Dat maakt het College Bescherming Persoonsgegevens (CBP) bekend op zijn site. "Uit onderzoek van het CBP blijkt dat Google door middel van Street View auto’s twee jaar lang systematisch en buiten medeweten van de betrokkenen het unieke nummer (het MAC-adres) van ruim 3,6 miljoen wifi-routers heeft vastgelegd in combinatie met de berekende locatie van de wifi-router", concludeert het CBP in zijn onderzoek.

Vier weken respijt

Het MAC-adres is samen met een locatie een persoonsgegeven, omdat de gegevens samen informatie verschaffen over de eigenaar van de router. Verder komt het CBP tot de conclusie dat Google met Street View auto's inhoudelijke communicatiegegevens, payload data, heeft verzameld. "Uit het onderzoek blijkt dat deze informatie persoonsgegevens bevat, zoals emailadressen, medische gegevens en informatie over financiële transacties", stelt het College.

Google Nederland krijgt van het CBP drie maanden om de betrokkenen, zowel online als offline, op de hoogte te stellen over het verzamelen van de gegevens. Ook moet er binnen drie maanden een opt-out regeling komen waarmee mensen zich kunnen verzetten tegen het verwerken van de verzamelde wifi data. De payload data moet daarentegen binnen vier weken vernietigd zijn. Zo niet, dan worden er dwangsommen opgelegd die kunnen oplopen tot 1 miljoen euro.

Data vernietigen

De payload data staat volgens het CBP op een geïsoleerde en beveiligde server in de Verenigde Staten. Google dient die "onomkeerbaar te wissen door deze ten minste drie maal te overschrijven met verschillende patronen, bijvoorbeeld middels DoD 5220.22-M", een Amerikaanse norm voor het vewerken en verwijderen van privacygevoelige informatie, opgezet door het National Industrial Security Program.

Er zijn ook 5 harde schijven met Nederlandse payload data. Die moeten volgens dezelfde methode worden gewist en vervolgens fysiek worden vernietigd. Dan zijn er nog harde schijven met gemengde Duitse en Nederlandse data en Nederlandse en Belgische data. Die moeten opgeslagen blijven totdat de procedures die in België en Duitsland lopen zijn afgerond, of totdat de data niet meer nodig is voor het onderzoek in onze buurlanden. Deze vernietiging wordt gecontroleerd door een externe forensisch expert, die een schriftelijke verklaring indient waaruit blijkt dat de data ook daadwerkelijk vernietigd is.

Google beraadt zich

Google kreeg de conclusies van het CBP al voor de officiële presentatie in handen, zo bleek maandag. Toch zegt het bedrijf in een reactie dat ze de conclusies van het CBP nog bestuderen. Wel zegt het bedrijf spijt te hebben van het wifi-sniffen. "Zoals we eerder hebben aangegeven, spijt het ons enorm dat wij onopzettelijk inhoudelijke communicatiegegevens van niet-beveiligde Wifi-netwerken hebben verzameld", aldus een woordvoerder van Google Nederland.

"Zodra wij beseften dat dit het geval was, hebben wij onze Street View-auto’s aan de kant gezet, onmiddellijk de Nederlandse overheid op de hoogte gesteld en meegewerkt aan het onderzoek. Wij hebben deze gegevens zelf nooit bekeken, noch hebben wij deze gebruikt voor producten of diensten van Google. Wij hebben deze gegevens verwijderd, nu het onderzoek is afgerond."

Op dat punt verwacht Google dan ook geen problemen. Over het op de hoogte stellen van 3,6 miljoen Nederlanders met een gesnifte wifi-router wordt niet gerept. Wel wijst Google erop dat er de mogelijkheid bestaat om in beroep te gaan bij het CBP, maar het is onduidelijk of Google daarvoor kiest.

Ook wil Google graag aanstippen het niet eens te zijn met het CBP over de registratie van MAC-adressen. Volgens de zoekgigant zijn dit geen persoonsgegvens: "Ik wil graag benadrukken dat wij deze gegevens niet kunnen, maar ook niet willen inzetten om personen te identificeren", aldus de zegsman die verwijst een blogpost waar Google eerder zijn standpunt uitlegde over de wifi-sniffing zaak.