Gemeenten hebben geen benul van data-doorgifte aan VS

Webcare verlenen via Twitter, een raadsvergadering bijwonen via Teams of een ­kapotte stoeptegel melden via WhatsApp: alle vijftig onderzochte lokale overheden geven – zonder dat ze het zelf in de gaten lijken te hebben – Amerikaanse tech­reuzen via een of meerdere kanalen persoonsgegevens door. De wet verplicht overheden en organisaties met meer dan 250 werknemers om hier transparant over te zijn. Dat geldt ook voor kleinere organisaties die aan blijvende of risicovolle gegevensverwerking doen. Toch wordt het vrijwel in alle ­gevallen nagelaten om burgers volledig
te informeren over deze datadoorgifte aan de VS.

In het verwerkingsregister moet controleerbaar zijn welke persoonsgegevens worden verwerkt, voor welk doel, en met wie die gegevens gedeeld kunnen worden. Ook hoort erin te staan wie verantwoordelijk is voor de beveiliging van de gegevens en hoe lang ze worden opgeslagen. Uit een inventarisatie van AG Connect, Binnenlands ­Bestuur en iBestuur onder vijftig ­gemeenten en drie ‘voorbeeld­organisaties’ – Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en Rijksoverheid – wordt duidelijk dat overheden niet goed in beeld hebben bij welke ­gegevensverwerking er sprake is van internationale doorgifte.

Webcare via ­techreuzen

In de registers missen met name de datadoorgiften van Amerikaanse techreuzen. Deze zijn inmiddels zo diepgeworteld in het dagelijks leven van de burger dat vrijwel alle Nederlandse overheden ze gebruiken voor webcare (Twitter, Facebook), het meten van bezoek (Google Analytics) en voor videovergaderingen (Microsoft Teams). Dit levert met de huidige regels rond datadoorgifte een ronduit ongemakkelijke situatie op. Floor Terra, adviseur bij Privacy Company, legt uit dat organisaties die Facebook-pagina’s bezitten, gezamenlijk verwerkingsverantwoordelijke zijn. Dit geldt ook voor LinkedIn, YouTube en Twitter.

Terra geeft een voorbeeld: ‘Zodra je met burgers communiceert, bijvoorbeeld via WhatsApp, dan upload je een adresboek. Deze communicatie wordt als metadata verwerkt en opgeslagen bij WhatsApp. Ook de inhoud van direct messages via ­Twitter wordt doorgegeven aan de ­Verenigde Staten.’

Organisaties moeten volgens de wet burgers informeren over wat er met die gegevens gebeurt. ‘Wanneer deze transparantie ontbreekt, is het niet wettig.’ Eigenlijk zouden alle overheden dus per direct moeten stoppen met de Amerikaanse diensten.

Informatie ontbreekt

Volgens privacy-experts klopt er maar weinig van dat interactie via ­sociale media niet in verwerkings­registers wordt genoemd. Overheden lijken niet te weten dat hier gegevens naar de VS worden verstuurd – of ze doen alsof hun neus bloedt. In verwerkingenregisters waar wél activiteit via sociale media wordt gemeld, staat dat er geen internationale doorgifte plaatsvindt. Onterecht, vindt Terra. De platformen zijn immers allemaal in de ­Verenigde Staten gevestigd en voor ­verwerking van data wordt ­technische ­infrastructuur gebruikt die in de Verenigde Staten staat.

Overheden die webcare verlenen via WhatsApp, Facebook, LinkedIn of Twitter, online vergaderen en gesprekken ­voeren via Teams en Google Analytics ­inzetten om bezoekers te volgen op hun website, moeten dit melden in het ­verwerkingsregister.

Dit beaamt ook Peter Kager, directeur kwaliteit bij ICT Recht. Er is namelijk sprake van internationale doorgifte wanneer aanbieders van de technologie Amerikaans zijn. ‘Er is altijd sprake van een doorgifte wanneer je technologie gebruikt van een partij die fysiek in de VS is gevestigd en daar ook data verwerkt. Dat geldt ook bij doorgifte van gegevens die fysiek in Europa blijven, maar wel door organisaties in de Verenigde Staten kunnen ­worden ­ingezien.’

Verantwoordelijk

Een organisatie die sociale media ­gebruikt, kan – net als het sociale ­internetplatform zelf – worden gezien als verantwoordelijk voor de gegevensverwerkingen die daarop plaatsvinden. Kager: ‘Een organisatie kan dus verantwoordelijk worden gehouden voor de zorgvuldige omgang met gegevens, maar het moet per geval worden bekeken. Enkele jaren geleden heeft het Europees Hof uitspraak gedaan met betrekking tot een Facebookpagina. Daar was de conclusie dat de beheerder, naast Facebook, ook zelf verantwoordelijk is voor de gegevens die verwerkt worden op de pagina.’

Als je betrokkenen niet goed informeert over gegevensverwerking, schend je een basisprincipe van de privacywetgeving: het transparantiebeginsel. Kager: ‘Wanneer je niet alles uitlegt wat er met persoonsgegevens gebeurt, riskeer je een sanctie of ­kunnen betrokkenen zelf een schade­claim indienen.’

Minimaal twintig van de vijftig onderzochte gemeenten gebruiken Google Analytics, blijkt uit de inventarisatie. Slechts twee gemeenten melden dit in een openbaar verwerkingsregister. Floor Terra heeft onlangs de Autoriteit Persoonsgegevens erop gewezen dat Google Analytics draaide op haar website. De AP nam daarop ­razendsnel actie: nog dezelfde dag was de ­gehele website verwijderd.

De AP stelt in een reactie dat ze momenteel werkt aan nieuwe richtlijnen voor het gebruik van sociale media door overheidsinstanties. Ook is er een onderzoek gestart naar het gebruik van clouddiensten door overheden. De gevolgen van overheden die in hun verwerkingsregisters onvolledig zijn, verschillen volgens de AP. ‘Het is belangrijk om duidelijk te hebben wie verantwoordelijk is voor de verwerkingen. Er kan ook sprake zijn van gezamenlijke verantwoordelijkheid. Ook moet het verwerkingsregister in orde zijn en continu worden bijgehouden.’

Of sprake is van internationale doorgifte hangt af van hoe het platform gebruikt wordt. Volgens zowel Terra als Kager ­bestaat daarover weinig discussie: wie webcare levert via Facebook, Twitter, ­LinkedIn of WhatsApp geeft internationaal data door.

In overtreding

Het lijkt al met al erg moeilijk te worden de technologie van Amerikaanse diensten te blijven gebruiken, zo lang er geen nieuw akkoord is gesloten over een Privacy Shield tussen Europa en de VS. Wie niet voldoet aan de eisen rondom internationale doorgifte van persoonsgegevens, is namelijk in overtreding van de AVG en moet doorgifte staken, meldt de AP aan AG Connect. ‘Dit geldt ook voor doorgifte van persoonsgegevens naar de VS. Bij overtreding van de AVG kan de AP handhaving nooit uitsluiten.’

Voor doorgifte naar landen buiten de EU moeten organisaties volgens de AP gebruikmaken van binding corporate rules of modelcontracten afsluiten en daarnaast aanvullende waarborgen leveren, zoals goede encryptie en pseudonimisering. Het lijkt onwaarschijnlijk dat dit haalbaar is. ‘In beperkte omstandigheden kan
encryptie een effectief middel zijn. Maar meestal vraagt dat aanpassingen van de cloud-provider’, zegt Terra daarover.

Maar hoe moet het nu verder? Burgers brengen grote delen van hun dag door op de socialmediaplatforms, die daardoor ideaal zijn voor overheidscommunicatie. Terra stelt dat het voor de overheid, het bedrijfsleven, maar ook voor de privacywaakhond zelf nu een ‘ongemakkelijke’ situatie is.

Is de AP wel klaar voor de consequenties als straks ook na eigen onderzoek geconcludeerd wordt dat webcare via Amerikaanse platforms een vorm van internationale doorgifte is? ‘De AP moet als verwerkingsverantwoordelijke zelf ook aan de AVG voldoen, ook als de verschillende privacy-toezichthouders samen nog aan extra uitleg werken’, vindt Terra. Onlangs stopte DHL met webcare via Facebook en Twitter. Op vragen naar de achterliggende oorzaak van het stoppen met webcare wilde het bedrijf niet reageren.

De AP zal als toezichthouder op termijn meer duidelijk maken over nieuwe richtlijnen voor gebruik van sociale media door overheden. Kager verwacht dat organisaties in de toekomst vooraf moeten gaan toetsen op doorgifte naar de VS. In de praktijk denkt Kager dat ‘de soep door veel organisaties niet zo heet wordt gegeten’. ‘De hoop is dat er binnen afzienbare tijd een nieuw verdrag wordt gesloten tussen Europa en de VS. Aan de hand daarvan mag de doorgifte weer plaatsvinden.’

Dat de VS uiteindelijk weer een met Europa gelijkwaardig beschermingsniveau gaat bieden voor het verwerken van persoonsgegevens, is echter volgens Terra geen gelopen race. ‘Meningen verschillen over de haalbaarheid van zo’n oplossing.’

Saillant detail

Uit het onderzoek van AG Connect, ­Binnenlands Bestuur en iBestuur komt verder een saillant detail naar voren: de AP heeft haar eigen verwerkingsregister ook niet volledig ingevuld. Wel geeft de AP aan dat ze webcare levert via onder meer Twitter, maar het vakje waarin beschreven wordt of er sprake is van doorgifte blijft leeg. De woordvoerder: ‘Wat betreft ons eigen verwerkings­register: de AP zal, in overleg met haar functionaris gegevensbescherming, naar aanleiding van deze vragen nogmaals kritisch kijken naar haar eigen register. En het mogelijk aanpassen, aan de hand van de EDPB-guidelines over sociale media door overheidsinstanties, die de EDPB op dit moment maakt.’

Terra meldt daarop dat ‘de AP bij gebruik van Twitter moet weten hoe de verantwoordelijkheden zijn verdeeld en of er ­internationale doorgifte plaatsvindt.’

De onderzochte overheden zijn verder zonder uitzondering onvolledig in hun verwerkingsregisters, zo blijkt uit de inventarisatie. Dat geldt ook voor de ‘voorbeeldorganisaties’ ACM en Rijksoverheid. Toch staan zij er vermoedelijk een stuk beter voor dan organisaties die géén verwerkingsregister hebben. In totaal hebben 15 van de 50 gemeenten hun verwerkingsregister niet openbaar gemaakt, waarbij één gemeente momenteel zelfs nog niet over een verwerkingsregister beschikt. Er worden wel stappen gemaakt: uit eerder onderzoek van Open State Foundation in 2019 bleek dat 80 procent geen openbaar verwerkingsregister heeft.

De vraag is of overheden straks nog wel webcare kunnen leveren via Amerikaanse platforms – en hoe dan nog wordt gecommuniceerd met burgers.

Terra denkt dat stoppen een oplossing is, wanneer er geen andere manier is. ‘Soms kan dat makkelijk, soms is dat zeer onwenselijk. Het is mogelijk om over te stappen op een lokaal alternatief. Bij diensten zonder een lokaal alternatief zul je zeer zorgvuldig in kaart moeten brengen wat er precies verwerkt wordt, wie waarvoor verantwoordelijk is en welke risico’s er zijn voor de betrokkenen. Vaak zal de leverancier dan iets moeten aanpassen in de dienstverlening. Sommige leveranciers zullen blij zijn met de feedback en voeren graag verbeteringen door zodat hun dienst in de hele EU gebruikt mag worden. Andere leveranciers zullen meer weerstand bieden’, besluit Terra.