Privacy in verkiezingscampagnes; is jouw politieke kleur bekend?

11-03-2021

Martin Hemmer

Het verwerken van persoonsgegevens in het kader van verkiezingen is een onderwerp dat steeds belangrijker wordt. Steeds meer politieke partijen maken daarbij gebruik van microtargeting. Dit kan worden gedefinieerd als het verzamelen van persoonsgegevens van mensen en die vervolgens gebruiken om hen een op maat gemaakte boodschap te sturen, waarbij leden en potentiële kiezers zo gericht mogelijk worden bereikt. Verkiezingen en microtargeting zijn speciale aandachtsgebieden van de Autoriteit Persoonsgegeven (hierna: ‘AP’), zoals blijkt uit de Focus 2020-2023 van de AP. In het kader van de aankomende verkiezingen heeft de AP recentelijk een handleiding gepubliceerd met aandachtspunten bij het verwerken van persoonsgegevens in verkiezingscampagnes.

Coauteur: Jurriaan Dane

Lees in dit blog welke onderwerpen in de handleiding van de AP besproken worden en waar politieke partijen op het gebied van privacy op moeten letten. In welke gevallen is er sprake van persoonsgegevens waaruit politieke opvattingen blijken? En mag een politieke partij jou een politieke opvatting toeschrijven of de informatie die jij zelf op internet hebt gezet gebruiken om jou een politieke boodschap te sturen?

Persoonsgegevens waaruit politieke opvattingen blijken, worden op grond van art. 9 lid 1 Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) aangemerkt als bijzondere persoonsgegevens, waardoor het in principe verboden is om deze persoonsgegevens te verwerken. Het verwerkingsverbod geldt niet indien er een wettelijke uitzondering kan worden ingeroepen.

Wanneer is sprake van persoonsgegevens waaruit politieke opvattingen blijken?

De hamvraag is wanneer sprake is van persoonsgegevens waaruit politieke opvattingen blijken. Als iemand het logo van een politieke partij in zijn twitterprofiel heeft staan is dat evident. Als iemand op basis van internetgedrag de volgende combinatie van eigenschappen heeft: hoogopgeleid, fan van de EU en veganist; dan is de kans klein dat deze persoon PVV zal stemmen. Maar is ook dan reeds sprake van persoonsgegevens waaruit politieke opvattingen blijken? Valt een politieke opvatting samen met een keuze voor een partij of is het voldoende als op basis van een internetprofiel iemand met een behoorlijke mate van waarschijnlijkheid in het bakje conservatief of progressief valt?

In de handleiding waarschuwt de AP voor het ‘toeschrijven van een politieke opvatting’ aan mensen. Onduidelijk blijft echter wanneer een inschatting van potentiële interesse om op een partij te stemmen verwerking van een persoonsgegeven of een profiel met politieke opvattingen vormt.

In dat kader wordt door de European Data Protection Board (hierna: ‘EDPB’) in de Guidelines on the targeting of social media users van de European Data Protection Board aangegeven dat aannames/veronderstellingen of gevolgtrekkingen met betrekking tot bijzondere persoonsgegevens ook kunnen kwalificeren als bijzondere persoonsgegevens. Hierbij noemt de EDPB als voorbeeld dat een persoon waarschijnlijk op een bepaalde politieke partij zal stemmen na het bezoeken van een social mediapagina met liberale meningen. Profilering kan er namelijk voor zorgen dat bijzondere persoonsgegevens worden gecreëerd door gegevens af te leiden uit gegevens die op zichzelf niet kwalificeren als bijzondere persoonsgegevens. Wanneer deze gegevens bijvoorbeeld in combinatie met andere gegevens worden gebruikt, of vanwege de context waarin de gegevens worden verwerkt of de doeleinden waarvoor deze worden verwerkt, kan er toch sprake zijn van de verwerking van bijzondere persoonsgegevens.

De EDPB geeft het volgende voorbeeld. Een social media platform gebruikt de gegevens van het profiel van een (vrouwelijke) gebruiker, te weten haar leeftijd, interesses en adres en combineert deze met observed data over de door haar bezochte websites en haar likes op het social media platform. Het social media platform gebruikt deze gegevens vervolgens om te concluderen dat deze gebruiker een voorstander is van ‘linkse liberale politiek’ en plaatst haar in de targeting category ‘geïnteresseerd in linkse liberale politiek’. Deze targeting category wordt door het social media platform beschikbaar gesteld voor targeters voor targeted advertising.

In bovenstaand voorbeeld wordt zowel het aanbieden als het gebruik van de targeting category ‘geïnteresseerd in linkse liberale politiek’ aangemerkt als het verwerken van bijzondere persoonsgegevens, aangezien deze groep makkelijk kan worden gebruikt als proxy om personen te targeten die linkse liberale overtuigingen hebben. Door het toekennen van een afgeleide politieke mening aan een gebruiker, verwerkt het social media platform bijzondere persoonsgegevens. Hierbij is het voor de toepassing van artikel 9 lid 1 AVG irrelevant:

  • of de gebruiker daadwerkelijk een voorstander is van links-liberale politiek; en
  • dat de targeting category wordt aangeduid als ‘geïnteresseerd in’ en bijvoorbeeld niet ‘aanhanger van’.

Het gaat er namelijk om dat de gebruiker op basis van afgeleide politieke voorkeuren wordt getarget.

Noodzaak

Door de AP wordt in de handleiding aangegeven dat het van belang is om vast te stellen of het noodzakelijk is om persoonsgegevens te verwerken voor de voorgestelde campagneactiviteit of dat een minder ingrijpende methode van campagne voeren ook mogelijk is.

Leden of niet-leden?

Op grond van de Algemene Verordening Gegevensbescherming bestaat er een verschil tussen het benaderen van bestaande leden van een politieke partij en het benaderen van potentiële kiezers.

In het geval van bestaande leden, is het voor een politieke partij mogelijk om zich te beroepen op de uitzonderingsgrond van art. 9 lid 2 sub d AVG. De AP geeft aan dat een politieke partij bestaande leden uiteraard mag informeren over de verkiezingen, om zodoende communicatie aan hen mogelijk te maken.

Wanneer het niet-leden betreft, kan echter geen beroep worden gedaan op art. 9 lid 2 sub d AVG. In dat geval dient er voor de verwerking van persoonsgegevens waaruit politieke opvattingen blijken een andere geldige wettelijke uitzondering te worden ingeroepen. De AP noemt in dat kader als voorbeeld de uitdrukkelijke toestemming van de betreffende mensen.

Welke rol: verwerkingsverantwoordelijke of verwerker?

De AP geeft aan dat het uitmaakt of de politieke partij de verkiezingscampagne zelf uitvoert of dat hiervoor een extern bedrijf wordt ingeschakeld. Wanneer een extern bedrijf de verkiezingscampagne uitvoert, dient te worden bepaald welke rol de politieke partij heeft bij de verwerking van persoonsgegevens. Hier zijn namelijk verschillende situaties denkbaar. Zo kan het bijvoorbeeld zo zijn dat de politieke partij kwalificeert als verwerkingsverantwoordelijke, en het externe bedrijf als verwerker. Het is echter ook mogelijk dat zowel de politieke partij als het externe bedrijf beide kwalificeren als verwerkingsverantwoordelijke.

De verhoudingen liggen juridisch gezien ingewikkelder wanneer het gaat om social media, dan in andere situaties waarin een organisatie de verwerking van persoonsgegevens uitbesteedt. Hierbij verwijst de AP naar voornoemde Guidelines van de EDPB.

In deze Guidelines geeft de EDPB het volgende voorbeeld van een (fictieve) politieke partij. Deze politieke partij wil gebruikers van social media aanmoedigen om te stemmen op een bepaalde kandidaat. Zij willen zich daarbij richten op ouderen die op het platteland wonen, die regelmatig naar de kerk gaan en die de afgelopen twee jaar niet naar het buitenland zijn gereisd.

In een dergelijke situatie is er sprake van gezamenlijke verantwoordelijkheid tussen het social media platform en de betreffende politieke partij, voor het matchen van het profiel en het tonen van de gerichte advertentie. De beoordeling of een Data Protection Impact Assessment (hierna: “DPIA”) vereist is, dient in dat geval door zowel de politieke partij als het social media platform te worden uitgevoerd.

Indien een DPIA noodzakelijk is, dient de regeling tussen de politieke partij en het social media platform antwoord te geven op de vraag hoe deze DPIA dient te worden uitgevoerd en hoe zij ervoor zorgen dat er relevante kennisuitwisseling plaatsvindt. De EPDB geeft hierbij als voorbeeld dat het zo kan zijn dat het social media platform beter in staat kan zijn om bepaalde verwerkingen te beoordelen, voor zover de betreffende politieke partij enkel algemene targetingcriteria selecteert.

Het voorbeeld uit de Guidelines van de EDPB doet voorts ook de vraag rijzen in welke gevallen er al dan niet sprake is van profilering. Indien dit voorbeeld wordt toegepast op Nederland, zal voornoemde combinatie van eigenschappen in bepaalde delen van het land (kunnen) leiden tot de conclusie dat de kans zeer groot is dat de betreffende gebruikers in dat gebied op bepaalde politieke partijen zullen stemmen. Dit is echter minder evident als bijvoorbeeld wordt gekeken naar hoogopgeleide jongeren die in de stad wonen. In dat geval wordt niet geselecteerd op basis van politieke opvattingen. Het is dan de vraag of er in een dergelijke situatie wel al sprake is van profilering.

Openbare informatie?

Door de AP wordt aangegeven dat informatie die mensen zelf op internet zetten, niet zomaar door een politieke partij kunnen worden gebruikt (door deze te ‘scrapen’ van internet of anderszins te verzamelen) om hen een politieke boodschap te sturen of op basis hiervan profielen te maken en een politieke opvatting aan hen toe te schrijven.

Ook in dat geval zal de politieke partij zich moeten houden aan de AVG, ook al zijn deze gegevens openbaar. Hierbij geldt ook dat het verwerken van deze persoonsgegevens (waaruit politieke opvattingen blijken), alleen is toegestaan wanneer er een beroep kan worden gedaan op een van de uitzonderingsgronden op het verwerkingsverbod van bijzondere persoonsgegevens.

Een van deze uitzonderingen is artikel 9 lid 2 sub e AVG. Op basis van dit artikel mogen bijzondere persoonsgegevens worden verwerkt als de verwerking ziet op persoonsgegevens die kennelijk door een persoon openbaar zijn gemaakt. Het dient hierbij duidelijk te zijn dat de persoon in kwestie kennelijk de intentie had om de gegevens openbaar te maken. Dit zou mogelijk het geval kunnen zijn indien een gebruiker op een social media platform op zijn (openbare) profiel expliciet heeft opgenomen dat hij lid is van Groenlinks.

In de Guidelines, noemt de EDPB het volgende voorbeeld waarin dat minder evident is. Een conservatieve gebruiker van een microblogging social media platform wordt lid van diverse conservatieve groepen, waarbij hij op de hoogte is van het feit dat de uitgewisselde berichten op het platform openbaar zijn. Ondanks de aard van het microblogging social media platform (dat is bedoeld om informatie te delen met het brede publiek) en het feit dat de gebruiker op de hoogte was van het openbare karakter van de berichten, kwalificeren deze gegevens niet als kennelijk openbaar gemaakt. Dus hoewel deze gebruiker zich heeft aangesloten bij conservatieve groepen, kan hij op basis hiervan niet worden getarget op basis van deze gegevens, omdat het social media platform een afgeleide politieke opvatting toeschrijft aan deze gebruiker, en het niet zijn specifieke bedoeling was om deze gegevens duidelijk openbaar te maken. Voor de beantwoording van de vraag of gegevens kennelijk openbaar zijn gemaakt dient er dus te worden gekeken naar de omstandigheden van elk specifiek geval.

Naleving van de AVG

De AP wijst verder op het informeren van het hele campagneteam evenals de personen op de kandidatenlijst. De personen op de kandidatenlijst kunnen namelijk zelfstandig, maar namens een politieke partij, campagneactiviteiten ontplooien, aldus de AP.

Ook benadrukt de AP om alleen in zee te gaan met bedrijven die genoeg garanties bieden dat zij aan de AVG voldoen. In dat verband is het van belang om vaststellen of het betreffende bedrijf op rechtmatige wijze datasets met persoonsgegevens heeft verzameld. Dit dient door het bedrijf te zijn gedocumenteerd.

Verder adviseert de AP politieke partijen het besluitvormingsproces en de afwegingen vastleggen, waarbij het kan helpen om een DPIA uit te voeren.


Meer artikelen van AKD

Van onze partners

Vergadersoftware: Beveiliging en Privacy

→ Lees meer

Privacy op de werkvloer

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer