Titelblad

Titelblad 0

1. Inleiding 2

2. Het toepassingsgebied van de AVG 3

2.1. Territoriaal toepassingsgebied 3
2.2. Materieel toepassingsgebied 4

3. De beginselen uit artikel 5 van de AVG 5

3.1. Rechtmatigheid, behoorlijkheid en transparantie 6
3.1.1. Rechtmatigheid 6
3.1.1.1 Toestemming 6
3.1.1.2. Gerechtvaardigd belang, uitvoering van een overeenkomst en wettelijke
verplichting 8
3.1.2. Behoorlijkheid en transparantie 8
3.2. Doelbinding 9
3.3. Minimale gegevensverwerking 10
3.4. Juistheid 10
3.5. Opslagbeperking 11
3.6. Integriteit en vertrouwelijkheid 11

4. Conclusie 12

5. Bibliografie 13
5.1. Wetgeving 13
5.2. Soft Law 13
5.3. Rechtsleer 13
5.4. Internetbronnen 13

6. Bijlagen 15

1
1. Inleiding

1. Google Nest is een productielijn van elektronische apparaten uitgebracht door Google.
Oorspronkelijk opereerde Nest als een zelfstandige onderneming, maar in 2014 werd Nest
overgenomen en geïntegreerd in de vennootschapsstructuur van Google. 1 Sindsdien wordt Nest
gerund als een dochter van de techgigant onder de nieuwe naam ‘Google Nest’. De doelstelling van
Google Nest is om door de koppeling van een reeks slimme apparaten een ‘connected home’ te
creëren, waarin alle apparaten met elkaar in verbinding staan als een organisch geheel, maar
tegelijkertijd hun eigen specifieke functie vervullen.

2. Het aantal apparaten dat Google Nest aanbiedt is uitgebreid en ook de functies van de apparaten
zijn veelzijdig. Zo is er de Nest Cam: een intelligente beveiligingscamera die het verschil kent tussen
mensen, dieren en voertuigen, maar ook als communicatiemiddel kan gebruikt worden dankzij de
ingebouwde speaker en microfoon. 2 Daarnaast is er de Nest Doorbell: een deurbel met een
geïntegreerde videocamera die meldingen verstuurt naar de eigenaar van de woning wanneer er
zich activiteit aan de voor de voordeur afspeelt. 3 Voor consumenten die geïnteresseerd zijn in een
slimme rookmelder is er de Nest Protect. Dit is een alarmsysteem dat volgens Google “denkt,
spreekt en meldingen naar je mobiel stuurt”. 4 Al deze slimme apparaten staan met elkaar in
verbinding via het lokaal Wifi-netwerk en kunnen naast het gebruik van spraaktechnologie, bestuurd
worden via de Google Home app van de gebruiker.

3. Ten slotte biedt Google ook een aantal boxen aan waar de focus van deze paper op zal komen te
liggen: de Google Nest speakers. Deze speakers kunnen gebruikt worden als radio, timer, kookhulp,
nieuwsbron, vertaler en reageren op een grote variëteit aan ‘voice commands’. De bediening van de
box gebeurt uitsluitend aan de hand van spraaktechnologie. De Nest speakers voeren slechts
opdrachten uit wanneer de aandacht van de speaker wordt getrokken door het voice command ‘Hey

1 D. Reijerman, “Google neemt Nest over voor omgerekend 2,3 miljard euro”, Tweakers, januari 2014,
https://tweakers.net/nieuws/93679/google-neemt-nest-over-voor-omgerekend-2-komma-3-miljard-euro.html
(consultatie op 30 april 2022).
2 X., “Nest Cam (indoor, netvoeding)”, Google Store, 2022,
https://store.google.com/product/nest_cam_indoor?hl=nl&pli=1, (consultatie op 30 april 2022).
3 X. “Nest Doorbell (batterij)”, Google Store, 2022, https://store.google.com/product/nest_doorbell_battery?
hl=nl#gq-overview-chap-intro-1, (consultatie op 30 april 2022).
4 X., “Nest Protect smoke and CO alarm”, Google Store, 2022,
https://store.google.com/product/nest_protect_2nd_gen?hl=nl, (consultatie op 30 april 2022).

2
Google’, maar zelf indien de box niet bezig is met het actief uitvoeren van commando’s staat het
apparaat steeds op stand-by en is het dus ook in staat om gesprekken op te vangen. 5

4. Het is dan ook het privacybeleid dat Google voert met betrekking tot deze speakers dat onder de
loep zal worden genomen. Meer specifiek zal worden onderzocht in welke mate het privacybeleid
van Google in overeenstemming is met de beginselen uit artikel 5 van de Algemene Verordening
Gegevensbescherming. Vanwege de beperkte draagwijdte van deze paper kan helaas niet dieper
worden ingegaan op de rechten van de betrokkene en de daaropvolgende artikelen. Ook Verdrag nr.
108 en de regels die afkomstig zijn van de Verenigde Naties worden in deze paper buiten
beschouwing gelaten. In het hiernavolgende hoofdstuk wordt eerst en vooral afgetoetst of de die
diensten die Nest aan haar klanten aanbiedt binnen het toepassingsgebied van de AVG vallen.

2. Het toepassingsgebied van de AVG

2.1. Territoriaal toepassingsgebied

5. De eerste vraag die moet gesteld worden is of Google door het aanbieden van de Google Nest
speakers aan de Europese consument ook effectief onderhevig is aan de AVG. De territoriale
werking van de AVG kan teruggevonden worden in artikel 3. 6 Het relevante onderdeel van dit artikel
is in dit geval lid 1:

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader

van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker
in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

6. De onderneming die in Europa instaat voor het aanbieden van Google producten en diensten is
Google Ireland Limited.7 Google Ireland Limited is een Ierse dochtervennootschap die opereert
onder de overkoepelende moedervennootschap Google LLC. De moedervennootschap is
geïncorporeerd in de VS 8, maar Google Ireland Limited is geïncorporeerd in Dublin en kan dus
gekwalificeerd worden als een Europese onderneming. 9 Uit het privacybeleid van Google blijkt dat
5 Infra, p. 6-7.
6 Artikel 3, lid 1 AVG.
7 X., “Over de Google store”, Google Support, 2022, https://support.google.com/store/answer/11291219?
hl=nl, (consultatie op 30 april 2022).
8 K. Franek, “What Companies Google & Alphabet Own: Visuals & Full List”, Kamil Franek, oktober 2019,
https://www.kamilfranek.com/what-companies-alphabet-google-owns/, (consultatie op 30 april 2022).
9 X., “Legal information - Google Ireland Limited”, Kompass, juli 2021, https://ie.kompass.com/c/google-
ireland-limited/ien042207/#:~:text=Incorporated%20in%202003%20with%20the,in%20DUBLIN%204%2C

3
Google Ireland Limited de hoedanigheid heeft van verwerkingsverantwoordelijke wanneer er
gegevens worden verwerkt van gebruikers van Google-services die zich bevinden in de Europese
Economische Ruimte of in Zwitserland. 10 De AVG is dus van toepassing op basis van het eerste lid van
artikel 3.

2.2. Materieel toepassingsgebied

7. Volgens artikel 2 van de AVG is de verordening van toepassing op de geheel of gedeeltelijk
geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand
zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 11 De AVG-principes zijn dus
van toepassing als Google via de Google-Nest speakers gegevens verzamelt die kwalificeren als
persoonsgegevens. Persoonsgegevens zijn gegevens aan de hand waarvan men direct of indirect een
persoon kan identificeren.12

8. Alvorens men kan overgaan tot het gebruik van een Google-Nest speaker moet de gebruiker over
een Google-account beschikken waarmee hij kan inloggen op de Google-Home app. Deze app stelt
de betrokkene in staat om de speaker in te stellen en te beheren. Om een Google-account aan te
maken moet de gebruiker een naam en voornaam opgeven. 13 Dit hoeft nochtans niet om zijn echte
naam te gaan. De gebruiker is vrij om te beslissen of hij een echte- of een fictieve naam opgeeft.
Wanneer de gebruiker echter zijn echte naam opgeeft is hij direct identificeerbaar en kwalificeert dit
als een verwerking van persoonsgegevens waarop de AVG van toepassing is. 14

9. Daarnaast heeft de gebruiker de optie om zijn telefoonnummer te linken aan zijn Google-account.
Vreemd genoeg moet de gebruiker wel eerst zijn telefoonnummer opgeven zodat Google kan
verifiëren dat dit het echte nummer van de gebruiker is. 15 Pas als dit gelukt kan de gebruiker ervoor
opteren om zijn nummer niet te linken aan zijn Google-account. 16 Dit neemt echter niet weg dat de
initiële verificatie van het telefoonnummer alsnog als een verwerking van persoonsgegevens moet
beschouwd worden. Hoewel een telefoonnummer, in tegenstelling tot de naam van een gebruiker,
niet informatief genoeg is om te kwalificeren als een direct identificeerbaar gegeven, valt een

%20CO%20DUBLIN, (consultatie op 30 april 2022).

10 Privacybeleid Google, p.17.
11 Artikel 2 AVG.
12 Artikel 4, lid 1 AVG.
13 Zie bijlage 1.
14 C. GIAKOUMOPOULOS, G. BUTTARELLI en M. O’FLAHERTY, Handboek Europese
gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 107.
15 Zie bijlage 2.
16 Zie bijlage 3.

4
telefoonnummer wel onder de noemer van een indirect identificeerbaar gegeven. 17 En aangezien de
verificatie van het telefoonnummer van de gebruiker een onvermijdelijke stap is tijdens het
aanmaken van een Google-account verwerkt Google hoe dan ook persoonsgegevens. De AVG is dus
van toepassing op het instellen van de Google-home app .

10. Daarnaast verwerkt de Google nest speaker ook persoonsgegevens tijdens het gebruik van de
speaker door de betrokkene. Vooral de verwerking van spraakcommando’s zijn in dit kader relevant,
aangezien dit de voornaamste manier is waarop de speaker zal bediend worden. Bij het installeren
van de speaker wordt aan de gebruiker bijvoorbeeld gevraagd of hij ‘Voice Match’ wil inschakelen. 18
Als de gebruiker hiermee instemt zal de speaker zichzelf trainen om de stemmen van specifieke
gebruikers te onderscheiden. Op deze manier wil Google de speaker in staat stellen om antwoorden
te geven die beter zijn afgestemd op de voorkeuren van de gebruiker in kwestie. 19 Aangezien Voice
Match er specifiek op gericht is om verschillende gebruikers te identificeren en van elkaar te
onderscheiden valt deze vorm van spraakherkenning ook onder de verwerking van
persoonsgegevens volgens de AVG.20

11. Bovendien is de speaker in staat om spraakcommando’s op te slaan en door te sturen naar

Google. Ook hiervoor wordt eerst toestemming gevraagd aan de gebruiker. Als de gebruiker hiermee
instemt, worden zijn audio-opnames opgeslagen in zijn Google-account bij zijn web- en app-
activiteit. Google gebruikt deze audio naar eigen zeggen voor de ontwikkeling en verbetering van
technologieën voor audioherkenning en de Google-services die hiervan gebruikmaken, zoals de
Google Assistent.21 Ook dit moet beschouwd worden als de verwerking van persoonsgegevens.

3. De beginselen uit artikel 5 van de AVG

12. Hoofdstuk II van de AVG vangt aan met artikel 5 waarin de belangrijkste beginselen van de AVG
uiteen worden gezet. Artikel 5 geeft aan dat elke verwerking van persoonsgegevens in
overeenstemming moet zijn met de beginselen die zij formuleert. 22 23
Ook de gegevensverwerking

17 Ibid en Article 29 Working Party, Opinion 4/2007 on the concept of personal data, WP 136, Brussel, 20 juni
2007, 13.
18 Zie bijlage 4.
19 X., “De Google Assistent trainen om je stem te herkennen met Voice Match”, Google Assistent Help, 2022,
https://support.google.com/assistant/answer/9071681?hl=nl&co=GENIE.Platform%3DAndroid#zippy=
%2Cvoice-match-en-persoonlijke-resultaten%2Cvoice-match-en-mediaservices, (consultatie op 30 april 2022).
20 European Data Protection Board, Guidelines 02/2021 on virtual voice assistants, Brussel, 7 juli 2021, 23.
21 Zie bijlage 5.
22 Artikel 5 AVG.
23 C. GIAKOUMOPOULOS, G. BUTTARELLI en M. O’FLAHERTY, Handboek Europese
gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 168.

5
die Google uitvoert via de Nest Speakers moet in lijn liggen met deze beginselen. In wat volgt
worden de gegevensverwerking door Google afgetoetst aan de beginselen die zijn opgenomen in
artikel 5.

3.1. Rechtmatigheid, behoorlijkheid en transparantie

13. Het eerste beginsel van de AVG staat genoteerd in artikel 5, lid 1, a) en geeft aan dat
persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene
rechtmatig, behoorlijk en transparant is. 24 Hieronder worden deze drie facetten kort uiteengezet.

3.1.1. Rechtmatigheid

14. Volgens artikel 6 van de AVG kan een verwerking van persoonsgegevens enkel rechtmatig zijn
wanneer de verwerking gesteund is op één of meerdere verwerkingsgronden. In haar privacybeleid
geeft Google aan dat ze zich steunt op de verwerkingsgronden van toestemming, gerechtvaardigd
belang, uitvoering van een overeenkomst en wettelijke verplichting.

3.1.1.1 Toestemming

15. De voornaamste verwerkingsgrond waar Google zich op beroept tijdens het verwerken van
persoonsgegevens via de Nest Speaker is toestemming. Met name voor het maken van audio-
opnames, toegang tot de ‘web-en-app activiteit’, toegang tot de contacten van de gebruiker, het
activeren van Voice Match en voor het bekijken van info over de apps op de smartphone van de
gebruiker wordt toestemming gevraagd aan de gebruiker. 25 In het geval dat de gebruiker weigert
toestemming te geven tot de bovenstaande gegevens, geeft Google aan dat de gebruiker nog steeds
gebruik kan maken van de functies van de Nest speaker (zoals het spelen van muziek en het
uitvoeren van taken via spraakcommando’s), maar dan op een minder gepersonaliseerde wijze.

16. Een belangrijke vraag die moet gesteld worden is in welke mate de Nest speaker dagdagelijkse
gesprekken ‘afluistert’ en opslaat. De speaker wordt namelijk enkel geactiveerd door het
spraakcommando ‘hey Google’, maar dat neemt niet weg dat de speaker ook in staat is om in
passieve toestand gesprekken van de gebruiker op te vangen. Hoewel deze mogelijkheid bestaat,
benadrukt Google dat dit niet het geval is. Op de site van Google staat er dat de Nest speaker is
ontworpen om in stand-bymodus te wachten totdat hij geactiveerd wordt door het

24 BBMRI-ERIC COMMON SERVICE ELSI, The EU General Data Protection Regulation Answers to Frequently
Asked Questions (Updated Version 2.0), Graz, BBMRI-ERIC, 2017, 5.
25 X. “Kiezen wat je wilt delen met je Google Assistent”, Google Support, 2022,
https://support.google.com/assistant/answer/7126196#zippy=%2Ckiezen-om-deze-instellingen-niet-in-te-
schakelen, (consultatie op 30 april 2022).

6
spraakcommando 'Hey Google'. Als de speaker in stand-bymodus is, stuurt hij de gesprekken van de
gebruiker niet door naar Google of derden. De spraakcommando’s van de gebruiker worden ook niet
standaard opgenomen. De gebruiker kan hier wel voor opteren door 'Inclusief audio-opnamen' aan
te vinken onder de instelling Web- en app-activiteit. Het doel van deze functie bestaat er volgens
Google in dat de spraakservice, audioherkenning en taalvaardigheid van de Nest speakers op deze
manier kan verbeterd worden. Wanneer de gebruiker deze functie inschakelt kan hij er later altijd
voor opteren om de opnames te verwijderen in de instellingen van zijn Google-account onder ‘Web-
en app-activiteit’. Daarnaast kan de gebruiker ook zijn recentste opnames laten verwijderen via het
commando 'Hey Google, verwijder wat ik deze week heb gezegd'. 26

17. Hoewel toestemming de voornaamste verwerkingsgrond is waarop Google steunt voor de

verwerking van persoonsgegevens door de Nest speakers, volstaat een verwerkingsgrond uit artikel
6 van de AVG niet voor de verwerking van spraakdata. Spraakdata wordt namelijk beschouwd als
biometrische data en valt dus onder de categorie van gevoelige gegevens uit artikel 9 van de AVG. 27
Uit artikel 9 volgt dat de verwerking van biometrische gegevens in principe verboden is, tenzij de
verwerker zich kan beroepen op een van de uitzonderingen die worden geformuleerd in lid 2 van
artikel 9.28 Artikel 9, lid 2, a) geeft echter wel aan dat de verwerking van biometrische gegevens toch
toegelaten is wanneer de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking
van die persoonsgegevens voor een of meer welbepaalde doeleinden. Op grond van deze
uitzondering kan besloten worden dat de verwerking van biometrische data door Google in lijn ligt
met de AVG, want zowel voor het inschakelen van ‘Voice match’ als voor het opslaan van
spraakcommando’s wordt toestemming gevraagd. Daarnaast wordt op de site van Google ook
duidelijk aangegeven dat de opnames enkel gebruikt worden om de spraaktechnologie van de Nest
speakers te verbeteren.

3.1.1.2. Gerechtvaardigd belang, uitvoering van een overeenkomst en wettelijke verplichting

18. Het gerechtvaardigd belang van Google is vooral van commerciële aard. In haar privacybeleid
geeft Google aan dat ze persoonsgegevens verwerkt met oog op het verbeteren van services, de
ontwikkeling van nieuwe producten, het aanbieden van advertenties, het aanpakken van technische
problemen en het detecteren van fraude. Belangrijk is dat de belangen van de
verwerkingsverantwoordelijke niet zwaarder mogen doorwegen dan de belangen van de

26 X., “De Google Assistent trainen om je stem te herkennen met Voice Match”, Google Assistent Help, 2022,
https://support.google.com/assistant/answer/9071681?hl=nl&co=GENIE.Platform%3DAndroid#zippy=
%2Cvoice-match-en-persoonlijke-resultaten%2Cvoice-match-en-mediaservices, (consultatie op 30 april 2022).
27 European Data Protection Board, Guidelines 02/2021 on virtual voice assistants, Brussel, 7 juli 2021, 23 en
30.
28 A. FOQUET en E. DECLERCK, Gegevensbescherming in de praktijk, Mortsel, Intersentia, 2018, 8.

7
betrokkene. In de preambule van de AVG staat echter dat directe marketing doeleinden en het
detecteren van fraude kwalificeren als gerechtvaardigde belangen. 29 Het belang van Google is dus in
evenwicht met het belang van de betrokkene.

19. Over de grondslagen ‘uitvoering van een overeenkomst’ en ‘voldoening van een wettelijke
verplichting’ wordt niet veel info gegeven. Google geeft 1 voorbeeld met betrekking tot de
contractuele grondslag: het verwerken van betalingsgegevens wanneer de gebruiker extra opslag
aanschaft voor Google Drive. Het zou de transparantie dus ten goede komen mocht Google hier wat
meer info over geven.

3.1.2. Behoorlijkheid en transparantie

20. Het behoorlijkheidsbeginsel wil zeggen dat de betrokkene moet geïnformeerd worden over de
risico’s die de gegevensverwerking met zich meebrengt, zodat de verwerking geen ongunstige
gevolgen heeft.30 Het transparantiebeginsel hangt hier nauw mee samen en houdt in dat de
verwerkingsverantwoordelijke info moet verstrekken aan de betrokkene over in hoeverre hij de
persoonsgegevens zal verwerken en welke doeleinden hij hierbij zal nastreven. 31 Daarnaast moet de
info in begrijpelijke taal worden geformuleerd. 32

21. Het valt op dat er nergens in het privacybeleid van Google wordt gewezen op de specifieke
risico’s die de verwerking van persoonsgegevens met zich kan meebrengen. Het enige wat Google
hierover vermeldt is dat de gebruiker op de hoogte zal gebracht worden wanneer de
beveiligingssystemen van Google bepaalde risico’s detecteren. Op de mogelijke risico’s zelf wordt
echter niet dieper ingegaan. Hieruit moet geconcludeerd worden dat het behoorlijkheidsbeginsel
niet wordt gerespecteerd.

22. Gelukkig wordt beter tegemoetgekomen aan het transparantiebeginsel. Google geeft duidelijk
weer welke doeleinden zij wil bereiken tijdens de verwerking van persoonsgegevens. Onder een
aparte rubriek in het privacybeleid worden alle doeleinden overlopen. De doeleinden die Google bij
29 Overweging 47 AVG en T. TROESTER-FALK en M. MCCLUSKEY, Processing Personal Data on the Basis of
Legitimate Interests under the GDPR, Washington DC, The Future of Privacy Forum, 2018, 6.
30 C. GIAKOUMOPOULOS, G. BUTTARELLI en M. O’FLAHERTY, Handboek Europese
gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 140 en
overweging 39 AVG.
31 BBMRI-ERIC COMMON SERVICE ELSI, The EU General Data Protection Regulation Answers to Frequently
Asked Questions (Updated Version 2.0), Graz, BBMRI-ERIC, 2017, 16.
32 Article 29 Working Party, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679,
WP260 rev.01, Brussel, 29 november 2017,6-7.

8
het verwerken van persoonsgegevens nastreeft bestaan uit het onderhouden, verbeteren en
ontwikkelen van de services. Ook wil Google op basis van de persoonsgegevens gepersonaliseerde
services aanbieden die zo veel mogelijk zijn afgestemd op de voorkeuren van de gebruiker.
Daarnaast worden de persoonsgegevens gebruikt om te anticiperen op beveiligingsrisico's en
technische problemen. Ook om te communiceren met de gebruiker zelf maakt Google gebruik van
de persoonsgegevens (bijvoorbeeld in het geval dat Google verdachte activiteit vaststelt).

23. De doeleinden worden op een vrij gedetailleerde, maar toch begrijpelijke wijze beschreven.
Bovendien bevat het privacybeleid links waarop de gebruiker kan klikken als hij meer informatie
wenst over een bepaald doeleinde. Wanneer de gebruiker op zo’n link klikt wordt hij naar de laatste
pagina’s van het privacybeleid verwezen waar de doeleinden telkens worden geïllustreerd met
voorbeelden. In die zin kan worden geconcludeerd dat Google voldoet aan het
transparantiebeginsel.

24. Een andere facet van de transparantieverplichting is dat de verwerkingsverantwoordelijke zijn

identiteit en adres aan de betrokkene moet verhullen. 33 In het privacybeleid van Google wordt
duidelijk aangegeven dat Google llc de verwerkingsverantwoordelijke is, maar het adres valt nergens
in het privacybeleid terug te vinden. Hier laat Google dus een steek vallen.

3.2. Doelbinding
25. Doelbinding houdt in dat persoonsgegevens alleen mogen verwerkt worden met welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doeleinden in het achterhoofd. Daarnaast mogen de
gegevens niet verwerkt worden op een wijze die in strijd is met die doeleinden. 34 Dit wil zeggen dat
de doeleinden op een duidelijke manier afgebakend moeten worden en ook helder
gecommuniceerd moeten worden naar de gebruiker. De verwerking van persoonsgegevens voor
‘verborgen’ doeleinden is niet toegestaan. 35

26. Per doeleinde geeft Google op precieze maar begrijpelijke wijze aan waarvoor de
persoonsgegevens gebruikt zullen worden. Bovendien wordt benadrukt er altijd toestemming zal
worden gevraagd als Google gegevens wil verwerken met oog op een doeleinde dat niet in

33 C. GIAKOUMOPOULOS, G. BUTTARELLI en M. O’FLAHERTY, Handboek Europese

gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 140.
34 Artikel 5, lid 1, b) AVG.
35 Overweging 39 AVG en Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203, Brussel, 2
april 2013, 12.

9
privacybeleid wordt beschreven. Er kan dus geconcludeerd worden dat het principe van doelbinding
wordt gerespecteerd.

3.3. Minimale gegevensverwerking

27. Het beginsel van minimale gegevensverwerking houdt in dat de verzamelde persoonsgegevens
toereikend, terzake dienend en beperkt moeten zijn voor wat noodzakelijk is om de doeleinden te
bereiken waarvoor zij worden verwerkt. 36 Een verwerkingsverantwoordelijke kan hier in zijn
privacybeleid aan tegemoetkomen door een opsomming van de noodzakelijke gegevens te maken
met een bijhorende doelomschrijving.37

28. In dit kader moet vastgesteld worden dat Google in haar privacybeleid wijze aangeeft welke
gegevens ze verzamelt en wanneer dit gebeurt. Daarbij wordt telkens minstens 1 doeleinde als
voorbeeld gegeven. Bijvoorbeeld:

“We verzamelen informatie over uw locatie wanneer u onze services gebruikt. Daardoor
kunnen we u services aanbieden zoals routebeschrijvingen”

29. Het feit dat Google het woord ‘zoals’ gebruikt in haar voorbeelden, kan er echter op wijzen dat
Google verder gaat in de gegevensverwerking dan dat wordt aangegeven in het privacybeleid. Het is
dus niet geheel duidelijk in welke mate Google het beginsel van dataminimalisatie naleeft.

3.4. Juistheid
30. De verzamelde persoonsgegevens moeten juist en actueel zijn. Daarnaast moeten alle
maatregelen genomen worden om onjuiste gegevens te wissen of te rectificeren. 38

Op zijn Google account kan de Nest-gebruiker alle gegeven raadplegen en controleren die over hem
werden opgeslaan. In het privacybeleid wordt ook duidelijk aangegeven waar de gebruiker
specifieke gegevens kan terugvinden (bv. Contactgegevens, zoals naam, e-mailadres en
telefoonnummer kan de gebruiker terugvinden onder ‘persoonlijke gegevens’. Gegevens die door
Google-sites en -apps werden opgeslagen zijn te vinden onder ‘mijn activiteit’.) 39

36 Artikel 5, lid 1, c) AVG.

37 FISP-WERKGROEP, Federal Information Security Policy Guideline: Handleiding voor de beveiliging van
persoonsgegevens, s.l., FISP-Werkgroep, 2019, 9.
38 Artikel 5, lid 1, d) AVG.
39 Privacybeleid Google p. 8-10.

10
31. Bovendien wordt concreet uitgelegd hoe de gebruiker zijn gegevens kan bekijken, updaten of
verwijderen. Bij elke stap wordt ook een link toegevoegd die de gebruiker kan aanklikken om de
gewenste actie uit te voeren. Aan het beginsel van juistheid is dus voldaan.

3.5. Opslagbeperking
32. Opslagbeperking houdt in dat persoonsgegevens bewaard moeten worden in een vorm die het
mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is om de doeleinden te
bereiken die door de verwerkingsverantwoordelijke voorop werden gesteld. 40 De
verwerkingsverantwoordelijke kan hiervoor gebruikmaken van privacybevorderende technologieën
zoals anonimisering en pseudonimisering.41

33. Hoewel Google wel aangeeft voor welke doeleinden zij de persoonsgegevens verwerkt, wordt in
het privacybeleid nergens verduidelijkt op welke manier de bewaring van gegevens wordt beperkt
tot het strikt noodzakelijke. De pseudonimisering of anonimisering van gegevens wordt niet
genoemd en ook over de bewaarperioden blijft men vaag (“We bewaren de verzamelde gegevens
voor kortere of langere perioden afhankelijk van wat de gegevens zijn”). Het is voor een betrokkene
dus moeilijk om na te gaan in welke mate het beginsel van opslagbeperking wordt gerespecteerd.
Ook op vlak van transparantie maakt Google hier geen goede beurt. Er is dus zeker nog ruimte voor
verbetering.

3.6. Integriteit en vertrouwelijkheid

34. Dit beginsel verplicht de verwerkingsverantwoordelijke technische of organisatorische
maatregelen te nemen zodat de persoonsgegevens op een passende manier beveiligd worden. Door
deze maatregelen moeten de gegevens beschermd worden tegen ongeoorloofde of onrechtmatige
werking en ook tegen verlies, vernietiging en beschadiging. 42 Dit ‘veiligheidsbeginsel’ kan onder
ander gefaciliteerd worden door een voorafgaande risicoanalyse en een uitgebreid
veiligheidsbeleid.43

40 Artikel 5, lid 1, e) AVG.

41 C. GIAKOUMOPOULOS, G. BUTTARELLI en M. O’FLAHERTY, Handboek Europese
gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 149-150.
42 Artikel 5, lid 1, f) AVG.
43 INFORMATION COMMISSIONER'S OFFICE, Guide to the General Data Protection Regulation (GDPR),
Wilmslow, Information Commissioner's Office, 2018, 207.

11
35. Volgens het privacybeleid zijn alle Google-producten voorzien van sterke beveiligingsfuncties die
de gegevens van de betrokkene voortdurend beschermen. De persoonsgegevens worden
geëncrypteerd indien zij worden overgedragen en alleen medewerkers van Google, contractanten
en vertegenwoordigers die de persoonsgegevens moeten kennen om ze te verwerken hebben
toegang. Daarnaast biedt Google een reeks beveiligingsfuncties aan zoals Safe Browsing,
Beveiligingscheck en authenticatie in 2 stappen.

36. Het lijkt er op dat Google haar veiligheidsbeleid zeer serieus neemt en er kan dus besloten
worden dat Google voldoet aan het beginsel van integriteit en vertrouwelijkheid.

4. Conclusie
37. De Google-Nest speaker vereist dat de gebruiker een aantal persoonsgegevens vrijgeeft bij de
installatie van het apparaat en heeft ook tijdens het gebruik toegang tot de gesprekken die in de
thuisomgeving van de gebruiker worden gevoerd. In die zin kan het apparaat potentieel een zeer
intrusief effect hebben op de privacy van haar gebruiker. Het uiteindelijke resultaat is gelukkig een
stuk minder verregaand en dankzij haar privacybeleid zorgt Google ervoor dat er op nauwgezette- en
zorgzame wijze met de ontvangen persoonsgegevens wordt omgegaan. Helaas is het privacybeleid
niet vrij van gebreken. Vooral op vlak van transparantie en volledigheid is er ruimte voor
verbetering: het privacybeleid vermeldt nergens wat de risico’s van de verwerking zijn, er wordt
geen duidelijkheid gegeven over eventuele anonimisering of pseudonimisering, het gebruik van het
woord ‘zoals’ bij het beschrijven van de verwerkingsdoeleinden laat ruimte over voor verbeelding
etc. Het privacybeleid van Google is dus zeker niet slecht, maar in het belang van de betrokkene is er
op sommige plaatsen nood aan extra duiding.

12
5. Bibliografie

5.1. Wetgeving
Verord.Raad en EP nr. 2016/679, 27 april 2016 betreffende de bescherming van natuurlijke personen
in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die
gegevens en tot intrekking van Richtlijn 95/46/EG, Pb.L. 4 mei 2016, afl. 119, 1.

5.2. Soft Law

Article 29 Working Party, Opinion 4/2007 on the concept of personal data, WP 136, Brussel, 20 juni
2007, 13.

Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203, Brussel, 2 april 2013, 12.

Article 29 Working Party, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU)

2016/679, WP260 rev.01, Brussel, 29 november 2017,6-7.

European Data Protection Board, Guidelines 02/2021 on virtual voice assistants, Brussel, 7 juli 2021,
23.

5.3. Rechtsleer

BBMRI-ERIC COMMON SERVICE ELSI, Answers to Frequently Asked Questions (Updated Version 2.0),
Graz, BBMRI-ERIC, 2017, 20 p.

FISP-WERKGROEP, Federal Information Security Policy Guideline: Handleiding voor de beveiliging van
persoonsgegevens, s.l., FISP-Werkgroep, 2019, 15 p.

FOQUET, A. en DECLERCK, E., Gegevensbescherming in de praktijk, Mortsel, Intersentia, 2018, 218 p.

GIAKOUMOPOULOS, C., BUTTARELLI, G. en O’FLAHERTY, M., Handboek Europese

gegevensbeschermingswetgeving, Luxemburg, Publications Office of the European Union, 2018, 462
p.

INFORMATION COMMISSIONER'S OFFICE, Guide to the General Data Protection Regulation (GDPR),
Wilmslow, Information Commissioner's Office, 2018, 295 p.

TROESTER-FALK, T. en MCCLUSKEY, M., rocessing Personal Data on the Basis of Legitimate Interests
under the GDPR, Washington DC, The Future of Privacy Forum, 2018, 41 p.

5.4. Internetbronnen
D. Reijerman, “Google neemt Nest over voor omgerekend 2,3 miljard euro”, Tweakers, januari 2014,
https://tweakers.net/nieuws/93679/google-neemt-nest-over-voor-omgerekend-2-komma-3-miljard-
euro.html (consultatie op 30 april 2022).

13
K. Franek, “What Companies Google & Alphabet Own: Visuals & Full List”, Kamil Franek, oktober
2019, https://www.kamilfranek.com/what-companies-alphabet-google-owns/, (consultatie op 30
april 2022).

X. “Privacybeleid Google”, Google, 2022,

https://www.gstatic.com/policies/privacy/pdf/20220210/8e0kln2a/google_privacy_policy_nl_eu.pd,
(consultatie op 30 april 2022).

X., “Over de Google store”, Google Support, 2022,

https://support.google.com/store/answer/11291219?hl=nl, (consultatie op 30 april 2022).

X., “Legal information - Google Ireland Limited”, Kompass, juli 2021,

https://ie.kompass.com/c/google-ireland-limited/ien042207/#:~:text=Incorporated%20in
%202003%20with%20the,in%20DUBLIN%204%2C%20CO%20DUBLIN, (consultatie op 30 april 2022).

X., “De Google Assistent trainen om je stem te herkennen met Voice Match”, Google Assistent Help,
2022, https://support.google.com/assistant/answer/9071681?hl=nl&co=GENIE.Platform
%3DAndroid#zippy=%2Cvoice-match-en-persoonlijke-resultaten%2Cvoice-match-en-mediaservices,
(consultatie op 30 april 2022).

X., “Kiezen wat je wilt delen met je Google Assistent”, Google Support, 2022,
https://support.google.com/assistant/answer/7126196#zippy=%2Ckiezen-om-deze-instellingen-niet-
in-te-schakelen, (consultatie op 30 april 2022).

X., “De Google Assistent trainen om je stem te herkennen met Voice Match”, Google Assistent Help,
2022, https://support.google.com/assistant/answer/9071681?hl=nl&co=GENIE.Platform
%3DAndroid#zippy=%2Cvoice-match-en-persoonlijke-resultaten%2Cvoice-match-en-mediaservices,
(consultatie op 30 april 2022).

X., “Nest Cam (indoor, netvoeding)”, Google Store, 2022,

https://store.google.com/product/nest_cam_indoor?hl=nl&pli=1, (consultatie op 30 april 2022).

X., “Nest Doorbell (batterij)”, Google Store, 2022,

https://store.google.com/product/nest_doorbell_battery?hl=nl#gq-overview-chap-intro-1,
(consultatie op 30 april 2022).

X., “Nest Protect smoke and CO alarm”, Google Store, 2022,

https://store.google.com/product/nest_protect_2nd_gen?hl=nl, (consultatie op 30 april 2022).

6. Bijlagen

Bijlage 1:

14
Bijlage 2:

Bijlage 3:

15
Bijlage 4:

Bijlage 5:

16
17