon te beweren dat Ierland bewust niet investeert.
De deal met apple om via Ierland belasting te omzeilen in ook veroordeeld. Ierland zelf ging in beroep. Niet apple maar Ierland, dan verdedig je dus met hand en tand dit soort bedrijven.
WillySis
@bbob19 januari 2022 17:18
Ierland was/is van mening dat het zelfstandig is om belasting te heffen en eventueel korting te verlenen. Een verlies in de zaak rond Apple heeft veel meer gevolgen dan alleen de deal met Apple. Apple was zelf overigens helemaal geen partij in die zaak.
De belastingdeals van Ierland waren succesvol. Er zijn veel internationale bedrijven in en rond Dublin neergestreken en dat is wel een flinke boost voor Dublin en de regio geweest.

Met AP zaken ligt het toch wel wat anders. De Ierse AP heeft te maken met partijen als Microsoft, Meta en Google. Als je daar serieus onderzoek naar moet doen heb je veel mensen nodig. Ierland zou dan minimaal drie maal zoveel geld moeten steken in hun AP dan het gemiddelde van de Europese landen. Nu zitten ze net bovenin de middenmoot. Ik kan me voorstellen dat de Ierse belastingbetaler er niet op zit te wachten als men besluit om het budget voor de AP (op hun kosten) drie keer zo hoog te maken. De baten van de opgelegde boetes gaan voor het grootste deel naar Europa.
De fout zit dus meer bij de onderlinge afspraken. Men had gewoon een overkoepelende Europese AP moeten oprichten voor zaken tegen de techgiganten van buiten Europa, of de diverse landen naar verhouding financieel moeten ondersteunen om de onderzoeken tegen de techgiganten uit te kunnen voeren.
Karel Knip @WillySis19 januari 2022 14:25
In Nederland geldt eigenlijk hetzelfde. Ook hier eist de meerderheid dat onze AP onvoldoende budget moet krijgen om haar taken uit te voeren, en krijgt die meerderheid dus haar zin. We leven nu eenmaal in een samenleving die geen ruk om privacy geeft.
Jester-NL 19 januari 2022 12:44
@TijsZonderH
(...)Veel techbedrijven hebben hun Europese hoofdkantoren in Europa Ierland zitten(...)
wankel 19 januari 2022 13:15
Veel techbedrijven hebben hun Europese hoofdkantoren in Europa zitten,
Praktisch!
darknessblade 19 januari 2022 13:51
Niet op europees niveau aanvechten. maar gewoon per land apart.

Dan is de boete ineens vele malen hoger, omdat elk land dan de maximale boete kan rekenen.

En als ze het op europees niveau aanvechten is het maar 1 boete die daarna verdeelt moet worden over alle EU lidstaten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq