32 761 Verwerking en bescherming persoonsgegevens

29 362 Modernisering van de overheid

Nr. 288 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 oktober 2023

In het Commissiedebat Digitaliserende overheid van 28 juni 2023 heb ik u toegezegd1 een brief te sturen over de uitkomsten van de onderhandelingen met Meta voordat er een definitief besluit wordt genomen over het gebruik van Facebook Pages door de overheid. Bij dezen informeer ik u over de voortgang van de onderhandelingen met Meta en de adviesaanvraag aan de Autoriteit Persoonsgegevens over het gebruik van Facebook Pages.

Naar aanleiding van de hoge risico’s die tijdens de DPIA zijn geconstateerd heeft BZK gedurende de periode december 2022 – september 2023 gesprekken gevoerd met Meta. BZK hoopte tijdens deze gesprekken met Meta afspraken te kunnen maken die de hoge risico’s voldoende mitigeren, zodat de overheid gebruik zou kunnen blijven maken van Facebook Pages. Tijdens deze conversaties heeft BZK allereerst de verwerkingsrollen die Meta en BZK vervullen besproken.

Uit de gesprekken is het volgende gebleken:

  • a. Meta is niet bereid Facebook Pages en de verwerking van persoonsgegevens in dat kader zodanig aan te passen dat de persoonsgegevens die in verband met de BZK Pages worden verwerkt enkel zullen worden verwerkt ten behoeve van BZK, dus als verwerker.

  • b. Meta is niet bereid om gezamenlijke verwerkingsverantwoordelijkheid te erkennen die verder reikt dan de dienst Insights (onderdeel van Facebook Pages). Meta stelt zich op het standpunt dat zij de enige verwerkings-verantwoordelijke is ten aanzien van alle verwerkingen in het kader van Facebook Pages, met uitzondering van sommige verwerkingen in verband met Insights waarvoor partijen gezamenlijk verwerkingsverantwoordelijk zijn.

  • c. BZK begrijpt dat Meta’s standpunten zowel gelden voor verwerkingen van de gegevens van burgers in het kader van de BZK Pages als verwerkingen in verband met Facebook accounts die door medewerkers van BZK worden aangemaakt teneinde BZK Pages aan te maken en te kunnen beheren.

Het komt er welbeschouwd op neer dat Meta in de gesprekken BZK wil overtuigen van de onjuistheid van de DPIA voor wat betreft de conclusies ten aanzien van de risico’s. Dit is ook wat Meta al heeft bepleit in haar commentaar op de concept DPIA (zie Annex 1 bij de DPIA), en betekent dus een herhaling van zetten.

Daarom heb ik de Autoriteit Persoonsgegevens (AP) verzocht om op basis van artikel 58, derde lid, onder b van de Algemene Verordening Gegevensbescherming (AVG) advies te geven. Ik heb de AP gevraagd om advies over de volgende vragen:

  • 1. Is het juist dat wanneer twee partijen gezamenlijk een aantal doelen van een verwerking bepalen, maar een van de partijen daarnaast ook andere doelen heeft voor deze verwerking, (i) partijen voor deze verwerking kwalificeren als gezamenlijk verwerkingsverantwoordelijke en (ii) derhalve beide een rechtsgrond dienen te hebben voor alle doelen die aan de verwerking ten grondslag liggen? Hetgeen dus in case het gevolg zou hebben dat BZK en Meta gezamenlijk verwerkingsverantwoordelijke zijn voor alle verwerkingen in het kader van Facebook Pages waarvoor BZK en Meta allebei (een deel van) de doelen en middelen bepalen.

  • 2. Als er geen sprake is van gezamenlijke verwerkingsverantwoordelijkheid: dient BZK over een rechtsgrond te beschikken om persoonsgegevens aan Meta te overhandigen?2 Geldt dit (ook) voor persoonsgegevens die niet direct door BZK aan Meta zijn overhandigd, maar waarvan de verwerking is gefaciliteerd door het gebruik van BZK Pages door BZK (lees: verwerkingen die niet zouden plaatsvinden als BZK geen gebruik zou maken van BZK Pages)?

  • 3. In hoeverre moet BZK bij het beoordelen van de risico’s3 voor betrokkenen in het kader van de DPIA en het bepalen van de rechtsgrond inzicht hebben in de werking van algoritmes en andere methodes die door Meta worden gebruikt bij verdere verwerkingen? In hoeverre moet BZK zich er bijvoorbeeld van vergewissen dat algoritmes niet bevooroordeeld (biased) zijn? Zie in dit kader onder andere paragraaf 1.1.3 van het DPIA rapport.

  • 4. BZK is van mening dat er niet voldoende informatie is om een volledige analyse te maken van de verdeling van de verwerkersrollen. Daarvoor is inzicht nodig in de dataverzameling van onder andere diagnostische gegevens. Wat is het niveau van detail waarop deze dataverwerkingen moeten worden gemapt en onderzocht?

  • 5. Pages worden overwegend bezocht met gebruikmaking van een Facebook account. In hoeverre moet BZK bij het maken van de risico-inschatting voor betrokkenen in het kader van BZK Pages rekening houden met de privacy-risico’s die verband houden met het gebruik door burgers van een Facebook account? In het bijzonder, in hoeverre moet BZK toetsen en/of waarborgen dat ten aanzien van Facebook accounts wordt voldaan aan alle wettelijke vereisten (inclusief het gebruik van cookies)? Geldt hierbij dezelfde maatstaf voor bezoekers van BZK Pages met een Facebook account als medewerkers van BZK die BZK Pages aanmaken en/of beheren met hun Facebook account?

Nadat er meer duidelijkheid is over deze vragen zullen de onderhandelingen vanzelfsprekend worden hervat om geconstateerde hoge risico’s uit de DPIA weg te nemen, zodat het Rijk gebruik kan maken van Facebook Pages en daarbij rechtszekerheid heeft over de verwerkingen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen

X Noot
1

Kamerstuk 29 362, nr. 335.

X Noot
2

Zie EDPB 17 januari 2023, 2022 Coordinated Enforcement Action Use of cloud-based services by the public sector, p. 13: «In addition, a legal basis for handing over of personal data by the public body and for the processing activities carried out afterwards by the CSP acting as a controller is needed

X Noot
3

Deze vraag is relevant in het kader van hoog risico 1, 2, 3 en 4.

Naar boven