Google verzamelde systematisch inhoud internetverkeer

Afbeelding: Vehicle Wrapping, Google Streetview van Sign Language Ltd | Licentie: CC BY-NC

Google heeft iets meer dan twee jaar lang met de rondrijdende Street View auto’s gegevens verzameld over ruim 3,6 miljoen verschillende wifi-routers, zowel over beveiligde als onbeveiligde routers. Daarnaast heeft het bedrijf voor elke wifi-router een locatie berekend en is ook de inhoud van het verkeer zelf vastgelegd.

In het rapport over de bevindingen van het CBP:

Google heeft van maart 2008 tot mei 2010 in Nederland rondgereden met Street View auto‟s. Deze auto‟s hebben gegevens verzameld over alle wifi-routers die aanstonden op het moment dat de auto langsreed en inhoudelijke communicatie afkomstig uit onbeveiligde wifi-routers.

Van 63% van de huishoudens en bedrijven in Nederland met een breedbandverbinding heeft Google de wifi-router letterlijk in kaart gebracht, in de zin dat het unieke identificerende MAC- adres van de router is vastgelegd in combinatie met de berekende locatie. Ook als de houder van de wifi-router zijn communicatie had beveiligd, heeft Google toch informatie over de router vastgelegd. De combinatie van een MAC-adres van een wifi-router met de berekende locatie is in deze context een persoonsgegeven.

Google heeft door het verzamelen van de gegevens over wifi-routers in strijd gehandeld met artikel 7 (doeleinde) en artikel 8 Wbp (grondslag).Voor het verzamelen van SSID‟s (netwerknamen) ontbreekt een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. Tevens ontbreekt een grondslag voor het verzamelen van de SSID‟s, in casu toestemming of gerechtvaardigd belang.

Google heeft in strijd gehandeld met artikel 34 Wbp door het negeren van de plicht om betrokkenen in Nederland te informeren over het verzamelen en verwerken van gegevens over wifi-routers. Door de voorgenomen verwerking niet te melden bij het CBP, heeft Google in strijd gehandeld met artikel 27 jo. 28 Wbp.

Google heeft in Nederland tevens op grote schaal gegevens verzameld afkomstig uit onbeveiligde wifi-netwerken, de zogenaamde payload data. In twee jaar tijd heeft het bedrijf bijna 30 gigabyte aan gegevens opgeslagen, waarvan bijna 70% analyseerbaar blijkt te zijn. Uit het onderzoek blijkt dat deze gegevens geen onbetekenende fragmenten zijn. Van betrokkenen kunnen 2 tot 2.500 packets zijn opgevangen. Deze packets kunnen aan elkaar gekoppeld worden en daaruit kan een indringend beeld ontstaan van een betrokkene, zoals het feit dat iemand een grote hoeveelheid aandelen koopt, met naam, e-mailadres en bankrekeningnummer.

Soms kan 1 packet al een overvloed aan bijzondere persoonsgegevens bevatten, zoals in het beschreven geval van het uitgebreide psychologische rapport over een minderjarige jongen met een ernstige leesachterstand. Het rapport bevat zijn voornaam, achternaam, adres en geboortedatum.

In het geanalyseerde verkeer zijn talloze persoonsgegevens aangetroffen, variërend van voornaam-achternaam tot e-mailadres en van zoekopdrachten bij Google tot bezoek aan pornografische websites.

Google heeft door het verzamelen van de payload data in strijd gehandeld met de verplichting uit artikel 7 om een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde te hebben voor de gegevensverzameling.

Google heeft tevens in strijd gehandeld met artikel 8 Wbp door het ontbreken van een grondslag, in casu toestemming of gerechtvaardigd belang. Bij het verzamelen van bijzondere persoonsgegevens heeft Google tevens in strijd gehandeld met artikel 16 Wbp, het verbod op de verwerking van bijzondere persoonsgegevens.

Het is onzorgvuldig dat Google gedurende twee jaar met Street View auto‟s in Nederland heeft rondgereden zonder te merken dat er zoveel payload data werden opgeslagen. Door een andere keuze te maken bij het inrichten van de software (false ipv true) had Google kunnen voorkomen dat er überhaupt payload data werden verzameld. Het valt Google te verwijten dat het bedrijf bewust grote privacyrisico‟s heeft genomen door in zijn bedrijfsvoering geen, althans onvoldoende, voorzieningen te treffen om deze grootschalige inbreuk op privacyrechten te voorkomen. Door het ontbreken van een grondslag en door zijn onzorgvuldige werkwijze heeft Google ten aanzien van de payload data in strijd gehandeld met artikel 6 Wbp.

De rest van het rapport is zeer goed leesbaar en lezenswaardig. Het besluit van het CBP luidt:

Naar aanleiding van de hierboven genoemde overwegingen legt het CBP Google Inc. en Google Netherlands B.V. de volgende last onder dwangsom op en sommeert het de volgende maatregelen te treffen:

  1. De verzamelde SSID’s onomkeerbaar te wissen door deze ten minste drie maal te overschrijven met verschillende patronen.
  2. Betrokkenen zowel offline als online conform artikel 34 Wbp te informeren over de verzameling van gegevens over wifi-routers met Street View auto’s door Google ten behoeve van de Google GLS. In dat verband dient Google de betrokkenen tevens te informeren over de mogelijkheid middels een opt-out verzet aan te tekenen tegen het verwerken van gegevens over de wifi-routers van betrokkenen. Bovengenoemde informatie dient online te worden verstrekt door een advertentie te plaatsen op ten minste vier nieuwssites op internet, te kiezen uit de tien best bezochte Nederlandstalige nieuwswebsites én op een goed zichtbare en voor de betrokkenen goed bereikbare plaats op de Nederlandstalige website van Google. Bovengenoemde informatie dient offline te worden verstrekt op één van de volgende door Google te kiezen methoden:
    1. een advertentie van minimaal een halve pagina in ten minste twee landelijke dagbladenmet een zo groot en divers mogelijk bereik; of
    2. een advertentie van minimaal een halve pagina in ten minste negen regionale dagbladen met een zo groot en divers mogelijk bereik.
  3. Een online opt-out mogelijkheid aan te bieden waardoor alle betrokkenen te allen tijde kosteloos en effectief verzet kunnen aantekenen tegen de verwerking van gegevens over de wifi-routers van de betrokkenen.
  4. De verwerking van gegevens over wifi-routers bij het CBP te melden conform artikel 27 en28 Wbp en het Meldingsbesluit Wbp.

Indien u niet aan deze last voldoet, dan bent u vanaf de begunstigingstermijn per maatregel een dwangsom verschuldigd van € 5.000,- (zegge: vijf duizend euro) per dag dat niet aan de last is voldaan. Het bedrag waarboven geen dwangsom meer wordt verbeurd, is bepaald op € 250.000,- (zegge: twee honderd en vijftigduizend euro) per maatregel.

Google kan overigens nog beroep aantekenen.