5 misverstanden over Google's router opt-out

De Tweede Kamer slaat met zijn eis aan Google voor een opt-in voor locatiedata van routers de plank volledig mis. Net als Google zelf met zijn zalvende woorden.

Het verzamelen van wifi-routerdata blijft de gemoederen bezig houden. Maar veel mensen, inclusief Tweedekamerleden, huilen met de privacywolven mee, zonder op de hoogte te zijn van de ins en outs. Webwereld scheidt de PR-spin en FUD van de feiten. We spaken met Alma Whitten, Google's hoogste privacychef, verschillende experts en zochten contact met Google's rivalen met vragen over hun locatiediensten. Vijf veelvoorkomende misverstanden.

Data wordt verzameld door StreetView auto's
Het klopt dat het CBP onderzoek heeft gedaan naar het verzamelen van data van wifi-routers door rondrijdende auto's van Google StreetView. Maar die praktijk is allang voltooid verleden tijd, Google is daar in het voorjaar van 2010 al mee gestopt. De huidige methode van dataverzameling is echter veel grootschaliger en fijnmaziger: Android. Iedereen met een Android-toestel waarvan locatiediensten en wifi aanstaan, fungeert als wandelende wifisniffer voor Google. Dat geldt trouwens even goed voor mensen met een iPhone, Blackberry of Windows Phone, maar daarover later meer.

Google 'denkt mee' met het CBP
Dinsdag was Google's privacychef Alma Whitten in Nederland voor een charme- en lobbyoffensief. Whitten hield een ronkend verhaal over Google's vijf centrale privacyprincipes. Ook dacht Google al aan de opt-out voor routerdata vóórdat het CBP en privacywaakhonden uit andere landen onderzoek deden naar het concern, vertelde Whitten. Eerder claimde het bedrijf dat het volledig meewerkte met dat onderzoek.

Maar de zalvende woorden van Google staan in schril contrast met het rapport van het CBP. Dat constateerde eerder dit jaar dat Google waar mogelijk het onderzoek van de privacywaakhond heeft gefrustreerd. In het rapport staan maar liefst 13 voorbeelden dat Google om uitstel vroeg, gevraagde informatie onvolledig leverde, of anderszins het onderzoek frustreerde door niet mee te werken.

Google moet een opt-in bieden
Vorige week bemoeide ineens de Tweede Kamer zich tegen de kwestie aan. Een meerderheid van de fracties hekelde Google's opt-out en eiste een opt-in. Persoonsgegevens mogen immers pas worden verwerkt en opgeslagen als de betrokkene zijn ondubbelzinnige toestemming heeft verleend?

Niet dus. Het verzamelen van routerdata is niet dusdanig privacygevoelig dat daarvoor expliciete toestemming vereist is, oordeelt het CBP. Het relevante wetstekst is artikel 8 Wbp, die behalve de "ondubbelzinnige toestemming" nog vijf andere gronden geeft voor de verwerking van persoonsgegevens. Voor het verzamelen van routerdata is lid F van toepassing, vindt het CBP. En dan volstaat een opt-out.

Dus de Kamerwoede tegen Google is gratuit en bovendien gericht op de verkeerde partij. Als de parlementariërs zich zo graag druk willen maken over het verzamelen van routerdata, kunnen ze beter het CBP op het matje roepen, of de wet bescherming persoonsgegevens (Wbp) aanscherpen.

Opt-out via MAC-adres is niet te controleren
Google biedt een opt-out door de tag '_nomap' aan de SSID van de router toe te voegen. Maar er is ook een andere manier: het invoeren van het MAC-adres van de router, waarna dit adres en de bijbehorende locatiedata uit de database wordt verwijderd.

Maar volgens Google is deze methode gevoelig voor 'misbruik' en 'vandalisme'. Vandalen zouden random heel veel MAC-adressen kunnen invoeren, aldus Google's privacychef Whitten.

Maar experts diskwalificeren dit argument als FUD. Sterker nog, zelfs het CBP heeft aan Google gesuggereerd om de MAC-adres opt-out te implementeren, inclusief gedetailleerde instructies om misbruik te voorkomen (zie voetnoot 16, p. 11). De browser kan namelijk op de achtergrond de zogenaamde ARP-tabel opvragen, waarin de MAC-adressen staan van alle apparaten verbonden in het locale wifi-netwerk. Staat het MAC-adres dat wordt ingevoerd voor verwijdering ook in het ARP-lijstje, is het verzoek dus authentiek en daarmee valide.

Microsoft biedt via de site van Windows Phone overigens wel een opt-out door het invullen van het MAC-adres van de router. Het bedrijf meldt desgevraagd dat het inderdaad een controlemechanisme heeft om misbruik te voorkomen. Details hierover wil het echter niet geven.

Google is de enige overtreder
Aangezien toezichthouders alleen Google in deze kwestie hebben aangepakt, wordt vaak over het hoofd gezien dat andere partijen, zoals Microsoft, Apple, Blackberry en Sk*hook exact hetzelfde doen en ook in overtreding zijn. Webwereld heeft vragen gesteld aan deze rivalen, maar alleen Microsoft heeft gereageerd.

CBP-voorzitter Kohnstamm heeft expliciet benadrukt dat de verplichtingen die het Google oplegt ook gelden voor anderen die vergelijkbare diensten leveren. "We kunnen niet alle vergelijkbare zaken aanpakken, maar doen wel diepgravend onderzoek. Op deze manier heeft een onderzoek en handhaving een vermenigvuldigend effect. We zeggen nu eigenlijk indirect tegen een hele sector: let op je zaken", zei Kohnstamm in een interview met Webwereld in april dit jaar.

Veel effect heeft het niet gehad, want uit onderzoek van Webwereld blijkt dat geen enkele andere locatiedienst aan alle eisen van het CBP voldoet. Voor zover we hebben kunnen nagaan hebben Apple, Sk*hook en Blackberry überhaupt geen opt-out voor wifi-routers, laat staan een opt-in.

Zoals gemeld heeft Microsoft wel een opt-out, en wel door het invoeren van het MAC-adres van de router. Het MAC-adres staat als het goed is op een sticker onderop elke router. Maar geen van deze bedrijven voldoet aan de meest basale eis van het CBP: diegene die routerdata verzamelt, moet dat expliciet en specifiek melden bij het CBP. Alleen Google voldoet daar nu aan.