Onze gemeente is al geruime tijd actief op social media. De gemeente ziet dit als een moderne manier om de burger te bereiken en maatschappelijke participatie te stimuleren. We hebben gehoord dat het EU-hof zich heeft uitgesproken over het beheer van Facebookpagina’s. Is deze uitspraak relevant voor gemeenten? En zo ja, wat zijn de gevolgen hiervan voor onze activiteiten op social media?
Antwoord in het kort
Het Hof van Justitie van de EU heeft zich in juni 2018 uitgesproken over de verantwoordelijkheid van beheerders van een Facebookpagina ten aanzien van persoonsgegevensbeheer. Uit het arrest blijkt dat zowel de beheerder van de Facebookpagina als Facebook zelf ervoor moet zorgen dat de persoonsgegevens die via de pagina worden verzameld volgens de Europese privacyregels worden verwerkt. Een decentrale overheid kan haar social media-activiteiten voortzetten, mits daarbij de regels van de AVG in acht worden genomen.
De Algemene verordening gegevensbescherming
Sinds 25 mei 2018 moeten decentrale overheidsorganisaties voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG) wanneer zij persoonsgegevens verwerken. Dit houdt onder meer in dat zij voor elke verwerking een grondslag moeten hebben. Het verrichten van de verwerking kan bijvoorbeeld noodzakelijk zijn om een wettelijke plicht uit te voeren, of er is toestemming gegeven door de betrokkene. Ook moeten betrokkenen worden geïnformeerd over het feit dat hun persoonsgegevens worden verwerkt. Over de verschillende verplichtingen kunt u op onze website meer lezen.
De meeste verplichtingen van de AVG liggen bij de verwerkingsverantwoordelijke. Dit is volgens artikel 4 lid 7 van de Verordening degene die het doel en de middelen van de verwerking bepaalt. Wanneer een decentrale overheid verwerkingsverantwoordelijke is, moet deze ervoor zorgen dat de persoonsgegevens verwerkt worden volgens de vereisten van de AVG. Is dit niet het geval, dan riskeert de organisatie een fikse boete.
Zonder toegang tot persoonsgegevens toch verwerkingsverantwoordelijke?
Overheidsorganisaties komen op verschillende manieren met persoonsgegevens in aanraking. Vaak is duidelijk dat de overheidsorganisatie daarbij de verwerkingsverantwoordelijke is, bijvoorbeeld wanneer de organisatie persoonsgegevens verwerkt omdat dit noodzakelijk is voor het uitvoeren van een publieke taak. Denk bijvoorbeeld aan het verwerken van persoonsgegevens in het kader van het uitgeven van identiteitskaarten of het uitvoeren van jeugdzorg.
Ook wanneer een gemeente de persoonsgegevens verwerkt van Facebookgebruikers die op hun gemeentelijke pagina actief zijn, door bijvoorbeeld hun profielen te analyseren, is de decentrale overheid de verwerkingsverantwoordelijke en moet hij zich daarbij aan de regels van de AVG houden.
Een organisatie kan echter ook verwerkingsverantwoordelijke zijn wanneer hij zelf geen toegang heeft tot persoonsgegevens die worden verwerkt. Dit bleek uit de zaak C-210/16 ULD vs Wirtschaftsakademie van juni 2018. Het Europese Hof van Justitie boog zich hier over de vraag of de beheerder van een Facebookpagina een ‘verwerkingsverantwoordelijke’ in de zin van de AVG is. Voor decentrale overheden die een Facebookpagina beheren, heeft de uitspraak enkele gevolgen.
Om welke persoonsgegevens gaat het?
Facebook biedt de beheerders van Facebookpagina’s de mogelijkheid om gebruikersstatistieken te bekijken. Deze gegevens worden voor zulke pagina’s standaard verzameld door Facebook, middels cookies die op de computers van bezoekers worden geplaatst. Er wordt in dit geval geen onderscheid gemaakt tussen bezoekers van de pagina’s met of zonder een eigen Facebook-account. Facebook vormt de persoonsgegevens die het op de pagina verzamelt om naar anonieme statistieken. De beheerder van de Facebookpagina kan zelf door middel van filters aangeven welke statistieken hij zou willen zien, maar krijgt zelf geen toegang tot de persoonsgegevens.
Wie is de verwerkingsverantwoordelijke?
Voor het Hof stond vast dat het bedrijf Facebook een verwerkingsverantwoordelijke is. Deze verzamelt immers de persoonsgegevens om de statistieken aan de beheerders aan te bieden en doet dit niet in opdracht van de beheerder van de pagina. Facebook bepaalt het doel en de middelen van de verwerking. De gemeente die de Facebookpagina beheert, verwerkt de persoonsgegevens niet zelf en heeft ook geen inzage in de persoonsgegevens. Het Hof ziet echter verschillende manieren waarop een beheerder van de Facebookpagina wel bijdraagt aan de vaststelling van het doel en de middelen van verwerking door Facebook.
- De beheerder van de Facebookpagina geeft door het aanmaken van de pagina Facebook de mogelijkheid om persoonsgegevens te verzamelen.
- Daarnaast stelt de beheerder parameters op bij het aanmaken van de pagina, die invloed hebben op welke persoonsgegevens Facebook wel of niet verzamelt.
Hieruit blijkt dat, ondanks dat een beheerder van een Facebookpagina zelf geen toegang heeft tot de persoonsgegevens die worden verzameld, een decentrale overheid toch samen met het bedrijf Facebook de verwerkingsverantwoordelijke over deze persoonsgegevens kan zijn. Er is namelijk wel sprake van een zekere mate van invloed op het vaststellen van het doel en de middelen waarop deze persoonsgegevens door Facebook worden verkregen en verwerkt.
Wat betekent dit voor decentrale overheden?
Deze uitspraak maakt duidelijk dat een gemeente die een Facebookpagina beheert samen met Facebook verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens ten behoeve van de Facebookpagina. Dit heeft twee voorname gevolgen voor decentrale overheden die gebruikmaken van een Facebookpagina.
Transparantie
Ten eerste zijn overheidsorganisaties als verwerkingsverantwoordelijke in principe verplicht zorg te dragen dat de persoonsgegevens die via hun Facebookpagina worden verzameld, verwerkt worden volgens de regels van de AVG. Het Hof maakt hierbij wel een belangrijke kanttekening. Het erkent dat beide partijen in verschillende stadia en verschillende mate bij de verwerking betrokken zijn. Gezamenlijke verantwoordelijkheid betekent niet ook gelijke verantwoordelijkheid. Het niveau van verantwoordelijkheid voor een specifieke verwerking moet daarom worden beoordeeld in het licht van alle relevante omstandigheden van het specifieke geval.
In de zaak ULD vs Wirtschaftsakademie oordeelde het Hof dat de beheerder van de Facebookpagina niet transparant was richting de bezoekers van de pagina over zijn rol bij het bepalen van het doel en de middelen van de verwerking. In de praktijk betekent dit dat – naast Facebook zelf – ook een gemeente die een Facebookpagina beheert de bezoekers van de pagina moet informeren over de verwerking.
Facebook zelf heeft in een reactie op de uitspraak aangegeven de nodige maatregelen te nemen om ervoor te zorgen dat zowel Facebook zelf als de beheerders van Facebookpagina’s aan de regels van de AVG voldoen. Facebook werkt hiervoor onder andere zijn voorwaarden bij. Tot die tijd zou een decentrale overheid kunnen overwegen ook op haar Facebookpagina te verwijzen naar het gemeentelijke privacy statement op de eigen website.
Onderlinge regeling
Ten tweede heeft de uitspraak gevolgen voor de relatie tussen de decentrale overheid als beheerder van een Facebookpagina en Facebook zelf. Volgens de AVG dienen gezamenlijke verwerkingsverantwoordelijken hun verplichtingen vast te leggen in een onderlinge regeling (artikel 26). Net als vaak het geval is bij het afsluiten van verwerkersovereenkomsten met grote bedrijven als Facebook, zijn overheidsorganisaties in de praktijk grotendeels afhankelijk van het initiatief van Facebook om dit document aan te bieden. Het is nog onduidelijk hoe Facebook het vastleggen van de onderlinge verplichtingen verder gaat vormgeven.
Bron
C-210/16 ULD vs Wirtschaftsakademie, Europees Hof van Justitie
Meer informatie
Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Persoonsgegevens op internet, Autoriteit Persoonsgegevens
Kunnen decentrale overheden beboet worden voor een onvolledige privacyverklaring op de website? Kenniscentrum Europa decentraal
Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, Artikel 29-Werkgroep
AVG Deel III: Verwerker, Verwerkingsverantwoordelijke en verwerkersovereenkomst, Kenniscentrum Europa decentraal
