Nederlandse overheid overweegt te stoppen met pagina’s op Facebook

| AE 13701 | Privacy, Uitingsvrijheid | 12 reacties

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.

De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment: 

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.
De vaste lezer van deze blog zal weinig niets halen uit bovenstaande alinea, behalve misschien dat dit óók bij specifieke Facebookpagina’s van overheidsinstanties gebeurt. En tot voor vrij kort geleden kon je als instantie nog doen alsof dit niet jouw probleem was, maar in 2018 bepaalde het Hof van Justitie dat je als beheerder van een Facebookpagina mede-verwerkingsverantwoordelijke bent voor alles dat onder water gebeurt bij bezoek aan die pagina. Dat volgt uit de systematiek van de AVG.

Uit mijn blog van toen:

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

De overheid is nu in gesprek met Facebook met als doel álle pijnpunten weg te doen nemen. Leuk, maar persoonlijk zie ik dat niet snel gebeuren. De daarop volgende stap zou dan moeten zijn dat de overheid weggaat van Facebook. Daarop kwam op vele plekken de reactie, waarom zit de overheid op Facebook als zij zelf al websites te over heeft?

De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.

Arnoud

Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren

| AE 13617 | Privacy | 40 reacties

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door AG Connect en Trouw. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief” of “negatief” worden gelabeld zodat je kunt zien hoe je beleid valt bij de mensen. Ook hier heerst dus die misvatting dat dat mag omdat Twitter openbaar is. Kunnen we eens ophouden met “ja maar openbare bron” als argument?

Het idee achter sentimentanalyse is dat je op basis van grote datasets de werkelijkheid kunt meten, en dat dat een stuk goedkoper/makkelijker is dan steeds een enquête eruit doen of 1200 Nederlands bellen. Waar zeker wat in zit, en we hebben ook genoeg tools (zoals van Microsoft) die op basis van statistische tekstanalyse kunnen zeggen of een tweet over een onderwerp gaat en daar dan positief of negatief over is. Dat kun je dan over de tijd meten, groeperen naar locatie van gebruikers (Randstad versus de provincie, bijvoorbeeld), groei of daling signaleren en ga zo maar door.

Punt is natuurlijk wel, dat begint allemaal bij een enorme verzameling berichten van Twitter. En tweets (met Twitternaam) zijn nu eenmaal persoonsgegevens en dus valt het verzamelen en tot sentimenten omturnen van die gegevens onder de AVG. Mag dat? Ja, in principe wel: dit is een vorm van wetenschappelijk en statistisch onderzoek en dat kun je binnen de grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG) prima rechtvaardigen. (Ook bij overheden, omdat dit niet gaat om uitoefening van een publiekrechtelijke taak.) Toestemming van de twitteraars is dus niet nodig.

Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting. Ik geef toe dat dit bij een klantanalyse wat makkelijker is, daar zet je het in je privacyverklaring of je stuurt een update in het portaal. Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk. (Bij data-verzameling met een drone of sensoren op straat is het natuurlijk een ander verhaal qua complexiteit, dus dan is een bordje of banner genoeg.)

Ik zie in de reacties her en der boosheid met het argument “kom op, Twitter is openbaar en iedereen doet het”. Dat laatste is vast waar, maar verandert niets aan het punt dat de makkelijke toegankelijkheid van de bron géén argument is onder de AVG. Je bent niet vogelvrij omdat men kan scrapen zonder ingewikkelde contracten of toelatingsprocedure. En vanuit juridisch perspectief zou dat ook heel raar zijn, dat het legaal is om iets te doen omdat het heel makkelijk is, en dat alleen bij moeilijk scrapen je mensen zou moeten gaan informeren of zo?

Arnoud

 

Minister: digitale berichten overheid vergelijkbaar met aangetekende post

| AE 13573 | Regulering | 5 reacties

Pexels / Pixabay

Digitale berichten die de overheid naar de berichtenbox van burgers met een MijnOverheid-account stuurt hebben dezelfde waarborgen als aangetekende fysieke post, zo stelt minister Bruins Slot van Binnenlandse Zaken. Dat las ik bij Security.nl onlangs. Dit in reactie op een discussie over de status van digitale boodschappen in uw Mijn Overheid-berichtenbox tijdens het plenaire debat over de Wet modernisering elektronisch bestuurlijk verkeer. Deze zal in 2023 in werking treden en het onder meer mogelijk maken dat je digitaal berichten naar de overheid stuurt.

De status van aangetekende post in het recht is vrij hoog: al snel neemt de rechter aan dat post is aangekomen als je een PostNL-ontvangstbevestiging kunt laten zien. Niet altijd, zeker bij “geen gehoor” en geen bewijs van door de bus duwen. Het is dus een fijne procedurele stap die je kunt nemen bij dossieropbouw, je kunt dan in ieder geval het verweer “hebben we nooit gehad” aftikken als er een handtekening van de receptioniste of postkamer ligt dat het is aangenomen. (Dat de envelop wellicht leeg was, heb ik nooit als verweer in een vonnis aangetroffen.)

Bij digitale berichten is de aankomstbevestiging zeer kwetsbaar, er is geen breed gedragen technische standaard en in formele procedures vragen om een mail met ontvangstbevestiging voelt toch niet helemaal wenselijk. Dus het is fijn te bevestiging te krijgen dat een bericht in de berichtenbox telt als een aangetekend stuk. Waarbij dan twee situaties gelden: berichten van de overheid, en berichten aan de overheid. Zoals de minister het uitlegt:

Officiële elektronische berichten van de overheid worden doorgaans geplaatst in de berichtenbox van MijnOverheid. Het tijdstip van ‘bezorgen’ wordt daarbij vastgelegd en kan daarmee gemakkelijk worden bewezen. Problemen doen zich voor als iemand te laat in de berichtenbox kijkt en daarmee niet tijdig op het bericht heeft gereageerd. Hierom wordt verplicht om bij het plaatsten van een bericht binnen 48 uur aan de geadresseerde een (eveneens digitale) notificatie te sturen, tenzij deze heeft laten weten geen notificaties te willen ontvangen.
Dit is natuurlijk al de huidige situatie. De logging door het overheidsorgaan is cruciaal, en we vertrouwen erop dat de loggende instantie dat eerlijk doet. (Ik zie bij Security.nl de suggestie dat een slinkse ambtenaar het bericht achteraf kan wijzigen en/of de gelogde gegevens aan kan passen. Dit lijkt me sterk maar ik kan geen informatie vinden over de beveiliging van deze procedures.)

De omgekeerde situatie wordt heel simpel geschetst:

Bij elektronische berichten aan de overheid is voorgeschreven dat het bestuursorgaan de ontvangst van een bericht moet bevestigen.Het wetsvoorstel gaat er van uit dat dit een geautomatiseerde bevestiging is. De ontvangstbevestiging vormt voor de afzender het bewijs dat diens bericht is ontvangen.
Dat is leuk en aardig, maar betekent nu dus dat je toch moet hengelen om een bevestiging per e-mail, en maar moet afwachten wanneer de ontvangende ambtenaar dit gaat doen. Ja, ik heb altijd weinig hoop in autoreplies, helemaal als die enkel zeggen “uw mail is ontvangen” zonder bijvoorbeeld aan te geven of de bijlagen zijn aangekomen.

Het wetsvoorstel regelt het iets uitgebreider, art. 2:13 lid 1 en 2 Awb gaat luiden:

  1. Een ieder kan een bericht dat deel uitmaakt van een procedure over een besluit of een klacht of een ander krachtens wettelijk voorschrift voorgeschreven bericht elektronisch aan een bestuursorgaan zenden.
  2. Bij wettelijk voorschrift of bij besluit van het bestuursorgaan wordt voor ieder type bericht als bedoeld in het eerste lid, gelet op de aard en de inhoud van het type bericht en het doel waarvoor het wordt gebruikt, een voldoende betrouwbare en vertrouwelijke wijze van verzenden aangewezen.
Het overheidsorgaan moet dus een elektronisch kanaal openstellen voor deze formele communicaties van de burger, en moet zorgen dat dit betrouwbaar en veilig is. Daar hoort dus logging van ontvangst bij. (Voor andere systemen mág het overheidsorgaan iets dergelijks doen, maar dat moet dan apart als keuze gemeld worden, art. 2:14 nieuw.)

Een ontvangstbevestiging wordt apart verplicht gesteld in art. 2:18:

  1. Een bestuursorgaan bevestigt de ontvangst van een elektronisch bericht als bedoeld in artikel 2:13, eerste lid, dat is verzonden overeenkomstig het tweede lid van dat artikel en met inachtneming van de nadere eisen, gesteld krachtens het derde lid van dat artikel, tenzij:

    • a.het bestuursorgaan en de verzender gebruikmaken van hetzelfde systeem voor gegevensverwerking en de verzender in dat systeem kan zien dat het bericht voor het bestuursorgaan beschikbaar is; of

    • b.van de verzender geen elektronisch adres beschikbaar is.

  2. 2.Indien een bericht als bedoeld in artikel 2:13, eerste lid, aan een bestuursorgaan wordt verzonden door de rechtstreekse invoer van gegevens in een systeem voor gegevensverwerking van het bestuursorgaan, stelt het bestuursorgaan de ingevoerde gegevens aan de verzender ter beschikking op een voldoende betrouwbare en vertrouwelijke manier.

In veel gevallen zal de communicatie verlopen via een berichtenbox. Dan moet het overheidsorgaan een notificatie sturen van de plaatsing (of afkeuring) van het bericht dat de burger uploadde:
In dat geval zal van de in de berichtenbox geplaatste ontvangstbevestiging op grond van het voorgestelde artikel 2:10 een notificatiebericht moeten worden gezonden (zie paragraaf 3.4.3). Een andere mogelijkheid is de bevestiging op het scherm waarin het bestuursorgaan meedeelt dat het bericht is ontvangen. Om de archieffunctie van de ontvangbevestiging te waarborgen, zou in dat geval een te downloaden versie hiervan ter beschikking kunnen worden gesteld.
Die downloadbare bevestiging lost dus het probleem op van de achterdochtige Security.nl reageerder, want als jij een digitaal getekende PDF hebt dat je bericht met inhoud X op datum Y ontvangen is, dan kan geen slinkse ambtenaar daar inhoud X’ van maken of het bericht weghalen.

Arnoud

Meerdere algoritmen van de overheid voldoen niet aan de basiseisen (excuses, lange blog maar dit is zeg maar mijn ding)

| AE 13351 | Informatiemaatschappij, Innovatie | 10 reacties

De algoritmes die door de Rijksoverheid worden gebruikt, voldoen lang niet altijd aan de basiseisen. Van de negen getoetste algoritmes voldeden er zes niet aan de eisen, las ik bij Nu.nl. Dit blijkt uit onderzoek van de Algemene Rekenkamer. Deze zes bieden dan ook bijzondere risico’s: gebrekkige controle op prestaties of effecten, vooringenomenheid, datalek of ongeautoriseerde… Lees verder

Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

| AE 12832 | Regulering | 7 reacties

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins… Lees verder

Vrouw staat vaker voor dichte deur bij gemeenteportaal dan man

| AE 12744 | Innovatie | 51 reacties

Vrijwel standaard hebben alleen mannen bij gemeenten toegang tot belangrijke privégegevens over hun huishoudens, las ik bij de Stentor. Dat blijkt uit onderzoek van de krant. Steeds vaker schuiven gemeentes burgers naar online portalen voor persoonlijke informatie, belastingaanslagen (hond, huis), heffingen (riool, reiniging) en betalingsafspraken. Detail: slechts een persoon per huishouden (de belastingplichtige) krijgt toegang en… Lees verder

Gemeenten zouden op grote schaal burgers bespieden op sociale media

| AE 12672 | Regulering | 10 reacties

Nederlandse gemeenten zouden op grote schaal meekijken met burgers op sociale media, zo las ik bij Nu.nl (op gezag van dit rapport). Controversieel is dat de gemeente onder meer nepaccounts gebruikt, terwijl dit niet zou zijn toegestaan. “Een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus de nieuwssite. En dat terwijl… Lees verder

Raad van State: Tweede Kamer hoeft broncode van debat-app niet openbaar te maken

| AE 12600 | Informatiemaatschappij | 1 reactie

De Tweede Kamer hoeft de broncode van de Debat Direct-app definitief niet openbaar te maken, meldde Tweakers donderdag. Dit is de einduitspraak in die zaak van laatst, waarin een IT’er al sinds 2018 probeert toegang te krijgen tot de broncode van de Debat Direct app van het parlement. De Raad van State oordeelt nu dat dit… Lees verder

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in… Lees verder

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke… Lees verder