Google heeft waar mogelijk het CBP-onderzoek naar onrechtmatig wifi-sniffen met Street View auto's getraineerd en gefrustreerd.

Google Nederland zelf heeft steeds aangegeven "volledig mee te werken aan het onderzoek", maar niets is minder waar, zo blijkt uit het rapport 'Definitieve bevindingen'. Daar staan alleen al 13 voorbeelden in dat Google om uitstel vroeg, gevraagde informatie onvolledig leverde, of anderszins het onderzoek frustreerde door niet mee te werken. (Zie onder dit artikel op pagina's 4 & 5, voorbeelden van tegenwerking zijn rood onderstreept).

Daarna, vanaf eind november 2010, toen het College bescherming persoonsgegevens (CBP) klaar was met het onderzoek, is er nog maanden gespendeerd aan gesteggel, verdere correspondentie en hoorzittingen.

Vervelende vorderingen

Het is buitengewoon vervelend dat het CBP tijdens het onderzoek meermaals "met de vuist op tafel moest slaan", vertelt CBP-lid Madeleine McLaggan. “Het begint met verzoeken, en daarna vorderen we. In dit geval hebben we Google een aantal keer moeten vorderen om mee te werken."

Dinsdag maakte de toezichthouder bekend dat Google een dwangsom van 1 miljoen euro boven het hoofd hangt. De internetgigant moet onverwijld alle illegaal binnengeharkte payload data vernietigen. Volgens Google is dit reeds gebeurd. Tevens moet het bedrijf een opt out systeem optuigen zodat Nederlanders hun MAC-adres, dat door Google is gekoppeld aan exacte locatie, kunnen laten verwijderen. Google moet hiervan iedereen op de hoogte stellen via online media en landelijke dagbladen, besliste de toezichthouder.

3,6 miljoen SSID's

Maar daarmee is de kous nog niet af. Want Google moet ook de verzamelde netwerknamen van ruim 3,6 miljoen Nederlandse wifi-routers zo snel mogelijk wissen. Dat bevestigt College-voorzitter Jacob Kohnstamm in een interview met Webwereld. Deze zogenaamde SSID’s bestaan vaak uit het routertype en een nummer. Consumenten kunnen zelf het SSID aanpassen, wat regelmatig leidt tot SSID’s met eigennamen erin.

lijst met SSID's Willekeurige lijst van SSID's op een locatie

Wissen: 3x overschrijven

“We hebben met Google discussie gehad over SSID-nummers, maar zijn tot de conclusie gekomen dat er geen gerechtvaardigd belang isom die data te verzamelen en op te slaan. Dus geen opt out of zo, maar weg ermee. Vernietigen, en wel zo snel mogelijk,” aldus Kohnstamm resoluut. Dit dient te geschieden door de gewraakte data minstens drie maal te overschrijven.

Google stelt dat het verzamelen van SSID’s helpt om fouten in de database van MAC-adressen te voorkomen, maar erkent dat het niet noodzakelijk is voor plaatsbepaling via wifi-netwerken.

Schokkende bijvangst

Dat Google naast het verzamelen van locatie van wifi-routers ook nog eens twee jaar lang als bijvangst pay load data heeft geoogst, noemt het CBP "een schokkend gegeven". Dit zijn voor Nederland vijf schijven vol met flarden data, waaronder e-mails, medische gegevens en financiële data.

Of dit echt per ongeluk is gebeurd, zoals Google stelt, laat het CBP in het midden. "Het staat in elk geval op gespannen voet met de zorgvuldigheid die Google zegt te betrachten."

Al die data is opgeslorpt door de Street View auto's die de afgelopen jaren door Nederland reden. Tegenwoordig sniffen die auto's geen wifi-data meer. Google heeft namelijk een veel slimmer en efficiënter alternatief: sniffing met miljoenen Android-smartphones. Daar heeft het CBP echter geen onderzoek naar gedaan.

Profilering: stempel op voorhoofd

De toezichthouder concludeert nu ook dat zowel MAC-adressen en SSID’s, in combinatie met locatiegegevens, in deze context persoonsgegevens zijn. Met deze data kunnen mensen worden geprofileerd op basis van hun sociaal-economische omgeving. "Mensen krijgen zo een stempel op hun voorhoofd," aldus Kohnstamm.

Google ontkent stellig dat MAC-adressen, SSID's en locatiedata tot personen kunnen worden herleid. Het internetbedrijf studeert nog op het oordeel van het CBP. Tegen het besluit is beroep en bezwaar mogelijk.

Steeds vaker traceerbaar

Eerder kwalificeerde het CBP ook IP-adressen als persoonsgegevens. En het zal niet de laatste keer zijn dat nummers of codes onder de wet bescherming persoonsgegevens (Wbp) gaan vallen. Kohnstamm: “Het wordt steeds vaker zo dat technologie, die overigens het leven buitengewoon aangenaam kan maken, zodanig werkt dat het traceerbaar is op de persoon."

Vandaar dat het CBP niet alleen de payload data heeft onderzocht, maar ook expliciet het verzamelen van MAC-adressen, SSID’s en locatiedata. “De meeste andere toezichthouders hebben zich volledig geconcentreerd op die payload data. Ons onderzoek is breder ingestoken.”

Apple en Skyhook zijn gewaarschuwd

Kohnstamm benadrukt dat de verplichtingen die het Google oplegt ook gelden voor anderen die vergelijkbare diensten leveren. De bekendste hiervan is Skyhook, die ook geolocatie via wifi-sniffing realiseert. Skyhook wordt veel gebruikt in smartphone applicaties. Apple gebruikte Skyhook standaard in de iPhone. Sinds april vorig jaar heeft Apple echter zijn eigen locatietechnologie in iOS ingebakken.

Kohnstamm: “We kunnen niet alle vergelijkbare zaken aanpakken, maar doen wel diepgravend onderzoek. Op deze manier heeft een onderzoek en handhaving een vermenigvuldigend effect. We zeggen nu eigenlijk indirect tegen een hele sector: let op je zaken.”

Onderzoeksrapport Wifi-sniffing Google