Inloggen
Open menu
Digitalisering en democratie
Artikel

Online monitoring door overheden baart zorgen

Volgens de AP moeten organisaties bij monitoring van sociale media betrokkenen daarover duidelijk informeren. | Beeld: Shutterstock
4 september 2023

Toezichthouders maken zich zorgen over gemeenten die burgers online monitoren om bijvoorbeeld ondermijning, fraude en extremisme op te sporen. Uit inzageverzoeken van AG Connect & Trouw wordt duidelijk dat door tools als OBI4wan en Coosto tweets van nagenoeg alle Nederlandse gebruikers van X (voorheen Twitter) worden verzameld voor overheden. Wie wil weten voor wie en waarom, krijgt echter nul op rekest. Daar komt binnenkort verandering in.

Steeds vaker monitoren gemeenten op eigen houtje burgers online. Bijvoorbeeld om ondermijning, arbeidsuitbuiting, fraude met steungelden en uitkeringsfraude op te sporen. Deze wildgroei aan inlichtingenactiviteiten heeft inmiddels de aandacht getrokken van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), die in juni een expertbijeenkomst hield over het thema,  waar diverse gemeenten bij aanwezig waren. De lokale afdelingen Openbare Orde en Veiligheid en clusters intelligence groeien sterk, schrijft één van de sprekers Emeritus hoogleraar Intelligence & Security Studies Bob de Graaff na die bijeenkomst in de Groene Amsterdammer.

Deze groeiende online monitoring van gemeenten zorgt al langer voor juridische kopzorgen. In oktober 2022 werd na onderzoek al duidelijk dat overheden, waaronder gemeenten, op grote schaal tweets verzamelen zonder twitteraars daarover te informeren. Een glasharde overtreding van de wet, gaven diverse vooraanstaande privacyexperts aan. Het kabinet startte naar aanleiding van de kritiek een privacyonderzoek, om te bepalen of dit inderdaad het geval is.

Elke burger heeft dankzij de AVG recht op inzage in verzamelde gegevens.

Wie wil weten welke overheden en overheidsorganisaties er tweets hebben verzameld, hoeft alleen maar in de pen te  klimmen om zijn recht op inzage op te eisen. AG Connect en Trouw dienden de afgelopen maanden daarom inzageverzoeken in bij Nederlandse overheden en de onder de overheid populaire sociale media-monitoringbedrijven OBI4wan en Coosto, die tweets verzamelen en verwerken in opdracht van verschillende overheden. Soms volstaat een mail in combinatie met online identificatie of een brief. Bij anderen, zoals de NVWA, moet er een afspraak worden gemaakt bij het hoofdkantoor en worden de gegevens op papier overhandigd.

Uit verzoeken bij Coosto & OBI4wan, die samen een groot deel van de overheidsmarkt bestrijken, wordt al snel duidelijk dat nagenoeg alle tweets tot vele jaren geleden zijn verzameld door de bedrijven en dat inzage tot die tweets is verkocht aan onder meer overheden en banken. Ook enkele verwijderde tweets bleken verzameld en doorgegeven.

Nagenoeg alle tweets worden verzameld en ingezien

Het onder de overheid populaire OBI4wan stuurde een bestand van zo’n 1200 tweets terug. Welke organisaties inzicht kregen in die tweets en waarom, werd niet medegedeeld. Concurrent Coosto stuurde na het verzoek een versleuteld bestand met zo’n achtduizend tweets terug, die vanaf 2014 zijn geplaatst. Twee organisaties kochten toegang tot deze tweets. Coosto gaf via een mailwisseling prijs dat de tweets zijn verzameld voor een Nederlandse gemeente en een bank. Daarna hield de transparantie op. Het bedrijf weigerde om mee te werken aan aanvullende vragen over de gegevensverwerking.

OBI4wan wilde hun gebrek aan transparantie over de tweetsverzameling wél toelichten. “Je kan ervanuit gaan dat iedere Nederlandstalige twitteraar wel ergens in onze ‘bak’ zit”, vertellen CEO Alexander de Ruiter en CTO Alex Slatman. “Als je twittert over Nederlandse onderwerpen, zijn er waarschijnlijk tweets van je verzameld.”

Volgens de Autoriteit Persoonsgegevens moeten twitteraars daar echter over geïnformeerd worden. Daarvan is OBI4wan zich bewust. “Omdat Twitter verbiedt om standaardberichten naar grote hoeveelheden mensen te sturen, is het technisch onmogelijk om ze van iedere verzamelde tweet te informeren. In de gebruikersvoorwaarden kun je er wel over lezen.” OBI4wan vindt dat twitteraars daarmee voldoende geïnformeerd zijn, maar de meningen daarover lopen onder experts uiteen.  “OBI4wan heeft extern advies ingewonnen en is na het uitvoeren van een DPIA tot de conclusie gekomen dat de AVG hiermee niet wordt overtreden”, aldus de Ruiter.

Een bedrijf mag niet weigeren om te vertellen aan betrokkenen wie gebruikmaken van de monitoring.

Net als Coosto wil OBI4wan niet aangeven welke klanten de verzamelde tweets van het inzageverzoek ingezien hebben. “Omdat dit afhankelijk is van de zoekopdracht van de klant. Al onze klanten zouden potentieel een tweet van je verzameld kunnen hebben”, lichten de Ruiter en Slatman toe. Wanneer een twitteraar wil weten welke partijen tweets hebben verzameld, moet het bedrijf de hele klantenlijst overhandigen. “En dat willen we niet, want dan zou een concurrerend bedrijf heel makkelijk ermee vandoor kunnen gaan. Want dan is het, plat gezegd, happy hunting.” Navraag bij Autoriteit Persoonsgegevens leert echter dat een bedrijf niet mag weigeren om te vertellen aan betrokkenen wie gebruikmaken van de monitoring.

De Ruiter steekt daarop de hand in eigen boezem en stelt de benodigde technische aanpassingen door te voeren, om in het vervolg aan te kunnen voldoen aan de wens van de AP. “Wij moeten filters bouwen om inzichtelijk te maken, welke klanten een specifiek bericht hebben ontvangen. Het is duidelijk dat wij een overzicht van de ontvanger moeten aanleveren als hierom wordt verzocht.” Voor twitteraars betekent dit dat zij binnenkort kunnen opvragen welke organisaties hun tweets inzien en waarom.

Eigen verantwoordelijkheid van overheden

OBI4wan wil graag uitleggen wat zijn klanten met het systeem doen. Een groot deel van de overheid en nagenoeg alle gemeenten monitoren sociale media. OBI4wan richt zich voornamelijk op de gemeenten. Zo’n 80% van alle gemeenten is er klant en heeft toegang tot de verzamelde tweets. De rest gebruikt zeer vermoedelijk vergelijkbare diensten zoals Coosto of Meltwater. Volgens Slatman en De Ruiter gebruikt het merendeel van de klanten hun product om digitaal klantcontact te onderhouden. “Om bijvoorbeeld een één op één gesprek te voeren met de klantenservice.”

Wat overheidsklanten ook vaak doen, is rapporten maken om te zien hoe er op sociale media wordt gesproken over de organisatie. “Dat kan bij gemeenten over het gemeentehuis gaan, maar ook een bepaald bos of park. De zoekopdracht die de gemeente daarbij maakt, is hun eigen verantwoordelijkheid. Daar moet wel een gerechtvaardigd belang voor zijn.”

Geen permanente controles

OBI4wan betaalt voor het verzamelen van alle tweets een vergoeding aan X, wat vroeger Twitter heette. Elke klant moet bovendien vooraf het doeleinde van de verzameling bekendmaken. Het bedrijf ‘giet’, afhankelijk van de zoektermen, tweets in het softwaresysteem waarmee alle berichtgeving en reacties efficiënt in beeld worden gebracht.

Het is volgens OBI4wan vanwege contractuele afspraken echter niet mogelijk om klanten permanent in de gaten houden om te controleren of zij zich aan de afspraken houden. OBI4wan voert alleen steekproefsgewijs controles uit op de gebruikte zoektermen in het systeem. Tot nu toe werd eén gemeente door Obi4wan teruggefloten vanwege verkeerd gebruik van het systeem. De zoektermen en analyses werden verwijderd en OBI4wan gaf gemeente daarna een waarschuwing. Alle gemeenten zijn per brief daarna door OBI4wan nogmaals herinnerd aan de regels.

Sociale monitoring is niet zonder risico

Het gebruikt van systemen als OBI4wan en Coosto zal in de meeste gevallen voor ‘onschuldig’ klantcontact zijn, maar sociale monitoring is niet zonder risico. Burgerrechtenorganisatie Bits of Freedom nomineerde Coosto eerder voor een Big Brother Award omdat het onder meer X (Twitter) en andere sociale media inzichtelijk maakte voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Ministerie van Justitie en Veiligheid en de Nederlandse politie.

Betrokken moeten geïnformeerd worden

Volgens de AP moeten organisaties bij monitoring van sociale media betrokkenen daarover duidelijk informeren. Dat gebeurt nu in de gebruikersovereenkomst van X (Twitter), maar “Bij monitoring van sociale media zijn soms andere organisaties betrokken dan alleen het platform. Deze andere organisaties zijn vaak bij betrokkenen niet bekend. Juist daarom is het noodzakelijk dat er goed wordt geïnformeerd richting betrokkenen, onder andere omdat een betrokkene niet zelf weet wie er verwerkt en dus ook niet weet op welke website die zou moeten kijken.”

Een bedrijf dat tweets verzamelt voor monitoring van sociale media mag volgens de woordvoerder niet weigeren om een betrokken persoon weigeren te vertellen wie gebruik maken van de dienst. “Bedrijven moeten de betrokkenen laten weten dat ze gebruikmaken van deze monitoring.”

Privacyonderzoek

Naast meer transparantie over de partijen die burgers monitoren op sociale media, gaat er op korte termijn mogelijk nog meer veranderen. In antwoord op eerdere Kamervragen die gesteld werden na het eerdere onderzoek van Trouw en AG Connect, gaf demissionair staatssecretaris Alexandra van Huffelen aan dat er privacyonderzoek wordt gehouden om te bekijken in hoeverre lokale overheden zich aan de AVG houden. Daaruit moet blijken of de verwerking van persoonsgegevens bij het monitoren van sociale media voldoen aan de privacywet.

Dit artikel verscheen eerder bij onze collega’s van AG Connect

Over Sjoerd Hartholt
Journalist en onderzoeker bij Sijthoff Media, werkzaam voor iBestuur en Binnenlands Bestuur
Lees meer van Sjoerd Hartholt »

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Lees ook

Overheid in Transitie | Nieuws
Computersystemen Belastingdienst kunnen vanaf 2027 nieuwe beleidswijzigingen aan
Personalia | Personalia
Mathieu Paapst coördinerend juridisch adviseur bij Forum Standaardisatie
Overheid in Transitie | Podium
Winstwaarschuwing voor een minister voor Digitale Zaken