De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.
De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment:
In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.De vaste lezer van deze blog zal weinig niets halen uit bovenstaande alinea, behalve misschien dat dit óók bij specifieke Facebookpagina’s van overheidsinstanties gebeurt. En tot voor vrij kort geleden kon je als instantie nog doen alsof dit niet jouw probleem was, maar in 2018 bepaalde het Hof van Justitie dat je als beheerder van een Facebookpagina mede-verwerkingsverantwoordelijke bent voor alles dat onder water gebeurt bij bezoek aan die pagina. Dat volgt uit de systematiek van de AVG.
Uit mijn blog van toen:
De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.De overheid is nu in gesprek met Facebook met als doel álle pijnpunten weg te doen nemen. Leuk, maar persoonlijk zie ik dat niet snel gebeuren. De daarop volgende stap zou dan moeten zijn dat de overheid weggaat van Facebook. Daarop kwam op vele plekken de reactie, waarom zit de overheid op Facebook als zij zelf al websites te over heeft?Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.
De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.
Arnoud