Google maakt het gebruikers die een Google-account maken te moeilijk om erachter te komen welke data het verzamelt en waarvoor, oordeelt de privacywaakhond CNIL.

"Essentiële informatie, zoals de reden voor de verwerking van data, de periode waarvoor de data worden bewaard of de categorieën van persoonlijke gegevens gebruikt voor personalisatie van advertenties, zijn buitensporig verspreid over meerdere documenten, met knoppen en links waarop geklikt moet worden om aanvullende informatie te krijgen", schrijft de toezichthouder.

"De relevante informatie is alleen na enkele stappen toegankelijk, in sommige gevallen na vijf of zes acties. Dit is bijvoorbeeld het geval wanneer een gebruiker compleet geïnformeerd wil zijn over de gegevens die verzameld worden voor personalisatie van advertenties of voor het bijhouden van locatiegegevens."

De getoonde informatie is bovendien niet altijd duidelijk of volledig, oordeelt de CNIL. "De commissie merkt met name op dat de doeleinden van de verwerking (van persoonlijke data, red.) te algemeen en te vaag zijn geformuleerd", schrijft de privacywaakhond. Dat geldt naar het oordeel van de CNIL ook voor de verschillende categorieën van data die Google verzamelt.

Onder de privacywet AVG, die sinds mei in heel Europa van kracht is, mogen bedrijven persoonlijke gegevens verzamelen als gebruikers daarvoor expliciet toestemming geven.

Volgens de onderzoekers van de CNIL heeft Google de toestemming niet rechtmatig verkregen. De waakhond merkt op dat gebruikers naar zijn oordeel niet alleen onvoldoende zijn geïnformeerd, maar ook dat Google de toestemming niet expliciet vraagt.

Google heeft de knop waarmee gebruikers instemmen namelijk van tevoren zelf aangetikt, waardoor gebruikers hun toestemming moeten intrekken en niet verlenen. Onder de AVG moeten gebruikers een bewuste actie maken: zij moeten het lege vakje zelf aanvinken.

Bovendien vraagt Google de toestemming veel te breed, door allerlei verschillende toestemmingen te verwerken onder twee vinkjes, concludeert de privacywaakhond. "De AVG stelt dat toestemming alleen 'expliciet' is als die per doeleinde (voor het verwerken van persoonlijke data, red.) apart wordt gegeven."

De CNIL startte zijn onderzoek na twee klachten die eind mei, na de inwerkingtreding van de AVG, werden ingediend. Het is de eerste keer dat de Franse waakhond onder de AVG een boete uitdeelt.

Een woordvoerder van Google laat in een reactie weten dat het bedrijf onderzoekt of het vervolgstappen zal nemen. "Mensen verwachten hoge standaarden wat betreft transparantie en controle van ons. We nemen het heel serieus om aan de verwachtingen en en regelgeving de AVG te voldoen."