Onderzoek: Tweetverzamelaars niet transparant

Toezichthouders maken zich zorgen over gemeenten die burgers online monitoren om bijvoorbeeld ondermijning, fraude en extremisme op te sporen. Uit inzageverzoeken van AG Connect en Trouw wordt duidelijk dat door tools als OBI4wan en Coosto tweets van nagenoeg alle Nederlandse gebruikers van X (voorheen Twitter) worden verzameld voor overheden. Wie wil weten voor wie en waarom, krijgt echter nul op rekest. Daar komt binnenkort verandering in.

Wildgroei aan inlichtingenactiviteiten

Steeds vaker monitoren gemeenten op eigen houtje burgers online. Bijvoorbeeld om ondermijning, arbeidsuitbuiting, fraude met steungelden en uitkeringsfraude op te sporen. Deze wildgroei aan inlichtingenactiviteiten heeft inmiddels de aandacht getrokken van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), die in juni een expertbijeenkomst hield over het thema, waar diverse gemeenten bij aanwezig waren. De lokale afdelingen Openbare Orde en Veiligheid en clusters intelligence groeien sterk, schrijft één van de sprekers emeritus-hoogleraar Intelligence & Security Studies Bob de Graaff na die bijeenkomst in de Groene Amsterdammer. 

Twitteraars niet geïnformeerd

Deze groeiende online monitoring van gemeenten zorgt al langer voor juridische kopzorgen. In oktober 2022 werd na onderzoek van AG Connect en Trouw duidelijk dat overheden, waaronder gemeenten, op grote schaal tweets verzamelen zonder twitteraars daarover te informeren. Een glasharde overtreding van de wet, gaven diverse vooraanstaande privacyexperts aan. Het kabinet startte naar aanleiding van de kritiek een privacyonderzoek, om te bepalen of dit inderdaad het geval is.

Recht op inzage

Elke burger heeft dankzij de AVG recht op inzage in verzamelde gegevens. Wie wil weten welke  overheden en overheidsorganisaties er tweets hebben verzameld, hoeft alleen maar in de pen te klimmen om zijn recht op inzage op te eisen. AG Connect, Binnenlands Bestuur en iBestuur dienden de afgelopen maanden daarom inzageverzoeken in bij Nederlandse overheden en de onder de overheid populaire sociale media-monitoringbedrijven OBI4wan en Coosto, die tweets verzamelen en verwerken in opdracht van verschillende overheden. Soms volstaat een mail in combinatie met online identificatie of een brief. Bij anderen, zoals de NVWA, moet er een afspraak worden gemaakt bij het hoofdkantoor en worden de gegevens op papier overhandigd.

Inzage verkocht aan overheden

Uit verzoeken bij Coosto & OBI4wan, die samen een groot deel van de overheidsmarkt bestrijken, wordt al snel duidelijk dat nagenoeg alle tweets tot vele jaren geleden zijn verzameld door de bedrijven en dat inzage tot die tweets is verkocht aan onder meer overheden en banken. Ook enkele verwijderde tweets bleken verzameld en doorgegeven.

Nagenoeg alle tweets worden verzameld

Het onder de overheid populaire OBI4wan stuurde een bestand van zo’n 1200 tweets terug. Welke organisaties inzicht kregen in die tweets en waarom, werd niet medegedeeld. Concurrent Coosto stuurde na het verzoek een versleuteld bestand met zo’n achtduizend tweets terug, die vanaf 2014 zijn geplaatst. Twee organisaties kochten toegang tot deze tweets. Coosto gaf via een mailwisseling prijs dat de tweets zijn verzameld voor een Nederlandse gemeente en een bank. Daarna hield de transparantie op. Het bedrijf weigerde om mee te werken aan aanvullende vragen over de gegevensverwerking. 

Twitteraars in ‘een bakje’

OBI4wan wilde hun gebrek aan transparantie over de tweetsverzameling wél toelichten. ‘Je kan ervanuit gaan dat iedere Nederlandstalige twitteraar wel ergens in onze ‘bak’ zit’, vertellen CEO Alexander de Ruiter en CTO Alex Slatman. ‘Als je twittert over Nederlandse onderwerpen, zijn er waarschijnlijk tweets van je verzameld.’

'Voldoende geïnformeerd'

Volgens de Autoriteit Persoonsgegevens moeten twitteraars daar echter over geïnformeerd worden. Daarvan is OBI4wan zich bewust. ‘Omdat Twitter verbiedt om standaardberichten naar grote hoeveelheden mensen te sturen, is het technisch onmogelijk om ze van iedere verzamelde tweet te informeren. In de gebruikersvoorwaarden kun je er wel over lezen.’ OBI4wan vindt dat twitteraars daarmee voldoende geïnformeerd zijn, maar de meningen daarover lopen onder experts uiteen. Onder meer Floor Terra (Privacy Company) en Frederik Zuiderveen Borgesius hoogleraar ICT en privaatrecht, stelden dat het een overtreding is.  ‘OBI4wan heeft extern advies ingewonnen en is na het uitvoeren van een DPIA tot de conclusie gekomen dat de AVG hiermee niet wordt overtreden’, aldus de Ruiter.

Angst voor concurrentie

Net als Coosto wil OBI4wan niet aangeven welke klanten de verzamelde tweets van het inzageverzoek ingezien hebben. ‘Omdat dit afhankelijk is van de zoekopdracht van de klant. Al onze klanten zouden potentieel een tweet van je verzameld kunnen hebben’, lichten de Ruiter en Slatman toe. Wanneer een twitteraar wil weten welke partijen tweets hebben verzameld, moet het bedrijf de hele klantenlijst overhandigen. ‘En dat willen we niet, want dan zou een concurrerend bedrijf heel makkelijk ermee vandoor kunnen gaan. Want dan is het, plat gezegd, happy hunting.’ Navraag bij Autoriteit Persoonsgegevens leert echter dat een bedrijf niet mag weigeren om te vertellen aan betrokkenen wie gebruikmaken van de monitoring.

OBI4wan wordt transparanter

De Ruiter steekt daarop de hand in eigen boezem en stelt de benodigde technische aanpassingen door te voeren, om in het vervolg aan te kunnen voldoen aan de wens van de AP. ‘Wij moeten filters bouwen om inzichtelijk te maken, welke klanten een specifiek bericht hebben ontvangen. Het is duidelijk dat wij een overzicht van de ontvanger moeten aanleveren als hierom wordt verzocht.’ Voor twitteraars betekent dit dat zij binnenkort kunnen opvragen welke organisaties hun tweets inzien en waarom.

Digitaal klantcontact

OBI4wan wil graag uitleggen wat zijn klanten met het systeem doen. Een groot deel van de overheid en nagenoeg alle gemeenten monitoren sociale media. OBI4wan richt zich voornamelijk op de gemeenten. Zo’n 80% van alle gemeenten is er klant en heeft toegang tot de verzamelde tweets. De rest gebruikt zeer vermoedelijk vergelijkbare diensten zoals Coosto of Meltwater. Volgens Slatman en De Ruiter gebruikt het merendeel van de klanten hun product om digitaal klantcontact te onderhouden. ‘Om bijvoorbeeld een één op één gesprek te voeren met de klantenservice.’

Eigen verantwoordelijkheid gemeenten

Wat overheidsklanten ook vaak doen, is rapporten maken om te zien hoe er op sociale media wordt gesproken over de organisatie. ‘Dat kan bij gemeenten over het gemeentehuis gaan, maar ook een bepaald bos of park. De zoekopdracht die de gemeente daarbij maakt, is hun eigen verantwoordelijkheid. Daar moet wel een gerechtvaardigd belang voor zijn.’

Vooraf doeleinde bekendmaken

OBI4wan betaalt voor het verzamelen van alle tweets een vergoeding aan X, wat vroeger Twitter heette. Elke klant moet bovendien vooraf het doeleinde van de verzameling bekendmaken. Het bedrijf ‘giet’, afhankelijk van de zoektermen, tweets in het softwaresysteem waarmee alle berichtgeving en reacties efficiënt in beeld worden gebracht.

Geen permanente controles

Het is volgens OBI4wan vanwege contractuele afspraken echter niet mogelijk om klanten permanent in de gaten houden om te controleren of zij zich aan de afspraken houden. OBI4wan voert alleen steekproefsgewijs controles uit op de gebruikte zoektermen in het systeem. Tot nu toe werd één gemeente door OBI4wan teruggefloten vanwege verkeerd gebruik van het systeem. De zoektermen en analyses werden verwijderd en OBI4wan gaf gemeente daarna een waarschuwing. Alle gemeenten zijn per brief daarna door OBI4wan nogmaals herinnerd aan de regels.

Niet zonder risico

Het gebruikt van systemen als OBI4wan en Coosto zal in de meeste gevallen voor ‘onschuldig’ klantcontact zijn, maar sociale monitoring is niet zonder risico. Burgerrechtenorganisatie Bits of Freedom nomineerde Coosto eerder voor een Big Brother Award omdat het onder meer X (Twitter) en andere sociale media inzichtelijk maakte voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Ministerie van Justitie en Veiligheid en de Nederlandse politie.

AP: Informeer betrokkenen

Een bedrijf dat tweets verzamelt voor monitoring van sociale media mag volgens de woordvoerder van de AP niet weigeren om een betrokken persoon weigeren te vertellen wie gebruik maken van de dienst. ‘Bedrijven moeten de betrokkenen laten weten dat ze gebruikmaken van deze monitoring.’

Privacyonderzoek loopt

Naast meer transparantie over de partijen die burgers monitoren op sociale media, gaat er op korte termijn mogelijk nog meer veranderen. In antwoord op eerdere Kamervragen die gesteld werden na het eerdere onderzoek van Trouw en AG Connect, gaf demissionair staatssecretaris Alexandra van Huffelen aan dat er privacyonderzoek wordt gehouden om te bekijken in hoeverre lokale overheden zich aan de AVG houden. Daaruit moet blijken of de verwerking van persoonsgegevens bij het monitoren van sociale media voldoen aan de privacywet.

Dit artikel verscheen eerder op AG Connect.