Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | 2231 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | 2231 |
Bent u bekend met het bericht «Gegevens miljoenen Facebook-gebruikers gestolen voor politieke reclame»1
Is u bekend of ook Nederlanders slachtoffer zijn van de genoemde dataroof? Is u bekend of vergelijkbare dataroof- en datamisbruik-praktijken ook in Nederland plaatsvinden?
Tegenover de NOS heeft Facebook verklaard dat (ten hoogste) 90.000 Nederlandse Facebookprofielen mogelijk zijn getroffen door de datapraktijken rond Facebook en Cambridge Analytica.2 Uit navraag bij Facebook blijkt dat het gaat om 89.373 personen, bestaande uit 28 personen die de app hadden geïnstalleerd en 89.345 contacten die mogelijk getroffen zijn. Mede hierom staat de Autoriteit persoonsgegevens in nauw contact met de privacytoezichthouder in het Verenigd Koninkrijk, de Information Commissioner’s Office (ICO), die heeft aangekondigd onderzoek te doen naar de kwestie.
Andere, vergelijkbare datamisbruik-praktijken in Nederland zijn mij niet bekend. Het NOS Journaal berichtte op 19 maart jl. weliswaar dat ook Nederlandse politieke partijen de mogelijkheid gebruiken om gericht te adverteren via Facebook, maar dat is op geen enkele wijze te vergelijken met de praktijken van Cambridge Analytica, dat volgens berichtgeving uit o.a. de NRC van 20 maart jl. en een undercover-reportage van de Britse TV-zender Channel 4, door microtargeting op basis van nepnieuws en gedragspsychologie op sentimenten van kiezers heeft ingespeeld en daarbij juridische grenzen heeft overschreden.3 Microtargeting door politieke partijen in Nederland is door de privacyregelgeving die in Nederland geldt aan striktere regels verbonden. Zo wordt politieke voorkeur als bijzonder persoonsgegeven aangemerkt, dat zonder expliciete toestemming van betrokkene niet mag worden verwerkt. In Nederland lijkt microtargeting door politieke partijen zich dan ook te beperken tot vormen van profiling die selecties van potentiële kiezers opleveren aan wie op internet in banners verkiezingsboodschappen kunnen worden verstrekt. Het gaat hier om een praktijk die niet per definitie in strijd is met de privacywetgeving.
Verder is van belang dat de Algemene verordening gegevensbescherming (AVG) per 25 mei 2018 striktere eisen stelt aan toestemming: de toestemming moet expliciet gevraagd én verkregen worden, en mag niet «verstopt» zitten in bijvoorbeeld de algemene voorwaarden. Cambridge Analytica heeft daarentegen op grote schaal gebruik gemaakt van gegevens van personen die daarvoor op geen enkele wijze toestemming hadden gegeven.
Hoe kunnen potentiële slachtoffers van dataroof en datamisbruik achterhalen of zij slachtoffer zijn? Is hier ruimte voor collectieve actie? Hoe kunnen slachtoffers worden gecompenseerd voor hun schade?
Er is op 9 april een tool van Facebook online gekomen waarmee Facebook-gebruikers kunnen zien of ook hun data mogelijk zijn gedeeld met Cambridge Analytica door de app This Is Your Digital Life.4
Voor wat betreft een collectieve schadevergoedingsactie geldt dat dit wordt geregeld door het daartoe strekkende bij uw Kamer aanhangige wetsvoorstel tot wijziging van het Burgerlijk Wetboek en het Wetboek van Burgerlijke Rechtsvordering teneinde de afwikkeling van massaschade in een collectieve actie mogelijk te maken (Kamerstukken 34 608). Ook de EU heeft wetgeving hierover in voorbereiding.5
Overigens staat, zoals gezegd, de AP in nauw contact met de privacytoezichthouder in het Verenigd Koninkrijk, de Information Commissioner’s Office (ICO), die heeft aangekondigd onderzoek te doen naar de kwestie.
Binnenkort spreek ik met vertegenwoordigers van een aantal internetbedrijven, waaronder Facebook. Ik zal Facebook ook aanspreken op hun verantwoordelijkheid in dezen.
Is het gegevensverwerkers toegestaan data die zij verwerken zonder expliciete toestemming van de betrokken burgers te verschaffen aan wetenschappers of journalisten? Is enkele instemming met de algemene voorwaarde voldoende hiervoor?
Als er eenmaal een geldige rechtsgrond voor de verwerking van persoonsgegevens voor een bepaald doel is, dan kan die rechtsgrond inderdaad ook als rechtsgrond voor verdere verwerking met het oog op wetenschappelijk onderzoek dienen (artikel 5, eerste lid, onder b, AVG). In dat geval is geen afzonderlijke toestemming meer vereist. Dat mag echter alleen onder strikte voorwaarden:
– het gaat uitsluitend om wetenschappelijke doelen, dus niet ook om bijkomende doelen;
– de verwerkingsverantwoordelijke moet beoordelen of hij de wetenschappelijke doeleinden ook kan bereiken op een wijze waarbij de betrokkenen niet of niet meer geïdentificeerd kunnen worden (zie overweging 156 AVG);
– als met anonimisering de wetenschappelijke doeleinden niet kunnen worden behaald, moet de verwerkingsverantwoordelijke passende technische en organisatorische waarborgen treffen om zo min mogelijk persoonsgegevens te verwerken, bijvoorbeeld door persoonsgegevens te pseudonimiseren (artikel 89 AVG).
Om als verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek te worden aangemerkt, moet de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins openbaar maken van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden (zie overweging 159 AVG).
Ook ten aanzien van verdere gegevensverwerking voor journalistieke doeleinden moet altijd sprake zijn van een geldige rechtsgrond. Dat hoeft niet per definitie toestemming te zijn. Echter, in lijn met vaste jurisprudentie kan een eenmaal verkregen toestemming in beginsel niet worden ingetrokken. De mogelijkheid voor betrokkene om zijn of haar toestemming voor het verwerken van persoonsgegevens te allen tijde in te kunnen trekken, is uitgezonderd. Dit is een van de uitzonderingen en afwijkingsmogelijkheden die geregeld is voor de gegevensverwerking die noodzakelijk is voor journalistieke doeleinden, gelet op het recht van vrijheid van meningsuiting en informatie. Ook het verbod op het verwerken van bijzondere persoonsgegevens is niet van toepassing als dit noodzakelijk is voor het journalistieke doel.
Zoals blijkt uit het bovenstaande, is expliciete toestemming van de betrokkene voor de verwerking van persoonsgegevens voor wetenschappelijke of journalistieke doeleinden niet altijd vereist, maar kunnen er wel strenge eisen gesteld zijn aan deze (verdere) verwerking. Bij overtreding kan de AP handhavend optreden.
Aan welke kwaliteitsvereisten moet men voldoen voordat men zich, conform de Algemene Verordening Gegevensbescherming (AVG), kan voorstellen als wetenschapper of journalist?
Voor de AVG is niet zozeer van belang of iemand wetenschapper of journalist is, maar of sprake is van wetenschappelijk onderzoek of van journalistieke doeleinden. Een wetenschapper of journalist dient voor zover die niet bezig is met wetenschappelijke of journalistieke activiteiten immers gelijk te worden behandeld aan niet-wetenschappers en niet-journalisten.
De term «wetenschappelijk onderzoek» moet volgens overweging 159 van de AVG ruim worden opgevat en omvat bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek.
Van een verwerking voor journalistieke doeleinden kan sprake zijn indien de verwerking van persoonsgegevens als doel heeft de bekendmaking aan het publiek van informatie, meningen of ideeën. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.6 Volgens overweging 153 van de AVG moet het begrip journalistiek ruim worden uitgelegd.
Is voldoende gewaarborgd dat de betrokken wetenschappers en journalisten de data niet misbruiken voor andere doeleinden, gezien de AVG minder zware eisen stelt aan gegevensverwerking voor onder meer wetenschappelijke en journalistieke doeleinden?
Welke verplichtingen rusten er op de gegevensverstrekkers en de gegevensverwerkers om zorg te dragen dat de verschafte data niet door (beweerdelijke) wetenschappers en journalisten worden misbruikt? Zijn zij medeverantwoordelijk indien slecht beveiligde data wordt geroofd of misbruikt? Kan dit effectief worden gehandhaafd?
Misbruik van persoonsgegevens voor andere doeleinden wordt verboden door artikel 5, eerste lid, onder b (doelbinding), en artikel 6, vierde lid, AVG (verdere verwerking is uitsluitend toegestaan bij verenigbaar gebruik, bij expliciete toestemming of bij een wettelijke grondslag ter waarborging van een of meer van de doelstellingen van algemeen belang). Dit geldt zowel bij verwerkingen voor journalistieke doeleinden als bij verwerkingen voor bij wetenschappelijke doeleinden, met dien verstande dat verdere verwerking voor wetenschappelijke doeleinden door artikel 5 AVG onder strikte voorwaarden wordt toegestaan zonder in strijd te komen met het beginsel van doelbinding (zie antwoord 4). De AP zal erop toezien dat deze regels worden nageleefd en kan zo nodig zeer forse boetes opleggen.
Wat betekent het voor het vertrouwen van de Nederlandse overheid in het gebruik van Facebook voor diverse vormen van overheidscommunicatie, nu Facebook deze dataroof kennelijk twee jaar geheim heeft gehouden? Welke consequenties verbindt u hieraan?
Het staat buiten kijf dat Facebook zich aan de Europese en nationale privacyregelgeving moet houden. De AP ziet hierop toe in samenwerking met de toezichthouders in de andere lidstaten van de Europese Unie, en krijgt met ingang van 25 mei 2018 ruimere toezichts- en sanctiebevoegdheden.
Vanwege de grote invloed die sociale media hebben op de samenleving, rust op de aanbieders van deze diensten een zware verantwoordelijkheid. Dat geldt bij uitstek voor een mondiale aanbieder zoals Facebook. Privacy is geen luxe en de handel in persoonsgegevens mag niet uitsluitend als verdienmodel worden gezien. Ik zal met Facebook en andere aanbieders in gesprek gaan om hen nog eens op hun verantwoordelijkheid te wijzen. Een verantwoordelijkheid die zich ook uitstrekt tot hetgeen gebruikers van dergelijke diensten online zetten, in de vorm van bijvoorbeeld wraakporno en andere vernederende of beledigende uitingen jegens personen. In het najaar zal ik de Tweede Kamer informeren over mijn voornemens om betere waarborgen te creëren voor de bescherming van deze zogenaamde horizontale privacy.
Facebook heeft een groot bereik en is daarom voor overheidscommunicatie een belangrijk medium. Ik zie thans geen aanleiding om uit het incident inzake Cambridge Analytica consequenties te trekken voor de overheidscommunicatie via Facebook.
https://www.facebook.com/help/1873665312923476?helpref=search&sr=1&query=cambridge%20analytica
HvJ EU 16 december 2009, C-73/07 (Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy en Satamedia Oy).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20172018-2231.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.