Whatsapp AVG proof gebruiken binnen jouw organisatie? Kan dat? Ja, maar…

WhatsApp is bijna onmisbaar geworden in veel bedrijven. Interne chatgroepen maken de communicatie tussen medewerkers eenvoudiger.En het is heel gewoon geworden om met klanten te chatten.Sinds de invoering van de AVG op 25 mei 2018 is er alleen een probleem… Voldoet Whatsapp wel aan de privacywet?

Wat mag en wat niet?

Op 25 mei 2018 – de eerste dag dat de AVG van kracht was – werd meteen de eerste klacht over WhatsApp ingediend. De klacht kwam van Maximilian Schrems, bekend van het arrest van het Europees Hof van Justitie (EHvJ) over de Safe Harbour overeenkomst tussen de EU en de VS.Schrems maakt al jaren succesvol jacht op misbruik van persoonsgegevens door Facebook. Met de klacht tegen Whatsapp – een dochteronderneming van Facebook – heeft hij opnieuw de Europese toezichthoudende autoriteiten opgeroepen in actie te komen.En niet voor niets: WhatsApp heeft onlangs de gebruiksvoorwaarden gewijzigd en duidelijk gemaakt dat het gebruiksgegevens doorgeeft aan Facebook.De toezichthouders in Europa hebben ernstige twijfels over de rechtmatigheid van de geactualiseerde gebruiksvoorwaarden van Whatsapp.

Maar wat betekent dat voor bedrijven die WhatsApp gebruiken?

Geen totaal verbod, maar…Wie zakelijk gebruik maakt van Whatsapp stuit wel op een aantal problemen. Het is in verband met de AVG van belang dat daar aandacht aan geschonken wordt.

WhatsApp probleem 1: WhatsApp is een Amerikaanse dienst

Dat is uiteindelijk helemaal geen probleem. WhatsApp Inc. heeft een certificering van het Privacyshield.Zolang het gelijkwaardigheidsbesluit van de Europese Commissie nog geldig is, moet ervan worden uitgegaan dat aan de vereisten voor datatransmissie naar de VS is voldaan.

WhatsApp probleem 2: WhatsApp synchroniseert contactgegevens

Alle contactgegevens worden automatisch overgedragen naar WhatsApp voor elke gebruiker. WhatsApp geeft hierover ook transparante informatie in de nieuwe regelgeving voor gegevensbescherming.Deze doorgifte van contactgegevens kan echter niet conform de AVG op een rechtsgrondslag worden gebaseerd. Het is daarom absoluut noodzakelijk dat alle contacten, met name niet-WhatsApp-gebruikers, hun toestemming geven.WhatsApp zou dat eigenlijk moeten regelen binnen de app. Maar Whatsapp is dat niet van plan te doen. Whatsapp legt de verantwoording bij de gebruiker en verklaart dat iedereen zelf moet zorgen voor het verkrijgen van toestemming van elk contact.

In de praktijk utopisch. Onwerkbaar.

Wat zou jij doen als jij van al je zakelijke contacten nu een verzoek zou krijgen om toestemming te geven voor het gebruik van je contactgegevens in Whatsapp? Net als vlak voor en na de invoering van de AVG met de nieuwsbrieven is gebeurd. Daar ergerden de meeste mensen zich al aan.En dan nog iets. Dat verzoek zou je moeten versturen per e-mail. Per Whatsapp mag niet… Je hebt immers nog geen toestemming.

Hoe dan wel?

Er zijn verschillende oplossingen voor dit probleem. Maar ze zijn niet bepaald praktisch.Een manier is om de toestemming van Whatsapp om gebruik te maken van je contactenlijst in te trekken en contacten handmatig te beheren. Dit werkt echter niet op alle besturingssystemen en is in de praktijk ook niet bepaald werkzaam.Niemand wil een paar uur besteden aan het privacyproof maken van een app. Je hebt wel iets beters te doen met je kostbare tijd.

Mobile Device Management (MDM)

Een containeroplossing of Mobile Device Management (MDM) is eenvoudiger. Tenminste als je verstand van ICT hebt of een ICT-afdeling die je kan helpen. Beide varianten blokkeren automatisch de toegang tot contacten omdat WhatsApp in een aparte omgeving draait.

Eenvoudigste oplossing Whatsapp AVG proof

De eenvoudigste oplossing om Whatsapp AVG proof te maken is waarschijnlijk om een zakelijke smartphone te gebruiken met alleen klanten of contactpersonen in het contactboek die op hun beurt WhatsApp gebruiken.Klinkt heel logisch, maar is in de praktijk natuurlijk praktisch bijna niet te realiseren. Dit werkt alleen heel comfortabel als je voor de eerste keer met Whatsapp begint en alle contacten nog handmatig stuk voor stuk kunt invoeren.

Praktisch of niet, je bent voor de AVG verplicht om een van bovenstaande varianten te kiezen

Feit is dat je voor de AVG verplicht bent om een van deze varianten te kiezen. Anders is de overdracht van contactgegevens naar Whatsapp een duidelijke schending van de nieuwe Europese privacyregels.

WhatsApp probleem 3: Versleuteling van berichten

WhatsApp levert al enige tijd end-to-end encryptie en maakt duidelijk dat het geen toegang heeft tot de versleutelde berichten zelf.De versleuteling is gebaseerd op het signaal van de Open Source Messenger Signal, een concurrent van WhatsApp. Signal wordt overigens al lang beschouwd als een privacyvriendelijk alternatief voor WhatsApp.Er is momenteel geen enkele reden om te twijfelen aan de betrouwbaarheid van de encryptie die WhatsApp gebruikt. WhatsApp heeft geen achterdeur opengelaten. Je mag er vanuit gaan dat berichten die je verstuurt via WhatsApp vertrouwelijk blijven.Onderweg dan. Maar wat gebeurt er met jouw bericht als die op de smartphone van je contact persoon zijn beland?

WhatsApp probleem 4: Toevoegingen komen in het interne geheugen terecht

Als er via WhatsApp bestanden worden verzonden, komen die vaak automatisch in het interne geheugen van de telefoon terecht. Dit is problematisch omdat vaak ook andere apps toegang hebben tot het interne geheugen van de smartphone.Er worden bijvoorbeeld automatische backups gemaakt die opgeslagen worden in de cloud.Sommige apps maken het mogelijk om eenvoudig foto’s te bewerken en te delen met andere diensten. Met het risico dat foto’s ongewenst worden bewerkt of gedeeld met partijen die zich niet aan de privacywet houden en waar je ook geen toestemming voor hebt gekregen.Wat kan er nou misgaan met die foto’s, denk je nu misschien. Nou, los van wie er op de foto staan, geven foto’s ook nog andere informatie prijs.Veel fototoestellen en smartphones slaan op het moment dat je de foto maakt meteen de tijd en locatie waar je je op dat moment bevindt op en koppelen die informatie aan de foto.Aan de hand van de foto kun je dus achterhalen wie waar is geweest op welk moment. Toch wel privacygevoelige informatie.

Automatische opslag WhatsApp in het interne geheugen uitschakelen

Daarom moeten gebruikers de automatische opslag in het interne geheugen uitschakelen. Dit kan via de MDM of via de instelling in WhatsApp zelf (Instellingen > Chats > Save to Recordings / Chat Backup).

WhatsApp probleem 5: Aanmelden bij Facebook

WhatsApp maakt er geen geheim van dat gegevens worden gedeeld met Facebook. WhatsApp is onderdeel van Facebook.

Maar wat wordt er dan gedeeld?

Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers
  • Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers.
  • De plaats waar de gebruiker zich bevindt, mits deze is goedgekeurd.
  • Informatie over het gebruik, zoals de tijd, de frequentie en de duur van het gebruik en of en wanneer de gebruiker de berichten opslaat, leest of beantwoordt.
Dit betekent kortom dat WhatsApp alle metadata verwerkt, maar de inhoud niet beïnvloedt. WhatsApp en Facebook gebruiken de gedeelde informatie voor beveiligingsdoeleinden. Zeggen ze. Tot zo ver dan geen probleem.

Addertje onder het gras van WhatsApp

Maar wat u zakelijk moet doen, is ook rekening houden met de doelstellingen, die in de gebruiksvoorwaarden van WhatsApp en Facebook worden vermeld: WhatsApp deelt de gegevens om…
  • Facebookpagina’s van bedrijven te promoten.
  • Voor direct marketing doeleinden.
  • Om inzicht te krijgen in bedrijven om hun business te verbeteren.
De Europese toezichthouders maken zich grote zorgen als het over deze gebruiksvoorwaarden en de toestemming van de gebruikers gaat.Deze kwestie is ook het onderwerp van de klacht van Maximilian Schrems. Hij wil duidelijkheid van de Europese toezichthouder.

Alternatieven voor WhatsApp

Resumerend. Wie echt AVG proof met WhatsApp wil werken kan dat doen. Maar het is niet eenvoudig.Steeds meer organisaties besluiten daarom om over te stappen op een alternatieve messengerdienst die zonder allerlei haken en ogen voldoet aan de AVG.Het Duitse autoonderdelen bedrijf Continental heeft meteen na de invoering van de AVG al besloten dat er binnen het bedrijf geen WhatsApp meer gebruikt mag worden.Veel zorginstellingen zijn ook overgestapt op andere messenger of chatdiensten.Binnen veel organisaties wordt nagedacht over een alternatief voor WhatsApp. Want WhatsApp heeft de afgelopen jaren wel duidelijk gemaakt dat een chat- of messengerdienst bijzonder zakelijk efficiënt en praktisch is.Maar welke alternatieven zijn er dan voor WhatsApp? En hoe weet je zeker of die wel voldoen aan de AVG?Daar gaan we in de volgende blogpost over alternatieve opties voor WhatsApp op in.Het de in ieder geval de moeite waard om de actuele discussies rond WhatsApp te volgen. Bijvoorbeeld via PrivacyZone. Heb je je al geabonneerd op onze nieuwsbrief?

Meer actueel awareness nieuws

Misleiding by design door Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram

NRC keek met twee ervaren ontwerpers hoe Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram hun nieuwe voorwaarden aan hun klanten opdringen.

 

De bedrijven gebruiken ‘foute’ vormgeving om toestemming te krijgen voor hun privacyinstellingen. De vuistregel: hoe meer data bedrijven van je nodig hebben, hoe meer moeite het kost om je dataspoor te beperken, concludeert NRC.

Misleiding by design dus.

Maar dat mag toch helemaal niet volgens de AVG?

Er wordt toch duidelijk privacy by design geeist?

Klopt. Maar privacy by design betekent in de AVG iets anders dan de vormgeving van websites en buttons waarmee om toestemming wordt gevraagd.

Privacy by design betekent dat organisaties nieuwe apparaten en applicaties zo moeten maken dat op voorhand al kan worden ingespeeld op toekomstige bedreigingen door hackers.

Dat gaat niet over de misleidende vormgeving.

Maar dat wil niet zeggen dat Facebook & Co er zo eenvoudig mee weg komen. Dat ze een maas in de privacywet hebben gevonden.

De AVG is ook heel duidelijk over de manier waarop toestemming moet worden gevraagd.

Toestemming moet ondubbelzinnig zijn.

Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking.

Als de grote internetbedrijven duidelijk bezig zijn om hun klanten op het verkeerde been te zetten is er toch duidelijk geen sprake van ondubbelzinnig verkregen toestemming?

De verantwoordelijkheid voor het duidelijk onomwonden niet mis te verstaan vragen om toestemming ligt bij de organisatie die de persoonsgegevens wil verwerken.

Zo specifiek mogelijk

Dat betekent dat de organisatie zo specifiek mogelijk dient te vertellen waar een klant mee akkoord gaat.

En dat moet zo gebeuren dat een doorsneegebruiker het allemaal begrijpt.

De analyse van de manipulatieve trucs van Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram is in ieder geval wel helder. Er is duidelijk sprake van misleiding.

Hoe reageert de Autoriteit Persoonsgegevens?

Ik ben benieuwd hoe de Autoriteit Persoonsgegevens reageert op de trucs van de online marktleiders.

Lees het artikel in NRC en oordeel zelf. Waarom je toch weer op OK klikt…

Meer actueel awareness nieuws

Instagram gaat op de valreep toch voldoen aan de GDPR

Instagram komt in navolging van het moederbedrijf Facebook en Whatsapp toch met een optie waarbij gebruikers hun eigen gegevens kunnen downloaden.

Instagram bestaat 8 jaar en heeft meer dan 800 miljoen gebruikers.

Onder de Europese gebruikers was de laatste tijd onrust ontstaan, omdat Instagram geen duidelijkheid gaf of, en zo ja hoe, het bedrijf in staat was om voor 25 mei aan de nieuwe Europese privacywet AVG / GDPR te voldoen.

Instagram komt nu eindelijk met duidelijkheid.

“We werken aan tool waarmee onze gebruikers een kopie van hun data en gegevens kunnen downloaden”, zegt een woordvoerder vanInstagram aan TechCrunch.

Met die tool zullen gebruikers alles wat ze ooit hebben gedeeld op Instagram kunnen bijhouden. Zo krijgen gebruikers ook de kans om hun account te verwijderen zonder dat hun foto’s, video’s en berichten verloren gaan.

Zonder de downladfunctie voor eigen gegevens van gebruikers was Instagram illegaal geworden in Europa. Er dreigden boetes van 20 miljoen Euro per overtreding van de nieuwe Europese privacywet.

In de nieuwe GDPR-privacywet van de Europese Unie staat dat iedereen de mogelijkheid moet hebben om zijn persoonlijke gegevens te kunnen exporteren van elke website, tot nu kan dat nog altijd niet bij Instagram.

Meer actueel awareness nieuws

Hoe kunt u achterhalen wat Whatsapp allemaal van u weet?

Facebookgebruikers kunnen sinds kort alle data die het social media platform door de jaren heen over hen heeft verzameld opvragen. Dat kan dankzij de privacywet GDPR nu ook bij Whatsapp, dat eigendom is van Facebook.

Hoe kunt u uw eigen persoonsgegevens bij Whatsapp inzien? Volg het onderstaande stappenplan:

1. Ga naar WhatsApp

2. Open instellingen

3. Tik op account

4. Accountgegevens aanvragen

5. Rapport downloaden

WhatsApp vraagt u om 3 dagen geduld voor het rapport, maar gebruikers ontvangen het over het algemeen binnen een paar uur.

Zodra uw rapport beschikbaar is, ontvangt u een WhatsApp-melding op uw telefoon met de vermelding: “Het rapport met uw accountgegevens is klaar om te downloaden”.

Whatsapp vermeldt meteen hoeveel tijd u heeft om het rapport te downloaden (ongeveer een paar weken) voordat het van hun servers wordt verwijderd.

Daarna kunt u een ZIP-bestand naar uw telefoon downloaden. Dit ZIP-bestand bevat een HTML-bestand dat eenvoudig te bekijken is en een JSON-bestand dat naar een andere app kan worden geporteerd.

Zodra u het rapport hebt geopend, vindt u uw gegevens zoals uw telefoonnummer, vorige IP-verbinding, apparaattype, apparaatfabrikant, profielfoto, al uw contactnummers, groepsnamen waarvan u deel uitmaakt en de contacten die u hebt geblokkeerd.

Gelukkig is de informatie die WhatsApp over u bewaart niet zo eng als de informatie die het moederbedrijf Facebook heeft, maar is het altijd beter om te weten welke informatie u als gebruiker deelt met de app die u gebruikt.

Meer actueel awareness nieuws

Het dilemma Whatsapp en de AVG… Privé wel, zakelijk niet?

Veel organisaties gebruiken Whatsappgroepen voor interne communicatie. Whatsapp is ideaal voor projectmanagement. Intern en extern. De grote vraag is echter of Whatsapp zich wel houdt aan de privacywet GDPR / AVG. Mag je Whatsapp eigenlijk nog zakelijk gebruiken?

Wie op Google zoekt naar “Whatsapp GDPR” ontdekt dat in de hele EU getwijfeld wordt. Wie de regels strikt uitlegt kan niet anders dan concluderen dat Whatsapp na 25 mei 2018 niet compliant kan zijn. En in dat geval mag je Whatsapp dus zakelijk niet gebruiken.

Whatsapp krijgt automatisch toegang tot contacten. Dat mag eigenlijk niet

Organisaties die medewerkers WhatsApp laten gebruiken kampen er mee dat WhatsApp bij het maken van chatgroepen of het leggen van een-op-een connecties voor chat automatisch toegang krijgt tot contacten die zijn opgeslagen op de telefoon.

Er vindt dan dus overdracht plaats van persoonsgegevens aan een onderneming in de VS. In principe is dit volgens de AVG alleen toegestaan na voorafgaande toestemming van de betreffende contactpersoon.

Geen toestemming, dan in strijd met AVG

Indien geen toestemming wordt gegeven, worden de gegevens in strijd met de AVG doorgegeven.

Bovendien gaat het bij de doorgifte van dergelijke gegevens om de verwerking van ordergegevens. Een dergelijke openbaarmaking vereist een contract voor de verwerking van ordergegevens tussen de organisatie en WhatsApp.

Doorgaans wordt niet aan deze eis voldaan en gebruiken organisaties WhatsApp dus illegaal.

Juristen in Groot-Brittannië en Duitsland

Juristen in Groot-Brittannië en Duitsland adviseren Whatsapp absoluut niet zakelijk te gebruiken als er geen gegevensverwerkingsopdracht is tussen een organisatie en WhatsApp en de contactpersoon van het bedrijf niet heeft ingestemd met het doorsturen van zijn gegevens naar WhatsApp.

Maar ondernemers en medewerkers hebben niet alleen zakelijke contacten. Ze communiceren ook privé. En dat mag wel met Whatsapp. Dat zorgt voor een dilemma. Er vindt vermenging van privé en zakelijk plaats. Zakelijk ben je dan nog steeds in overtreding.

Nederlandse ICT-jurist Arnoud Engelfriet

Hoe denken Nederlandse juristen over het zakelijk gebruik van Whatsapp?

Ict-jurist Arnoud Engelfriet geeft op de website Security.nl elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Op de site reageert hij ook op een vraag over de legitimiteit van zakelijk Whatsapp gebruik binnen de GDPR.

“Namen en telefoonnummers zijn persoonsgegevens”, legt Engelfriet uit. “Het gebruik daarvan valt in principe dan ook onder de Privacyverordening / AVG / GDPR. Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.”

Privacywet niet van toepassing voor huishoudelijke doeleinden

Bij WhatsApp-groepen val je volgens Engelfriet echter mogelijk buiten de privacywet, omdat het vaak gaat om particulieren die die groepen opzetten.

“De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.”

Voorwaarden van WhatsApp

Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp, maar dat boeit weinig zegt Engelfriet. “Toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.”

Kortom: De ervaren Nederlandse ICT-jurist kan geen eenduidig antwoord geven op de vraag of bedrijven Whatsapp nog mogen gebruiken. Bij twijfel niet doen is doorgaans het advies.

Alternatief voor WhatsApp

Maar wat is dan het alternatief voor Whatsapp als bedrijven toch graag intern zakelijk willen kunnen chatten?

In de zorgsector stappen veel instellingen over op de chatapp Yammer van Microsoft. Deze app houdt zich wel aan de Europese privacywet. Er is dus een alternatief. Maar de leercurve voor Yammer is groter dan bij Whatsapp. De chatapp van Facebook is juist bijzonder gebruiksvriendelijk.

Hoeveel organisaties nemen het risico en blijven Whatsapp gewoon gebruiken?

Wie heeft er een goede steekhoudende argumentatie waarmee de toezichthouder overtuigd kan worden?

Meer actueel awareness nieuws