AVG Awareness, AVG Corona, Privacy Nieuws
Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!
Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.
Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.
Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.
“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”
Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.
Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.
“Whatsapp voldoet zeker niet aan de AVG”
“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”
Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.
“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”
Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”
AVG Awareness, AVG Corona, Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft bij 13 veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Zoals welke gegevens de app verzamelt, wat de app daarmee doet en of de communicatie beveiligd is. De AP krijgt namelijk veel vragen over privacy bij zulke apps, nu mensen massaal zijn gaan videobellen tijdens de coronacrisis. Daarom biedt de AP een keuzehulp om verschillende videobel-apps te vergelijken.
Let op: de AP heeft geen uitgebreid, technisch onderzoek kunnen doen naar de apps. De AP gaat af op wat bedrijven zelf zeggen over wat hun videobel-apps met uw gegevens doen, bijvoorbeeld in hun privacyverklaring.
Keuzehulp videobellen
Welke app u het beste kunt gebruiken, hangt ten eerste af van wat u ermee wilt. Bijvoorbeeld of u een gesprek wilt voeren met één of met meerdere personen.
Verder is belangrijk hoe gevoelig de informatie is die u bespreekt. Wilt u bijvoorbeeld even gezellig videobellen met een familielid of moet u een vertrouwelijk gesprek voeren met een patiënt of cliënt? Hoe gevoeliger de informatie, hoe hoger de eisen aan onder meer de beveiliging van de app.
U kunt met de Keuzehulp privacy videobellen zelf kijken wat belangrijk is in uw situatie en welke app daar het beste aan voldoet. De Autoriteit Persoonsgegevens heeft 13 apps getoetst. Het betreft:
VPN Gids
Behalve de Autoriteit Persoonsgegevens heeft VPN Gids ook een handig overzicht van veilige videobel apps gemaakt.
Videobellen voor werk
Moet u videobellen voor uw werk? Dan is uw werkgever er verantwoordelijk voor om de juiste app aan u beschikbaar te stellen, die uw privacy en die van bijvoorbeeld uw cliënten beschermt.
Tips voor organisaties
Wilt u als organisatie een videobel-app gebruiken? Denk dan goed na over de privacyaspecten. Onderzoek de mogelijkheden van de app die u wilt gebruiken. Ga na of u een verwerkersovereenkomst kunt afsluiten. Ook kan het handig zijn om een betaalde versie te nemen als die meer (privacy)opties biedt.
De AP adviseert zorginstellingen ook te kijken naar de tips voor beeldbellen van de NEN, KNMG en LVVP.
Voorbeelden
Hier vindt u een aantal voorbeelden van praktijksituaties en waar u dan op moet letten.
Wilt u een-op-een gesprek voeren, bijvoorbeeld met een familielid? Kijk dan waar u zich zelf prettig bij voelt. Misschien wilt u geen advertenties. Of vindt u het belangrijk dat niemand kan meekijken.
Wilt u niet dat de app uw gegevens gebruikt voor (gepersonaliseerde) advertenties? Kijk dan naar apps die op een andere manier werken. Bijvoorbeeld apps die worden gefinancierd via donaties.
Zijn uw gesprekken vertrouwelijk? En is het belangrijk dat niemand de inhoud van de communicatie kan zien, zelfs de aanbieder van de app niet? Kies dan voor een app die end-to-end versleuteling ondersteunt.
End-to-end versleuteling is een techniek die ervoor zorgt dat alleen de verzender en de ontvanger de inhoud van het gesprek kunnen zien. Let wel op: bij groepsgesprekken wordt end-to-end versleuteling niet ondersteund. Of alleen met een beperkt aantal deelnemers.
Voert u gevoelige een-op-een gesprekken? En is het van belang dat de app ook geen gegevens verwerkt over het gesprek (metadata), zoals wie met wie belt? Kijk dan naar apps die dat zo min mogelijk doen.
Wilt u niet dat gegevens buiten de EU worden verwerkt, waar andere privacyregels gelden dan hier? Kies dan voor een app waarbij u invloed kunt uitoefenen op de locatie van de verwerking. Bijvoorbeeld door een verwerkersovereenkomst af te sluiten of zelf een dienst op te zetten (self-hosting).
Meer tips voor videobellen
Kijk ook eens bij de tips voor privacyvriendelijk videobellen van andere organisaties, zoals Bits of Freedom, de Consumentenbond en het NCSC.
AVG Awareness, Privacy Nieuws
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding. Een AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt.
Iedereen die zonder toestemming werknemers, klanten of patienten toevoegt aan Whatsapp overtreedt de Europese privacywet.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De KNO-arts maakt met zijn Whatsappgroep honderden privé-nummers van patiënten inzichtelijk voor anderen.
Eén van zijn oud-patienten meldt bij de Amsterdamse lokale omroep AT5 het vreemd te vinden dat een arts hem benadert via zijn privételefoon.
“Je ziet van al die mensen een Whatsappfoto en ook de telefoonnummers. Dit kan echt niet. De arts schendt hiermee het medisch beroepsgeheim en de privacy van patiënten.”
Schending concurrentiebeding en medisch beroepsgeheim
De actie van de arts is niet alleen vanuit AVG-oogpunt bedenkelijk vanuit concurrentieoverwegingen. Hij probeert via de groepsapp patiënten mee te lokken naar zijn nieuwe werkgever: Acibadem International Medical Center.
In het groepsgesprek, dat de arts midden in de nacht aanmaakt met zijn privé-nummer, vertelt hij een nieuwe werkgever te hebben. De dokter plaatste volgens AT5 teksten als: “Hierdoor kunt u niet geopereerd/gecontroleerd worden in Ziekenhuis Amstelland. [Het] is uiteraard wel mogelijk dat u door mij geopereerd wordt in het International Medical Center Acibadem.”
Ook schrijft de arts dat de wachttijden bij zijn nieuwe werkgever ‘aanzienlijk korter’ zijn en dat patiënten er goed aan doen om opnieuw een verwijsbrief van de huisarts te vragen.
Solo-actie
Zijn nieuwe werkgever Acibadem zegt dat het benaderen van deze patiënten een ‘solo-actie’ is van de KNO-arts. “Wij zijn hier vooraf niet van op de hoogte gesteld en de wijze waarop dit is gebeurd past niet binnen de richtlijnen van Acibadem.”
Ziekenhuis Amstelland, oud-werkgever van de dokter, kondigt juridische stappen aan tegen de oud-werknemer. “Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”
Privacy Nieuws
Het consumentenprogramma Radar waarschuwt geen verificatiecodes voor WhatsApp door te sturen. Cybercriminelen proberen zo toegang te krijgen tot je WhatsApp.
In een appje, zogenaamd van een kennis, staat dat een WhatsApp-verificatiecode per ongeluk naar jou is verzonden.
De ‘kennis’ vraagt jou om die code naar hem door te sturen.
Doe dat niet, waarschuwt Radar. Het is een truc van cybercriminelen die steeds vaker gebruikt wordt om toegang te krijgen tot WhatsApp-accounts.
Je WhatsApp-account is gekoppeld aan je telefoonnummer via zo’n verificatiecode.
Als je je telefoonnummer voor WhatsApp wil wijzigen, moet je dat bevestigen met een code die je via een sms-bericht ontvangt.
Wanneer je de verificatiecode doorstuurt, kunnen fraudeurs via jouw WhatsApp-account praten met jouw contacten.
,,Ze maken zo misbruik van de vertrouwensrelatie, en kunnen bijvoorbeeld namens jou betaalverzoeken verzenden”, aldus cybercrime-expert Elmer Lastdrager.
Fraudeurs kunnen bijvoorbeeld namens jou betaalverzoeken verzenden.
Heb je de code toch doorgestuurd? Verwijder dan de app en installeer hem opnieuw. Je krijgt dan weer een verificatiecode om de app aan jouw nummer te koppelen.
Doe dat zo snel mogelijk, benadrukt Lastdrager. ,,Hoe sneller je erbij bent, hoe minder kans dat er via jou berichten worden verspreid.”
Privacy Nieuws
Brian Acton is één van de grondleggers van Whatsapp. Door de verkoop van het programma aan Facebook verdiende hij miljarden Euro. Een jaar geleden nam hij ontslag uit onvrede over de koers die Facebook met Whatsapp inslaat.
Acton waaarschuwt in een interview met het Amerikaanse tijdschrift Forbes voor plannen die Facebook met Whatsapp heeft.
In het interview geeft hij toe de privacyproblemen waarvoor hij nu waarschuwt zelf mede veroorzaakt te hebben: “Ik heb de privacy van mijn gebruikers voor veel geld verkocht.”
Acton laat principieel 850 miljoen dollar liggen
Aan de andere kant kost het berouw dat hij nu toont hem ook bijzonder veel geld. Door abrupt ontslag te nemen liet hij 850 miljoen dollar liggen.
In zijn eerste interview sinds hij ongeveer een jaar geleden ontslag nam, maakt Acton duidelijk verschil van mening te hebben met Facebook over de opzet van encryptie en de invoer van reclame in de berichtendienst.
Acton veroordeelt zakelijke praktijken, ethiek en principes van Facebook
“Zij zijn goede zakenlieden”, zegt Acton in Forbes magazine over het leiderschapsteam van Facebook van oprichter en CEO Mark Zuckerberg. “Ze vertegenwoordigen alleen een reeks zakelijke praktijken, principes en ethiek waarmee ik het niet noodzakelijkerwijs eens ben.”
Acton besloot principieel op te stappen toen Facebook de versleuteling aanvechtte die hij mede had ontwikkeld en de basis legde voor gerichte advertenties.
Facebook kocht WhatsApp in 2014 voor ongeveer 22 miljard dollar.
De twee oprichters Acton en Jan Koum werden meerdere miljardairs. Een deel van de aankoopprijs in Facebook-aandelen zou echter pas vier jaar na de overname naar hen vloeien. Acton zag door eerder te vertrekken af van het enorme geldbedrag. Koum bleef lang genoeg om de aandelen te cashen. Hij vertrok pas dit jaar.
WhatsApp wil volgend jaar beginnen met advertenties.
In het interview met Forbes geeft Acton toe dat hij zelf medeverantwoordelijk is voor de nieuwe koers van Whatsapp: “Uiteindelijk heb ik mijn bedrijf verkocht. Ik heb de privacy van mijn gebruikers verkocht voor een grotere winst.”
Niemand hoeft medelijden met Acton te hebben vanwege het grote bedrag dat hij liet liggen.
De verkoop van WhatsApp leverde hem nog steeds 3,6 miljard dollar op.
Acton steunt nu Whatsapp concurrent Signal
Hiervan heeft Acton een miljard dollar in een liefdadigheidsfonds gestoken en ondersteunt hij de chat-app Signal, een concurrent van Whatsapp die zich met name bezighoudt met encryptie, met 50 miljoen dollar.
Bij de overname had Facebook niet alleen een grote onafhankelijkheid beloofd, maar ook dat er geen druk zou worden uitgeoefend op WhatsApp om vijf jaar lang geld te verdienen.
Facebook voert advertenties in bij Whatsapp
Na slechts een paar jaar stelde Facebook echter voor om advertenties in de statusweergave van gebruikers te plaatsen.
Acton verzette zich hevig tegen de plannen om advertenties toe te voegen aan Whatsapp. Hij voelt zich bedonderd door Facebook. En hij schaamt zich omdat hij het gevoel heeft het vertrouwen van gebruikers te hebben geschaad.
“Gerichte reclame maakt me ongelukkig”, zegt Acton. Zijn motto bij WhatsApp is altijd geweest: “Geen advertenties, geen spelletjes, geen trucs.”
Daarmee volgt hij in Silicon Valley een trend in de richting van sociale betrokkenheid.
De twee oprichters vrezen ook dat WhatsApp’s volledige versleuteling op het spel staat.
Acton is ziek van de aanpak van Facebook. Hij voelt zich bedonderd en misbruikt door Facebook CEO Marc Zückerberg. Hij kreeg na de overname van Whatsapp de opdracht om de Europese Commissie te vertellen dat het erg moeilijk zou zijn om de gegevens van WhatsApp en Facebook samen te voegen. Hijzelf voegde eraan toe dat hij en Koum geen plannen hadden om dat te doen.
Acton vertelt pas later te hebben ontdekt dat Facebook al aan de samenvoeging gewerkt had. Anderhalf jaar later werd een overeenkomstige link naar de gebruikersgegevens aangekondigd. Het maakt hem nog steeds boos door er alleen maar over na te denken, zegt Acton.
Facebook zegt in een reactie in Forbes dat er misverstanden met Acton zijn ontstaan door miscommunicatie. Er zou nooit sprake zijn geweest van opzettelijke misleiding van de oprichters van Whatsapp.
Privacy Nieuws
Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.
Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.
De school denkt de privacy van de leerlingen te moeten beschermen.
“Daarover waren wij verrast”, zegt Pauline Gras van de Autoriteit Persoonsgegevens op vragen van de Groningse regionale omroep RTV Noord.
“Staat niet in de wet dat het niet mag”
“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”
Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”
Klacht indienen
Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.
“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”
Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”
Als de dood voor hoge boete
En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.
Logisch dat die bestuurders geen risico willen nemen.
Waarom bestaat er geen AVG boetelijst?
Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.
Worden er eerst waarschuwingen uitgedeeld?
Of worden er meteen boetes opgelegd?
En hoe hoog zijn die boetes dan?
Niemand die het weet.
En er is nog geen jurisprudentie.
In heel Europa nog niet.
Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.
Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?
Niemand hoeft bang te zijn?
Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.
Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.
Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.
De Autoriteit zegt dat het mag.
In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.
Hoe zit het met bedrijfsmatige Whatsapp?
Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?
Of door een andere organisatie?
Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.
Jammer dat RTV Noord daar niet over heeft doorgevraagd.
Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.
Privacy Nieuws
WhatsApp is bijna onmisbaar geworden in veel bedrijven. Interne chatgroepen maken de communicatie tussen medewerkers eenvoudiger.
En het is heel gewoon geworden om met klanten te chatten.
Sinds de invoering van de AVG op 25 mei 2018 is er alleen een probleem… Voldoet Whatsapp wel aan de privacywet?
Wat mag en wat niet?
Op 25 mei 2018 – de eerste dag dat de AVG van kracht was – werd meteen de eerste klacht over WhatsApp ingediend. De klacht kwam van Maximilian Schrems, bekend van het arrest van het Europees Hof van Justitie (EHvJ) over de Safe Harbour overeenkomst tussen de EU en de VS.
Schrems maakt al jaren succesvol jacht op misbruik van persoonsgegevens door Facebook. Met de klacht tegen Whatsapp – een dochteronderneming van Facebook – heeft hij opnieuw de Europese toezichthoudende autoriteiten opgeroepen in actie te komen.
En niet voor niets: WhatsApp heeft onlangs de gebruiksvoorwaarden gewijzigd en duidelijk gemaakt dat het gebruiksgegevens doorgeeft aan Facebook.
De toezichthouders in Europa hebben ernstige twijfels over de rechtmatigheid van de geactualiseerde gebruiksvoorwaarden van Whatsapp.
Maar wat betekent dat voor bedrijven die WhatsApp gebruiken?
Geen totaal verbod, maar…
Wie zakelijk gebruik maakt van Whatsapp stuit wel op een aantal problemen. Het is in verband met de AVG van belang dat daar aandacht aan geschonken wordt.
WhatsApp probleem 1: WhatsApp is een Amerikaanse dienst
Dat is uiteindelijk helemaal geen probleem. WhatsApp Inc. heeft een certificering van het Privacyshield.
Zolang het gelijkwaardigheidsbesluit van de Europese Commissie nog geldig is, moet ervan worden uitgegaan dat aan de vereisten voor datatransmissie naar de VS is voldaan.
WhatsApp probleem 2: WhatsApp synchroniseert contactgegevens
Alle contactgegevens worden automatisch overgedragen naar WhatsApp voor elke gebruiker. WhatsApp geeft hierover ook transparante informatie in de nieuwe regelgeving voor gegevensbescherming.
Deze doorgifte van contactgegevens kan echter niet conform de AVG op een rechtsgrondslag worden gebaseerd. Het is daarom absoluut noodzakelijk dat alle contacten, met name niet-WhatsApp-gebruikers, hun toestemming geven.
WhatsApp zou dat eigenlijk moeten regelen binnen de app. Maar Whatsapp is dat niet van plan te doen. Whatsapp legt de verantwoording bij de gebruiker en verklaart dat iedereen zelf moet zorgen voor het verkrijgen van toestemming van elk contact.
In de praktijk utopisch. Onwerkbaar.
Wat zou jij doen als jij van al je zakelijke contacten nu een verzoek zou krijgen om toestemming te geven voor het gebruik van je contactgegevens in Whatsapp? Net als vlak voor en na de invoering van de AVG met de nieuwsbrieven is gebeurd. Daar ergerden de meeste mensen zich al aan.
En dan nog iets. Dat verzoek zou je moeten versturen per e-mail. Per Whatsapp mag niet… Je hebt immers nog geen toestemming.
Hoe dan wel?
Er zijn verschillende oplossingen voor dit probleem. Maar ze zijn niet bepaald praktisch.
Een manier is om de toestemming van Whatsapp om gebruik te maken van je contactenlijst in te trekken en contacten handmatig te beheren. Dit werkt echter niet op alle besturingssystemen en is in de praktijk ook niet bepaald werkzaam.
Niemand wil een paar uur besteden aan het privacyproof maken van een app. Je hebt wel iets beters te doen met je kostbare tijd.
Mobile Device Management (MDM)
Een containeroplossing of Mobile Device Management (MDM) is eenvoudiger. Tenminste als je verstand van ICT hebt of een ICT-afdeling die je kan helpen. Beide varianten blokkeren automatisch de toegang tot contacten omdat WhatsApp in een aparte omgeving draait.
Eenvoudigste oplossing Whatsapp AVG proof
De eenvoudigste oplossing om Whatsapp AVG proof te maken is waarschijnlijk om een zakelijke smartphone te gebruiken met alleen klanten of contactpersonen in het contactboek die op hun beurt WhatsApp gebruiken.
Klinkt heel logisch, maar is in de praktijk natuurlijk praktisch bijna niet te realiseren. Dit werkt alleen heel comfortabel als je voor de eerste keer met Whatsapp begint en alle contacten nog handmatig stuk voor stuk kunt invoeren.
Praktisch of niet, je bent voor de AVG verplicht om een van bovenstaande varianten te kiezen
Feit is dat je voor de AVG verplicht bent om een van deze varianten te kiezen. Anders is de overdracht van contactgegevens naar Whatsapp een duidelijke schending van de nieuwe Europese privacyregels.
WhatsApp probleem 3: Versleuteling van berichten
WhatsApp levert al enige tijd end-to-end encryptie en maakt duidelijk dat het geen toegang heeft tot de versleutelde berichten zelf.
De versleuteling is gebaseerd op het signaal van de Open Source Messenger Signal, een concurrent van WhatsApp. Signal wordt overigens al lang beschouwd als een privacyvriendelijk alternatief voor WhatsApp.
Er is momenteel geen enkele reden om te twijfelen aan de betrouwbaarheid van de encryptie die WhatsApp gebruikt. WhatsApp heeft geen achterdeur opengelaten. Je mag er vanuit gaan dat berichten die je verstuurt via WhatsApp vertrouwelijk blijven.
Onderweg dan. Maar wat gebeurt er met jouw bericht als die op de smartphone van je contact persoon zijn beland?
WhatsApp probleem 4: Toevoegingen komen in het interne geheugen terecht
Als er via WhatsApp bestanden worden verzonden, komen die vaak automatisch in het interne geheugen van de telefoon terecht. Dit is problematisch omdat vaak ook andere apps toegang hebben tot het interne geheugen van de smartphone.
Er worden bijvoorbeeld automatische backups gemaakt die opgeslagen worden in de cloud.
Sommige apps maken het mogelijk om eenvoudig foto’s te bewerken en te delen met andere diensten. Met het risico dat foto’s ongewenst worden bewerkt of gedeeld met partijen die zich niet aan de privacywet houden en waar je ook geen toestemming voor hebt gekregen.
Wat kan er nou misgaan met die foto’s, denk je nu misschien. Nou, los van wie er op de foto staan, geven foto’s ook nog andere informatie prijs.
Veel fototoestellen en smartphones slaan op het moment dat je de foto maakt meteen de tijd en locatie waar je je op dat moment bevindt op en koppelen die informatie aan de foto.
Aan de hand van de foto kun je dus achterhalen wie waar is geweest op welk moment. Toch wel privacygevoelige informatie.
Automatische opslag WhatsApp in het interne geheugen uitschakelen
Daarom moeten gebruikers de automatische opslag in het interne geheugen uitschakelen. Dit kan via de MDM of via de instelling in WhatsApp zelf (Instellingen > Chats > Save to Recordings / Chat Backup).
WhatsApp probleem 5: Aanmelden bij Facebook
WhatsApp maakt er geen geheim van dat gegevens worden gedeeld met Facebook. WhatsApp is onderdeel van Facebook.
Maar wat wordt er dan gedeeld?
Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers
- Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers.
- De plaats waar de gebruiker zich bevindt, mits deze is goedgekeurd.
- Informatie over het gebruik, zoals de tijd, de frequentie en de duur van het gebruik en of en wanneer de gebruiker de berichten opslaat, leest of beantwoordt.
Dit betekent kortom dat WhatsApp alle metadata verwerkt, maar de inhoud niet beïnvloedt. WhatsApp en Facebook gebruiken de gedeelde informatie voor beveiligingsdoeleinden. Zeggen ze. Tot zo ver dan geen probleem.
Addertje onder het gras van WhatsApp
Maar wat u zakelijk moet doen, is ook rekening houden met de doelstellingen, die in de gebruiksvoorwaarden van WhatsApp en Facebook worden vermeld: WhatsApp deelt de gegevens om…
- Facebookpagina’s van bedrijven te promoten.
- Voor direct marketing doeleinden.
- Om inzicht te krijgen in bedrijven om hun business te verbeteren.
De Europese toezichthouders maken zich grote zorgen als het over deze gebruiksvoorwaarden en de toestemming van de gebruikers gaat.
Deze kwestie is ook het onderwerp van de klacht van Maximilian Schrems. Hij wil duidelijkheid van de Europese toezichthouder.
Alternatieven voor WhatsApp
Resumerend. Wie echt AVG proof met WhatsApp wil werken kan dat doen. Maar het is niet eenvoudig.
Steeds meer organisaties besluiten daarom om over te stappen op een alternatieve messengerdienst die zonder allerlei haken en ogen voldoet aan de AVG.
Het Duitse autoonderdelen bedrijf Continental heeft meteen na de invoering van de AVG al besloten dat er binnen het bedrijf geen WhatsApp meer gebruikt mag worden.
Veel zorginstellingen zijn ook overgestapt op andere messenger of chatdiensten.
Binnen veel organisaties wordt nagedacht over een alternatief voor WhatsApp. Want WhatsApp heeft de afgelopen jaren wel duidelijk gemaakt dat een chat- of messengerdienst bijzonder zakelijk efficiënt en praktisch is.
Maar welke alternatieven zijn er dan voor WhatsApp? En hoe weet je zeker of die wel voldoen aan de AVG?
Daar gaan we in de volgende blogpost over alternatieve opties voor WhatsApp op in.
Het de in ieder geval de moeite waard om de actuele discussies rond WhatsApp te volgen. Bijvoorbeeld via PrivacyZone. Heb je je al geabonneerd op onze nieuwsbrief?
Privacy Nieuws
Continental, een Duitse producent van autoonderdelen en autobanden, verbiedt zijn werknemers vanwege de Europese privacywet AVG / GDPR om social media apps zoals WhatsApp en Snapchat te gebruiken op mobiele telefoons.
Continental heeft het verbod uitgevaardigd voor alle medewerkers die waar ook ter wereld voor het concern werken. Het betreft meer dan 36.000 mobiele telefoons.
Continental heeft de beleidmaatregel dinsdag in Hannover bekendgemaakt.
Om aan de Europese privacyverordening te voldoen, zouden gebruikers van WhatsApp de toestemming van elke persoon in het adresboek afzonderlijk moeten vragen om hun gegevens met de diensten te delen. “Dit is in het dagelijks leven onvoldoende betrouwbaar en dus praktisch ongeschikt.”
Whatsapp en Snapchat zouden volgens Continental zelf maatregelen moeten treffen om te voldoen aan de Europese privacyregelgeving. De diensten hebben toegang tot persoonlijke en dus potentieel vertrouwelijke gegevens, zoals contactgegevens, waaronder ook mensen die geen gebruik maken van deze social media kanalen en dus geen toestemming hebben gegevev voor het verwerken van hun persoonsgegevens.
De bepaling die het gebruik van messenger apps verbiedt, zou kunnen worden opgeheven als de providers het veilige gebruik toestaan “in termen van gegevensbescherming al in de basisinstelling”.
WhatsApp zegt dat ook gedaan te hebben en verwijst naar de actuele gebruiksvoorwaarden. Daarin bevestigen gebruikers dat zij de contactgegevens “in overeenstemming met de toepasselijke wetgeving”. Dit echter kan zo worden uitgelegd dat WhatsApp ervan uitgaat dat de gebruikers zelf toestemming hebben gekregen om de gegevens door te geven.
Continental zegt dat de applicaties de verantwoordelijkheid verschuiven naar de gebruikers. Dat vindt het bedrijf onacceptabel.
“We werken aan nul verkeersongevallen en eisen daarom ook zo’n “Vision Zero” voor dataverkeer”, aldus Elmar Degenhart, CEO van Continental. “Wij vinden het niet aanvaardbaar om eenzijdig de naleving van de wetgeving inzake gegevensbescherming over te dragen aan gebruikers.
Continental bedrijf wil de risico’s die het gebruik van Whatsapp en Snapchat op het gebied van gegevensbescherming met zich meebrengen niet dragen. Werknemers en zakenpartners moeten ook worden beschermd, vindt het concern.
Kort na de inwerkingtreding van de nieuwe privacywet AVG op 25 mei zijn al de eerste klachten over Facebook en Google bij diverse Europese toezichthouders binnengekomen.
De verordening is bedoeld om consumenten beter te beschermen en de verwerking van persoonsgegevens door bedrijven, verenigingen of autoriteiten zal veel strenger worden geregeld dan voorheen.
Consumenten moeten worden geïnformeerd over wie om welke reden gegevens verzamelt, zoals naam, adres, e-mailadres en ID-nummer, en moeten daarmee instemmen.
Privacy Nieuws
Facebookgebruikers kunnen sinds kort alle data die het social media platform door de jaren heen over hen heeft verzameld opvragen. Dat kan dankzij de privacywet GDPR nu ook bij Whatsapp, dat eigendom is van Facebook.
Hoe kunt u uw eigen persoonsgegevens bij Whatsapp inzien? Volg het onderstaande stappenplan:
1. Ga naar WhatsApp
2. Open instellingen
3. Tik op account
4. Accountgegevens aanvragen
5. Rapport downloaden
WhatsApp vraagt u om 3 dagen geduld voor het rapport, maar gebruikers ontvangen het over het algemeen binnen een paar uur.
Zodra uw rapport beschikbaar is, ontvangt u een WhatsApp-melding op uw telefoon met de vermelding: “Het rapport met uw accountgegevens is klaar om te downloaden”.
Whatsapp vermeldt meteen hoeveel tijd u heeft om het rapport te downloaden (ongeveer een paar weken) voordat het van hun servers wordt verwijderd.
Daarna kunt u een ZIP-bestand naar uw telefoon downloaden. Dit ZIP-bestand bevat een HTML-bestand dat eenvoudig te bekijken is en een JSON-bestand dat naar een andere app kan worden geporteerd.
Zodra u het rapport hebt geopend, vindt u uw gegevens zoals uw telefoonnummer, vorige IP-verbinding, apparaattype, apparaatfabrikant, profielfoto, al uw contactnummers, groepsnamen waarvan u deel uitmaakt en de contacten die u hebt geblokkeerd.
Gelukkig is de informatie die WhatsApp over u bewaart niet zo eng als de informatie die het moederbedrijf Facebook heeft, maar is het altijd beter om te weten welke informatie u als gebruiker deelt met de app die u gebruikt.
Privacy Nieuws
Veel organisaties gebruiken Whatsappgroepen voor interne communicatie. Whatsapp is ideaal voor projectmanagement. Intern en extern. De grote vraag is echter of Whatsapp zich wel houdt aan de privacywet GDPR / AVG. Mag je Whatsapp eigenlijk nog zakelijk gebruiken?
Wie op Google zoekt naar “Whatsapp GDPR” ontdekt dat in de hele EU getwijfeld wordt. Wie de regels strikt uitlegt kan niet anders dan concluderen dat Whatsapp na 25 mei 2018 niet compliant kan zijn. En in dat geval mag je Whatsapp dus zakelijk niet gebruiken.
Whatsapp krijgt automatisch toegang tot contacten. Dat mag eigenlijk niet
Organisaties die medewerkers WhatsApp laten gebruiken kampen er mee dat WhatsApp bij het maken van chatgroepen of het leggen van een-op-een connecties voor chat automatisch toegang krijgt tot contacten die zijn opgeslagen op de telefoon.
Er vindt dan dus overdracht plaats van persoonsgegevens aan een onderneming in de VS. In principe is dit volgens de AVG alleen toegestaan na voorafgaande toestemming van de betreffende contactpersoon.
Geen toestemming, dan in strijd met AVG
Indien geen toestemming wordt gegeven, worden de gegevens in strijd met de AVG doorgegeven.
Bovendien gaat het bij de doorgifte van dergelijke gegevens om de verwerking van ordergegevens. Een dergelijke openbaarmaking vereist een contract voor de verwerking van ordergegevens tussen de organisatie en WhatsApp.
Doorgaans wordt niet aan deze eis voldaan en gebruiken organisaties WhatsApp dus illegaal.
Juristen in Groot-Brittannië en Duitsland
Juristen in Groot-Brittannië en Duitsland adviseren Whatsapp absoluut niet zakelijk te gebruiken als er geen gegevensverwerkingsopdracht is tussen een organisatie en WhatsApp en de contactpersoon van het bedrijf niet heeft ingestemd met het doorsturen van zijn gegevens naar WhatsApp.
Maar ondernemers en medewerkers hebben niet alleen zakelijke contacten. Ze communiceren ook privé. En dat mag wel met Whatsapp. Dat zorgt voor een dilemma. Er vindt vermenging van privé en zakelijk plaats. Zakelijk ben je dan nog steeds in overtreding.
Nederlandse ICT-jurist Arnoud Engelfriet
Hoe denken Nederlandse juristen over het zakelijk gebruik van Whatsapp?
Ict-jurist Arnoud Engelfriet geeft op de website Security.nl elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Op de site reageert hij ook op een vraag over de legitimiteit van zakelijk Whatsapp gebruik binnen de GDPR.
“Namen en telefoonnummers zijn persoonsgegevens”, legt Engelfriet uit. “Het gebruik daarvan valt in principe dan ook onder de Privacyverordening / AVG / GDPR. Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.”
Privacywet niet van toepassing voor huishoudelijke doeleinden
Bij WhatsApp-groepen val je volgens Engelfriet echter mogelijk buiten de privacywet, omdat het vaak gaat om particulieren die die groepen opzetten.
“De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.”
Voorwaarden van WhatsApp
Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp, maar dat boeit weinig zegt Engelfriet. “Toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.”
Kortom: De ervaren Nederlandse ICT-jurist kan geen eenduidig antwoord geven op de vraag of bedrijven Whatsapp nog mogen gebruiken. Bij twijfel niet doen is doorgaans het advies.
Alternatief voor WhatsApp
Maar wat is dan het alternatief voor Whatsapp als bedrijven toch graag intern zakelijk willen kunnen chatten?
In de zorgsector stappen veel instellingen over op de chatapp Yammer van Microsoft. Deze app houdt zich wel aan de Europese privacywet. Er is dus een alternatief. Maar de leercurve voor Yammer is groter dan bij Whatsapp. De chatapp van Facebook is juist bijzonder gebruiksvriendelijk.
Hoeveel organisaties nemen het risico en blijven Whatsapp gewoon gebruiken?
Wie heeft er een goede steekhoudende argumentatie waarmee de toezichthouder overtuigd kan worden?
