Brief regering : Facebook Pages DPIA en HRIA
32 761 Verwerking en bescherming persoonsgegevens
Nr. 252
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 november 2022
In de brief van 26 april jl. (Kamerstuk 32 761, nr. 221) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s
sluiten» aan uw Kamer toegezegd om een onafhankelijk partij een DPIA te laten uitvoeren
op het gebruik van Facebookpagina’s door de overheid. Ook is daarbij toegezegd uw
Kamer over de verdere voortgang in de loop van dit jaar te informeren. In de debatten
«bescherming persoonsgegevens en digitale grondrechten» van 2 november jl. (Kamerstuk
32 761, nr. 249) en «begrotingsonderdelen van BiZa, EZK en J&V die zien op digitalisering» van 14 november
jl. (Kamerstukken 36 200 VII, 36 200 XIII en 36 200 VI, nr. 116) bent u geïnformeerd over de termijnen van hoor-en wederhoor en over de voortgang.
In de «Richtlijnen voor privacyproof en effectief campagne voeren»1 uit 2018 is de richtlijn opgenomen dat «Campagnes van de rijksoverheid adverteren
(...) alleen op basis van context, onderwerp en niet-persoonsgegevens». Deze richtlijnen
vormen de basis voor adviezen over de inzet van Facebook bij campagnes en voor webpagina’s.
De Duitse regering en andere overheidsinstellingen zijn dit jaar opnieuw door de Federale
commissaris voor Gegevensbescherming en Vrijheid van informatie (BfDI) aangeschreven2 om hun Facebookpagina’s te sluiten vanwege de hoge risico’s voor gegevensbescherming.
Een overheidsinstelling kan volgens de Duitse toezichthouder als beheerder van een
Facebookpagina in sommige gevallen worden aangemerkt als gezamenlijk verwerkingsverantwoordelijke,
in dit geval samen met Facebook, in de zin van artikel 26 van de AVG. Als gezamenlijk
verwerkingsverantwoordelijken moeten Facebook en de overheid beide voldoen aan de
regels van de AVG en dit ook kunnen aantonen.
Ook ik heb, mede naar aanleiding van vragen van uw Kamer, een Data Protection Impact
Assessment (DPIA) laten uitvoeren op het gebruik van Facebookpagina’s door de overheid,
en toegezegd deze aan uw Kamer toe te sturen. In augustus 2022 is het beschrijvende
deel A afgerond en in oktober 2022 is het evaluerende deel afgerond. In het kader
van het actief openbaar maken van de DPIA is aan Meta zowel ten aanzien van onderdeel
A als B de gelegenheid geboden om zienswijze in te dienen. Hiervan heeft Meta gebruik
gemaakt. Deze zienswijzen zijn meegewogen bij de beslissing om de DPIA openbaar te
maken. Ook de inhoudelijke reflecties van Meta op de DPIA zijn meegenomen in de DPIA.
De DPIA is als bijlage bij deze brief gevoegd. De DPIA is in het Engels opgesteld,
zodat ik deze direct met mijn Europese collega’s kan delen. Een Nederlandse vertaling
zal ik uw Kamer binnenkort doen toekomen.
In de DPIA is beoordeeld of er privacyrisico’s zijn voor burgers bij de gegevensverwerking
op overheidspagina’s op Facebook. Bijvoorbeeld gaat het om risico’s bij het gebruik
van cookies en het vragen van toestemming. Ook is bekeken hoe de aanbevelingen van
Facebook aan burgers door een algoritme worden gedaan en of burgers goed kunnen begrijpen
hoe hun gegevens worden verwerkt.
In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking.
Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van
burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in
hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op
een misleidende («Facebook makes deceptive use of tracking cookies») manier gebruikt.
Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende
inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde
berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen
over de doorgifte van persoonsgegevens aan derde landen en derde partijen.
In aanvulling op de DPIA heb ik uw Kamer ook toegezegd om te kijken naar de ethische
aspecten van het gebruik van Facebookpagina’s door de rijksoverheid. Digitalisering
moet immers waardengedreven zijn. Daarom is ook een Human Rights Impact Assesment
(HRIA) uitgevoerd, gebaseerd op de Impact Assesment voor Mensenrechten bij de inzet
van Algoritmen (IAMA)3. Ook deze treft u als bijlage aan. Hierin wordt gekeken naar de impact van het Facebookalgoritme
op de mensenrechten. Vanwege het gebrek aan inzicht in de algoritmes en de data die
daarbij wordt gebruikt was het bij veel mensenrechten onmogelijk om een harde uitspraak
doen over de impact. De onderzoekers konden wel aantonen dat er mogelijk een impact
is en beschrijven manieren om die impact in samenwerking met Facebook te meten. Ik
ga in gesprek met Facebook om dit mogelijk te maken.
Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze
omgaat met de bescherming van persoonsgegevens en rechten van burgers. De DPIA beschrijft
maatregelen die kunnen worden getroffen door Facebook of door de rijksoverheid om
de aangetroffen risico’s te mitigeren. We zijn met Meta in gesprek over het nemen
van maatregelen naar aanleiding van de DPIA. In dat gesprek benadrukken we het belang
van het zo spoedig mogelijk wegnemen van alle gesignaleerde risico’s uit de DPIA voor het gebruik van Facebookpagina's door de
Nederlandse overheid. Indien de risico’s onvoldoende worden weggenomen, is er geen
andere mogelijkheid dan te stoppen met het gebruik van Facebookpagina’s door de overheid.
De gevolgen van het stoppen met Facebook Pages worden op dit moment beoordeeld in
een inventarisatie van de communicatie via Facebook Pages door de rijksoverheid, die
in het voorjaar van 2023 gereed zal zijn. Daarbij zal ook worden gekeken naar alternatieven
om een inclusief bereik van communicatie, één van de uitgangspunten4 van overheidscommunicatie, te borgen. Het belang van de Nederlandse burger en het
borgen van de rechten bij gegevensverwerking staan voor mij voorop. Zodra er in het
voorjaar van 2023 duidelijkheid is over het wel of niet het wegnemen van de beschreven
risico’s door Facebook en over de mogelijke alternatieven voor overheidscommunicatie
zal ik uw Kamer weer informeren.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen
Indieners
-
Indiener
A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties