In juni kondigden wij aan een blogreeks te publiceren over online monitoring door gemeenten. In deel 1 gingen wij in op de inzet van online monitoring binnen het openbare ordedomein. In deel 2a kwam de inzet van nepaccounts bij de opsporing van bijstandsfraude en in deel 2b binnen het openbare ordedomein aan bod. In dit laatste onderdeel focussen wij ons op een niet onbelangrijk deel: de privacyaspecten. Dit vormt alweer het laatste deel in de blogreeks over online monitoring.
Stappenplan voor gemeenten
Samengevat geven wij gemeenten mee het volgende stappenplan te doorlopen om na te gaan of de door haar uit te oefenen online monitoring de toets aan de privacy wet- en regelgeving kan doorstaan:
- Is er sprake van een ‘verwerking’ van een ‘persoonsgegeven’?
Zo nee: de AVG is niet van toepassing
Zo ja:
- De verwerking moet noodzakelijk zijn;
- De verwerking dient te voldoen aan de beginselen van proportionaliteit en subsidiariteit;
- Er gelden documentatievereisten.
- Voldoet de verwerking aan de beginselen van ‘doelbinding’ en ‘transparantie’?
- Bestaat er bij online monitoring een grondslag voor de gegevensverwerking?
- Vindt online monitoring ‘stelselmatig’ plaats?
Verder bevelen wij gemeenten aan om:
- Protocollen en beleid op te stellen en toezien op de naleving hiervan door een privacy officer of Functionaris Gegevensbescherming.
- Een DPIA uit te voeren, om te beoordelen of een verwerking toelaatbaar kan worden geacht (in sommige gevallen is dit zelfs verplicht).
Hieronder lichten wij deze stappen en aanbevelingen toe.
Stap 1: Is er bij online monitoring sprake van een ‘verwerking’ van ‘persoonsgegeven(s)’
Om onder het toepassingsbereik van de Algemene Verordening Gegevensbescherming (AVG) te vallen is allereerst relevant om te beoordelen of er sprake is van een verwerking van een persoonsgegeven. Indien hiervan sprake is, moet worden nagegaan of de verwerking voldoet aan de eisen die de AVG daaraan stelt.
Toepassingsbereik: persoonsgegeven en verwerking
In het onderzoek van de Thorbecke Academie over online monitoring wordt onderscheid gemaakt tussen openbare bronnen (zoals fora en openbare Facebook pagina’s) en afgeschermde bronnen (zoals privéaccounts en besloten whatsappgroepen). Door gemeenten worden nepaccounts ingezet om meer van de niet-openbare bronnen te kunnen inzien. Veel gemeenten veronderstellen daarbij in de gedachte dat er geen beperkingen gelden voor het inzien van openbare bronnen.
Die gedachtegang lijkt ons niet terecht. Online monitoring zal al snel vallen onder de reikwijdte van de AVG. De begrippen ‘persoonsgegeven’ (artikel 4, eerste lid, AVG) en ‘verwerking’ (artikel 4, tweede lid, AVG) kennen namelijk een ruime definitie.
- Persoonsgegeven: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Dit houdt in dat, zelfs indien iemands naam niet direct zichtbaar of vindbaar is, maar deze wel door een combinatie van andere gegevens toch wordt achterhaald, sprake is van een persoonsgegeven. Dit wordt ook wel ‘indirecte identificeerbaarheid’ genoemd.
- Verwerking: “een bewerking (…) met betrekking tot persoonsgegevens (…) zoals het verzamelen, vastleggen, ordenen, structuren, opslaan (…)”. Het verzamelen van tot personen herleidbare informatie op internet is daarmee al snel te beschouwen als verwerking van persoonsgegevens in de zin van de AVG (zie bijvoorbeeld ook ECLI:NL:RBNHO:2020:364). Zelfs bij het raadplegen van persoonsgegevens zonder die op te slaan – alleen inzien dus – is vaak al sprake van een verwerking.
Het gebruik van nepaccounts door de gemeente of het feit dat de informatie openbaar raadpleegbaar is, doet niet af aan het voorgaande. Enkel bij de verwerking van anonieme informatie (waarvan niet snel sprake is) zijn de vereisten uit de AVG niet van toepassing. Wij gaan er vanuit dat daarvan bij online monitoring geen sprake is, omdat gemeenten in dat kader juist vaak specifieke maatregelen wensen te treffen tegen betrokkenen waarvan bepaalde uitlatingen afkomstig zijn. De identiteit van die betrokkenen is daarbij relevant. Dit maakt dat de AVG eigenlijk altijd relevant is in het kader van online monitoring.
Stap 2: Is online monitoring doel gebonden en transparant?
De beginselen van verwerking (artikel 5 AVG) moeten bij elke verwerking in acht worden genomen. Voorbeelden van deze beginselen zijn:
- Doelbinding: gegevens mogen enkel met het oog op een uitdrukkelijk vastgesteld doel verzameld worden. Bij online monitoring is de vraag of het doel weloverwogen is bepaald en vastgelegd en, als al sprake is van het voorgaande, of men zich gedurende de monitoring wel houdt aan die vastgestelde doelen.
- Transparantie: betrokkenen moeten – behoudens strikte uitzonderingen – op de hoogte worden gesteld van de verwerkingen die worden uitgevoerd met hun persoonsgegevens. Wij betwijfelen of met de inzet van nepaccounts gesproken kan worden van een verwerking van persoonsgegevens die rechtmatig, behoorlijk en transparant is. Zo is het maar de vraag of een beroep kan worden gedaan op een passende grondslag en of betrokkenen in bepaalde mate geïnformeerd worden. In dat kader is relevant dat uit het onderzoek van de Thorbecke Academie volgt dat meer dan de helft van de gemeentelijke medewerkers (54%) geen protocol of beleid hanteert voor online monitoring.
Stap 3: Bestaat er bij online monitoring een grondslag voor de gegevensverwerking?
Een ander obstakel bij online monitoring is de grondslag voor de gegevensverwerking (artikel 6, eerste lid, AVG). Voor online monitoring door gemeenten in algemene zin bestaat geen grondslag in de wet. In sommige gevallen zou de verwerking mogelijk kunnen worden geschaard onder ‘noodzakelijkheid voor de vervulling van een taak van algemeen belang’ of van een ‘taak in het kader van de uitoefening van het openbaar gezag’ die op de gemeente rust (artikel 6, eerste lid onder e en derde lid, AVG). Om hier een beroep op te kunnen doen, moet die taak of uitoefening van gezag volgen uit de wet; in die wet moet de bevoegdheid tot verwerking op hoofdlijnen zijn vastgelegd. In elk geval moet het doel van de specifieke verwerking noodzakelijk zijn voor de vervulling van de publieke taak. In aanvulling hierop kan het zo zijn dat de relevante wetgeving, waaruit de taak volgt, nadere invulling geeft aan de algemene voorwaarden voor rechtmatige verwerking, bijvoorbeeld door:
- specificatie van het type persoonsgegevens, de betrokkenen en de entiteiten waaraan de persoonsgegevens mogen worden verstrekt,
- de doelbinding,
- de bewaartermijn en
- andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking.
Er kan worden gedacht aan artikel 53a Participatiewet of de artikelen 172 en 174 van de Gemeentewet als grondslag. Al kan daarbij ook de vraag worden gesteld of deze artikelen niet te breed en daarmee dus niet specifiek genoeg geformuleerd zijn. Een concreet antwoord zal in alle gevallen afhankelijk zijn van de relevante feiten en omstandigheden, wat maakt dat telkens opnieuw een afweging moet worden gemaakt door de gemeente. Het is aan te raden – en een sommige gevallen verplicht – om deze afweging te gieten in de vorm van een DPIA (‘Data Protection Impact Assessment’). Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de beoogde verwerking zou kunnen opleveren voor betrokkenen en welke maatregelen er mogelijkerwijs genomen kunnen worden om die risico’s af te dekken.
Stap 4: vindt online monitoring stelselmatig plaats?
Verder geldt dat de (stelselmatige) monitoring een beperking van artikel 10 Grondwet, artikel 8 Handvest en artikel 8 EVRM moet kunnen rechtvaardigen. Voor een beperking van deze bepalingen is een wettelijke grondslag vereist. Daarbij speelt de ernst van de inbreuk een rol. Bij niet-stelselmatige monitoring zouden de artikelen 53a Participatiewet of 172 Gemeentewet mogelijk een voldoende grondslag kunnen zijn.
Bij stelselmatige inbreuken dient er in een meer expliciete wettelijke grondslag te worden voorzien.
In het verlengde daarvan oordeelde de Rechtbank Den Haag op 5 februari 2020 dat het systeem SyRI, een wettelijk instrument dat de overheid gebruikt ter bestrijding van fraude op het gebied van uitkeringen, toeslagen en belastingen, in strijd is met artikel 8 EVRM (ECLI:NL:RBDHA:2020L865). Meer recent adviseerde de AP zelfs om de Wet gegevensverwerking door samenwerkingsverbanden (WGS), vanwege soortgelijke argumenten, niet aan te nemen (lees hierover ons blog). Dus zelfs als er een grondslag is voor de verwerking van de persoonsgegevens, dan is het maar de vraag of die de toets aan artikel 8 EVRM en artikel 10 Grondwet kan doorstaan.
Tot slot
Bij online monitoring zal al snel sprake zijn van de verwerking van persoonsgegevens. Ook het raadplegen en opslaan van tot een individu herleidbare bronnen is daarvan al sprake. In dat geval moet de AVG in acht worden genomen. Het zal in de praktijk niet altijd eenvoudig zijn om te kunnen voldoen aan de vereisten van de AVG. Als er een grondslag lijkt te bestaan, dient nog te worden bezien of die grondslag daarvoor de toets aan artikel 8 EVRM, artikel 8 Handvest en artikel 10 Grondwet kan doorstaan. Al met al is het goed dat gemeenten zich bewust zijn (of worden) van de risico’s van online monitoring.
Webinar online monitoring door gemeenten
Op donderdag 24 maart van 11.00 tot 12.00 uur gaan we hier verder op in tijdens dit webinar. Wij horen graag wat uw vragen en ervaringen zijn en tegen welke obstakels uw gemeente bij online monitoring aanloopt. Ook zullen wij hierover spreken met Paul Depla, burgemeester in Breda. Bent u als gemeentejurist werkzaam binnen het domein openbare orde en veiligheid? Of heeft u hier op een andere manier weleens mee te maken? Wij gaan op 24 maart graag met u in gesprek. Lees hier meer of meld u direct aan.
In juni kondigden wij aan een blogreeks te publiceren over online monitoring door gemeenten. In deel 1 gingen wij in op de inzet van online monitoring binnen het openbare ordedomein. In deel 2a kwam de inzet van nepaccounts bij de opsporing van bijstandsfraude en in deel 2b binnen het openbare ordedomein aan bod. In dit laatste onderdeel focussen wij ons op een niet onbelangrijk deel: de privacyaspecten. Dit vormt alweer het laatste deel in de blogreeks over online monitoring.
Stappenplan voor gemeenten
Samengevat geven wij gemeenten mee het volgende stappenplan te doorlopen om na te gaan of de door haar uit te oefenen online monitoring de toets aan de privacy wet- en regelgeving kan doorstaan:
- Is er sprake van een ‘verwerking’ van een ‘persoonsgegeven’?
Zo nee: de AVG is niet van toepassing
Zo ja:
- De verwerking moet noodzakelijk zijn;
- De verwerking dient te voldoen aan de beginselen van proportionaliteit en subsidiariteit;
- Er gelden documentatievereisten.
- Voldoet de verwerking aan de beginselen van ‘doelbinding’ en ‘transparantie’?
- Bestaat er bij online monitoring een grondslag voor de gegevensverwerking?
- Vindt online monitoring ‘stelselmatig’ plaats?
Verder bevelen wij gemeenten aan om:
- Protocollen en beleid op te stellen en toezien op de naleving hiervan door een privacy officer of Functionaris Gegevensbescherming.
- Een DPIA uit te voeren, om te beoordelen of een verwerking toelaatbaar kan worden geacht (in sommige gevallen is dit zelfs verplicht).
Hieronder lichten wij deze stappen en aanbevelingen toe.
Stap 1: Is er bij online monitoring sprake van een ‘verwerking’ van ‘persoonsgegeven(s)’
Om onder het toepassingsbereik van de Algemene Verordening Gegevensbescherming (AVG) te vallen is allereerst relevant om te beoordelen of er sprake is van een verwerking van een persoonsgegeven. Indien hiervan sprake is, moet worden nagegaan of de verwerking voldoet aan de eisen die de AVG daaraan stelt.
Toepassingsbereik: persoonsgegeven en verwerking
In het onderzoek van de Thorbecke Academie over online monitoring wordt onderscheid gemaakt tussen openbare bronnen (zoals fora en openbare Facebook pagina’s) en afgeschermde bronnen (zoals privéaccounts en besloten whatsappgroepen). Door gemeenten worden nepaccounts ingezet om meer van de niet-openbare bronnen te kunnen inzien. Veel gemeenten veronderstellen daarbij in de gedachte dat er geen beperkingen gelden voor het inzien van openbare bronnen.
Die gedachtegang lijkt ons niet terecht. Online monitoring zal al snel vallen onder de reikwijdte van de AVG. De begrippen ‘persoonsgegeven’ (artikel 4, eerste lid, AVG) en ‘verwerking’ (artikel 4, tweede lid, AVG) kennen namelijk een ruime definitie.
- Persoonsgegeven: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Dit houdt in dat, zelfs indien iemands naam niet direct zichtbaar of vindbaar is, maar deze wel door een combinatie van andere gegevens toch wordt achterhaald, sprake is van een persoonsgegeven. Dit wordt ook wel ‘indirecte identificeerbaarheid’ genoemd.
- Verwerking: “een bewerking (…) met betrekking tot persoonsgegevens (…) zoals het verzamelen, vastleggen, ordenen, structuren, opslaan (…)”. Het verzamelen van tot personen herleidbare informatie op internet is daarmee al snel te beschouwen als verwerking van persoonsgegevens in de zin van de AVG (zie bijvoorbeeld ook ECLI:NL:RBNHO:2020:364). Zelfs bij het raadplegen van persoonsgegevens zonder die op te slaan – alleen inzien dus – is vaak al sprake van een verwerking.
Het gebruik van nepaccounts door de gemeente of het feit dat de informatie openbaar raadpleegbaar is, doet niet af aan het voorgaande. Enkel bij de verwerking van anonieme informatie (waarvan niet snel sprake is) zijn de vereisten uit de AVG niet van toepassing. Wij gaan er vanuit dat daarvan bij online monitoring geen sprake is, omdat gemeenten in dat kader juist vaak specifieke maatregelen wensen te treffen tegen betrokkenen waarvan bepaalde uitlatingen afkomstig zijn. De identiteit van die betrokkenen is daarbij relevant. Dit maakt dat de AVG eigenlijk altijd relevant is in het kader van online monitoring.
Stap 2: Is online monitoring doel gebonden en transparant?
De beginselen van verwerking (artikel 5 AVG) moeten bij elke verwerking in acht worden genomen. Voorbeelden van deze beginselen zijn:
- Doelbinding: gegevens mogen enkel met het oog op een uitdrukkelijk vastgesteld doel verzameld worden. Bij online monitoring is de vraag of het doel weloverwogen is bepaald en vastgelegd en, als al sprake is van het voorgaande, of men zich gedurende de monitoring wel houdt aan die vastgestelde doelen.
- Transparantie: betrokkenen moeten – behoudens strikte uitzonderingen – op de hoogte worden gesteld van de verwerkingen die worden uitgevoerd met hun persoonsgegevens. Wij betwijfelen of met de inzet van nepaccounts gesproken kan worden van een verwerking van persoonsgegevens die rechtmatig, behoorlijk en transparant is. Zo is het maar de vraag of een beroep kan worden gedaan op een passende grondslag en of betrokkenen in bepaalde mate geïnformeerd worden. In dat kader is relevant dat uit het onderzoek van de Thorbecke Academie volgt dat meer dan de helft van de gemeentelijke medewerkers (54%) geen protocol of beleid hanteert voor online monitoring.
Stap 3: Bestaat er bij online monitoring een grondslag voor de gegevensverwerking?
Een ander obstakel bij online monitoring is de grondslag voor de gegevensverwerking (artikel 6, eerste lid, AVG). Voor online monitoring door gemeenten in algemene zin bestaat geen grondslag in de wet. In sommige gevallen zou de verwerking mogelijk kunnen worden geschaard onder ‘noodzakelijkheid voor de vervulling van een taak van algemeen belang’ of van een ‘taak in het kader van de uitoefening van het openbaar gezag’ die op de gemeente rust (artikel 6, eerste lid onder e en derde lid, AVG). Om hier een beroep op te kunnen doen, moet die taak of uitoefening van gezag volgen uit de wet; in die wet moet de bevoegdheid tot verwerking op hoofdlijnen zijn vastgelegd. In elk geval moet het doel van de specifieke verwerking noodzakelijk zijn voor de vervulling van de publieke taak. In aanvulling hierop kan het zo zijn dat de relevante wetgeving, waaruit de taak volgt, nadere invulling geeft aan de algemene voorwaarden voor rechtmatige verwerking, bijvoorbeeld door:
- specificatie van het type persoonsgegevens, de betrokkenen en de entiteiten waaraan de persoonsgegevens mogen worden verstrekt,
- de doelbinding,
- de bewaartermijn en
- andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking.
Er kan worden gedacht aan artikel 53a Participatiewet of de artikelen 172 en 174 van de Gemeentewet als grondslag. Al kan daarbij ook de vraag worden gesteld of deze artikelen niet te breed en daarmee dus niet specifiek genoeg geformuleerd zijn. Een concreet antwoord zal in alle gevallen afhankelijk zijn van de relevante feiten en omstandigheden, wat maakt dat telkens opnieuw een afweging moet worden gemaakt door de gemeente. Het is aan te raden – en een sommige gevallen verplicht – om deze afweging te gieten in de vorm van een DPIA (‘Data Protection Impact Assessment’). Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de beoogde verwerking zou kunnen opleveren voor betrokkenen en welke maatregelen er mogelijkerwijs genomen kunnen worden om die risico’s af te dekken.
Stap 4: vindt online monitoring stelselmatig plaats?
Verder geldt dat de (stelselmatige) monitoring een beperking van artikel 10 Grondwet, artikel 8 Handvest en artikel 8 EVRM moet kunnen rechtvaardigen. Voor een beperking van deze bepalingen is een wettelijke grondslag vereist. Daarbij speelt de ernst van de inbreuk een rol. Bij niet-stelselmatige monitoring zouden de artikelen 53a Participatiewet of 172 Gemeentewet mogelijk een voldoende grondslag kunnen zijn.
Bij stelselmatige inbreuken dient er in een meer expliciete wettelijke grondslag te worden voorzien.
In het verlengde daarvan oordeelde de Rechtbank Den Haag op 5 februari 2020 dat het systeem SyRI, een wettelijk instrument dat de overheid gebruikt ter bestrijding van fraude op het gebied van uitkeringen, toeslagen en belastingen, in strijd is met artikel 8 EVRM (ECLI:NL:RBDHA:2020L865). Meer recent adviseerde de AP zelfs om de Wet gegevensverwerking door samenwerkingsverbanden (WGS), vanwege soortgelijke argumenten, niet aan te nemen (lees hierover ons blog). Dus zelfs als er een grondslag is voor de verwerking van de persoonsgegevens, dan is het maar de vraag of die de toets aan artikel 8 EVRM en artikel 10 Grondwet kan doorstaan.
Tot slot
Bij online monitoring zal al snel sprake zijn van de verwerking van persoonsgegevens. Ook het raadplegen en opslaan van tot een individu herleidbare bronnen is daarvan al sprake. In dat geval moet de AVG in acht worden genomen. Het zal in de praktijk niet altijd eenvoudig zijn om te kunnen voldoen aan de vereisten van de AVG. Als er een grondslag lijkt te bestaan, dient nog te worden bezien of die grondslag daarvoor de toets aan artikel 8 EVRM, artikel 8 Handvest en artikel 10 Grondwet kan doorstaan. Al met al is het goed dat gemeenten zich bewust zijn (of worden) van de risico’s van online monitoring.
Webinar online monitoring door gemeenten
Op donderdag 24 maart van 11.00 tot 12.00 uur gaan we hier verder op in tijdens dit webinar. Wij horen graag wat uw vragen en ervaringen zijn en tegen welke obstakels uw gemeente bij online monitoring aanloopt. Ook zullen wij hierover spreken met Paul Depla, burgemeester in Breda. Bent u als gemeentejurist werkzaam binnen het domein openbare orde en veiligheid? Of heeft u hier op een andere manier weleens mee te maken? Wij gaan op 24 maart graag met u in gesprek. Lees hier meer of meld u direct aan.