Brief regering : Toezegging gedaan tijdens het commissiedebat Digitaliserende Overheid van 28 juni 2023, over een adviesaanvraag Autoriteit Persoonsgegevens DPIA Facebook Pages
32 761 Verwerking en bescherming persoonsgegevens
29 362
Modernisering van de overheid
Nr. 288
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 31 oktober 2023
In het Commissiedebat Digitaliserende overheid van 28 juni 2023 heb ik u toegezegd1 een brief te sturen over de uitkomsten van de onderhandelingen met Meta voordat er
een definitief besluit wordt genomen over het gebruik van Facebook Pages door de overheid.
Bij dezen informeer ik u over de voortgang van de onderhandelingen met Meta en de
adviesaanvraag aan de Autoriteit Persoonsgegevens over het gebruik van Facebook Pages.
Naar aanleiding van de hoge risico’s die tijdens de DPIA zijn geconstateerd heeft
BZK gedurende de periode december 2022 – september 2023 gesprekken gevoerd met Meta.
BZK hoopte tijdens deze gesprekken met Meta afspraken te kunnen maken die de hoge
risico’s voldoende mitigeren, zodat de overheid gebruik zou kunnen blijven maken van
Facebook Pages. Tijdens deze conversaties heeft BZK allereerst de verwerkingsrollen
die Meta en BZK vervullen besproken.
Uit de gesprekken is het volgende gebleken:
a. Meta is niet bereid Facebook Pages en de verwerking van persoonsgegevens in dat kader
zodanig aan te passen dat de persoonsgegevens die in verband met de BZK Pages worden
verwerkt enkel zullen worden verwerkt ten behoeve van BZK, dus als verwerker.
b. Meta is niet bereid om gezamenlijke verwerkingsverantwoordelijkheid te erkennen die
verder reikt dan de dienst Insights (onderdeel van Facebook Pages). Meta stelt zich
op het standpunt dat zij de enige verwerkings-verantwoordelijke is ten aanzien van
alle verwerkingen in het kader van Facebook Pages, met uitzondering van sommige verwerkingen
in verband met Insights waarvoor partijen gezamenlijk verwerkingsverantwoordelijk
zijn.
c. BZK begrijpt dat Meta’s standpunten zowel gelden voor verwerkingen van de gegevens
van burgers in het kader van de BZK Pages als verwerkingen in verband met Facebook
accounts die door medewerkers van BZK worden aangemaakt teneinde BZK Pages aan te
maken en te kunnen beheren.
Het komt er welbeschouwd op neer dat Meta in de gesprekken BZK wil overtuigen van
de onjuistheid van de DPIA voor wat betreft de conclusies ten aanzien van de risico’s.
Dit is ook wat Meta al heeft bepleit in haar commentaar op de concept DPIA (zie Annex
1 bij de DPIA), en betekent dus een herhaling van zetten.
Daarom heb ik de Autoriteit Persoonsgegevens (AP) verzocht om op basis van artikel
58, derde lid, onder b van de Algemene Verordening Gegevensbescherming (AVG) advies
te geven. Ik heb de AP gevraagd om advies over de volgende vragen:
1. Is het juist dat wanneer twee partijen gezamenlijk een aantal doelen van een verwerking
bepalen, maar een van de partijen daarnaast ook andere doelen heeft voor deze verwerking,
(i) partijen voor deze verwerking kwalificeren als gezamenlijk verwerkingsverantwoordelijke
en (ii) derhalve beide een rechtsgrond dienen te hebben voor alle doelen die aan de verwerking ten grondslag liggen? Hetgeen dus in case het gevolg
zou hebben dat BZK en Meta gezamenlijk verwerkingsverantwoordelijke zijn voor alle
verwerkingen in het kader van Facebook Pages waarvoor BZK en Meta allebei (een deel
van) de doelen en middelen bepalen.
2. Als er geen sprake is van gezamenlijke verwerkingsverantwoordelijkheid: dient BZK
over een rechtsgrond te beschikken om persoonsgegevens aan Meta te overhandigen?2 Geldt dit (ook) voor persoonsgegevens die niet direct door BZK aan Meta zijn overhandigd,
maar waarvan de verwerking is gefaciliteerd door het gebruik van BZK Pages door BZK
(lees: verwerkingen die niet zouden plaatsvinden als BZK geen gebruik zou maken van
BZK Pages)?
3. In hoeverre moet BZK bij het beoordelen van de risico’s3 voor betrokkenen in het kader van de DPIA en het bepalen van de rechtsgrond inzicht
hebben in de werking van algoritmes en andere methodes die door Meta worden gebruikt
bij verdere verwerkingen? In hoeverre moet BZK zich er bijvoorbeeld van vergewissen dat algoritmes
niet bevooroordeeld (biased) zijn? Zie in dit kader onder andere paragraaf 1.1.3 van het DPIA rapport.
4. BZK is van mening dat er niet voldoende informatie is om een volledige analyse te
maken van de verdeling van de verwerkersrollen. Daarvoor is inzicht nodig in de dataverzameling
van onder andere diagnostische gegevens. Wat is het niveau van detail waarop deze
dataverwerkingen moeten worden gemapt en onderzocht?
5. Pages worden overwegend bezocht met gebruikmaking van een Facebook account. In hoeverre
moet BZK bij het maken van de risico-inschatting voor betrokkenen in het kader van
BZK Pages rekening houden met de privacy-risico’s die verband houden met het gebruik
door burgers van een Facebook account? In het bijzonder, in hoeverre moet BZK toetsen
en/of waarborgen dat ten aanzien van Facebook accounts wordt voldaan aan alle wettelijke
vereisten (inclusief het gebruik van cookies)? Geldt hierbij dezelfde maatstaf voor
bezoekers van BZK Pages met een Facebook account als medewerkers van BZK die BZK Pages
aanmaken en/of beheren met hun Facebook account?
Nadat er meer duidelijkheid is over deze vragen zullen de onderhandelingen vanzelfsprekend
worden hervat om geconstateerde hoge risico’s uit de DPIA weg te nemen, zodat het
Rijk gebruik kan maken van Facebook Pages en daarbij rechtszekerheid heeft over de
verwerkingen.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen
Ondertekenaars
A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties