DPIA op gebruik Facebook pagina’s door overheid: zeven hoge privacyrisico’s
In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van het gebruik van Facebook pagina’s door de overheid. Facebook is sinds januari 2022 omgedoopt in Meta Platform Inc. Meta heeft ook andere applicaties, zoals WhatsApp en Instagram, maar deze blog gaat alleen over Facebook pagina’s.
Facebook pagina’s
Iedereen met een Facebook account kan een pagina maken om informatie en nieuwtjes te delen. Ook bedrijven, overheidsorganisaties, bekende mensen en merken kunnen dat doen. Via een Facebook pagina kun je gegevens delen met vrienden, met vrienden van vrienden, of met een groter publiek. Als Facebook gebruikers een pagina leuk vinden of volgen, krijgen ze berichten van die paginahouder in hun nieuwsoverzicht. Facebook bepaalt de inhoud van dat nieuwsoverzicht met slimme algoritmes, niet alleen op basis van de voorkeuren en activiteiten van de gebruiker, maar ook op grond van activiteiten en waarderingen (vind ik leuks) van vrienden.
Onderzoek naar de gegevensverwerking
Privacy Company heeft technisch en juridisch onderzoek gedaan naar de persoonsgegevens die Facebook verwerkt als je een Facebook pagina van een overheidsorganisatie bezoekt. Dat onderzoek heet DPIA, Data Protection Impact Assessment. Op grond van de Algemene Verordening Persoonsgegevens (AVG) moeten organisaties zo’n onderzoek doen als ze vermoeden dat de verwerking leidt tot hoge privacyrisico’s voor mensen. Privacy Company heeft ook breder onderzoek gedaan naar de mensenrechtenimpact van het gebruik van Facebook pagina’s, in een HRIA, Human Rights Impact Assessment. Daarover is een tweede blog geschreven.
Voor het onderzoek is een nep-overheidspagina aangemaakt, van het (fictieve) ministerie van privacy. Met twee gloednieuwe Facebook accounts en 1 bestaand Facebook account (op naam van de onderzoekers) is die pagina gedurende een maand elke dag bezocht. Beide accounts klikten willekeurig op aanbevolen content. Het ene account kreeg opvallende anti-overheidsberichten. Dit wordt verder uitgewerkt in de HRIA. Alle onderzoekshandelingen zijn vastgelegd, het uitgaande dataverkeer naar de Facebook-servers is onderschept, en aan het eind zijn er drie inzageverzoeken ingediend voor de drie accounts.
Bevindingen
Juridisch vindt Facebook zichzelf een zelfstandige verantwoordelijke voor alle persoonsgegevens die ze verzamelt over bezoekers van een overheidspagina. Facebook vindt dat ze die gegevens voor eigen doelen mag verwerken. De DPIA beschrijft 15 hoofddoelen, inclusief profilering en het tonen van gepersonaliseerde informatie en advertenties. Facebook gebruikt volgcookies voor die personalisering, en verzamelt daarmee ook gegevens van bezoekers die géén Facebook account hebben. Facebook wil overheidsorganisaties geen overeenkomst aanbieden voor gezamenlijke verantwoordelijkheid voor die verwerkingen. Zo’n contract biedt Facebook alleen voor een heel klein onderdeeltje: het tonen van statistieken aan de paginahouder. Door het ontbreken van harde afspraken over de ijsberg aan onderliggende gegevensverwerkingen is sprake van zogenaamde derdenverstrekking: overheidsorganisaties moeten Facebook beschouwen als een willekeurig commercieel bedrijf waaraan ze alle persoonsgegevens van hun paginabezoekers verstrekken. Daarvoor hebben overheidsorganisaties geen enkele noodzaak. Omdat Facebook niet duidelijk informeert wat ze met de gegevens doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien, kunnen de bezoekers, voor zover Facebook dat al vraagt, ook geen geldige toestemming geven.
Technisch gebruikt Facebook volgcookies op een misleidende manier: Facebook doet alsof het datr- volgcookie een strikt noodzakelijk cookie is. Facebook verzamelt heel veel gegevens over het gedrag van de paginabezoekers, maar geeft geen inzage in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen.
Daarbovenop komen nog problemen met de doorgifte van persoonsgegevens naar de Verenigde Staten, een land zonder adequaat gegevensbeschermingsniveau. Uit de statistieken die Facebook publiceert over de aantallen bevragingen door opsporings- en inlichtingendiensten in de VS blijkt dat er een reëel risico is dat dit ook gegevens betreft van bezoekers aan Nederlandse Facebook pagina’s.
Uitkomst: 7 hoge, 1 laag privacyrisico
De DPIA concludeert dat er 7 hoge privacyrisico’s zijn, en 1 lage, als een overheidsorganisatie een Facebook pagina gebruikt om te communiceren met een massapubliek.
Reactie Meta
Meta is het niet eens met de bevindingen en de conclusies. Een samenvatting van de reactie van Meta, met de reactie daarop van Privacy Company, is als bijlage bij de DPIA gevoegd.
Conclusie en vervolgstappen
Deze DPIA concludeert dat overheidsorganisaties moeten stoppen met het gebruik van Facebook Pages als Facebook geen maatregelen neemt om de hoge risico's te verlagen. De Nederlandse overheid zal onmiddellijk een dialoog aangaan met Facebook.
Meer lezen
Wij publiceren deze blog over onze bevindingen met toestemming van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Voor vragen over het onderzoek kunt u contact opnemen met de perswoordvoering van het ministerie, Thomas van Oortmerssen 06 31 01 97 81.