Brief regering : Voortgang reactie op NRC-artikel 'Duitse privacy-waakhond: regering moet Facebookpagina’s sluiten'
32 761 Verwerking en bescherming persoonsgegevens
Nr. 221
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 26 april 2022
In de brief van 15 september 2021 jl. (Kamerstuk 32 761, nr. 194) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s
sluiten» toegezegd om uit te zoeken op welke manier de rijksoverheid gebruik maakt
van Facebook-pagina’s, welke AVG-rol daarin wordt aangenomen en welke afspraken met
Facebook hierover mogelijk al bestaan.
Met deze informatie zou worden bezien of een gegevensbeschermings-effectbeoordeling
(DPIA1) moet worden opgesteld om te bekijken of er aanvullende maatregelen nodig zijn, en
om zo nodig deze DPIA voor te leggen aan de Autoriteit Persoonsgegevens.
De rijksoverheid maakt gebruik van Facebook voor communicatie-doeleinden: voor pagina’s
en voor campagnes op sociale media. Ten tijde van de invoering van de Algemene Verordening
Gegevensbescherming (AVG) in 2018 zijn Rijksbrede richtlijnen opgesteld voor effectief
en privacy-proof campagne voeren. Volgens deze richtlijnen worden campagnes alleen
ge-target op basis van context, onderwerp en niet-persoonsgegevens, en niet op basis
van surfgedrag of «audiences»2 vanwege de vragen rondom de verwerking van persoonsgegevens die deze kunnen oproepen.
Deze richtlijnen zijn openbaar beschikbaar3 en bijgevoegd. Deze richtlijnen gelden nog altijd en vormen de basis voor adviezen
over de inzet van Facebook bij campagnes en voor webpagina’s.
Voor zover momenteel bekend bestaan er geen specifieke afspraken met Facebook. Wel
heeft Facebook aangegeven dat op de pagina «Page controller addendum»4 informatie te vinden is over hoe persoonsgegevens gezamenlijk worden verwerkt bij
de inzet van pagina’s van het Rijk «voor pagina-statistieken». Ik vind het belangrijk
dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met (de bescherming
van) persoonsgegevens. Vanwege recente ontwikkelingen, zoals die van de Duitse toezichthouder,
en vanwege de hoge technische en juridische complexiteit van deze specifieke gegevensverwerking
is besloten om een onafhankelijke partij een DPIA te laten uitvoeren. In deze DPIA
wordt gekeken naar de juridische, technische en ook ethische aspecten van het gebruik
van Facebook door de rijksoverheid.
De rijksoverheid heeft de afgelopen jaren ook DPIA’s laten opstellen voor onder andere
het gebruik van Google en Microsoft door het Rijk5. Bij Microsoft Windows 10 kwamen geen hoge risico’s naar voren voor de verwerking
van persoonsgegevens. Bij Google Workspace kwamen tien hoge dataprotectierisico’s
naar voren, is advies aan de Autoriteit Persoonsgegevens gevraagd en is na gesprekken
een akkoord bereikt waarin Google concrete toezeggingen heeft gedaan om alle tekortkomingen
weg te nemen6. Net als bij deze DPIA’s zal ook de verdere voortgang van de DPIA over het gebruik
van Facebook in de loop van dit jaar met uw Kamer worden gedeeld.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen
Indieners
-
Indiener
A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties