Overheden hebben weinig benul van de persoonsgegevens van burgers die ze doorsluizen aan Amerikaanse techreuzen zoals Google, Meta, Microsoft en Twitter. Dat blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur. Niet één van 50 onderzochte overheden geeft hierover volledige informatie in zijn verwerkingsregister.
Overheden zijn zonder uitzondering onvolledig in hun verwerkingsregisters. | Beeld: Shutterstock
Webcare verlenen via Twitter, een raadsvergadering bijwonen via Teams of een kapotte stoeptegel melden via Whatsapp: alle vijftig onderzochte lokale overheden geven – zonder dat ze het zelf in de gaten lijken te hebben – Amerikaanse techreuzen via een of meerdere kanalen persoonsgegevens door. Het is volgens de wet voor overheden en organisaties met meer dan 250 werknemers verplicht om hier transparant over te zijn. Hetzelfde geldt ook voor kleinere organisaties die aan blijvende of risicovolle gegevensverwerking doen. Toch wordt het vrijwel in alle gevallen nagelaten om burgers volledig te informeren over deze data-doorgifte aan de VS.
“Zodra je interactie voert met burgers, bijvoorbeeld via Whatsapp, dan upload je een adresboek.”
In het verwerkingsregister moet onder meer controleerbaar zijn welke persoonsgegevens worden verwerkt, voor welk doel ze zijn verwerkt en met wie de gegevens gedeeld kunnen worden. Ook hoort erin te staan wie verantwoordelijk is voor de beveiliging van de gegevens en hoe lang deze gegevens worden opgeslagen. Uit een inventarisatie van AG Connect, Binnenlands Bestuur en iBestuur onder 50 gemeenten en een drietal ‘voorbeeldorganisaties’ Autoriteit Persoonsgegevens, Autoriteit Consument en Markt en Rijksoverheid wordt duidelijk dat overheden niet goed in beeld hebben welke gegevensverwerking er sprake is van internationale doorgifte.
Webcare via techreuzen
In de registers missen met name de datadoorgiften van Amerikaanse techreuzen. Deze zijn inmiddels zo diepgeworteld in het dagelijkse leven van de burger dat vrijwel alle Nederlandse overheden ze gebruiken voor webcare (Twitter, Facebook), het meten van bezoek (Google Analytics) en voor videovergaderingen (Microsoft Teams). Dit levert met de huidige regels die gelden rondom data-doorgifte een ronduit ongemakkelijke situatie op. Floor Terra, adviseur bij Privacy Company, legt uit dat organisatie die een Facebook-pagina bezitten gezamenlijk verwerkingsverantwoordelijke zijn. Dit geldt ook voor Linkedin, YouTube en Twitter. Een voorbeeld: “Zodra je interactie voert met burgers, bijvoorbeeld via Whatsapp, dan upload je een adresboek. Deze communicatie wordt als metadata verwerkt en opgeslagen bij Whatsapp. Voor direct messages via Twitter geldt dat de inhoud van berichten verwerkt wordt.
Ook dan wordt de inhoud doorgegeven aan de Verenigde Staten.” Organisaties moeten volgens de wet burgers informeren over wat er met die gegevens gebeurt. Betrokkenen moeten geïnformeerd worden over de verwerking en in het specifiek over de doorgifte. “Wanneer deze transparantie ontbreekt, is het niet wetmatig.” Eigenlijk zouden alle overheden dus per direct moeten stoppen met de Amerikaanse diensten.
Schrems Arrest II
Sinds het Schrems Arrest II in 2020 is het zogeheten Privacy Shield tussen de Verenigde Staten en Europa nietig verklaard door het Europese Hof van Justitie. Een organisatie die gegevens doorgeeft naar de VS, moet aanvullende waarborgen treffen. Gemeenten melden er op een aantal uitzonderingen na echter niets over in hun verwerkingsregisters.
Informatie ontbreekt
Volgens privacy-experts klopt er maar weinig van dat interactie via social media niet in verwerkingsregisters wordt genoemd. Overheden lijken niet te weten dat hier gegevens naar de VS worden verstuurd. Of ze doen alsof hun neus bloedt. “Je verstuurt berichten in het openbaar aan mensen op sociale media, maar zegt ook dat er geen ontvangers zijn van die gegevens buiten de gemeente, hoe werkt dat?”, vraagt Terra zich af. In het verwerkingenregisters waar wél activiteit via sociale media wordt gemeld, staat beschreven dat er geen internationale doorgifte plaatsvindt. Onterecht, vindt Terra. De platformen zijn immers allemaal bedrijven die in de Verenigde Staten zijn gevestigd en voor verwerkingen van data technische infrastructuur gebruiken die in de Verenigde Staten staat.
“Er is altijd sprake van een doorgifte wanneer er gebruik wordt gemaakt van technologie van een partij die fysiek in de VS is gevestigd en daar ook data verwerkt.”
Verwerkingsregisters
Overheden die webcare verlenen via Whatsapp, Twitter, Facebook of LinkedIn, online vergaderen en gesprekken voeren via Teams en Google Analytics inzetten om bezoekers te volgen op hun website, moeten dit melden in het verwerkingsregister, zo beaamt ook Peter Kager, directeur kwaliteit bij ICT Recht. Er is namelijk sprake van internationale doorgifte wanneer aanbieders van de technologie Amerikaans zijn. “Er is altijd sprake van een doorgifte wanneer er gebruik wordt gemaakt van technologie van een partij die fysiek in de VS is gevestigd en daar ook data verwerkt. Dat geldt ook bij doorgifte van gegevens die fysiek in Europa blijven, maar wel door organisaties in de Verenigde Staten kunnen worden ingezien.”
Verantwoordelijkheid dragen
Een organisatie die sociale media gebruikt kan – net als het sociale internetplatform zelf – worden gezien als de verwerkingsverantwoordelijke voor de gegevensverwerkingen die daarop plaatsvinden. “Een organisatie kan dus verantwoordelijk worden gehouden voor de zorgvuldige omgang met gegevens, maar het moet per geval worden bekeken. Enkele jaren geleden heeft het Europees Hof uitspraak gedaan met betrekking tot een Facebookpagina. Daar was de conclusie dat de beheerder, naast Facebook, ook zelf verantwoordelijk is voor de gegevens die verwerkt worden op de pagina.”
Wanneer betrokkenen niet goed geïnformeerd worden over gegevensverwerking, geldt dat een basisprincipe van de privacywetgeving wordt geschonden: het transparantiebeginsel. Kager: “Wanneer je niet alles uitlegt wat er met persoonsgegevens gebeurt, riskeer je een sanctie of kunnen betrokkenen zelf een schadeclaim indienen.”
Google Analytics
In totaal gebruiken minimaal twintig van de vijftig onderzochte gemeenten Google Analytics, zo blijkt uit de inventarisatie. Slechts twee gemeenten hebben hiervan een melding gemaakt in een openbaar verwerkingsregister. De Autoriteit Persoonsgegevens werd onlangs door Terra, die een tool ontwikkelde om websites te onderzoeken op aanwezigheid van cookies, op gewezen dat Google Analytics draaide op haar website. Er werd daarop razendsnel actie ondernomen. Nog dezelfde dag was de gehele website verwijderd.
“Het is belangrijk om duidelijk te hebben wie verantwoordelijk is voor de verwerkingen.”
De AP stelt in een reactie op de inventarisatie dat het gebruik van sociale media en andere software door overheidsorganisaties de aandacht heeft, “Onder meer waar het gaat om internationale doorgifte van persoonsgegevens.” Dat er zaken gaan veranderen omtrent gebruik van sociale media en andere platforms uit de VS, is duidelijk. De woordvoerder geeft aan dat er momenteel gewerkt wordt aan nieuwe richtlijnen voor het gebruik van sociale media door overheidsinstanties. Ook is er een onderzoek gestart naar het gebruik van clouddiensten door overheden.
AP: ‘Gevolgen zijn per geval verschillend’
De gevolgen van overheden die in hun verwerkingsregisters onvolledig zijn, verschillen volgens de AP per geval. “Het is belangrijk om duidelijk te hebben wie verantwoordelijk is voor de verwerkingen. Er kan ook sprake zijn van gezamenlijke verantwoordelijkheid. Ook moet het verwerkingsregister in orde zijn en continu worden bijgehouden.” Of er sprake is van internationale doorgifte hangt af van de manier hoe het platform gebruikt wordt. “Het is aan de verwerkingsverantwoordelijke om dit na te gaan.”
Volgens zowel Terra als Kager bestaat daarover weinig discussie: wie webcare levert via Facebook, Twitter, LinkedIn of Whatsapp geeft internationaal data door.
Het lijkt al met al erg moeilijk te worden om door te gaan met Amerikaanse diensten technologie, zo lang er geen nieuw akkoord is gesloten over een Privacy Shield tussen Europa en de VS. Wie niet voldoet aan de eisen rondom internationale doorgifte van persoonsgegevens, is namelijk overtreding van de AVG en moet doorgifte staken, meldt de AP aan AG Connect. “Dit geldt ook voor doorgifte van persoonsgegevens naar de VS. Bij overtreding van de AVG kan de AP handhaving nooit uitsluiten.” Voor doorgifte naar landen buiten de EU moeten organisaties volgens de AP gebruikmaken van ‘binding corporate rules’ of modelcontracten afsluiten en daarnaast aanvullende waarborgen leveren, zoals goede encryptie en pseudonimisering. Het lijkt onwaarschijnlijk dat dit haalbaar is. “In beperkte omstandigheden kan encryptie een effectief middel zijn. Maar meestal vraagt dat aanpassingen van de cloud-provider“, zegt Terra daarover.
Ongemakkelijke situatie
Maar hoe moet het nu verder? Burgers brengen grote delen van hun dag door op de platforms, die daardoor ideaal zijn voor overheidscommunicatie. Terra stelt dat het voor de overheid, het bedrijfsleven, maar ook de privacywaakhond zelf nu een ‘ongemakkelijke’ situatie is. Is de AP wel klaar voor de consequenties als straks ook na eigen onderzoek geconcludeerd wordt dat webcare via Amerikaanse platforms een vorm van internationale doorgifte is? “De AP moet als verwerkingsverantwoordelijke zelf ook aan de AVG voldoen, ook als de verschillende privacy-toezichthouders samen nog aan extra uitleg werken”, vindt Terra. Onlangs stopte DHL met webcare via Facebook en Twitter. Op vragen naar de achterliggende oorzaak van het stoppen met de webcare werd door het bedrijf niet gereageerd.
“De hoop is dat er binnen afzienbare tijd een nieuw verdrag wordt gesloten tussen Europa en de VS.”
De AP zal als toezichthouder op termijn meer duidelijk maken over nieuwe richtlijnen voor gebruik van sociale media door overheden. Kager verwacht dat organisaties in de toekomst vooraf moeten gaan toetsen op doorgifte naar de VS. In de praktijk denkt Kager dat ‘de soep door veel organisaties niet zo heet wordt gegeten.’ “De hoop is dat er binnen afzienbare tijd een nieuw verdrag wordt gesloten tussen Europa en de VS. Aan de hand daarvan mag de doorgifte weer plaatsvinden.” Dat de VS uiteindelijk weer een met Europa gelijkwaardig beschermingsniveau gaat bieden voor het verwerken van persoonsgegevens, is echter volgens Terra geen een-tweetje. “Meningen verschillen over de haalbaarheid van zo’n oplossing.”
De onderzochte overheden zijn verder zonder uitzondering onvolledig in hun verwerkingsregisters, zo blijkt uit de inventarisatie. Dat geldt ook voor de ‘voorbeeldorganisaties’ Autoriteit Consument en Markt en Rijksoverheid. Toch staan zij er vermoedelijk een stuk beter voor dan organisaties die géén verwerkingsregister hebben. In totaal hebben 15 gemeenten van de 50 gemeenten hun verwerkingsregister niet openbaar gemaakt, waarbij één gemeente momenteel zelfs nog niet over een verwerkingsregister beschikt. Er worden wel stappen gemaakt: uit eerder onderzoek van Open State Foundation in 2019 bleek dat destijds 80% geen openbaar verwerkingsregister heeft.
Alternatieven voor Amerikaanse platforms
De vraag is of overheden straks nog wel webcare kunnen leveren via Amerikaanse platforms. En hoe wordt er dan nog gecommuniceerd met burgers. Terra denkt dat stoppen een oplossing is wanneer er geen andere manier gevonden wordt. “Soms kan dat makkelijk, soms is dat zeer onwenselijk. Het is mogelijk om over te stappen op een ‘lokaal’ alternatief. Website-analytics kan je bijvoorbeeld in veel gevallen prima in eigen beheer uitvoeren via Matomo.
Bij diensten zonder een lokaal alternatief zul je zeer zorgvuldig in kaart moeten brengen wat er precies verwerkt wordt, wie waarvoor verantwoordelijk is en welke risico’s er zijn voor de betrokkenen. Vaak heeft dat tot gevolg dat de leverancier iets moet aanpassen in de dienstverlening. Sommige leveranciers zullen blij zijn met de feedback en voeren graag verbeteringen door zodat hun dienst in de hele EU gebruikt mag worden. Andere leveranciers zullen meer weerstand bieden”, besluit Terra.