32 761 Verwerking en bescherming persoonsgegevens

Nr. 221 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 april 2022

In de brief van 15 september 2021 jl. (Kamerstuk 32 761, nr. 194) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s sluiten» toegezegd om uit te zoeken op welke manier de rijksoverheid gebruik maakt van Facebook-pagina’s, welke AVG-rol daarin wordt aangenomen en welke afspraken met Facebook hierover mogelijk al bestaan.

Met deze informatie zou worden bezien of een gegevensbeschermings-effectbeoordeling (DPIA1) moet worden opgesteld om te bekijken of er aanvullende maatregelen nodig zijn, en om zo nodig deze DPIA voor te leggen aan de Autoriteit Persoonsgegevens.

De rijksoverheid maakt gebruik van Facebook voor communicatie-doeleinden: voor pagina’s en voor campagnes op sociale media. Ten tijde van de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 zijn Rijksbrede richtlijnen opgesteld voor effectief en privacy-proof campagne voeren. Volgens deze richtlijnen worden campagnes alleen ge-target op basis van context, onderwerp en niet-persoonsgegevens, en niet op basis van surfgedrag of «audiences»2 vanwege de vragen rondom de verwerking van persoonsgegevens die deze kunnen oproepen. Deze richtlijnen zijn openbaar beschikbaar3 en bijgevoegd. Deze richtlijnen gelden nog altijd en vormen de basis voor adviezen over de inzet van Facebook bij campagnes en voor webpagina’s.

Voor zover momenteel bekend bestaan er geen specifieke afspraken met Facebook. Wel heeft Facebook aangegeven dat op de pagina «Page controller addendum»4 informatie te vinden is over hoe persoonsgegevens gezamenlijk worden verwerkt bij de inzet van pagina’s van het Rijk «voor pagina-statistieken». Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met (de bescherming van) persoonsgegevens. Vanwege recente ontwikkelingen, zoals die van de Duitse toezichthouder, en vanwege de hoge technische en juridische complexiteit van deze specifieke gegevensverwerking is besloten om een onafhankelijke partij een DPIA te laten uitvoeren. In deze DPIA wordt gekeken naar de juridische, technische en ook ethische aspecten van het gebruik van Facebook door de rijksoverheid.

De rijksoverheid heeft de afgelopen jaren ook DPIA’s laten opstellen voor onder andere het gebruik van Google en Microsoft door het Rijk5. Bij Microsoft Windows 10 kwamen geen hoge risico’s naar voren voor de verwerking van persoonsgegevens. Bij Google Workspace kwamen tien hoge dataprotectierisico’s naar voren, is advies aan de Autoriteit Persoonsgegevens gevraagd en is na gesprekken een akkoord bereikt waarin Google concrete toezeggingen heeft gedaan om alle tekortkomingen weg te nemen6. Net als bij deze DPIA’s zal ook de verdere voortgang van de DPIA over het gebruik van Facebook in de loop van dit jaar met uw Kamer worden gedeeld.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen

X Noot
1

Data Protection Impact Assessment

X Noot
2

Bepaalde digitale advertentiedienstverleners, waaronder Facebook, maken het mogelijk advertenties te richten op specifieke doelgroepen en personen die door de dienstverlener worden gecategoriseerd op basis van verzamelde gegevens en overeenstemmingen met andere personen en doelgroepen.

X Noot
6

Zie Kamerstukken 32 034 en 32 761, nr. 41

Naar boven