Bijna alle Nederlandse gemeenten en andere overheidsinstanties gebruiken sociale media als dienstverleningskanaal. Maar moeten overheden voor hun dienstverlening wel gebruikmaken van commerciële bedrijven? Kunnen zij de privacy van burgers dan nog wel garanderen?

Even je gemeente appen over een kapotte lantaarnpaal of even snel via Facebook een vraag stellen over je Wmo-uitkering. Uit een rondgang van NU.nl langs de 355 Nederlandse gemeenten blijkt dat bijna alle gemeenten gebruikmaken van sociale media als Facebook en WhatsApp om vragen van hun inwoners te beantwoorden.

Jeroen van den Hoven, professor Ethiek en Technologie aan de Technische Universiteit Delft, waarschuwt dat dit een privacyrisico vormt. Privacygevoelige informatie kan zo niet alleen in het archief van de gemeente terechtkomen, maar ook op de servers van Facebook. "En dat is niet wenselijk."

NU.nl inventariseerde bij alle 355 Nederlandse gemeenten de gebruikte socialemediakanalen:

  • 122 gemeenten gebruiken WhatsApp.
  • Van de overige 233 gemeenten, hebben 229 een Facebook-pagina.
  • Maar vier gemeenten hebben geen officiële Facebook-pagina: Borger-Odoorn, Cuijk, Grave en Terschelling.

Wat is het risico?

Het concrete risico is heel moeilijk in te schatten, stelt Van den Hoven. "De communicatie wordt toegevoegd aan databases van Facebook. Dat bedrijf moet zich in Europa houden aan de Algemene verordening gegevensbescherming (AVG), de Europese privacywet. Maar of ze dat ook doen en ook blijven doen, moeten we ze op hun woord geloven. Want die data blijven in hun beheer." Van den Hoven vindt daarom dat overheden moeten nadenken over alternatieven manieren om te communiceren met burgers, waarbij "publieke waarden aantoonbaar geborgd zijn".

Gerrit-Jan Zwenne, professor en jurist op het gebied van privacy en gegevensbescherming nuanceert de risico's, omdat WhatsApp-berichten versleuteld worden. Dat houdt in dat alleen jij en de ontvanger de inhoud van dit bericht kunnen lezen. WhatsApps moederbedrijf Facebook kan deze berichten niet inzien, zo zegt het concern zelf.

"Als het gaat om de vertrouwelijkheid van het bericht, is dat bij WhatsApp redelijk goed geregeld", vertelt Zwenne. "Je gebruikt daarbij wel een communicatiemiddel van een bedrijf dat je niet heel goed kent. Maar dat is net zo bij e-mail, PostNL of sms; in alle gevallen vertrouw je op een extern bedrijf."

De berichten in Facebook Messenger worden op dit moment nog niet automatisch versleuteld. Gebruikers kunnen deze functie wel aanzetten, maar dat kan alleen als Messenger gebruikt wordt in de app.

Zo zet je encryptie aan bij Facebook Messenger

  • Maak een nieuw bericht aan.
  • Klik op 'geheim' rechtsboven in het scherm.
  • Kies de persoon die je een bericht wilt sturen.

De WhatsApp-communicatie van gemeenten moet volgens de Archiefwet ook intern bij de gemeente opgeslagen worden. Dat kan zowel in een cloud als in een intern systeem, vertelt Frank Bruijninckx, onlinemedia-adviseur bij verschillende gemeenten namens zijn bedrijf HowAboutYou. "Waar dat wordt opgeslagen, verschilt per gemeente." Als WhatsApp-communicatie naar een clouddienst zoals iCloud of Google Drive wordt geëxporteerd, vervalt de sterke versleuteling.

'Verstuur geen persoonsgegevens via socialemediakanalen'

De gemeente Amsterdam maakt gebruik van zowel WhatsApp als Facebook en houdt daarbij in de gaten dat burgers geen bijzondere persoonsgegevens via deze kanalen versturen, vertelt een woordvoerder.

"Een Amsterdammer die privacygevoelige vragen stelt of informatie deelt, verwijzen we naar een ander medium. Daarnaast vertellen we de burger dat hij beter geen privacygevoelige informatie kan delen via WhatsApp of andere bedrijven. We hebben deze werkwijze vastgelegd in onze WhatsAppiquette."

De gemeente benadrukt op de eigen contactpagina dat burgers via sociale media geen privacygevoelige informatie moeten versturen. Dat is niet wettelijk verplicht en wordt daarom door maar weinig gemeenten gedaan. Van de 122 gemeenten die WhatsApp gebruiken, waarschuwen er 36 om geen privacygevoelige informatie te versturen.

'Fijne manier van communiceren moet wel op verantwoorde manier gebeuren'

"Sociale media zijn voor veel gemeenten en burgers een fijne manier om te communiceren", vindt de Autoriteit Persoonsgegevens (AP), die toezicht houdt op de AVG. "Maar dit moet wel gebeuren op een verantwoorde manier." Daarom moeten gemeenten van de toezichthouder van tevoren onderzoek doen naar de privacyrisico's van socialemediagebruik.

De Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) heeft zo'n DPIA uitgevoerd, vertelt IBD-woordvoerder Remco Groet. Dit onderzoek brengt de risico's omtrent de privacyaspecten van WhatsApp-gebruik voor gemeentelijke dienstverlening in beeld.

Daar kwam uit dat het risico bij het gebruik van WhatsApp als aanvullend communicatiekanaal heel klein is. "Het is wel zo dat WhatsApp toegang heeft tot de contacten op de telefoon. Maar als WhatsApp als aanvullend kanaal wordt gebruikt, worden mensen niet gedwongen om het te installeren", aldus Groet.

'Niemand downloadt WhatsApp alleen om de gemeente een bericht te sturen'

"Als je je contactenlijst aan Facebook geeft, dan geef je daar eigenlijk een stukje privacy mee op", vertelt Groet. "Maar als je dat niet wil, dan zijn er nog genoeg andere manieren om met je gemeente in contact te komen, zoals bellen of mailen. Omdat de burgers die in contact willen komen met hun gemeente daar niet per se WhatsApp voor hoeven gebruiken, zien wij het privacyrisico als beperkt."

De VNG heeft geen apart onderzoek naar Facebook Messenger gedaan, maar benadrukt dat burgers geen privacygevoelige dossiers moeten versturen via kanalen die niet versleuteld zijn.