Brief regering : Adviesaanvraag Autoriteit Persoonsgegevens DPIA Facebook Pages

Nr. 297
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 april 2024

Bij dezen informeer ik u over het antwoord op de adviesaanvraag aan de Autoriteit
Persoonsgegevens (AP) over het gebruik van Facebook Pages door het Ministerie van
Binnenlandse Zaken en Koninkrijksrelaties (BZK) en over de vervolgstappen. Daarvoor
zal ik eerst de historie kort uiteenzetten.

Aanleiding

In de brief van 26 april 2022 (Kamerstukken II 2021/22 32 761, nr. 221) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s
sluiten» aan uw Kamer toegezegd om een onafhankelijk partij een DPIA te laten uitvoeren
op het gebruik van Facebookpagina’s door de overheid.

Doel

De overheid wil graag gebruik blijven maken van Facebook Pages voor haar communicatie,
en tegelijk op rechtmatige en zorgvuldige wijze omgaan met de bescherming van persoonsgegevens
en rechten van burgers.

In de «Richtlijnen voor privacy-proof en effectief campagne voeren»1 is de richtlijn opgenomen dat een betaalde campagne van de Rijksoverheid zo min mogelijk
persoonsgegevens gebruikt en dat er alleen wordt samengewerkt met privacy-proof partijen.
Omdat we op dit moment niet weten of partijen als Meta op de juiste manier toestemming
vragen voor het verzamelen van de gegevens, houdt BZK zich mogelijk niet aan die richtlijnen.

Probleem

Meta verzamelt gegevens via (surf)gedrag, zoals het liken van bepaalde pagina’s en
stelt daarmee profielen van mensen op (profiling). Meta verzamelt deze gegevens niet alleen op haar eigen websites, maar kan door
het plaatsen van zogeheten tracking cookies ook mensen volgen als ze andere websites bezoeken. Daarmee kan Meta het internetgedrag
van mensen door de tijd heen volgen en daarmee de profielen van deze personen met
steeds meer data verrijken.

Profielen worden ook verrijkt met andere gegevens, bijvoorbeeld over het apparaat
dat door iemand wordt gebruikt (bijvoorbeeld informatie over software en verbonden
netwerken en GPS en Bluetoothsignalen), de fysieke locaties die iemand bezoekt en
gegevens uit publieke bronnen of afkomstig van derden.

Meta gebruikt de profielen onder andere voor de verkoop van advertentieruimte. Adverteerders
kunnen bij Meta aangeven voor welke doelgroep zij willen adverteren, terwijl mensen
de interesse voor deze producten niet zelf hebben aangegeven.

Voor individuele Facebookgebruikers is er sinds kort een mogelijkheid om te betalen
voor een account zonder advertenties. Die mogelijkheid is er voor FP niet. FP moet
gratis worden afgenomen, en in ruil daarvoor verzamelt Meta gegevens van burgers voor
(onder andere) advertentieprofielen.

DPIA Facebook Pages

In de DPIA die eind 2022 naar uw Kamer is verstuurd2, is beoordeeld of er privacyrisico’s zijn voor burgers bij de gegevensverwerking
op overheidspagina’s op Facebook. Het gaat dan bijvoorbeeld om risico’s bij het gebruik
van cookies en het vragen van toestemming. Of over hoe de aanbevelingen van Facebook
aan burgers door een algoritme worden gedaan en of burgers goed kunnen begrijpen hoe
hun gegevens worden verwerkt.

In de DPIA worden 7 hoge risico’s gevonden voor de gegevensverwerking. Zoals het verlies
van controle door de onrechtmatige verdere verwerking door Facebook. Facebook is onvoldoende
transparant over wat ze met de gegevens van burgers op overheidspagina’s doet en over
hoe ze bepaalt welke berichten bezoekers zien. Verder concludeert het onderzoek dat
Facebook volgcookies op een misleidende manier gebruikt. Meta verzamelt bijvoorbeeld
ook gegevens van burgers die daar geen toestemming voor hebben gegeven en die geen
Facebookaccount hebben. Ook worden gegevens over het gedrag van de paginabezoekers
verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik
van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties
te tonen. Tot slot zijn er zorgen over de doorgifte van persoonsgegevens aan derde
landen en derde partijen.

Gesprekken met Meta

Naar aanleiding van de hoge risico’s die tijdens de DPIA zijn geconstateerd heeft
BZK gedurende de periode december 2022–september 2023 gesprekken gevoerd met Meta.
In de Kamerbrief van 31 oktober 20233 heb ik u geïnformeerd over de gesprekken met Meta en over de vragen die zijn gesteld
aan de Autoriteit Persoonsgegevens (AP). BZK hoopte tijdens deze gesprekken met Meta
afspraken te kunnen maken die de hoge risico’s voldoende mitigeren, zodat de overheid
gebruik kan blijven maken van Facebook Pages.

Uit de gesprekken is gebleken dat Meta niet bereid is Facebook Pages en de verwerking
van persoonsgegevens in dat kader zodanig aan te passen dat de persoonsgegevens die
in verband met de BZK Pages worden verwerkt enkel zullen worden verwerkt ten behoeve
van BZK, dus als verwerker. Verder is Meta niet bereid om gezamenlijke verwerkingsverantwoordelijkheid
te erkennen die verder reikt dan de dienst Insights (onderdeel van Facebook Pages).
Meta heeft in de gesprekken BZK willen overtuigen van de onjuistheid van de DPIA voor
wat betreft de conclusies van de risico’s. Dit is ook wat Meta al heeft bepleit in
haar commentaar op de concept DPIA (zie Annex 1 bij de DPIA).

Daarom heb ik eind vorig jaar de AP verzocht om op basis van artikel 58, derde lid,
onder b van de Algemene Verordening Gegevensbescherming (AVG) advies te geven. Ik
heb de AP in het bijzonder gevraagd of het juist is dat wanneer twee partijen gezamenlijk
een aantal doelen van een verwerking bepalen, maar een van de partijen daarnaast ook
andere doelen heeft voor deze verwerking, (i) partijen voor deze verwerking kwalificeren
als gezamenlijk verwerkingsverantwoordelijke en (ii) derhalve beide een rechtsgrond
dienen te hebben voor alle doelen die aan de verwerking ten grondslag liggen.

Advies AP

Op 26 maart 2024 heeft de AP haar advies afgerond (bijlage 1). In het advies wordt
in bijlage 4 bevestigend geantwoord op de bovenstaande algemene rechtsvraag over gezamenlijke
verwerkingsverantwoordelijkheid.

Verder bevestigt de AP dat de in de DPIA geconstateerde hoge risico’s weggenomen moeten
worden om gebruik te kunnen blijven maken van Facebook Pages. Dit betekent onder andere
dat de verwerkingen in het kader van Facebook Pages inzichtelijker moeten worden en
dat de noodzaak, doeleinden, rolverdelingen en grondslagen van deze verwerkingen geïdentificeerd
moeten worden en aan de AVG moeten voldoen. De overheid moet meer transparantie en
grip krijgen over de verwerkingen op Facebook Pages, ook gezien haar bijzondere rol
bij bijvoorbeeld publieke dienstverlening aan hulpbehoevende burgers of in communicatie
bij crises. De overheid staat er op dat burgers juist dan moeten kunnen vertrouwen
op een veilige en betrouwbare online omgeving, die inclusief is en waar burgers grip
op hebben.

BZK zal het advies van de AP op korte termijn met Meta bespreken. Daarbij zal ook
aandacht worden besteed aan de volgende onderwerpen die door de Autoriteit Persoonsgegevens
in haar advies specifiek worden benoemd:

− Risicoafweging ten aanzien van kinderen:

In paragraaf 7.3 van het advies benadrukt de AP het belang van de risico’s van kinderen.
Zoals de Autoriteit Persoonsgegevens opmerkt is het gebruik van BZK Facebook Pages
door kinderen voor BZK niet direct relevant. Omdat het een DPIA van BZK betreft zullen
wij in de DPIA daarom zijdelings aandacht besteden aan de specifieke situatie van
kinderen. Per overheidsorganisatie zal beoordeeld moeten worden of bij concretisering
van de DPIA een specifieke risicoafweging t.a.v. kinderen noodzakelijk is. Ook adviseert
de AP om een Kinderrechten Impact Assessment (KIA) uit te voeren. Nog dit jaar zal
ik KIA’s op 3 platforms laten uitvoeren die op grote schaal door kinderen worden gebruikt,
te weten Snapchat, Instagram en Tiktok. Deze platforms worden door 50% tot 70% van
de tieners dagelijks gebruikt.

− Advies FG (Functionaris Gegevensbescherming):

De Autoriteit Persoonsgegevens adviseert in de DPIA aandacht te geven aan het advies
van de functionaris voor gegevensbescherming. Het Rijksplatform van Functionarissen
voor Gegevensbescherming (RPFG) heeft eerder een advies uitgebracht over het DPIA
proces binnen de gehele Rijksoverheid. Zij zullen de komende periode worden geïnformeerd
en om advies worden gevraagd.

− Noodzaak van de verwerkingen:

De AP adviseert in de DPIA nader in te gaan op de noodzaak van de verwerkingen van
Facebook Pages. De Rijksoverheid bereikt veel burgers via Facebook Pages, en streeft
inclusieve communicatie en interactie met burgers na. Onze inzet is dat burgers op
een zo laagdrempelig mogelijke manier, via een kanaal dat bij hen past, informatie
van de Rijksoverheid kunnen vinden en interactie met de Rijksoverheid kunnen hebben.
De Rijksoverheid wil daarom graag gebruik blijven maken van Facebook Pages om met
burgers te communiceren. Als Meta echter niet wil meewerken aan het mitigeren van
alle hoge risico’s, dan zal het gebruik van Facebook Pages moeten worden beperkt of
gestaakt.

Reikwijdte

De DPIA ziet enkel op het gebruik van Facebook Pages door BZK. De resultaten zijn
echter ook relevant voor andere delen van de Rijksoverheid die Facebook Pages gebruiken.
De Autoriteit Persoonsgegevens benoemt dit bredere effect in haar advies en benadrukt
dat Rijksonderdelen die Facebook Pages (willen gaan) gebruiken het advies kunnen gebruiken
bij hun eigen DPIA afweging.

Vervolggesprekken met Meta

Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze
omgaat met de bescherming van persoonsgegevens en rechten van burgers. De DPIA beschrijft
maatregelen die kunnen worden getroffen om de aangetroffen risico’s te mitigeren.
De Rijksoverheid kan alle hoge risico’s niet zelf wegnemen, maar moet daarvoor met
Meta afspraken maken. Ik heb een team van onderhandelaars gemandateerd om, net als
eerder bij Google en Microsoft, in korte tijd te proberen tot overeenstemming te komen
met Meta.

Zodra er duidelijkheid is over de al dan niet bereikte overeenstemming met Meta inzake
het rechtmatige gebruik van Facebook Pages, zal ik de DPIA aanvullen en uw Kamer daarover
informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen