GDPR-boete kost Google 50 miljoen euro

Google heeft in Frankrijk een boete van 50 miljoen euro opgelegd gekregen voor schending van de Europese privacywetgeving GDPR. Volgens de Franse overheidsinstantie Commission nationale de l’informatique et des libertés (CNIL) heeft de internetreus twee bepalingen van de wet overtreden.

Zo zou Google zijn gegevensverzamelingsbeleid niet makkelijk toegankelijk hebben gemaakt. Daarnaast heeft het bedrijf volgens CNIL onvoldoende, noch specifieke toestemming van gebruikers verkregen voor het plaatsen van gepersonaliseerde advertenties in zijn diensten, zoals YouTube en Google Maps.

Volgens CNIL gaat het niet om een eenmalig incident, maar lapt Google structureel de regels wat betreft de GDPR aan zijn laars.

NOYB

Het waren de Franse digitale belangengroep La Quadrature du Net en de privacyorganisatie NOYB van activist Max Schrems die op 25 mei 2018 gezamenlijk de klachten over Google indienden. Dat ze er geen gras over lieten groeien, bleek wel uit het gegeven dat ze dit deden op dezelfde dag dat de GDPR van kracht werd. NOYB, een Engelse afkorting voor ‘None Of Your Business’, diende eerder ook al gerelateerde klachten in tegen Instagram, WhatsApp en Facebook. Zaken die nog steeds lopen.

“Na de introductie van GDPR hebben we ontdekt dat grote bedrijven zoals Google de wet ‘anders interpreteren’. Vaak passen ze slechts oppervlakkig hun producten aan. Het is belangrijk dat de autoriteiten duidelijk maken dat alleen beweren dat ze compliant zijn, niet genoeg is”, aldus Max Schrems.

Google laat in een verklaring aan The Washington Post weten “diep geëngageerd te zijn om aan de verwachtingen en de toestemmingsvereisten van de GDPR te voldoen”.

Eerdere klachten

Afgelopen november diende de Europese consumentenorganisatie Bureau Européen des Unions de Consommateurs (BEUC) ook al een klacht in tegen Google wegens privacyschending. De zoekmachine zou de locatie van gebruikers kunnen traceren, zelfs als de optie ‘locatiegeschiedenis’ is uitgeschakeld. Iets wat in strijd is met de Europese GDPR-wetgeving. Het betrof in deze een gezamenlijke klacht van de landen Noorwegen, Nederland, Griekenland, Tsjechië, Slovenië, Polen en Zweden.

Facebook

Naast Google is ook Facebook dit jaar al geconfronteerd met GDPR-klachten. Zo bracht het bedrijf september vorig jaar zelf naar buiten getroffen te zijn door een datalek. Hierbij waren de contactgegevens van zo’n 30 miljoen gebruikers gelekt, waarvan 3 miljoen Europese burgers. Voorlopig kreeg het sociale netwerk hier nog geen boete voor opgelegd.

In oktober kreeg Facebook wel een boete van 500.000 Britse pond aan zijn been, na het Cambridge Analytica-schandaal dat in maart vorig jaar los barstte. De GDPR was op het moment van de overtredingen nog niet van kracht, waardoor het Britse Information Commissioner’s Office (ICO) geen hogere boete kon opleggen volgens de Data Protection Act van 1998.

Kleine boete

De 50 miljoen euro die Google nu moet ophoesten is in verhouding een veel significanter bedrag, maar blijft klein bier. Volgens de GDPR kunnen zware of herhaaldelijke schendingen worden bestraft met een maximale boete die gelijk is aan 4 procent van de jaarlijkse omzet van een bedrijf.

Alphabet, het moederbedrijf van Google, had in 2017 een jaaromzet van ongeveer 94,79 miljard euro. Dat betekent dat de maximale boete die mogelijk was in deze zaak 3,79 miljard euro bedroeg. Google komt er dus nog goed van af.

Gerelateerd: Google krijgt Europese boete van 4,3 miljard euro voor Android