Zoeken
  • Walter Coppé

Noorse gegevensbeschermingsautoriteit kiest ervoor Facebook niet te gebruiken

Wat zijn de privacyrisico's die verbonden zijn aan het communiceren via een Page op Facebook? En welke verantwoordelijkheid voor de verwerking van persoonsgegevens kunnen wij als eigenaar van een Pagina hebben? Wij hebben een risicobeoordeling en een DPIA van Facebook uitgevoerd, op basis van de verplichtingen die voortvloeien uit de regelgeving inzake gegevensbescherming.


Alle partijen die persoonsgegevens verwerken hebben de plicht om te zorgen voor naleving van de Algemene Verordening Gegevensbescherming (GDPR). De verplichtingen die de verordening oplegt, zijn van toepassing wanneer een organisatie gebruik maakt van sociale media, bijvoorbeeld een pagina op Facebook.

Om ervoor te zorgen dat de privacy van in een oplossing geregistreerde gebruikers wordt beschermd, is een Data Protection Impact Assessment (DPIA) een belangrijk hulpmiddel. Het is dit instrument dat wij nu hebben gebruikt bij de beoordeling van Facebook, en dat heeft geresulteerd in een rapport.



Zal Facebook niet gebruiken in eigen communicatiewerk

- Het uitgangspunt voor onze beoordeling was het gebruik van Facebook in onze communicatieactiviteiten, en het doel was een Facebook-pagina op te richten. Het oorspronkelijke en voornaamste doel van het rapport was ons in staat te stellen een weloverwogen beslissing te nemen. Wij denken echter dat deze beoordeling ook van groot belang is voor veel andere bedrijven, zegt directeur-generaal van de Gegevensbeschermingsautoriteit Bjørn Erik Thon.

Onze conclusie was dat de gegevensbeschermingsautoriteit Facebook niet moet gebruiken in haar communicatieactiviteiten. Wij zijn van mening dat de risico's voor de rechten en vrijheden van de gebruikers in verband met de verwerking van persoonsgegevens via een pagina op Facebook te groot zijn. Wij zijn ook van mening dat de gegevensbeschermingsautoriteit artikel 26 inzake gezamenlijke zeggenschap niet voldoende naleeft, aangezien wij de standaardregeling tussen Facebook en ons ontoereikend vinden.

- Wij zijn van mening dat degenen die onze Facebook-pagina hebben bezocht, zouden verwachten dat wij zeggenschap hebben over wat er gebeurt als zij bijvoorbeeld op "vind ik leuk" klikken op onze pagina, of wat voor informatie er is geregistreerd door alleen maar onze pagina te bezoeken. Daar kunnen wij eenvoudigweg geen antwoord op geven, zegt Thon.

Uitdagende beoordelingen

- Voor zover wij weten, zijn wij de enige organisatie die een grondige beoordeling van Facebook Pages heeft uitgevoerd op basis van de verplichtingen van de GDPR. De beoordeling was uitdagend en veelomvattend, en leidde tot een breed scala aan moeilijke overwegingen met betrekking tot technologie, wetgeving en ethiek. Wij denken dat veel organisaties baat zouden hebben bij een DPIA-casestudy, zegt Bjørn Erik Thon, die benadrukt dat de beoordelingen alleen van toepassing zijn op het eigen gebruik van Facebook door de Gegevensbeschermingsautoriteit. Er zij op gewezen dat de gegevensbeschermingsautoriteit in dit verband geen commentaar geeft op de algemene wettigheid van het gebruik van Facebook-pagina's of sociale media in het algemeen door organisaties bij hun communicatieactiviteiten.

De Autoriteit voor gegevensbescherming heeft in deze beoordeling niet de rol van een toezichthoudende autoriteit of van een ombudsman, maar veeleer die van een voor de verwerking verantwoordelijke, met de verplichtingen die uit deze rol voortvloeien krachtens de GDPR. Wij hebben de beoordeling gebaseerd op de eigen richtsnoeren en checklist van de Autoriteit voor gegevensbescherming voor risicobeoordelingen en effectbeoordelingen op het gebied van gegevensbescherming (in het Noors).

De Noorse gegevensbeschermingsautoriteit heeft Facebook niet bij de risicobeoordeling betrokken. De reden hiervoor is dat wij niet het risico willen lopen onze rollen als toezichthouder en verantwoordelijke voor de verwerking van gegevens te vermengen. De risicobeoordeling is dus gebaseerd op dezelfde bronbasis en dezelfde voorwaarden als voor alle andere bedrijven die een pagina op het platform gebruiken of overwegen te maken.


Speciale verantwoordelijkheid voor overheidsinstanties

- Onze aanpak is slechts één manier om dit aan te pakken. Alle evaluaties en bijdragen op dit gebied zijn welkom, en de desbetreffende wetgeving laat veel ruimte voor flexibiliteit in termen van methode, uitvoering en middelen. Wij willen een discours over het gebruik van sociale media door overheidsinstanties tot stand brengen, zegt Bjørn Erik Thon.

Door gebruik te maken van de meest populaire tools die gratis beschikbaar zijn bij de grote technologiebedrijven, nodigen overheidsinstanties commerciële actoren uit om gegevens over Noorse burgers te verzamelen en te gebruiken. Tegelijkertijd wordt een afhankelijkheidsrelatie gecreëerd die moeilijk te doorbreken is omdat er weinig alternatieve dienstverleners zijn.



Overzicht van de verwerking

In de eerste plaats wordt een systematische beschrijving gegeven van de gegevensverwerking in verband met het hebben van een pagina op Facebook. Het doel is dat wij, als verantwoordelijke voor de verwerking, een volledig overzicht krijgen van de verwerking en dat de beschrijvingen zo volledig en zo duidelijk mogelijk zijn. Deze beschrijvingen omvatten de aard, de reikwijdte, het doel, de context, de bronnen en de ontvangers van de verwerking, alsmede een beoordeling van de informatiebeveiliging van de oplossing.

- Wij zijn van mening dat de risico's voor de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens via een Page op Facebook te groot zijn. Als eigenaar van een pagina zouden wij niet in staat zijn maatregelen te nemen om deze risico's op bevredigende wijze te beperken, aldus Anders Ballangrud. Hij is communicatieadviseur bij de Gegevensbeschermingsautoriteit en stond aan het hoofd van de interne evaluatie.

De werkgroep heeft ook geprobeerd de juridische aansprakelijkheid te verduidelijken. De rol en aansprakelijkheid in de sociale media is aan de orde gekomen in arresten van het Europees Hof van Justitie (EHJ). In twee arresten in het bijzonder, Wirtschaftsakademie en Fashion ID, wordt vastgesteld dat interactie tussen sociale media en andere partijen een gezamenlijke zeggenschap kan inhouden op grond van artikel 26 van de Algemene verordening gegevensbescherming.

- Ons oordeel is dat de gegevensbeschermingsautoriteit niet in overeenstemming zou zijn met artikel 26 inzake gezamenlijke zeggenschap. Wij zijn van mening dat de regeling van de gegevensbeschermingsautoriteit met Facebook inzake gezamenlijke zeggenschap onbevredigend is. Ook zal het voor de gegevensbeschermingsautoriteit niet mogelijk zijn om een aparte regeling met Facebook te treffen, aldus Ballangrud.

Noodzaak en proportionaliteit

De werkgroep beoordeelt vervolgens de noodzaak en proportionaliteit van de gegevensverwerking. Het doel is om ervoor te zorgen dat de keuzes die wij maken in onze hoedanigheid van verwerkingsverantwoordelijke legitiem zijn en zo worden uitgevoerd dat de verwerking in verhouding staat tot het doel. Wij beoordelen of de beginselen inzake gegevensbescherming (artikelen 5, 6 en 9), de rechten van de betrokkenen (artikel 12 - 22) en de vrijheden van de betrokkenen (preambule [4] en artikel 8 van het EVRM) worden beschermd.

- Ondanks het feit dat wij, als eigenaar van een pagina, de intentie zouden hebben om de rechtsgrondslag, de privacybeginselen en de rechten en vrijheden van de betrokkenen te beschermen, zijn wij door het aanmaken en gebruiken van een pagina op het platform overgeleverd aan Facebook en zijn voorwaarden. Wel worden in het verslag enkele maatregelen gepresenteerd die sommige risico's voor de gegevensbescherming voor de individuele gebruiker kunnen beperken, aldus Ballangrud.

Gegevensbescherming by design en by default zijn kernbeginselen in de wetgeving inzake gegevensbescherming. Deze beginselen moeten ook worden opgenomen in afspraken met aanbieders.

- Als databeheerder vinden wij niet dat Facebook voldoende garanties heeft gegeven dat deze tool of dit platform data protection by design en by default heeft, aldus Ballangrud.

Het perspectief van de betrokkene

Op basis van het in kaart brengen van de systematische beschrijving en onze beoordelingen van de noodzakelijkheid en evenredigheid, hebben we geconcludeerd dat de risico's voor de rechten en vrijheden van de betrokkene groot waren. Daarom hebben wij een gegevensbeschermingseffectbeoordeling uitgevoerd overeenkomstig artikel 35 van de GDPR.

- Dit is een proces waarbij we het perspectief omkeren en de verwerking bekijken vanuit het oogpunt van de betrokkene. We blijven ons richten op gegevensbescherming, maar houden ook rekening met medezeggenschap, transparantie en voorspelbaarheid van de verwerking vanuit het perspectief van de Facebook-gebruiker. We doen dit om te bepalen of de verwerking nog steeds kan worden uitgevoerd op een manier die aanvaardbaar is en vertrouwen wekt ten aanzien van degenen van wie we de persoonsgegevens verwerken, aldus Ballangrud.

De werkgroep heeft ook overlegd met de functionaris voor gegevensbescherming van de gegevensbeschermingsautoriteit, overeenkomstig artikel 35, lid 2, van de GDPR.

Conclusie

De werkgroep heeft haar beoordelingen voorgelegd aan het management, in overeenstemming met het verantwoordingsbeginsel van de verordening. Op basis van het verslag, dat de aanbevelingen van de werkgroep en de functionaris voor gegevensbescherming bevat, heeft de gegevensbeschermingsautoriteit besloten geen pagina op Facebook te creëren en via Facebook te communiceren.


(bron : datatilsynet.no)

0 keer bekeken0 reacties

Recente blogposts

Alles weergeven

Actieperiode -20%

Tot eind oktober biedt Wdcom360 u een mooie actie op iedere getekende opdracht. Website Vertaalwerk Copywriting Online marketing advies Privacy -en cookiebeleid voor je website Productfotografie Busin