Hey there, I am using WhatsApp…..
Bedrijven die gebruik maken van WhatsApp voor zakelijke toepassingen, overtreden de WBP.
Zodra een bedrijf de informatievoorziening naar de klanten juist inricht, met voldoende waarborgen, blijft de privacy inbreuk beperkt.
Toen WhatsApp in augustus 2016 voor het eerst in vier jaar het privacy beleid bijstelde, was iedereen verrast en blij. Immers, bij de overname door Facebook werd gesteld dat ‘de waarden van WhatsApp zouden worden gerespecteerd’ en dat als dat niet gebeurde, de overname niet doorgegaan zou zijn.
Afgelopen week hebben we gelezen dat de Kamer “verrast” was door de bekendmaking dat WhatsApp data gaat delen met Facebook. Niet voor Europese gebruikers, na druk vanuit de Europese toezichthouders. Ik weet uit de praktijk dat bedrijven WhatsApp inzetten omdat het handig is en omdat klanten erom vragen. Maar voor zakelijk gebruik moet een bedrijf wel toestemming hebben van WhatsApp en ik betwijfel of bedrijven dat ook gedaan hebben. Er wordt geëxperimenteerd volgens WhatsApp, met een aantal bedrijven, daarover zijn nog geen publicaties.
Met meer dan een miljard gebruikers, wereldwijd, is WhatsApp een populaire berichtendienst. Er zijn veel bedrijven die in hun communicatie met WhatsApp werken en ook de overheid doet al testen met WhatsApp.
WhatsApp verwerkt persoonsgegevens, dat is een feit. Je status, je profielfoto, je mobiele nummer en je berichten (bijlagen). De inhoud van de berichten en bijlagen worden versleuteld. Zodra een bericht is afgeleverd, wordt het verwijderd van de servers. Berichten die niet worden afgeleverd, blijven een maand bewaard en daarna verwijderd.
De persoonsgegevens die door WhatsApp worden verwerkt, is hier in Nederland de WBP van toepassing. Ondanks dat WhatsApp een in Amerika gevestigd bedrijf is, heeft het AP recht tot onderzoek afgedwongen. De Rechtbank in Den Haag heeft gesteld dat er een vertegenwoordiging van het bedrijf in Nederland dient te worden gevestigd.
Door de invoering van de versleuteling van de berichten is een groot deel van de beveiligingsissues opgelost. De overige punten blijven staan. Bedrijven die WhatsApp willen gebruiken voor zakelijke toepassingen, dienen de resterende risico’s meewegen, want zij is op dat moment ‘verantwoordelijk’ in termen van de wet. Omdat zij ‘gegevens verstrekt aan WhatsApp’ en daarover dus afspraken dient te maken. Zodra een klant het bedrijf zelf toevoegt, dan kiest de klant ervoor het middel te gebruiken en accepteert daarmee de algemene voorwaarden en daarmee alle gebruiksrecht op de (inhoud van) berichten.
Bij gebruik van WhatsApp voor bedrijfsdoeleinden kan natuurlijk overwogen worden om geen gevoelige persoonsinformatie te plaatsen. Dus geen gezondheidsmeldingen of financiële informatie over de klant of zelfs wachtwoorden. Het bedrijf kan ook haar klant daarop aanspreken. Transparantie is een van de meest belangrijke uitgangspunten van de regelgeving voor de privacy. Een bedrijf dat WhatsApp gaat gebruiken voor bedrijfsdoeleinden naar klanten, is verantwoordelijk voor de goede beveiliging. Als dat niet mogelijk is, (nee, tenzij….) tegen acceptabele kosten, dan zou men ervan moeten afzien.
WhatsApp maakt geen gebruik van het Privacy Shield, waar Facebook dat in beperkte mate wel doet. Het kan geen kwaad daar extra op te (blijven) wijzen. Ondanks dat de klant de voorwaarden heeft geaccepteerd en mag worden aangenomen dat de klant zich realiseert dat haar gegevens worden doorgegeven naar de Verenigde Staten.
Vanuit WhatsApp worden een aantal voorwaarden gesteld voor het gebruik ervan, zoals de belangrijkste: bedoeld voor persoonlijk gebruik. De inhoud van WhatsApp mag bijvoorbeeld niet zonder toestemming worden gekopieerd of een dienst aanbieden die gebruik maakt van WhatsApp. Doet men dat wel, zonder toestemming, dan maakt men inbreuk op het intellectueel eigendom (en de daarbij behorende voorwaarden) van WhatsApp. Ik vraag me af of de gebruikers daarvan (al) voldoende op de hoogte zijn en of beide (!) partijen (aanbieder en gebruiker) zich bewust zijn van de mogelijke gevolgen: een geschil met WhatsApp.