Brief regering; Toezegging gedaan tijdens het commissiedebat Digitaliserende Overheid van 28 juni 2023, over een adviesaanvraag Autoriteit Persoonsgegevens DPIA Facebook Pages - Verwerking en bescherming persoonsgegevens

Deze brief is onder nr. 288 toegevoegd aan dossier 29362 - Modernisering van de overheid en dossier 32761 - Verwerking en bescherming persoonsgegevens.

Inhoudsopgave

  1. Kerngegevens
  2. Tekst
  3. Meer informatie
  4. Parlementaire Monitor

1.

Kerngegevens

Officiële titel Verwerking en bescherming persoonsgegevens; Brief regering; Toezegging gedaan tijdens het commissiedebat Digitaliserende Overheid van 28 juni 2023, over een adviesaanvraag Autoriteit Persoonsgegevens DPIA Facebook Pages
Document­datum 31-10-2023
Publicatie­datum 31-10-2023
Nummer KST32761288
Kenmerk 32761; 29362, nr. 288
Externe link origineel bericht
Originele document in PDF

2.

Tekst

Tweede Kamer der Staten-Generaal

2024

Vergaderjaar 2023-

32 761 29 362

Nr. 288

Verwerking en bescherming persoonsgegevens Modernisering van de overheid

BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 31 oktober 2023

In het Commissiedebat Digitaliserende overheid van 28 juni 2023 heb ik u toegezegd1 een brief te sturen over de uitkomsten van de onderhandelingen met Meta voordat er een definitief besluit wordt genomen over het gebruik van Facebook Pages door de overheid. Bij dezen informeer ik u over de voortgang van de onderhandelingen met Meta en de adviesaanvraag aan de Autoriteit Persoonsgegevens over het gebruik van Facebook Pages.

Naar aanleiding van de hoge risico's die tijdens de DPIA zijn geconstateerd heeft BZK gedurende de periode december 2022 - september 2023 gesprekken gevoerd met Meta. BZK hoopte tijdens deze gesprekken met Meta afspraken te kunnen maken die de hoge risico's voldoende mitigeren, zodat de overheid gebruik zou kunnen blijven maken van Facebook Pages. Tijdens deze conversaties heeft BZK allereerst de verwerkingsrollen die Meta en BZK vervullen besproken.

Uit de gesprekken is het volgende gebleken:

  • a. 
    Meta is niet bereid Facebook Pages en de verwerking van persoonsgegevens in dat kader zodanig aan te passen dat de persoonsgegevens die in verband met de BZK Pages worden verwerkt enkel zullen worden verwerkt ten behoeve van BZK, dus als verwerker.
  • b. 
    Meta is niet bereid om gezamenlijke verwerkingsverantwoordelijkheid te erkennen die verder reikt dan de dienst Insights (onderdeel van Facebook Pages). Meta stelt zich op het standpunt dat zij de enige verwerkings-verantwoordelijke is ten aanzien van alle verwerkingen in het kader van Facebook Pages, met uitzondering van sommige verwerkingen in verband met Insights waarvoor partijen gezamenlijk verwerkingsverantwoordelijk zijn.
  • c. 
    BZK begrijpt dat Meta's standpunten zowel gelden voor verwerkingen van de gegevens van burgers in het kader van de BZK Pages als

1 Kamerstuk 29 362, nr. 335.

kst-32761-288 ISSN 0921 - 7371 's-Gravenhage 2023

verwerkingen in verband met Facebook accounts die door medewerkers van BZK worden aangemaakt teneinde BZK Pages aan te maken en te kunnen beheren.

Het komt er welbeschouwd op neer dat Meta in de gesprekken BZK wil overtuigen van de onjuistheid van de DPIA voor wat betreft de conclusies ten aanzien van de risico's. Dit is ook wat Meta al heeft bepleit in haar commentaar op de concept DPIA (zie Annex 1 bij de DPIA), en betekent dus een herhaling van zetten.

Daarom heb ik de Autoriteit Persoonsgegevens (AP) verzocht om op basis van artikel 58, derde lid, onder b van de Algemene Verordening Gegevensbescherming (AVG) advies te geven. Ik heb de AP gevraagd om advies over de volgende vragen:

  • 1. 
    Is het juist dat wanneer twee partijen gezamenlijk een aantal doelen van een verwerking bepalen, maar een van de partijen daarnaast ook andere doelen heeft voor deze verwerking, (i) partijen voor deze verwerking kwalificeren als gezamenlijk verwerkingsverantwoordelijke en (ii) derhalve beide een rechtsgrond dienen te hebben voor alle doelen die aan de verwerking ten grondslag liggen? Hetgeen dus in case het gevolg zou hebben dat BZK en Meta gezamenlijk verwerkingsverantwoordelijke zijn voor alle verwerkingen in het kader van Facebook Pages waarvoor BZK en Meta allebei (een deel van) de doelen en middelen bepalen.
  • 2. 
    Als er geen sprake is van gezamenlijke verwerkingsverantwoordelijk-heid: dient BZK over een rechtsgrond te beschikken om persoonsgegevens aan Meta te overhandigen?1 Geldt dit (ook) voor persoonsgegevens die niet direct door BZK aan Meta zijn overhandigd, maar waarvan de verwerking is gefaciliteerd door het gebruik van BZK Pages door BZK (lees: verwerkingen die niet zouden plaatsvinden als BZK geen gebruik zou maken van BZK Pages)?
  • 3. 
    In hoeverre moet BZK bij het beoordelen van de risico's2 voor betrokkenen in het kader van de DPIA en het bepalen van de rechtsgrond inzicht hebben in de werking van algoritmes en andere methodes die door Meta worden gebruikt bij verdere verwerkingen? In hoeverre moet BZK zich er bijvoorbeeld van vergewissen dat algoritmes niet bevooroordeeld (biased) zijn? Zie in dit kader onder andere paragraaf 1.1.3 van het DPIA rapport.
  • 4. 
    BZK is van mening dat er niet voldoende informatie is om een volledige analyse te maken van de verdeling van de verwerkersrollen. Daarvoor is inzicht nodig in de dataverzameling van onder andere diagnostische gegevens. Wat is het niveau van detail waarop deze dataverwerkingen moeten worden gemapt en onderzocht?
  • 5. 
    Pages worden overwegend bezocht met gebruikmaking van een Facebook account. In hoeverre moet BZK bij het maken van de risico-inschatting voor betrokkenen in het kader van BZK Pages rekening houden met de privacy-risico's die verband houden met het gebruik door burgers van een Facebook account? In het bijzonder, in hoeverre moet BZK toetsen en/of waarborgen dat ten aanzien van Facebook accounts wordt voldaan aan alle wettelijke vereisten (inclusief het gebruik van cookies)? Geldt hierbij dezelfde maatstaf voor bezoekers van BZK Pages met een Facebook account als medewerkers van BZK die BZK Pages aanmaken en/of beheren met hun Facebook account?

Nadat er meer duidelijkheid is over deze vragen zullen de onderhandelingen vanzelfsprekend worden hervat om geconstateerde hoge risico's uit de DPIA weg te nemen, zodat het Rijk gebruik kan maken van Facebook Pages en daarbij rechtszekerheid heeft over de verwerkingen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,

A.C. van Huffelen

Tweede Kamer, vergaderjaar 2023-2024, 32 761, nr. 288 3

1

   Zie EDPB 17 januari 2023, 2022 Coordinated Enforcement Action Use of cloud-based services by the public sector, p. 13: «In addition, a legal basis for handing over of personal data by the public body and for the processing activities carried out afterwards by the CSP acting as a controller is needed.»

2

   Deze vraag is relevant in het kader van hoog risico 1, 2, 3 en 4.

 
 
 

3.

Meer informatie

 

4.

Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.