Amsterdam in de fout met gegevens hangjongeren

Privacywetgeving

Amsterdam bracht de Facebook-netwerken van jongeren in kaart. Dat was in strijd met de wet, zegt de privacy-toezichthouder.

Foto Stav&Alex

Amsterdam heeft in strijd met de privacywetgeving gehandeld door een Facebookanalyse van overlastgevende hangjongeren niet te melden bij de Autoriteit Persoonsgegevens (AP) en de betrokken jongeren niet te informeren.

Dat zegt de toezichthouder in reactie op onderzoek van NRC. Daaruit bleek dat Amsterdamse ambtenaren eind 2015 besloten netwerken van overlastgevende hangjongeren te „verkennen” via Facebook. Het stadsdeel was bang de „grip” op hen kwijt te raken, en dacht meer zicht op hen te kunnen krijgen door te kijken welke vriendennetwerken ze op Facebook hadden. Een ingeschakeld databedrijf vond 126 openbare vriendenlijsten van deze hangjongeren, waarop samen 64.540 mensen voorkwamen.

Na wegstrepen van iedereen met minder dan zes onderlinge verbindingen, bleven ruim twaalfhonderd mensen over. Van deze groep werden alle onderlinge verbindingen geanalyseerd. Ambtenaren leerden nu wat op straat voor hen onzichtbaar bleef: bijvoorbeeld dat de overlastgevers ook verbonden waren met hanggroepen buiten het stadsdeel, of dat bepaalde jongeren een andere rol leken te hebben binnen de groep dan buurtwerkers dachten.

Meldingsplichtig

De door NRC beschreven gang van zaken is volgens de AP meldingsplichtig: er zijn immers naar personen herleidbare gegevens verwerkt. Ook hadden de jongeren moeten worden ingelicht. In een reactie schrijft een Amsterdamse woordvoerder: „Wij zijn in gesprek met de Autoriteit Persoonsgegevens over de pilot en of er acties nodig zijn.”

De verwerking van persoonsgegevens moet worden gemeld zodat de AP kan controleren of organisaties verantwoord met persoonsgegevens omspringen. Overigens zijn er meer instellingen die dataverwerking niet hebben gemeld, aldus betrokkenen. Voor organisaties die veel met data werken is dat praktisch ondoenlijk.

De toezichthouder is wettelijk verplicht het register met deze meldingen voor „een ieder kosteloos” raadpleegbaar te maken. Dan kunnen niet alleen de toezichthouder, maar ook burgers zelf zien wat anderen met hun digitale persoonsgegevens doen.

Lees hier meer over hoe ambtenaren analyseren en voorspellen met data

Die laatste controle – van burgers zelf – is intussen praktisch onmogelijk geworden, blijkt uit deze casus. Het register waarmee de AP de meldingen openbaar maakt, is in mei 2017 offline gehaald wegens technische problemen. Volgens een woordvoerder overtreedt de AP daarmee niet de wet – het register zou wel degelijk raadpleegbaar zijn, namelijk door bij de AP in Den Haag langs te gaan of een toegespitst verzoek in te dienen. Maar de AP deed er zelf drie weken over om in het register op te zoeken of de Facebookanalyse was gemeld.

Vanaf 25 mei geldt een nieuwe Europese privacywet. Dan hoeven bedrijven en instellingen verwerking van persoonsgegevens niet meer te melden aan de toezichthouder, maar er dreigen wel miljoenenboetes als ze verkeerd met gegevens omspringen.

    • Liza van Lonkhuyzen
    • Derk Stokmans