Privacy Alerts #10: Online speurwerk van gemeenten

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

Hoewel de tijd dringt, laat een regeling over de doorgifte van persoonsgegevens tussen de EU en het VK nog even op zich wachten. Verder in deze editie: een aanklacht tegen het Amerikaanse techbedrijf Clearview AI en het online volgen van burgers op social media door gemeenteambtenaren.

Clearview AI

Een aantal privacyorganisaties en Europese privacytoezichthouders hebben een zaak aangespannen tegen het Amerikaanse technologiebedrijf Clearview AI. Clearview AI is gespecialiseerd in gezichtsherkenning en beschikt over een database van drie miljard afbeeldingen van gezichten.

Een deel van de afbeeldingen uit de database bestaat uit foto’s van rijbewijzen en foto’s afkomstig uit databases van opsporingsautoriteiten. Het andere overgrote deel van de afbeeldingen bestaat uit foto’s die zonder toestemming van gebruikers van social media zijn verzameld.

Toegang tot deze data wordt voornamelijk verkocht aan opsporingsdiensten, maar ook andere geïnteresseerde partijen kunnen tegen betaling de afbeeldingen gebruiken. Met de software van Clearview kan bijvoorbeeld gezocht worden naar verdachten. Wanneer in de software een zoekopdracht wordt ingevoerd, verschijnen alle websites waarop het gezicht van deze persoon te vinden is. Zo maakte de FBI gebruik van de software om de relschoppers die het Capitool hebben bestormd te identificeren.

Clearview wordt door de privacyorganisaties en toezichthouders beschuldigd van het overtreden van privacyregels. Op grond van de AVG mogen organisaties in beginsel geen persoonsgegevens verwerken zonder dat daar toestemming voor is of een andere wettelijke grondslag kan worden aangevoerd. Zo schrijft Privacy International: ‘Het verzamelen van onze unieke gezichtskenmerken en ze zelfs delen met de politie en andere bedrijven gaat veel verder dan wat we als online gebruikers ooit zouden verwachten’.

Gemeenten op social media

Uit onderzoek van de NHL Stenden Hogeschool en de Rijksuniversiteit Groningen blijkt dat Nederlandse gemeenten op grote schaal meekijken met burgers op social media.

Een op de zes gemeenten maakte gebruik van nepaccounts om onder andere Facebookgroepen in de gaten te houden en mogelijk zicht te krijgen op rellen en demonstraties. Daarnaast worden social media ook gebruikt om te onderzoeken of vluchtverhalen van asielzoekers kloppen. Op platformen zoals Marktplaats zoeken gemeenten naar mogelijke bijverdiensten om bijstandsfraude op te sporen. Onderzoeksleider Bantema stelt hierover: ‘Sociale media zijn weliswaar openbaar, maar het is een misverstand te denken dat je alles mag doen met gegevens die je uit openbare bronnen haalt.’

Het is voor gemeenten verboden om met een nepaccount online onderzoek te doen naar burgers. Op grond van de artikelen 126g en 126j van het Wetboek van Strafvordering is dit een bevoegdheid die slechts in uitzonderlijke omstandigheden door politie en inlichtingendiensten mag worden ingezet.

Daarnaast is uit het onderzoek gebleken dat het privacybewustzijn bij gemeenten zeer laag is. Er wordt weinig gesproken over wat privacyrechtelijk wel of niet kan. Meer dan de helft van de ambtenaren weet niet welke protocollen er gelden. Ook heeft een derde van de gemeenten geen functionaris gegevensbescherming die betrokken is bij online-monitoring, ondanks dat dit wettelijk verplicht is.

Uit een vervolgonderzoek van de Volkskrant blijkt dat ondanks alle kritiek vanuit de media en privacyexperts, er toch een aantal gemeenten zijn die niet van plan zijn te stoppen met het speuren op social media. Deze gemeenten stellen dat de nepaccounts noodzakelijk zijn om de privacy van ambtenaren te waarborgen.

Doorgifte persoonsgegevens VK

Het Europese Parlement heeft vrijdag 21 mei gestemd over het adequaatheidsbesluit van de Europese Commissie met betrekking tot de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. In onze Privacy Alerts #7 zijn we nader ingegaan op de betekenis van het adequaatheidsbesluit voor de doorgifte van persoonsgegevens.

Hoewel het privacyrechtelijke raamwerk in het VK vrijwel hetzelfde is als in Europa, wilt het parlement eerst een aantal wijzigingen zien voordat de data weer vrij naar het VK kunnen. Het parlement geeft aan dat het besluit volledig in lijn dient te zijn met recente privacyrechtelijke jurisprudentie, waaronder de Schrems II zaak. Ook moet de Europese Commissie de zorgen van de EDPB meenemen in de aanpassingen. De EDPB wil het risico dat het VK in de toekomst data doorstuurt naar landen met een mindere mate van gegevensbescherming uitsluiten. Met name de doorgifte van inlichtingengegevens naar de VS is een reden tot zorg voor het Europese Parlement. Om dit in de toekomst te voorkomen wilt het parlement meer inzicht in afspraken met betrekking tot de gegevensdoorgifte die het VK heeft gemaakt met andere landen.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.