Europese miljoenenboete voor Google: heeft het echt zin? (gastbijdrage)

Door: Noah Korevaar - 1 reactie

Google is het eerste grote internetbedrijf dat onder de Europese privacywet (GDPR/AVG) een fikse boete heeft gekregen. De Franse telecomwaakhond CNIL meent dat de zoekgigant de wet overtreedt en wil 50 miljoen euro zien.

Vandaag gaan we iets dieper in op boetes onder de AVG en wat een veroordeling of vrijspraak van Google zou betekenen voor Privacy in Europa. Dit artikel is een gastbijdrage van Joost Krapels, IT consultant en privacyexpert bij ICT Institute.

Even opfrissen: AVG/GDPR

De AVG heeft tot doel de persoonsgegevens van Europese inwoners en klanten van Europese bedrijven te beschermen. Dit is gedaan door consumenten extra rechten te geven, zoals het recht op inzage en recht om vergeten te worden. Ook hebben bedrijven die onder de wetgeving vallen verplichtingen gekregen, zoals de verplichting om bekend te maken welke gegevens hoe verwerkt worden.

Tot slot zijn er ook beperkingen aan bedrijven opgelegd: persoonsgegevens mogen alleen voor een bepaald doel verzameld worden, en er mag niet meer verzameld worden dan voor dat doel nodig is. Toestemming van gebruikers is alleen geldig als zij precies weten waar toestemming voor gegeven wordt en de toestemming moet volledig vrij zijn.

Waar wordt Google van beschuldigd?

Binnen drie dagen nadat de AVG van kracht werd, ontving de Franse privacytoezichthouder CNIL meer dan 10.000 klachten over Google’s proces van toestemming vragen. Een onderzoek werd ingesteld, en na enkele maanden kwam CNIL tot de conclusie dat Google de privacywetging op meerdere punten overtrad en nog steeds overtreedt. In een publicatie liet zij eergisteren weten dat Google niet transparant genoeg was wat betreft de verwerking van persoonsgegevens, dat gebruikers niet weten waar zij toestemming voor geven, en dat de toestemming niet vrij en specifiek is.

Toezichthouders

Omdat de AVG Europese regelgeving is, is het erg lastig om alle bedrijven die er onder vallen vanaf een centraal punt in de gaten te houden. De Europese Commissie heeft daarom de eis gesteld dat alle lidstaten een toezichthouder instellen, die de naleving van de AVG in dat land controleert. In Nederland is deze toezichthouder bijvoorbeeld de Autoriteit Persoonsgegevens, in Groot-Brittannië de (ICO) en in Frankrijk dus de Commission Nationale de l’Informatique et des Libertés (CNIL).

Deze toezichthouder hebben de bevoegdheid om boetes op te leggen aan bedrijven die in overtreding zijn. Deze boetes, die tot wel 4% van de jaaromzet van een bedrijf kunnen oplopen, zijn verreweg het bekendste deel van de nieuwe privacywetgeving. De toezichthouders hoeven echter niet altijd de maximumboetes te geven; zij mogen ook naar eigen inzicht straffen. CNIL heeft besloten om een lagere boete op te leggen, in plaats van de €4,3 miljard (4% van Google’s jaaromzet in 2017). De toezichthouder meldt dat het €50 miljoen vindt passen bij de ernst van de overtreding en de omvang van Google’s gegevensverwerking.

Wat gaat er nu gebeuren?

Google heeft op dit moment twee opties: de boete aanvechten of hem accepteren en betalen. De tweede optie lijkt logischer, aangezien €50 miljoen in ongeveer 4 uur terugverdiend is.

De kans is echter groot dat Google de boete aan wil vechten. Voor zowel CNIL als Google is deze zaak een principekwestie. Als Google de boete succesvol aan weet te vechten, is de kans een stuk kleiner dat andere Europese toezichthouders soortgelijke boetes op gaan leggen in de toekomst aangezien deze toch geen effect zullen hebben.

De meest gunstige situatie voor consumenten zou zijn als Google besluit de boete te betalen. Dit zet een goed precedent en laat zien dat zelfs internetgiganten als Google en Facebook aan wet- en regelgeving moeten voldoen. De boete van € 50 miljoen mag dan geen enkele impact op Google’s bedrijfsvoering hebben gehad, het stuurt wel een duidelijk signaal. Dit zou zo maar eens de reden kunnen zijn waarom CNIL voor een “lage” boete is gegaan. Consumenten zien dat grote bedrijven niet meer met alles weg kunnen komen en toezichthouders zullen meer (en een stuk minder malse) boetes op gaan leggen. Daarnaast zal Google ook genoodzaakt zijn aanpassingen te maken, wat voor de consument ook niet bepaald nadelig is.

Google zal zich maar al te bewust zijn van de situatie waarin het zich bevindt. Welke keuze het uiteindelijk maakt is niet met zekerheid te zeggen, maar aangezien het een hoop te verliezen heeft is hoger beroep zeker niet ondenkbaar.

* (Alle informatie uit dit artikel is afkomstig uit CNIL’s officiële Engelse en Franse statements)

ICT Institute is een IT advies bureau voor onafhankelijk IT advies over informatiebeveiliging, privacy, Agile en IT reviews/audits. Zij publiceren regelmatig artikelen op hun Nederlandse en Engelse websites en geven ook trainingen op het gebied van privacy, informatiebeveiliging, data science en Agile.

Reacties

1 reactie
  • Profielfoto
    steveb

    Nuttig? Alleen als dat het bedrag is per inbreuk