Google hanteert Europese privacywetten wereldwijd

Niet Amerikaanse maar Europese privacy- en dataopslagregels zijn leidend bij de bepaling van Googles internationale beleid. Waar dat in de praktijk toe leidt, is ook aan Google niet helemaal duidelijk. Het bedrijf wacht op ingrijpende incidenten om haar privacybeleid en de grenzen ervan in Europa te testen. De nieuwe Europese privacybaas is bezig met een voorstelrondje langs privacytoezichthouders in de EU-lidstaten.

Dat bleek gisteren tijdens een informele bijeenkomst in het Benelux-hoofdkantoor van Google te Amsterdam. Nicole Wang en Peter Fleischer (foto) stonden een kleine groep journalisten, onder wie Emerce, te woord over zaken als netneutraliteit, privacy en relaties met overheden.

De nieuw aangestelde Europese privacybaas Peter Fleischer zoekt pro-actief contact met de privacytoezichthouders. Hij wil de lijnen met de toezichthouders in de afzonderlijke EU-lidstaten kort houden. Google is een van de zichtbaarste bedrijven in de wereld, maar ondanks dat blijken overheden moeilijk de weg naar privacyspecialisten van het bedrijf te vinden.

Afgelopen week spraken Fleischer en Wang met de toezichthouders in Spanje en Nederland (CBP), volgende week met die in Italië. Fleischer, een Amerikaan die 14 jaar in Parijs woont, werkte tot twee maanden geleden nog voor de Europese privacyafdeling van Microsoft. Wang is de hoogste juriste bij Google in Amerika.

EU, grootste gemene deler

Ieder land waar Google actief is, kent zijn eigen privacyregels. Europese wetgeving is internationaal gezien de grootste gemene deler wat privacy betreft in een gebied met een grote omvang en populatie. Vandaar, zegt Fleischer, dat de Europese regelgeving als leidend wordt genomen bij het opstellen van mondiale beleidsregels.

In de VS bestaan geen eenduidige, federale privacyregels. Het zoekbedrijf poogt daar echter wel verandering in te brengen via haar onlangs geopende lobbykantoor in Washington D.C.

Wanneer in- en uitloggen?

Meer dan negentig procent van de Nederlanders gebruikt Google als zijn primaire zoekmachine. Het zoekbedrijf moet over een jaar de verkeersgegevens van al haar gebruikers op gaan slaan. Dat is het gevolg van de invoering van de Europese richtlijn voor opslag van verkeersgegevens. Het doel van die richtlijn is terrorisme en criminaliteit te kunnen bestrijden.

De richtlijn houdt praktisch in, dat Google minstens 6 maanden en maximaal 2 jaar onthoudt vanaf welke IP-adres, hoe laat welke zoekopdracht werd opgegeven. Strikt genomen bewaart ze het internetadres (URL), maar daar valt direct de zoekopdracht uit af te leiden.

Voor een dienst als Gmail is Google verplicht om te weten met welke inloggegevens iemand zich wanneer aan- en afmeldde. De inhoud van het berichtenverkeer hoeft ze van de EU niet te bewaren. Berichten die van de mailservers verwijderd worden, worden met de beste technische inspanning meerdere malen overschreven.

De richtlijn die de opslag van verkeersgegevens verplicht, moet voor eind 2007 in nationale wetgevingen zijn omgezet. Volgens Fleischer is de scope van de richtlijn nog niet duidelijk, noch de processen die beschrijven hoe ze daadwerkelijk met de wetten om moet gaan. Er zijn Europese incidenten nodig om dat soort grenzen af te bakenen, meent hij.

'U wordt onderzocht'

Als overheden Google-klantgegevens opeisen voor een strafrechtelijk onderzoek, dan willigt het bedrijf de verzoeken in. Althans, als ze proportioneel, relevant, niet excessief en het juridisch verantwoord is. De betreffende Google-gebruikers worden op de hoogte gesteld van het overheidsverzoek, tenzij dat het onderzoek in gevaar kan brengen. Google informeert zijn gebruikers over dit soort zaken omwille van de transparantie, zegt ze, en om de mogelijkheid te geven zich voor te bereiden op een verweer.

Transparantie en toegankelijkheid waren de trefwoorden die Fleischer en Wang aan de verzamelde pers trachten over te brengen al zijnde representatief voor het zoekbedrijf. Toch konden de juridisch specialisten geen antwoord geven op de vraag of het bedrijf ooit klantgerelateerde gegevens weggooit. Iedere zoekopdracht en andere handelingen die een consument pleegt bij Google wordt bewaard, hoe lang geleden deze ook plaats vond. Aan de hand van die informatie ontwikkelt het zoekbedrijf nieuwe diensten.

Toch denken specialisten bij Google erover na hoe, of en wanneer ze bepaalde klantgegevens kunnen weggooien omdat ze niet meer relevant of nodig zijn. Dit is een thema waar Alexa.com- en Archive.org-oprichter Brewster Kahle herhaaldelijk voor pleit, zoals vorig jaar bleek tijdens Nerd TV.

IP-adres geen persoonsgegeven

Google beschouwt een IP-adres niet als een persoonsgegevens, aldus Wang. Haar werkgever koppelt de IP-adressen van zoekmachinegebruikers niet aan bijvoorbeeld persoonlijk identificeerbare gegevens zoals die bijvoorbeeld bij Gmail liggen opgeslagen. Mocht dat ooit wel gebeuren dan, zegt Wang, zullen klanten daarvan op de hoogte worden gebracht.

Anders dan de Nederlandse internetprovider Xs4all publiceert Google geen jaarlijks jaarverslag waarin beschreven staat met welke zaken ze te maken had afgelopen jaar en welke consequenties dat had.

Wang blijkt zich in de VS fors in te spannen om de neutraliteit van de infrastructuur onder het internet neutraal te houden. De bazen van de aorta's van het internet willen namelijk extra vergoedingen kunnen vragen om bepaalde verkeersstromen, zoals die van Google, anders (duurder) te behandelen dan die van anderen. Wang verzet zich daartegen. Ze ziet netneutraliteit vooralsnog als een Amerikaanse aangelegenheid. In Europa staat het onderwerp nog niet op de politieke agenda.