Veel gemeentes en andere decentrale overheden zijn actief op social media zoals Facebook, LinkedIn en Instagram omdat dit als een moderne manier gezien wordt om de burger te bereiken en maatschappelijke participatie te stimuleren. Het Hof van Justitie van de EU heeft op 5 juni 2018 een belangrijk arrest gewezen over de verantwoordelijkheid van beheerders van een Facebookpagina met betrekking tot persoonsgegevens. Uit dit arrest blijkt dat zowel de beheerder van de Facebookpagina als Facebook zelf er voor moeten zorgen dat de persoonsgegevens die via de Facebookpagina worden verzameld volgens de Europese privacyregels worden verwerkt. Een decentrale overheid kan dus social media-activiteiten ontplooien, mits daarbij de regels van de AVG (Algemene Verordening Gegevensbescherming) in acht worden genomen.
Sinds 25 mei 2018 moeten ondernemingen en overheidsorganisaties voldoen aan de regels van de AVG wanneer zij persoonsgegevens verwerken. Dat betekent onder meer dat voor elke verwerking een grondslag aanwezig moet zijn, zoals bijvoorbeeld een overeenkomst, een wettelijke plicht of de toestemming van de betrokkene. De betrokkenen moeten daarnaast worden geïnformeerd over de wijze waarop de persoonsgegevens worden verwerkt. De meeste verplichtingen die gelden volgens de AVG liggen bij de verwerkingsverantwoordelijke. Dat is degene die het doel en de middelen van de verwerking bepaalt. Wanneer een decentrale overheid verwerkingsverantwoordelijke is, moet deze er dus voor zorgen dat de persoonsgegevens verwerkt worden volgens de AVG. Gebeurt dat niet, dan riskeert de organisatie een boete van de Autoriteit Persoonsgegevens (de AP).
Vaak is duidelijk dat de overheidsorganisatie de verwerkingsverantwoordelijke is, bijvoorbeeld wanneer de organisatie persoonsgegevens verwerkt omdat dit noodzakelijk is voor het uitvoeren van een publieke taak zoals bijvoorbeeld het uitgeven van identiteitskaarten. Als een gemeente de persoonsgegevens verwerkt van Facebookgebruikers die op haar pagina actief zijn, dan is die gemeente de verwerkingsverantwoordelijke en moet zij zich daarbij aan de regels van de AVG houden. Een organisatie kan echter ook verwerkingsverantwoordelijke zijn wanneer hij zelf geen toegang heeft tot persoonsgegevens die worden verwerkt.
In bovengenoemde zaak bij het hof boog zij zich over de vraag of de beheerder (i.c. de gemeente) van een Facebookpagina een ‘verwerkingsverantwoordelijke’ in de zin van de AVG is.
Daarbij werd eerst gekeken naar de positie van Facebook. Facebook biedt de beheerders van Facebookpagina’s de mogelijkheid om gebruikersstatistieken te bekijken. Deze gegevens worden voor zulke pagina’s standaard verzameld door Facebook door cookies te plaatsen op de computers van bezoekers. Daarbij wordt geen onderscheid gemaakt tussen bezoekers van de pagina’s met of zonder een eigen Facebook-account. Facebook zet de persoonsgegevens die het op de pagina verzamelt om in anonieme statistieken. De beheerder van de Facebookpagina kan zelf door middel van filters aangeven welke statistieken hij zou willen zien, maar krijgt zelf geen toegang tot de persoonsgegevens.
Het hof stelde in deze zaak vast dat Facebook een verwerkingsverantwoordelijke is. Facebook verzamelt immers persoonsgegevens om de statistieken, in dit geval, aan de gemeente aan te bieden en doet dit niet in opdracht van de gemeente. Facebook bepaalt dan ook het doel en de middelen van de verwerking. De gemeente die de Facebookpagina beheert, verwerkt de persoonsgegevens niet zelf en heeft ook geen inzage in de persoonsgegevens. Het hof vond echter dat de gemeente wel bijdroeg aan de vaststelling van het doel en de middelen van verwerking door Facebook. Dus ondanks het feit dat de gemeente zelf geen toegang had tot de persoonsgegevens die werden verzameld, werd zij door het hof toch samen met het bedrijf Facebook als de verwerkingsverantwoordelijke gezien. Er was namelijk sprake van een zekere mate van invloed op het vaststellen van het doel en de middelen waarop deze persoonsgegevens door Facebook werden verkregen en verwerkt.
Deze uitspraak van het hof maakt duidelijk dat een gemeente die een Facebookpagina beheert, samen met Facebook, verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens. Dit heeft twee belangrijke gevolgen namelijk:
- De gemeente dient als verwerkingsverantwoordelijke zorg te dragen dat de persoonsgegevens die via hun Facebookpagina worden verzameld, verwerkt worden volgens de regels van de AVG.
In de zaak bij het hof werd geoordeeld dat de gemeente niet transparant was richting de bezoekers van de pagina over haar rol bij het bepalen van het doel en de middelen van de verwerking. In dit geval had de gemeente de bezoekers van de pagina nader moet informeren over de verwerking.
- De relatie tussen de gemeente als beheerder van een Facebookpagina en Facebook dienen als gezamenlijke verwerkingsverantwoordelijken volgens de AVG te worden vastgelegd in een onderlinge regeling (artikel 26 AVG). Het is echter nog onduidelijk hoe Facebook het vastleggen van de onderlinge verplichtingen verder gaat vormgeven.
Facebook heeft zelf al aangegeven de nodige maatregelen te gaan nemen om ervoor te zorgen dat zowel Facebook zelf als de beheerders van Facebookpagina’s aan de regels van de AVG voldoen. Facebook werkt hiervoor onder andere zijn voorwaarden bij. Tot die tijd kan een decentrale overheid overwegen ook op haar Facebookpagina te verwijzen naar de privacyverklaring op de eigen website.
Meer weten? Neem gerust contact op met mr. Matthijs Hoekstra of mr. Gracia Dierikx.
