32 761 Verwerking en bescherming persoonsgegevens

Nr. 297 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 april 2024

Bij dezen informeer ik u over het antwoord op de adviesaanvraag aan de Autoriteit Persoonsgegevens (AP) over het gebruik van Facebook Pages door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en over de vervolgstappen. Daarvoor zal ik eerst de historie kort uiteenzetten.

Aanleiding

In de brief van 26 april 2022 (Kamerstukken II 2021/22 32 761, nr. 221) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s sluiten» aan uw Kamer toegezegd om een onafhankelijk partij een DPIA te laten uitvoeren op het gebruik van Facebookpagina’s door de overheid.

Doel

De overheid wil graag gebruik blijven maken van Facebook Pages voor haar communicatie, en tegelijk op rechtmatige en zorgvuldige wijze omgaan met de bescherming van persoonsgegevens en rechten van burgers.

In de «Richtlijnen voor privacy-proof en effectief campagne voeren»1 is de richtlijn opgenomen dat een betaalde campagne van de Rijksoverheid zo min mogelijk persoonsgegevens gebruikt en dat er alleen wordt samengewerkt met privacy-proof partijen. Omdat we op dit moment niet weten of partijen als Meta op de juiste manier toestemming vragen voor het verzamelen van de gegevens, houdt BZK zich mogelijk niet aan die richtlijnen.

Probleem

Meta verzamelt gegevens via (surf)gedrag, zoals het liken van bepaalde pagina’s en stelt daarmee profielen van mensen op (profiling). Meta verzamelt deze gegevens niet alleen op haar eigen websites, maar kan door het plaatsen van zogeheten tracking cookies ook mensen volgen als ze andere websites bezoeken. Daarmee kan Meta het internetgedrag van mensen door de tijd heen volgen en daarmee de profielen van deze personen met steeds meer data verrijken.

Profielen worden ook verrijkt met andere gegevens, bijvoorbeeld over het apparaat dat door iemand wordt gebruikt (bijvoorbeeld informatie over software en verbonden netwerken en GPS en Bluetoothsignalen), de fysieke locaties die iemand bezoekt en gegevens uit publieke bronnen of afkomstig van derden.

Meta gebruikt de profielen onder andere voor de verkoop van advertentieruimte. Adverteerders kunnen bij Meta aangeven voor welke doelgroep zij willen adverteren, terwijl mensen de interesse voor deze producten niet zelf hebben aangegeven.

Voor individuele Facebookgebruikers is er sinds kort een mogelijkheid om te betalen voor een account zonder advertenties. Die mogelijkheid is er voor FP niet. FP moet gratis worden afgenomen, en in ruil daarvoor verzamelt Meta gegevens van burgers voor (onder andere) advertentieprofielen.

DPIA Facebook Pages

In de DPIA die eind 2022 naar uw Kamer is verstuurd2, is beoordeeld of er privacyrisico’s zijn voor burgers bij de gegevensverwerking op overheidspagina’s op Facebook. Het gaat dan bijvoorbeeld om risico’s bij het gebruik van cookies en het vragen van toestemming. Of over hoe de aanbevelingen van Facebook aan burgers door een algoritme worden gedaan en of burgers goed kunnen begrijpen hoe hun gegevens worden verwerkt.

In de DPIA worden 7 hoge risico’s gevonden voor de gegevensverwerking. Zoals het verlies van controle door de onrechtmatige verdere verwerking door Facebook. Facebook is onvoldoende transparant over wat ze met de gegevens van burgers op overheidspagina’s doet en over hoe ze bepaalt welke berichten bezoekers zien. Verder concludeert het onderzoek dat Facebook volgcookies op een misleidende manier gebruikt. Meta verzamelt bijvoorbeeld ook gegevens van burgers die daar geen toestemming voor hebben gegeven en die geen Facebookaccount hebben. Ook worden gegevens over het gedrag van de paginabezoekers verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Tot slot zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.

Gesprekken met Meta

Naar aanleiding van de hoge risico’s die tijdens de DPIA zijn geconstateerd heeft BZK gedurende de periode december 2022–september 2023 gesprekken gevoerd met Meta. In de Kamerbrief van 31 oktober 20233 heb ik u geïnformeerd over de gesprekken met Meta en over de vragen die zijn gesteld aan de Autoriteit Persoonsgegevens (AP). BZK hoopte tijdens deze gesprekken met Meta afspraken te kunnen maken die de hoge risico’s voldoende mitigeren, zodat de overheid gebruik kan blijven maken van Facebook Pages.

Uit de gesprekken is gebleken dat Meta niet bereid is Facebook Pages en de verwerking van persoonsgegevens in dat kader zodanig aan te passen dat de persoonsgegevens die in verband met de BZK Pages worden verwerkt enkel zullen worden verwerkt ten behoeve van BZK, dus als verwerker. Verder is Meta niet bereid om gezamenlijke verwerkingsverantwoordelijkheid te erkennen die verder reikt dan de dienst Insights (onderdeel van Facebook Pages). Meta heeft in de gesprekken BZK willen overtuigen van de onjuistheid van de DPIA voor wat betreft de conclusies van de risico’s. Dit is ook wat Meta al heeft bepleit in haar commentaar op de concept DPIA (zie Annex 1 bij de DPIA).

Daarom heb ik eind vorig jaar de AP verzocht om op basis van artikel 58, derde lid, onder b van de Algemene Verordening Gegevensbescherming (AVG) advies te geven. Ik heb de AP in het bijzonder gevraagd of het juist is dat wanneer twee partijen gezamenlijk een aantal doelen van een verwerking bepalen, maar een van de partijen daarnaast ook andere doelen heeft voor deze verwerking, (i) partijen voor deze verwerking kwalificeren als gezamenlijk verwerkingsverantwoordelijke en (ii) derhalve beide een rechtsgrond dienen te hebben voor alle doelen die aan de verwerking ten grondslag liggen.

Advies AP

Op 26 maart 2024 heeft de AP haar advies afgerond (bijlage 1). In het advies wordt in bijlage 4 bevestigend geantwoord op de bovenstaande algemene rechtsvraag over gezamenlijke verwerkingsverantwoordelijkheid.

Verder bevestigt de AP dat de in de DPIA geconstateerde hoge risico’s weggenomen moeten worden om gebruik te kunnen blijven maken van Facebook Pages. Dit betekent onder andere dat de verwerkingen in het kader van Facebook Pages inzichtelijker moeten worden en dat de noodzaak, doeleinden, rolverdelingen en grondslagen van deze verwerkingen geïdentificeerd moeten worden en aan de AVG moeten voldoen. De overheid moet meer transparantie en grip krijgen over de verwerkingen op Facebook Pages, ook gezien haar bijzondere rol bij bijvoorbeeld publieke dienstverlening aan hulpbehoevende burgers of in communicatie bij crises. De overheid staat er op dat burgers juist dan moeten kunnen vertrouwen op een veilige en betrouwbare online omgeving, die inclusief is en waar burgers grip op hebben.

BZK zal het advies van de AP op korte termijn met Meta bespreken. Daarbij zal ook aandacht worden besteed aan de volgende onderwerpen die door de Autoriteit Persoonsgegevens in haar advies specifiek worden benoemd:

  • Risicoafweging ten aanzien van kinderen:

    In paragraaf 7.3 van het advies benadrukt de AP het belang van de risico’s van kinderen. Zoals de Autoriteit Persoonsgegevens opmerkt is het gebruik van BZK Facebook Pages door kinderen voor BZK niet direct relevant. Omdat het een DPIA van BZK betreft zullen wij in de DPIA daarom zijdelings aandacht besteden aan de specifieke situatie van kinderen. Per overheidsorganisatie zal beoordeeld moeten worden of bij concretisering van de DPIA een specifieke risicoafweging t.a.v. kinderen noodzakelijk is. Ook adviseert de AP om een Kinderrechten Impact Assessment (KIA) uit te voeren. Nog dit jaar zal ik KIA’s op 3 platforms laten uitvoeren die op grote schaal door kinderen worden gebruikt, te weten Snapchat, Instagram en Tiktok. Deze platforms worden door 50% tot 70% van de tieners dagelijks gebruikt.

  • Advies FG (Functionaris Gegevensbescherming):

    De Autoriteit Persoonsgegevens adviseert in de DPIA aandacht te geven aan het advies van de functionaris voor gegevensbescherming. Het Rijksplatform van Functionarissen voor Gegevensbescherming (RPFG) heeft eerder een advies uitgebracht over het DPIA proces binnen de gehele Rijksoverheid. Zij zullen de komende periode worden geïnformeerd en om advies worden gevraagd.

  • Noodzaak van de verwerkingen:

    De AP adviseert in de DPIA nader in te gaan op de noodzaak van de verwerkingen van Facebook Pages. De Rijksoverheid bereikt veel burgers via Facebook Pages, en streeft inclusieve communicatie en interactie met burgers na. Onze inzet is dat burgers op een zo laagdrempelig mogelijke manier, via een kanaal dat bij hen past, informatie van de Rijksoverheid kunnen vinden en interactie met de Rijksoverheid kunnen hebben. De Rijksoverheid wil daarom graag gebruik blijven maken van Facebook Pages om met burgers te communiceren. Als Meta echter niet wil meewerken aan het mitigeren van alle hoge risico’s, dan zal het gebruik van Facebook Pages moeten worden beperkt of gestaakt.

Reikwijdte

De DPIA ziet enkel op het gebruik van Facebook Pages door BZK. De resultaten zijn echter ook relevant voor andere delen van de Rijksoverheid die Facebook Pages gebruiken. De Autoriteit Persoonsgegevens benoemt dit bredere effect in haar advies en benadrukt dat Rijksonderdelen die Facebook Pages (willen gaan) gebruiken het advies kunnen gebruiken bij hun eigen DPIA afweging.

Vervolggesprekken met Meta

Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met de bescherming van persoonsgegevens en rechten van burgers. De DPIA beschrijft maatregelen die kunnen worden getroffen om de aangetroffen risico’s te mitigeren. De Rijksoverheid kan alle hoge risico’s niet zelf wegnemen, maar moet daarvoor met Meta afspraken maken. Ik heb een team van onderhandelaars gemandateerd om, net als eerder bij Google en Microsoft, in korte tijd te proberen tot overeenstemming te komen met Meta.

Zodra er duidelijkheid is over de al dan niet bereikte overeenstemming met Meta inzake het rechtmatige gebruik van Facebook Pages, zal ik de DPIA aanvullen en uw Kamer daarover informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen

Naar boven