Zoekmachines riskeren boetes wegens te lang bewaren van Internet zoekopdrachten

21/10/2008

Europa, heeft haar pijlen gericht op Google, Microsoft en andere grote zoekmachines, omdat zij weigeren de zoekgegevens van hun klanten binnen 6 maanden te wissen. Nederland loopt voorop: de voorzitter van het College Bescherming Persoonsgegevens, de Nederlandse privacywaakhond, overweegt "afschrikwekkende boetes".

Exploitanten van internetzoekmachines, zoals Google en Microsoft, bewaren de zoekopdrachten van hun "klanten" en registreren deze op basis van het IP-adres van de gebruikers van hun dienst. Deze gegevens worden gebruikt om "profielen" aan te maken, om de internetbezoeker beter van dienst te kunnen zijn, maar ook (en vooral) voor marketingdoeleinden. Het zoekgedrag van miljoenen internetgebruikers bevat immers een schat aan informatie.

De data privacy toezichthouders in Europa hebben hier grote moeite mee, vooral omdat de gegevens onbeperkt door de zoekmachines worden bewaard. Een werkgroep van nationale privacytoezichthouders, de Artikel 29-werkgroep, heeft een onderzoek ingesteld en eerder dit jaar besloten dat de zoekgegevens wel mogen worden gebruikt voor het opstellen van profielen, maar daarna moeten worden gewist.

IP adressen en zoekgegevens vallen onder de privacywetgeving
De privacywaakhonden in Europa hebben een belangrijke schakel van het Internet uitdrukkelijk onder de werking het privacyrecht gebracht. Volgens de Artikel 29-werkgroep zijn IP-adressen (de nummers waarmee internetgebruikers aan het internet gekoppeld zijn) in beginsel "persoonsgegevens" en vallen daarmee onder de in Europa geldende privacywetgeving. In Nederland is dat de Wet Bescherming Persoonsgegevens).

Ook Amerikaanse zoekmachines kunnen worden aangepakt
Achter de grootste zoekmachines zitten Amerikaanse bedrijven, die zich het liefst niet te veel zouden aantrekken van de bemoeienis door de Europese wetgeving en toezichthouders. Tot nu toe hebben partijen als Google en Microsoft dan ook nog niets gedaan met de in maart van dit jaar uitgevaardigde aanbeveling dat de zoekgegevens binnen 6 maanden moeten worden gewist.

Het lijkt er echter op dat zij zich niet kunnen onttrekken aan de greep van het Europese privacyrecht. De Artikel 29-werkgroep heeft al eerder geoordeeld dat: "een exploitant van een zoekmachine die persoonsgegevens verwerkt, zoals logs met individueel identificeerbare zoekgeschiedenissen, wordt beschouwd als de voor de verwerking van deze persoonsgegevens verantwoordelijke, ongeacht de jurisdictie." De Europese Commissie onderzoekt of de aanbeveling van de Artikel 29-werkgroep in een wettelijke regel kan worden omgezet en zal in december een hoorzitting houden met de zoekmachine-exploitanten.

Afschrikwekkende boetes
In de tussentijd voert de Nederlandse privacywaakhond de druk op de grote Amerikaanse zoekmachines verder op. Mr. Kohnstamm, de voorzitter van het CBP en tevens vice-voorzitter van de Artikel 29-werkgroep, heeft aangekondigd zich te bezinnen op "afschrikwekkende boetes". Of het daadwerkelijk tot boetes en rechtszaken zal komen, moet nog blijken. Wel is het duidelijk dat de privacywetgeving en de handhaving daarvan steeds verder doordringt in "Cyberspace". Zowel zoekmachine-exploitanten als andere internetondernemers zullen dan ook steeds vaker met het privacyrecht in aanraking komen.