Project X, een onschuldig verjaardagsfeestje van een meisje uit Haren, dat begon met een uitnodiging op Facebook, groeide in 2012 uit tot een bijeenkomst van duizenden jongeren, met alle gevolgen van dien. De burgemeester van Haren zal destijds wel gedacht hebben, hoe heeft dit zo uit de hand kunnen lopen? Social media speelt al lange tijd een faciliterende rol in het organiseren van groepsbijeenkomsten die een bedreiging kunnen vormen voor de openbare orde en veiligheid. Tegenwoordig kijken Nederlandse gemeenten daarom op grote schaal mee met burgers online. Uit onderzoek van de NHL Stenden Hogeschool en de Rijksuniversiteit Groningen, in opdracht van onderzoeksprogramma Politie en Wetenschap, blijkt dat bij veel Nederlandse gemeenten onduidelijkheid bestaat over wat wel en niet mag op het gebied van online monitoring.
Het is gebruikelijk dat de gemeente informatie over mogelijke verstoringen van de openbare orde ontvangt van de politie, het Openbaar Ministerie en eigen personeel, zoals bijzondere opsporingsambtenaren. Daarnaast blijkt uit het onderzoek dat gemeenten steeds meer informatie halen uit openbare bronnen, zoals Twitter of Facebook. De grootste misvatting bij de gemeenten is dat informatie uit openbare bronnen, zonder restricties kan worden gebruikt vanwege het openbare karakter. Gemeentebesturen hebben dus ook bij het gebruik van gegevens uit openbare bronnen de verplichting na te gaan of de Algemene verordening gegevensbescherming (AVG) van toepassing is. In enkele gevallen kan ook de politie betrokken zijn bij gegevensverwerking ter handhaving van de openbare orde. In dat geval dient rekening te worden gehouden met de Wet politiegegevens. Echter in de meeste situaties zal de politie niet betrokken zijn bij online monitoring door gemeenten en is de AVG dus gewoon van toepassing.
Online monitoring is mogelijk indien het noodzakelijk is voor de vervulling van een taak in het kader van de uitoefening van openbaar gezag. Denk bijvoorbeeld aan handhaving van de openbare orde of handhaving op het gebied van sociale zekerheid. Monitoring moet aan de gebruikelijke eisen rondom proportionaliteit en subsidiariteit voldoen. Dat houdt in dat online monitoring in verhouding dient te staan met de inbreuk die op privacy wordt gemaakt. Hierbij speelt de ernst van het ‘delict’ een rol en dienen er zo min mogelijk persoonsgegevens te worden verwerkt. Daarnaast mag online monitoring enkel worden ingezet als een eventueel minder zwaar middel niet tot voldoende resultaat heeft geleid of zal kunnen leiden.
In de praktijk zal het dus altijd een belangenafweging zijn tussen de belangen van de gemeente en het privacybelang van de betrokkene. De Autoriteit Persoonsgegevens oordeelde bijvoorbeeld dat een analyse van probleemjeugd in Amsterdam aan de hand van hun profielen of sociale media niet in verhouding staat met de inbreuk op de privacy van deze jongeren. Preventief internetonderzoek naar iemand die een aanvraag voor een uitkering heeft gedaan of bijstandsfraude opsporen door op Marktplaats naar bijverdiensten van personen te zoeken is ook niet toegestaan. Ook het controleren van vluchtverhalen van asielzoekers aan de hand van tijdlijnen op bijvoorbeeld Facebook of Instagram is aan strenge wettelijke regels verbonden.
Tevens is het belangrijk dat gemeenten het doel van online monitoring nauwkeurig omschrijven en daar transparant over zijn. Het werken met nepaccounts is daarom uit den boze, want dat doet immers af aan de transparantie.
Om online monitoring in goede banen te leiden komt een belangrijke rol toe aan de Functionaris Gegevensbescherming (FG). Gemeenten zijn verplicht een FG aan te stellen, en deze heeft binnen de organisatie een onafhankelijke positie. Maar met enkel het aanstellen van een FG bent u er nog niet, de FG dient actief betrokken te zijn bij online monitoring en toe te zien op de naleving van de AVG. Daarnaast is het verstandig om als gemeente een Data Protection Impact Assessment (DPIA) uit te laten voeren, aangezien online monitoring een hoog privacyrisico kan opleveren voor diegenen van wie persoonsgegevens worden verwerkt.
Om het gemeenten makkelijker te maken online monitoring binnen de kaders van de AVG uit te voeren werkt de overheid aan een Rijksbrede richtlijn/handreiking Monitoring. Uiteraard houden wij deze ontwikkelingen nauwlettend in de gaten en ondertussen staan wij uw organisatie graag bij met het uitvoeren van een DPIA of als FG op afstand.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.