Privacy Archives

Je Google zoekgeschiedenis automatisch verwijderen in My Activity

Dat Google bijhoudt hoe je hun diensten en apps gebruikt zal niemand verbazen. Ze doen het ook niet stiekem want ze bieden zelfs een aparte site aan binnen je accountinstellingen waar je je eigen zoekgeschiedenis en appgebruik kunt inzien en handmatig verwijderen. Sinds kort is echter de optie toegevoegd om je Google zoekgeschiedenis en activiteiten automatisch te laten verwijderen na een aantal dagen.

My Activity

Twee jaar geleden introduceerde Google My Activity als een verzamelplek van alle privacy gerelateerde zaken binnen je account. Hierin krijg je een tijdlijn te zien met alle zoekacties [1] die je in Google hebt uitgevoerd, de sites die je bezocht hebt en wat je bekeken hebt in alle overige Google diensten zoals YouTube, Google Maps en Google Books. Mits je ingelogd bent bij Google maar dat is inmiddels standaard in alle browsers wel zo.

Deze informatie gebruikt Google primair om je gepersonaliseerde advertenties voor te schotelen maar het bedrijf geeft je ook een beperkt aantal opties om zelf controle te hebben over wat je hun verstrekt.

Die opties bestaan uit de mogelijkheid om handmatig zoekacties, bekeken YouTube filmpjes enzovoorts, te verwijderen [2] en om het registreren van deze informatie uit te zetten / te pauzeren [3].

Bij de Activity controls heb je bij het schuifje de mogelijkheid om het bijhouden van de Web & App Activity (je Google zoekgeschiedenis en wat je in apps bekijkt die gebruik maken van Google diensten, te pauzeren.

Waarom niet meteen pauzeren in plaats van handmatig of geautomatiseerd verwijderen van wat er verzameld is? Nou omdat Google steeds zwaarder inzet op personalisatie en de kwaliteit van hun diensten daar ook van laat afhangen. Zonder deze informatie krijg je simpelweg een minder goede ervaring en dienstverlening.

Het schuifje zet de optie ook niet uit maar PAUZEERT het gebruik van de verzamelde data. Google verzamelt nog steeds informatie over je appgebruik en zoekacties zolang je Chrome gebruikt of met je Google account ingelogd bent. Het enige verschil is dat ze het niet meer gebruiken voor gepersonaliseerde diensten. Persoonlijk denk ik dat het onmogelijk is om Google te weerhouden van informatie te verzamelen terwijl daar dus wel minder goede diensten van Google tegenover staan. Maar vanzelfsprekend kun je daar je eigen keuze in maken :)

Pauzeer je het niet dan heb je in elk geval de mogelijkheid om via Manage Activity te bekijken welke data verzameld is en om die vervolgens handmatig te verwijderen.

Nu kun je er echter ook voor kiezen om de activiteiten automatisch te verwijderen. Bij Web & App Activity/Web & App Activiteit kun je de knop terugvinden waarmee je dit kunt instellen.

Standaard staat het zo ingesteld dat alle activiteiten bewaard worden totdat ze handmatig verwijderd worden maar je kunt dat wijzigen naar een periode van 18 of 3 maanden waarna ze automatisch verwijderd worden.

Zelf lijkt me drie maanden meer dan genoeg en na het aanvinken van die optie komt nog de vraag om dit te bevestigen. Hierbij wordt ook meteen alles opgeschoond tot de gekozen periode.

Je krijgt nog de bevestiging dat vanaf nu alle verzamelde gegevens verwijderd worden zodra ze ouder zijn dan de gekozen periode.

Het automatisch verwijderen van deze gegevens is absoluut een stap in de goede richting hoewel het feit dat je er specifiek naar moet zoeken niet echt positief is. Dat je alleen maar kunt kiezen uit 3 of 18 maanden is ook raar want hoe lastig is het om zelf die termijn in te stellen tussen bijvoorbeeld 1 maand en 24 maanden? Zoals het nu geregeld is zul je nog steeds zelf bewust aan de slag moeten met het bewaken van je Google zoekgeschiedenis en app-activiteiten. Google is misschien wel transparant over wat ze doen maar dat betekent niet dat ze jouw privacy hoog in het vaandel hebben staan.

Is er meer aandacht voor privacy na één jaar AVG?

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. IP maakte toen een rondgang langs bibliotheken, archieven en erfgoedinstellingen om te zien hoe deze zich hierop hadden voorbereid. Nu, een jaar later, blijken er nog steeds heel veel vragen te zijn over de verwerking en bescherming van persoonsgegevens.

Voor wie het alweer vergeten was: de Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data.

Deze ‘Europese wet’ (wettekst in PDF formaat) is op 25 mei 2018 in werking getreden, samen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG – wettekst in PDF formaat) die specifiek voor de Nederlandse situatie een gedetailleerde invulling geeft aan de AVG. Hierbij moet je denken aan het formeel intrekken van de (vorige) Wet bescherming persoonsgegevens, het instellen van de Autoriteit Persoonsgegevens als toezichthouder maar ook het benoemen van Nederlandse uitzonderingen op het niet mogen verwerken van bijzondere persoonsgegevens.

Belangrijkste bepalingen van (U)AVG

Met 99 artikelen in de AVG en 54 artikelen in de UAVG kun je gerust spreken van een uitgebreide en complexe privacywetgeving waarin veel details geregeld zijn. Je kunt echter op hoofdlijnen wel de belangrijkste bepalingen redelijk eenvoudig samenvatten:

Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor degene van wie de persoonsgegevens verwerkt worden moet het transparant zijn hoe en waarom de persoonsgegevens verwerkt worden. Deze persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel dat vooraf uitdrukkelijk moet zijn omschreven.
Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren dat er niet meer gegevens verzameld en verwerkt worden dan strikt noodzakelijk is om het doel te bereiken waarvoor ze verwerkt worden. De verwerkende organisatie of persoon moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Eén jaar AVG

Tijdens de behandeling van het voorstel voor de UAVG beloofde Sander Dekker, minister voor Rechtsbescherming, vorig jaar de ervaringen met betrekking tot de nieuwe privacywetgeving te gaan inventariseren. Begin april 2019 verstuurde hij een brief naar de Tweede Kamer met het resultaat van deze inventarisatie. Volgens Dekker leven er nog steeds veel vragen over hoe de AVG en UAVG uitgelegd moeten worden en is er daarom een blijvende behoefte aan goede voorlichting en ondersteuning. In die behoefte wordt volgens de minister al grotendeels voorzien door de voorlichting die de Autoriteit Persoonsgegevens verstrekt, door koepel-, branche- en vakorganisaties maar ook door voorzieningen als een AVG helpdesk Zorg, Welzijn & Sport zoals het ministerie van VWS heeft ingericht.

Desondanks blijkt uit de inventarisatie dat er zorgen zijn over de ruimte die nog gegeven wordt om persoonsgegevens te mogen verwerken, zoals het plaatsen van foto’s op de websites van sportclubs. Dekker stelt dat er vaak meer ruimte is om dit te doen dan aangenomen wordt en dat het eveneens een kwestie van voorlichting is om niet alleen de beperkingen maar ook de mogelijkheden van de wetgeving duidelijk te maken.

Een ander punt dat naar voren komt is dat organisaties behoefte hebben aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed naleeft en of de eigen interpretatie dus wel de juiste is. Hiervoor verwijst de minister naar de mogelijkheid om (als sector of branche) een gedragscode op te stellen en deze te laten goedkeuren door de Autoriteit Persoonsgegevens.

Rondje langs de velden

Maar hoe zit het dan met de voorlichting die door de branche- of vakorganisaties gegeven wordt aan bibliotheken, archieven en erfgoedinstellingen? Wat is er bij deze informatie-instellingen gebeurd op het gebied van de implementatie van de nieuwe privacyregels? Zijn er knelpunten en onbeantwoorde vragen?

IP stelde die vragen aan een aantal bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat er, ook bij bibliotheken en archieven, nog veel vragen zijn over hoe er in de praktijk met de privacyregels omgegaan dient te worden.

De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er een grijs gebied is tussen de Archiefwet en de AVG. De Archiefwet levert een verplichting op om te bewaren maar aangezien er geen archieven zijn zonder persoonsgegevens botst dat met de AVG. In de AVG wordt weliswaar (in artikel 89) een uitzondering gemaakt voor ‘archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’ maar is de verwerking onderworpen aan ‘passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene’. En over wat die passende waarborgen zijn wordt nog steeds veel gediscussieerd.

Beide verenigingen hebben samen een werkgroep AVG in het leven geroepen om dit soort vraagstukken te adresseren. De werkgroep houdt zich thans bezig met het maken van een een model privacy impact analyse (PIA) op de gezinskaarten van het bevolkingsregister 1920-1939. Deze zijn de afgelopen twintig jaar op grote schaal online gezet als veelgevraagde bron voor familie- en andere geschiedvorsers. Maar ze bevatten ook een bijzonder persoonsgegeven, de religie, van soms nog levende personen. Er wordt uitgezocht welke maatregelen er genomen moeten en kunnen worden om aan de AVG te voldoen. Het model moet een hulpmiddel voor archiefinstellingen worden, ook voor andere archieven met persoonsgegevens. Er is ook regelmatig overleg met de Autoriteit Persoonsgegevens.

Ook ontwikkelt de werkgroep AVG een richtlijn voor het zowel AVG- als Archiefwet-proof inrichten van je informatiehuishouding, zodat alle archiefbestanden vanaf hun ontstaan aan allebei voldoen. Alle casussen en vragen worden ook nog eens actief gedeeld via de website van het (openbare) Kennisnetwerk Informatie en Archief.

De Vereniging van Openbare Bibliotheken (VOB) verwijst naar de Provinciale Ondersteuningsinstellingen (POI’s) voor inhoudelijke ondersteuning op privacygebied. Door de negen POI’s is een werkgroep samengesteld die ervaringen deelt en kwesties uit de praktijk in gezamenlijkheid oppakt. De individuele POI’s hebben elk eigen vormen van ondersteuning van de bibliotheken in hun werkgebied, uiteenlopend van een privacyservicedesk tot het organiseren van bijeenkomsten over privacygerelateerde onderwerpen.

In een handreiking op de eigen website verwijst de VOB overigens wel naar de ‘Bibliotheek en privacy’-handreiking van de FOBID uit 2007. Deze zou geactualiseerd gaan worden naar aanleiding van de inwerkingtreding van de AVG, maar dit lijkt vooralsnog niet gebeurd te zijn.

De Koninklijke Bibliotheek heeft het afgelopen jaar de eigen processen en procedures nagelopen en aangepast. Er is een ‘AVG in 10 stappen’-project uitgevoerd, een Functionaris gegevensbescherming (FG) is benoemd en er zijn modellen voor verwerkersovereenkomsten en PIA’s opgesteld. Op de website van de KB staat uitgebreid vermeld hoe er met persoonsgegevens omgegaan wordt en gebruikers kunnen eenvoudig verzoeken indienen om hun persoonsgegevens in te zien, te wijzigen of te verwijderen.

Er zijn het afgelopen jaar ook een beperkt aantal verzoeken tot het verwijderen van persoonsgegevens binnengekomen met betrekking tot de vermelding ervan in Delpher en de Digitale Bibliotheek voor de Nederlandse Letteren (DBNL), aldus de FG van de KB. Aangezien er echter een uitzondering in de (U)AVG is opgenomen voor journalistieke doeleinden, waarbij de KB expliciet in de Memorie van Toelichting van de UAVG als voorbeeld wordt genoemd, is het recht tot verwijdering niet van toepassing. Daarom neemt de KB deze verzoeken niet in behandeling.

Veel aandacht is uitgegaan naar bewustwording binnen de eigen organisatie met een loket waar vragen gesteld kunnen worden, spreekuren om dieper op bepaalde vragen in te kunnen gaan en een elearningmodule om de basiskennis over privacy te verhogen. De Koninklijke Bibliotheek legt daarmee de nadruk op permanente voorlichting zodat in processen en systemen steeds vooraf nagedacht wordt over de verwerking van persoonsgegevens.

Hoewel hogescholen en universiteiten (en daarmee de hogeschool- en universiteitsbibliotheken) elk een eigen beleid voeren, heeft SURF – als organisatie waarin hoger onderwijsinstellingen met elkaar samenwerken – het afgelopen jaar ‘AVG-ondersteuning’ geboden aan de instellingen. Er zijn onder andere modellen voor verwerkersovereenkomsten en impactassessment ontwikkeld, een model privacybeleid en een stappenplan meldplicht datalekken. Alles wordt hierbij beschikbaar gemaakt via de SURF-website.

Daarnaast ziet SURF ook het belang in van het delen van kennis en ervaringen. Er is een wiki gemaakt met informatie over de verschillende aspecten van de AVG, er worden regelmatig kennissessies georganiseerd en er is een trainingsmodule Privacy ontwikkeld. Informatiebeveiligers en privacy officers in het hoger onderwijs werken samen, en delen ervaringen uit, in een werkgroep SCIPR (SURF Community voor Informatiebeveiliging en PRivacy).

Een van de onderwerpen die binnen hogescholen en universiteiten nu speelt is het voorlichten van onderzoekers over de gevolgen van de AVG voor hun onderzoek. Van het maken van duidelijke afspraken vooraf over het verzamelen van persoonsgegevens en het maken van een impact assessment tot het veilig opslaan, archiveren en verwijderen van persoonsgegevens na afloop van het onderzoek. Eén jaar na de invoering van de AVG begint nu pas een beetje duidelijk te worden wat er allemaal geregeld en gefaciliteerd moet worden om ervoor te zorgen dat aan de wetgeving voldaan wordt.

Voorbeeld van een gespecialiseerde bibliotheek: Dedicon

Dedicon is producent en distributeur voor de landelijke dienst van aangepast lezen. Aangepast lezen is een van de stelseltaken die KB uitvoert en behelst het ontwikkelen en in stand houden van een bibliotheekdienst voor mensen met een leesbeperking. Bibliotheekklanten met een leesbeperking doen hun bestellingen bij het landelijke servicepunt van BPL (Bibliotheekservice Passend Lezen) waar zij zich identificeren en inschrijven. Bestellingen uit de catalogus worden doorgegeven aan Dedicon met inbegrip van de NAW gegevens van de klant. Daarnaast is Dedicon ook producent, distributeur en direct verantwoordelijke voor studie en vakmaterialen in aangepast leesvormen.
In termen van de AVG is Dedicon dus zowel gegevensverwerker (voor BPL) als gegevensverantwoordelijke voor de educatieve (school-)boeken. Uiteraard is er een gegevensbewerkers overeenkomst tussen BPL en Dedicon opgesteld en is ook besloten dat het bibliotheeksysteem (ILS) dat voorheen bij Dedicon draaide, aan BPL wordt overgedragen. Op deze manier zijn de persoonsgegevens waaronder het speciale gegeven van handicap exclusief in handen bij de verantwoordelijk BPL.
Dedicon heeft van KB ook de specifieke opdracht de producten en diensten van aangepast lezen te innoveren. Daarvoor is klantgericht onderzoek nodig. Het wel of niet mogen benaderen van de klanten van BPL die de producten van Dedicon ontvangen, levert hoofdbrekens op waarvoor ook juridisch advies is ingeroepen. De huidige inzichten rond de toepassing van de AVG in deze specifieke “keten“-situatie leiden er toe dat per klantonderzoek of verzoek tot aanmelding voor een testpanel een expliciete toestemming van de klant nodig is.
Dedicon doet jaarlijks al gauw meer dan tien projecten of onderzoeken waarbij de mening van de BPL-klant onontbeerlijk is. Overvragen van de klant, – de klantengroep is relatief klein,- ook op het gebied van privacy-toestemming ligt op de loer. Het uitzoeken van een AVG conforme werkwijze heeft aantoonbaar geleid tot vertraging in het uitvoeren van de onderzoeken. Een oplossing lijkt nu gevonden te worden door in de toekomst de klant in de gelegenheid te stellen een vinkje te zetten in de mijnbieb-omgeving van de BPL website voor het wel of niet benaderd te mogen worden door Dedicon voor onderzoeksdoeleinden. Ook wordt nagedacht over toegang voor Dedicon tot een geanonimiseerde databank van uitleengegevens waarop analyses kunnen worden gedaan omtrent uitleen-aantallen en populariteit van titels.
De AVG is nu bijna een jaar oud en sommige werkwijzen tussen BPL en Dedicon moeten in de praktijk nog worden uitgewerkt, maar een heldere verdeling tussen verantwoordelijke (BPL) en verwerker (Dedicon) is binnen handbereik. (tekst: Koen Krikhaar, Dedicon)

Nog lang niet klaar

De komst van de AVG en UAVG heeft het afgelopen jaar overduidelijk tot veel aandacht voor de bescherming van persoonsgegevens geleid. Het is een van de conclusies van minister Dekker naar aanleiding van de inventarisatie en het is ook duidelijk af te leiden uit het rondje langs de branche- en vakorganisaties.

De (U)AVG is geen wetgeving die precies dicteert wat er in welke specifieke situatie geregeld moet gaan worden, maar is een algemene verplichting voor iedereen die persoonsgegevens verwerkt om zorgvuldig om te gaan met de belangen van betrokkenen.

Dat kan alleen door kennis en ervaringen uit te wisselen en gezamenlijk antwoorden te zoeken op soms lastige kwesties uit de praktijk. Het is niet voor niets dat de branche- en vakorganisaties allemaal met spreekuren, communities, werkgroepen, vraagbakens of servicedesks aan de slag zijn gegaan.

De behoefte aan uitwisseling van kennis, voorlichting en uitleg zal voorlopig wel blijven bestaan want één ding is zeker na één jaar AVG: bibliotheken, archieven en erfgoedinstellingen zijn nog lang niet klaar met het onderwerp privacy.

Dit artikel is ook gepubliceerd in IP 4 (2019). Afbeelding uit header via Pixabay en gebruikt onder een Pixabay licentie.

Juridische kwesties: Een e-Privacyverordening met impact

De meeste bedrijven in Europa zijn nog druk bezig met de gevolgen van de Algemene Verordening Gegevensbescherming. Maar ondertussen staat de volgende privacywet alweer voor de deur: de e-Privacyverordening.

Alle aandacht rondom privacy gaat nog steeds uit naar de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht werd. De Autoriteit Persoonsgegevens (AP) is namelijk pas sinds kort begonnen met actief handhaven nu de ‘gewenningsperiode’ wel een beetje voorbij is. Bedrijven en instanties worden gecontroleerd en de AP neemt duizenden meldingen van burgers in behandeling.

Nieuwe richtlijn

Maar er is nog een strenge privacywet waar niet alleen bedrijven maar ook burgers mee te maken hebben. De huidige Europese e-Privacyrichtlijn uit 2002 regelt de bescherming van privacy en persoonsgegevens in de telecomsector. In Nederland is deze richtlijn verwerkt in de Telecommunicatiewet en er zijn (strenge) regels over onder andere het verwerken van zoek- en klikgedrag via cookies.

Het was de bedoeling om de aangescherpte e-Privacyrichtlijn tegelijk met de AVG te laten ingaan. Dat ging niet door omdat de discussies in het Europees Parlement niet op tijd waren afgerond. Inmiddels is er een conceptversie die dit jaar waarschijnlijk goedgekeurd gaat worden. De definitieve teksten volgen in 2020, waarna de nieuwe verordening van start kan gaan.

Verordening

Het is goed om te beseffen dat de oude e-Privacyrichtlijn wordt omgezet in een e-Privacyverordening. Een Europese verordening wordt rechtstreeks geldend recht in alle Europese lidstaten zonder dat deze verwerkt hoeft te worden in lokale wet- en regelgeving, zoals dat met een richtlijn wel moet gebeuren. Er is dus geen traject van (maximaal) twee jaar nodig om tot inwerkingtreding van de nieuwe privacyregels te komen, zoals dat met de AVG en de huidige e-Privacyrichtlijn wel het geval was.

Wat staat erin?

De e-Privacyverordening (ePV) heet voluit: ‘Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)’. Simpel gezegd komt het neer op strenge(re) regels voor de verwerking van persoonsgegevens voor elektronische communicatiediensten. Denk daarbij aan internet maar ook alle diensten van Facebook en Google.

Regelt de AVG alles rondom het verwerken van persoonsgegevens als algemene wet (lex generalis), de ePV gaat dat specifieker invullen voor alle online diensten (lex specialis). Mocht er een overlap zijn, dan is de ePV bepalend. Daarom zal de impact zo mogelijk nog groter zijn dan de invoering van de AVG.

Vooral cookies

De ePV bevat nieuwe regels over onder andere de minimumeisen van ‘privacy by design’, hoe apparaten van gebruikers herkend mogen worden en wat er commercieel (niet) mag met verzamelde persoonsgegevens. Maar bovenal moet het de problemen rondom cookies en cookiewalls gaan oplossen. Een enorme uitdaging. Zo blijkt uit door de EU uitgevoerde evaluaties dat burgers niet willen nadenken over toestemming geven voor elke website die ze bezoeken – ze drukken klakkeloos op de knoppen in cookiewalls. Ondertussen leunen bedrijven steeds zwaarder op cookies om nieuwe functionaliteiten en webdiensten mogelijk te maken.

Hoe moeten websites bijvoorbeeld zorgen voor toestemming van alle bezoekers en gebruikers, op een manier die ervoor zorgt dat mensen een afgewogen keuze maken? Op die vraag geeft de ePV helaas geen antwoord. Hoe dan ook, de invoering van de e-Privacyverordening gaat een forse impact hebben op alle bedrijven, marketeers en burgers. Het lijkt aannemelijk dat de invoering van de e-Privacyverordening een forse impact gaat hebben op alle bedrijven, marketeers en burgers.

Deze Juridische kwesties is ook gepubliceerd in IP 2 (2019).
#