[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Facebook Pages DPIA en HRIA

Verwerking en bescherming persoonsgegevens

Brief regering

Nummer: 2022D48694, datum: 2022-11-18, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-252).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 32761 -252 Verwerking en bescherming persoonsgegevens.

Onderdeel van zaak 2022Z22562:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2022-2023

32 761 Verwerking en bescherming persoonsgegevens

Nr. 252 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 november 2022

In de brief van 26 april jl. (Kamerstuk 32 761, nr. 221) is in reactie op het NRC-artikel «Duitse privacy-waakhond: regering moet Facebookpagina’s sluiten» aan uw Kamer toegezegd om een onafhankelijk partij een DPIA te laten uitvoeren op het gebruik van Facebookpagina’s door de overheid. Ook is daarbij toegezegd uw Kamer over de verdere voortgang in de loop van dit jaar te informeren. In de debatten «bescherming persoonsgegevens en digitale grondrechten» van 2 november jl. (Kamerstuk 32 761, nr. 249) en «begrotingsonderdelen van BiZa, EZK en J&V die zien op digitalisering» van 14 november jl. (Kamerstukken 36 200 VII, 36 200 XIII en 36 200 VI, nr. 116) bent u geïnformeerd over de termijnen van hoor-en wederhoor en over de voortgang.

In de «Richtlijnen voor privacyproof en effectief campagne voeren»1 uit 2018 is de richtlijn opgenomen dat «Campagnes van de rijksoverheid adverteren (...) alleen op basis van context, onderwerp en niet-persoonsgegevens». Deze richtlijnen vormen de basis voor adviezen over de inzet van Facebook bij campagnes en voor webpagina’s.

De Duitse regering en andere overheidsinstellingen zijn dit jaar opnieuw door de Federale commissaris voor Gegevensbescherming en Vrijheid van informatie (BfDI) aangeschreven2 om hun Facebookpagina’s te sluiten vanwege de hoge risico’s voor gegevensbescherming. Een overheidsinstelling kan volgens de Duitse toezichthouder als beheerder van een Facebookpagina in sommige gevallen worden aangemerkt als gezamenlijk verwerkingsverantwoordelijke, in dit geval samen met Facebook, in de zin van artikel 26 van de AVG. Als gezamenlijk verwerkingsverantwoordelijken moeten Facebook en de overheid beide voldoen aan de regels van de AVG en dit ook kunnen aantonen.

Ook ik heb, mede naar aanleiding van vragen van uw Kamer, een Data Protection Impact Assessment (DPIA) laten uitvoeren op het gebruik van Facebookpagina’s door de overheid, en toegezegd deze aan uw Kamer toe te sturen. In augustus 2022 is het beschrijvende deel A afgerond en in oktober 2022 is het evaluerende deel afgerond. In het kader van het actief openbaar maken van de DPIA is aan Meta zowel ten aanzien van onderdeel A als B de gelegenheid geboden om zienswijze in te dienen. Hiervan heeft Meta gebruik gemaakt. Deze zienswijzen zijn meegewogen bij de beslissing om de DPIA openbaar te maken. Ook de inhoudelijke reflecties van Meta op de DPIA zijn meegenomen in de DPIA. De DPIA is als bijlage bij deze brief gevoegd. De DPIA is in het Engels opgesteld, zodat ik deze direct met mijn Europese collega’s kan delen. Een Nederlandse vertaling zal ik uw Kamer binnenkort doen toekomen.

In de DPIA is beoordeeld of er privacyrisico’s zijn voor burgers bij de gegevensverwerking op overheidspagina’s op Facebook. Bijvoorbeeld gaat het om risico’s bij het gebruik van cookies en het vragen van toestemming. Ook is bekeken hoe de aanbevelingen van Facebook aan burgers door een algoritme worden gedaan en of burgers goed kunnen begrijpen hoe hun gegevens worden verwerkt.

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende («Facebook makes deceptive use of tracking cookies») manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.

In aanvulling op de DPIA heb ik uw Kamer ook toegezegd om te kijken naar de ethische aspecten van het gebruik van Facebookpagina’s door de rijksoverheid. Digitalisering moet immers waardengedreven zijn. Daarom is ook een Human Rights Impact Assesment (HRIA) uitgevoerd, gebaseerd op de Impact Assesment voor Mensenrechten bij de inzet van Algoritmen (IAMA)3. Ook deze treft u als bijlage aan. Hierin wordt gekeken naar de impact van het Facebookalgoritme op de mensenrechten. Vanwege het gebrek aan inzicht in de algoritmes en de data die daarbij wordt gebruikt was het bij veel mensenrechten onmogelijk om een harde uitspraak doen over de impact. De onderzoekers konden wel aantonen dat er mogelijk een impact is en beschrijven manieren om die impact in samenwerking met Facebook te meten. Ik ga in gesprek met Facebook om dit mogelijk te maken.

Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met de bescherming van persoonsgegevens en rechten van burgers. De DPIA beschrijft maatregelen die kunnen worden getroffen door Facebook of door de rijksoverheid om de aangetroffen risico’s te mitigeren. We zijn met Meta in gesprek over het nemen van maatregelen naar aanleiding van de DPIA. In dat gesprek benadrukken we het belang van het zo spoedig mogelijk wegnemen van alle gesignaleerde risico’s uit de DPIA voor het gebruik van Facebookpagina's door de Nederlandse overheid. Indien de risico’s onvoldoende worden weggenomen, is er geen andere mogelijkheid dan te stoppen met het gebruik van Facebookpagina’s door de overheid.

De gevolgen van het stoppen met Facebook Pages worden op dit moment beoordeeld in een inventarisatie van de communicatie via Facebook Pages door de rijksoverheid, die in het voorjaar van 2023 gereed zal zijn. Daarbij zal ook worden gekeken naar alternatieven om een inclusief bereik van communicatie, één van de uitgangspunten4 van overheidscommunicatie, te borgen. Het belang van de Nederlandse burger en het borgen van de rechten bij gegevensverwerking staan voor mij voorop. Zodra er in het voorjaar van 2023 duidelijkheid is over het wel of niet het wegnemen van de beschreven risico’s door Facebook en over de mogelijke alternatieven voor overheidscommunicatie zal ik uw Kamer weer informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen


  1. https://www.communicatierijk.nl/documenten/rapporten/2018/05/25/richtlijnen-voor-privacyproof-en-effectief-campagne-voeren↩︎

  2. https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telemedien/FacebookFanpages.html, https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/Kurzgutachten_Facebook-Fanpages_V1_1_clean.pdf↩︎

  3. https://www.rijksoverheid.nl/documenten/rapporten/2021/02/25/impact-assessment-mensenrechten-en-algoritmes↩︎

  4. https://www.rijksoverheid.nl/documenten/richtlijnen/2010/12/09/uitgangspunten-overheidscommunicatie↩︎