De Artikel 29-werkgroep heeft de drie grootste zoekmachines weer eens verzocht hun privacybeleid te herzien. Google, Microsoft en Yahoo ontvingen allen een brief van Jacob Kohnstamm waarin hij namens de werkgroep concludeert dat de zoekmachines nog steeds niet voldoen aan de Europese dataretentierichtlijn. De brief is een vervolg op eerdere correspondentie, hoorzittingen en berispingen door de werkgroep, maar de strijd voor privacy werpt maar mondjesmaat zijn vruchten af.
In 2008 concludeerde de werkgroep het volgende: 'Gelet op de eerste verklaringen van de exploitanten van zoekmachines over de mogelijke doeleinden van het verzamelen van persoonsgegevens, ziet de werkgroep geen reden voor een bewaringsperiode van meer dan zes maanden.' Daarmee zette zij de toon richting zoekmachines en werden die veelvuldig benaderd met het verzoek hun omgang met de persoonsgegevens van gebruikers aan te passen.
Die aanpassingen zijn deels doorgevoerd, maar de werkgroep heeft nog een hoop te wensen, zo blijkt uit de brieven die nu aan de zoekgiganten zijn gestuurd. De kritiek op Google in een notendop:
1. Google heeft de bewaartermijn van zoekopdrachten en daaraan gerelateerde gegevens al verlaagd naar negen maanden. De werkgroep wil echter dat dit maximaal zes maanden wordt.
2. Verminderen mogelijkheden gebruikers te identificeren aan de hand van logbestanden. Het verwijderen van het laatste deel van het ip-adres is niet voldoende om de identificatie van gebruikers onmogelijk te maken volgens de werkgroep. Daarnaast worden cookies alsnog achttien maanden bewaard en brengt dit nog altijd privacyrisico's met zich mee.
3. De werkgroep wil dat Google een controle/audit op de anonimiseeracties mogelijk maakt door een externe en onafhankelijke partij.
De kritiek op Yahoo komt voor een deel overeen met de kritiek op Google:
1. Yahoo verwijdert het volledige ip-adres na negentig dagen uit de bestanden. Overige info blijft echter wel aanwezig in de logs en de werkgroep wijst er dan ook op dat enkel het verwijderen van het ip-adres onvoldoende is.
2. Verder geeft de werkgroep aan dat ze niet genoeg technische inzage heeft gekregen om het beleid goed te kunnen controleren.
3. De werkgroep wil dat Yahoo meer openheid geeft over zijn aanpak en wil ook hier een controle door een derde partij.
Tot slot Microsoft:
1. Microsoft wil wel voldoen aan de termijn van zes maanden, maar alleen als de concurrenten dat ook doen. De werkgroep geeft aan dat Microsoft moet voldoen ongeacht wat concurrenten doen.
2. Het verwijderen van ip-adressen uit de logbestanden na zes maanden is goed, maar cookies worden in totaal achttien maanden bewaard. Dit moet volgens de werkgroep ook zes maanden worden: dus direct verwijderen als het ip-adres eruit wordt gehaald. Bij niet-geregistreerde gebruikers zou Microsoft bovendien niet overgaan tot anonimisering na zes maanden (wel tot verwijdering na achttien maanden). Ook hier uit de werkgroep kritiek op. Net als bij Yahoo is het technische proces onvoldoende helder voor de werkgroep om een volledig beeld te vormen.
3. Net als bij Google en Yahoo ziet de werkgroep de noodzaak een onafhankelijke partij toezicht te laten uitvoeren op de omgang met privacygevoelige informatie.
Nogal wat verbeterpunten dus. Nationale toezichthouders zoals het College Bescherming Persoonsgegevens dreigen al geruime tijd met forse boetes bij niet-naleving van de eisen van de Artikel 29-werkgroep. Het is zowel voor de privacy als de geloofwaardigheid van de werkgroep en het CBP te hopen dat het niet slechts bij adviezen en dreigementen blijft.
Toch boeken de privacyvoorvechters succesjes. Enkele weken terug wees de werkgroep Facebook nog op de noodzaak om gebruikers meer duidelijkheid en controle te bieden op privacygebied. Kort daarna heeft Facebook een aantal van de gewenste aanpassingen doorgevoerd (die overigens volgens Bits of Freedom nog onvoldoende zijn).
Met het tempo waarin nieuwe ict-toepassingen worden ontwikkeld, lijkt de hoeveelheid werk voor partijen als het CBP, de Artikel 29-werkgroep en Bits of Freedom alleen maar te groeien en worden doorgaans alleen de grote partijen aan de tand gevoeld. Met alle nieuwe databanken, patiëntendossiers en steeds geavanceerdere sociale netwerksites zal de behoefte aan toezicht en handhaving op privacygebied immer groeien. Meer mogelijkheden, maar ook meer risico's!
Er is meer nodig voor privacy:
https://panopticlick.eff.org/
Het zou denk ik een stuk effectiever zijn als er een gevoelige sanctie op het niet naleven van richtlijnen zou zijn, nog versterkt door de termijn waarop niet aan de richtlijnen wordt voldaan. Die sanctie moet dan wel zodanig zijn dat het de winstgevendheid van een bedrijf aantast.
Maar de instanties blijven de lieverdjes die vooral mopperen terwijl de bedrijven hun gang blijven gaan en alleen onder druk van onwillige consumenten – de winstgevendheid komt om de hoek – af en toe iets toegeven om die consumenten voor de gek te houden.