Selecteer een pagina

Klantenservice via Whatsapp is in strijd met de AVG. We leggen uit waarom

Steeds meer bedrijven bieden de mogelijkheid om via WhatsApp contact op te nemen. Dat lijkt een prima service, maar het is in strijd met de privacywet. We leggen uit waarom.

De klanten van sommige verzekeraars kunnen bijvoorbeeld via WhatsApp een kopie van een schadeformulier, factuur of contract naar een mobiel telefoonnummer van de klantenservice sturen. Geen gedoe met het schrijven mail. Lekker handig. Maar het mag niet.

Er zijn vier problemen op het gebied van gegevensbescherming:

  • De overdracht van contacten van het adresboek van de gebruiker naar WhatsApp.
  • De overdracht van persoonlijke gegevens naar de VS.
  • Het gebruik van persoonlijke informatie door WhatsApp.
  • De overdracht van gebruikersgegevens naar andere bedrijven van de Facebook-groep

De rechtmatigheid van het gebruik van WhatsApp door bedrijven wordt geregeld door Algemene Verordening Gegevensbescherming (AVG).

De overdracht van contactgegevens van het adresboek naar WhatsApp is al regelmatig verboden.

De verantwoordelijkheid voor het indienen van adresboekgegevens bij WhatsApp ligt bij het individuele bedrijf dat WhatsApp gebruikt om te communiceren.

Overeenkomstig artikel 6, lid 1, AVG is voor een dergelijke overdracht een rechtsgrondslag of toestemming vereist.

Met betrekking tot de contactgegevens van personen die reeds gebruik maken van de WhatsApp-dienst, is artikel 6, lid 1, onder f), van de groepsvrijstellingsverordening van toepassing op niet-publieke organen.

Een legitiem belang van de gebruiker bij de overdracht van contactgegevens van WhatsApp kan worden geïmpliceerd met betrekking tot de reeds geregistreerde gebruikers van de Messenger-dienst.

Zelfs als een legitiem belang bij het overdragen van contactgegevens aan WhatsApp wordt bevestigd, zal een belangenafweging niet in het voordeel van een overdracht zijn, tenminste als de contactgegevens ook worden overgedragen door personen die WhatsApp niet gebruiken. Veel getroffenen maken bijvoorbeeld helemaal geen gebruik van een Instant Messenger-dienst of gebruiken een andere dienst.

De contactgegevens van deze personen kunnen daarom alleen worden doorgegeven met effectieve toestemming overeenkomstig artikel 6, lid 1, onder a), juncto artikel 7 en 8 AVG.

Deze zal niet regelmatig beschikbaar zijn voor de overdracht van gegevens uit het adresboek van de smartphone.

Hoewel het denkbaar is om toestemming van de betrokkenen te verkrijgen, zal dit regelmatig niet uitvoerbaar zijn.

Bovendien, als slechts één persoon van wie de gegevens in het adresboek zijn opgeslagen de toestemming weigert, is het niet langer mogelijk om het adresboek op basis van toestemming te verzenden, tenzij het contact zonder toestemming eerder uit het adresboek is verwijderd.

Voor de functionaliteit zijn deze overdracht naar WhatsApp en de volledige afstemming van alle contactgegevens die in het adresboek zijn opgeslagen, niet verplicht.

Dit wordt aangetoond door tal van andere Messenger-diensten met alternatieve manieren om contact op te nemen met andere gebruikers van dezelfde Messenger-dienst, zoals een QR-code.

Als andere Messenger-diensten dezelfde matchingprocedure uitvoeren als WhatsApp, zullen ten minste enkele van hen de niet-geregistreerde contactpersonen onmiddellijk na de negatieve match verwijderen, volgens hun eigen informatie.

  • Ten eerste is het denkbaar dat een smartphone met een leeg adresboek wordt gebruikt. 
  • Ten tweede is het mogelijk om de toegang tot contacten via de WhatsApp-toepassing uit te sluiten via instellingen, bijvoorbeeld in het Android-besturingssysteem van smartphones vanaf versie 6.0.

 

Vooral bij deze configuratie van de smartphone is de functionaliteit van de applicatie als volgt beperkt:

  • Als WhatsApp na de installatie geen toestemming krijgt om toegang te krijgen tot de contactpersonen, maar voor de eerste toepassing, kan de gebruiker niet zelfstandig met de communicatie beginnen, maar alleen zelf contact met hem opnemen.
  • Het is niet mogelijk om handmatig een telefoonnummer in te voeren dat gebruikt moet worden voor communicatie.
  • Als WhatsApp later toestemming krijgt om toegang te krijgen tot de contactpersonen, worden de telefoonnummers van de contactpersonen overgezet naar WhatsApp.

 

Een gebruik van WhatsApp zonder overdracht van telefoonnummers is daarom alleen mogelijk als de toegang tot de contacten direct na de installatie permanent wordt gedeactiveerd.

De overdracht van persoonlijke gegevens naar de VS is over het algemeen gerechtvaardigd bij WhatsApp, omdat WhatsApp deelneemt aan het zogenaamde Privacy Shield.

De Privacy Shield Agreement is momenteel van kracht en vormt derhalve een geldige rechtsgrond.

Op basis van het Privacy Shield heeft de EU Commissie besloten dat persoonsgegevens naar de VS mogen worden overgedragen indien het ontvangende bedrijf zich heeft gecertificeerd, d.w.z. zich heeft verplicht tot naleving van de principes van het Privacy Shield, en als actieve deelnemer is opgenomen op de website van het Amerikaanse ministerie van Handel.

Op basis van het privacyschild kunnen persoonsgegevens naar de VS worden overgedragen overeenkomstig artikel 45, lid 3 AVG.

Daarom zijn er momenteel geen bezwaren tegen de overdracht van persoonsgegevens aan de VS tijdens het gebruik ervan.

Er wordt echter al geruime tijd op hoog niveau gepraat over de rechtmatigheid van het privacyschild. Het risico bestaat dat de Privacy Shield Agreement voor de rechter wordt aangevochten en door het Hof van Justitie onverbindend wordt verklaard. Dit is al gebeurd met zijn voorganger, de zogenaamde Safe Harbour Agreement.

Het gebruik van WhatsApp is in ieder geval een inbreuk op Art. 25 lid 1 AVG.

Het vereist dat de voor de verwerking verantwoordelijke passende en evenredige technische en organisatorische maatregelen neemt, zowel op het moment dat de verwerkingsmethoden worden vastgesteld als op het moment van verwerking, om de beginselen inzake gegevensbescherming effectief toe te passen.

Dit betekent dat de keuze van de verwerkingsmethoden zodanig moet worden gemaakt dat bij het gebruik van de verwerkingsmethoden aan de basisgegevensbeschermingsverordening kan worden voldaan.

De selectie van WhatsApp vormt een inbreuk op deze verplichting. Enerzijds is de regelmatige overdracht van gegevens uit het contactboek in strijd met het beginsel van de gegevenseconomie in artikel 5, lid 1, letter c AVG.

WhatsApp biedt niet de mogelijkheid om deze overdracht uit te schakelen, te beperken tot individuele contactgroepen of anderszins de overdracht te configureren.

Ten tweede selecteert WhatsApp een serviceprovider die persoonlijke gegevens verwerkt op een manier die niet in overeenstemming is met de toepasselijke wetgeving.

WhatsApp verklaart in haar Privacybeleid zelf dat zij de informatie waarover zij beschikt gebruikt voor doeleinden die nauwelijks beperkt zijn.

Verificatiecodes WhatsApp niet doorsturen! Cybercriminelen proberen zo toegang te krijgen tot je WhatsApp

Het consumentenprogramma Radar waarschuwt geen verificatiecodes voor WhatsApp door te sturen. Cybercriminelen proberen zo toegang te krijgen tot je WhatsApp.

In een appje, zogenaamd van een kennis, staat dat een WhatsApp-verificatiecode per ongeluk naar jou is verzonden.

De ‘kennis’ vraagt jou om die code naar hem door te sturen.

Doe dat niet, waarschuwt Radar. Het is een truc van cybercriminelen die steeds vaker gebruikt wordt om toegang te krijgen tot WhatsApp-accounts.

Je WhatsApp-account is gekoppeld aan je telefoonnummer via zo’n verificatiecode.

Als je je telefoonnummer voor WhatsApp wil wijzigen, moet je dat bevestigen met een code die je via een sms-bericht ontvangt.

Wanneer je de verificatiecode doorstuurt, kunnen fraudeurs via jouw WhatsApp-account praten met jouw contacten.

,,Ze maken zo misbruik van de vertrouwensrelatie, en kunnen bijvoorbeeld namens jou betaalverzoeken verzenden”, aldus cybercrime-expert Elmer Lastdrager.

Fraudeurs kunnen bijvoor­beeld namens jou betaalver­zoe­ken verzenden.

Heb je de code toch doorgestuurd? Verwijder dan de app en installeer hem opnieuw. Je krijgt dan weer een verificatiecode om de app aan jouw nummer te koppelen.

Doe dat zo snel mogelijk, benadrukt Lastdrager. ,,Hoe sneller je erbij bent, hoe minder kans dat er via jou berichten worden verspreid.”

Whatsapp AVG proof gebruiken binnen jouw organisatie? Kan dat? Ja, maar…

WhatsApp is bijna onmisbaar geworden in veel bedrijven. Interne chatgroepen maken de communicatie tussen medewerkers eenvoudiger. En het is heel gewoon geworden om met klanten te chatten. Sinds de invoering van de AVG op 25 mei 2018 is er alleen een probleem… Voldoet Whatsapp wel aan de privacywet?

Wat mag en wat niet?

Op 25 mei 2018 – de eerste dag dat de AVG van kracht was – werd meteen de eerste klacht over WhatsApp ingediend. De klacht kwam van Maximilian Schrems, bekend van het arrest van het Europees Hof van Justitie (EHvJ) over de Safe Harbour overeenkomst tussen de EU en de VS. Schrems maakt al jaren succesvol jacht op misbruik van persoonsgegevens door Facebook. Met de klacht tegen Whatsapp – een dochteronderneming van Facebook – heeft hij opnieuw de Europese toezichthoudende autoriteiten opgeroepen in actie te komen. En niet voor niets: WhatsApp heeft onlangs de gebruiksvoorwaarden gewijzigd en duidelijk gemaakt dat het gebruiksgegevens doorgeeft aan Facebook. De toezichthouders in Europa hebben ernstige twijfels over de rechtmatigheid van de geactualiseerde gebruiksvoorwaarden van Whatsapp.

Maar wat betekent dat voor bedrijven die WhatsApp gebruiken?

Geen totaal verbod, maar… Wie zakelijk gebruik maakt van Whatsapp stuit wel op een aantal problemen. Het is in verband met de AVG van belang dat daar aandacht aan geschonken wordt.

WhatsApp probleem 1: WhatsApp is een Amerikaanse dienst

Dat is uiteindelijk helemaal geen probleem. WhatsApp Inc. heeft een certificering van het Privacyshield. Zolang het gelijkwaardigheidsbesluit van de Europese Commissie nog geldig is, moet ervan worden uitgegaan dat aan de vereisten voor datatransmissie naar de VS is voldaan.

WhatsApp probleem 2: WhatsApp synchroniseert contactgegevens

Alle contactgegevens worden automatisch overgedragen naar WhatsApp voor elke gebruiker. WhatsApp geeft hierover ook transparante informatie in de nieuwe regelgeving voor gegevensbescherming. Deze doorgifte van contactgegevens kan echter niet conform de AVG op een rechtsgrondslag worden gebaseerd. Het is daarom absoluut noodzakelijk dat alle contacten, met name niet-WhatsApp-gebruikers, hun toestemming geven. WhatsApp zou dat eigenlijk moeten regelen binnen de app. Maar Whatsapp is dat niet van plan te doen. Whatsapp legt de verantwoording bij de gebruiker en verklaart dat iedereen zelf moet zorgen voor het verkrijgen van toestemming van elk contact.

In de praktijk utopisch. Onwerkbaar.

Wat zou jij doen als jij van al je zakelijke contacten nu een verzoek zou krijgen om toestemming te geven voor het gebruik van je contactgegevens in Whatsapp? Net als vlak voor en na de invoering van de AVG met de nieuwsbrieven is gebeurd. Daar ergerden de meeste mensen zich al aan. En dan nog iets. Dat verzoek zou je moeten versturen per e-mail. Per Whatsapp mag niet… Je hebt immers nog geen toestemming.

Hoe dan wel?

Er zijn verschillende oplossingen voor dit probleem. Maar ze zijn niet bepaald praktisch. Een manier is om de toestemming van Whatsapp om gebruik te maken van je contactenlijst in te trekken en contacten handmatig te beheren. Dit werkt echter niet op alle besturingssystemen en is in de praktijk ook niet bepaald werkzaam. Niemand wil een paar uur besteden aan het privacyproof maken van een app. Je hebt wel iets beters te doen met je kostbare tijd.

Mobile Device Management (MDM)

Een containeroplossing of Mobile Device Management (MDM) is eenvoudiger. Tenminste als je verstand van ICT hebt of een ICT-afdeling die je kan helpen. Beide varianten blokkeren automatisch de toegang tot contacten omdat WhatsApp in een aparte omgeving draait.

Eenvoudigste oplossing Whatsapp AVG proof

De eenvoudigste oplossing om Whatsapp AVG proof te maken is waarschijnlijk om een zakelijke smartphone te gebruiken met alleen klanten of contactpersonen in het contactboek die op hun beurt WhatsApp gebruiken. Klinkt heel logisch, maar is in de praktijk natuurlijk praktisch bijna niet te realiseren. Dit werkt alleen heel comfortabel als je voor de eerste keer met Whatsapp begint en alle contacten nog handmatig stuk voor stuk kunt invoeren.

Praktisch of niet, je bent voor de AVG verplicht om een van bovenstaande varianten te kiezen

Feit is dat je voor de AVG verplicht bent om een van deze varianten te kiezen. Anders is de overdracht van contactgegevens naar Whatsapp een duidelijke schending van de nieuwe Europese privacyregels.

WhatsApp probleem 3: Versleuteling van berichten

WhatsApp levert al enige tijd end-to-end encryptie en maakt duidelijk dat het geen toegang heeft tot de versleutelde berichten zelf. De versleuteling is gebaseerd op het signaal van de Open Source Messenger Signal, een concurrent van WhatsApp. Signal wordt overigens al lang beschouwd als een privacyvriendelijk alternatief voor WhatsApp. Er is momenteel geen enkele reden om te twijfelen aan de betrouwbaarheid van de encryptie die WhatsApp gebruikt. WhatsApp heeft geen achterdeur opengelaten. Je mag er vanuit gaan dat berichten die je verstuurt via WhatsApp vertrouwelijk blijven. Onderweg dan. Maar wat gebeurt er met jouw bericht als die op de smartphone van je contact persoon zijn beland?

WhatsApp probleem 4: Toevoegingen komen in het interne geheugen terecht

Als er via WhatsApp bestanden worden verzonden, komen die vaak automatisch in het interne geheugen van de telefoon terecht. Dit is problematisch omdat vaak ook andere apps toegang hebben tot het interne geheugen van de smartphone. Er worden bijvoorbeeld automatische backups gemaakt die opgeslagen worden in de cloud. Sommige apps maken het mogelijk om eenvoudig foto’s te bewerken en te delen met andere diensten. Met het risico dat foto’s ongewenst worden bewerkt of gedeeld met partijen die zich niet aan de privacywet houden en waar je ook geen toestemming voor hebt gekregen. Wat kan er nou misgaan met die foto’s, denk je nu misschien. Nou, los van wie er op de foto staan, geven foto’s ook nog andere informatie prijs. Veel fototoestellen en smartphones slaan op het moment dat je de foto maakt meteen de tijd en locatie waar je je op dat moment bevindt op en koppelen die informatie aan de foto. Aan de hand van de foto kun je dus achterhalen wie waar is geweest op welk moment. Toch wel privacygevoelige informatie.

Automatische opslag WhatsApp in het interne geheugen uitschakelen

Daarom moeten gebruikers de automatische opslag in het interne geheugen uitschakelen. Dit kan via de MDM of via de instelling in WhatsApp zelf (Instellingen > Chats > Save to Recordings / Chat Backup).

WhatsApp probleem 5: Aanmelden bij Facebook

WhatsApp maakt er geen geheim van dat gegevens worden gedeeld met Facebook. WhatsApp is onderdeel van Facebook.

Maar wat wordt er dan gedeeld?

Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers
  • Apparaat- en verbindingsgegevens zoals telefoonnummer, IP-adres en unieke apparaatidentifiers.
  • De plaats waar de gebruiker zich bevindt, mits deze is goedgekeurd.
  • Informatie over het gebruik, zoals de tijd, de frequentie en de duur van het gebruik en of en wanneer de gebruiker de berichten opslaat, leest of beantwoordt.
Dit betekent kortom dat WhatsApp alle metadata verwerkt, maar de inhoud niet beïnvloedt. WhatsApp en Facebook gebruiken de gedeelde informatie voor beveiligingsdoeleinden. Zeggen ze. Tot zo ver dan geen probleem.

Addertje onder het gras van WhatsApp

Maar wat u zakelijk moet doen, is ook rekening houden met de doelstellingen, die in de gebruiksvoorwaarden van WhatsApp en Facebook worden vermeld: WhatsApp deelt de gegevens om…
  • Facebookpagina’s van bedrijven te promoten.
  • Voor direct marketing doeleinden.
  • Om inzicht te krijgen in bedrijven om hun business te verbeteren.
De Europese toezichthouders maken zich grote zorgen als het over deze gebruiksvoorwaarden en de toestemming van de gebruikers gaat. Deze kwestie is ook het onderwerp van de klacht van Maximilian Schrems. Hij wil duidelijkheid van de Europese toezichthouder.

Alternatieven voor WhatsApp

Resumerend. Wie echt AVG proof met WhatsApp wil werken kan dat doen. Maar het is niet eenvoudig. Steeds meer organisaties besluiten daarom om over te stappen op een alternatieve messengerdienst die zonder allerlei haken en ogen voldoet aan de AVG. Het Duitse autoonderdelen bedrijf Continental heeft meteen na de invoering van de AVG al besloten dat er binnen het bedrijf geen WhatsApp meer gebruikt mag worden. Veel zorginstellingen zijn ook overgestapt op andere messenger of chatdiensten. Binnen veel organisaties wordt nagedacht over een alternatief voor WhatsApp. Want WhatsApp heeft de afgelopen jaren wel duidelijk gemaakt dat een chat- of messengerdienst bijzonder zakelijk efficiënt en praktisch is. Maar welke alternatieven zijn er dan voor WhatsApp? En hoe weet je zeker of die wel voldoen aan de AVG? Daar gaan we in de volgende blogpost over alternatieve opties voor WhatsApp op in. Het de in ieder geval de moeite waard om de actuele discussies rond WhatsApp te volgen. Bijvoorbeeld via PrivacyZone. Heb je je al geabonneerd op onze nieuwsbrief?