Klantenservice via Whatsapp is in strijd met de AVG. We leggen uit waarom

Steeds meer bedrijven bieden de mogelijkheid om via WhatsApp contact op te nemen. Dat lijkt een prima service, maar het is in strijd met de privacywet. We leggen uit waarom.

De klanten van sommige verzekeraars kunnen bijvoorbeeld via WhatsApp een kopie van een schadeformulier, factuur of contract naar een mobiel telefoonnummer van de klantenservice sturen. Geen gedoe met het schrijven mail. Lekker handig. Maar het mag niet.

Er zijn vier problemen op het gebied van gegevensbescherming:

  • De overdracht van contacten van het adresboek van de gebruiker naar WhatsApp.
  • De overdracht van persoonlijke gegevens naar de VS.
  • Het gebruik van persoonlijke informatie door WhatsApp.
  • De overdracht van gebruikersgegevens naar andere bedrijven van de Facebook-groep

De rechtmatigheid van het gebruik van WhatsApp door bedrijven wordt geregeld door Algemene Verordening Gegevensbescherming (AVG).

De overdracht van contactgegevens van het adresboek naar WhatsApp is al regelmatig verboden.

De verantwoordelijkheid voor het indienen van adresboekgegevens bij WhatsApp ligt bij het individuele bedrijf dat WhatsApp gebruikt om te communiceren.

Overeenkomstig artikel 6, lid 1, AVG is voor een dergelijke overdracht een rechtsgrondslag of toestemming vereist.

Met betrekking tot de contactgegevens van personen die reeds gebruik maken van de WhatsApp-dienst, is artikel 6, lid 1, onder f), van de groepsvrijstellingsverordening van toepassing op niet-publieke organen.

Een legitiem belang van de gebruiker bij de overdracht van contactgegevens van WhatsApp kan worden geïmpliceerd met betrekking tot de reeds geregistreerde gebruikers van de Messenger-dienst.

Zelfs als een legitiem belang bij het overdragen van contactgegevens aan WhatsApp wordt bevestigd, zal een belangenafweging niet in het voordeel van een overdracht zijn, tenminste als de contactgegevens ook worden overgedragen door personen die WhatsApp niet gebruiken. Veel getroffenen maken bijvoorbeeld helemaal geen gebruik van een Instant Messenger-dienst of gebruiken een andere dienst.

De contactgegevens van deze personen kunnen daarom alleen worden doorgegeven met effectieve toestemming overeenkomstig artikel 6, lid 1, onder a), juncto artikel 7 en 8 AVG.

Deze zal niet regelmatig beschikbaar zijn voor de overdracht van gegevens uit het adresboek van de smartphone.

Hoewel het denkbaar is om toestemming van de betrokkenen te verkrijgen, zal dit regelmatig niet uitvoerbaar zijn.

Bovendien, als slechts één persoon van wie de gegevens in het adresboek zijn opgeslagen de toestemming weigert, is het niet langer mogelijk om het adresboek op basis van toestemming te verzenden, tenzij het contact zonder toestemming eerder uit het adresboek is verwijderd.

Voor de functionaliteit zijn deze overdracht naar WhatsApp en de volledige afstemming van alle contactgegevens die in het adresboek zijn opgeslagen, niet verplicht.

Dit wordt aangetoond door tal van andere Messenger-diensten met alternatieve manieren om contact op te nemen met andere gebruikers van dezelfde Messenger-dienst, zoals een QR-code.

Als andere Messenger-diensten dezelfde matchingprocedure uitvoeren als WhatsApp, zullen ten minste enkele van hen de niet-geregistreerde contactpersonen onmiddellijk na de negatieve match verwijderen, volgens hun eigen informatie.

  • Ten eerste is het denkbaar dat een smartphone met een leeg adresboek wordt gebruikt. 
  • Ten tweede is het mogelijk om de toegang tot contacten via de WhatsApp-toepassing uit te sluiten via instellingen, bijvoorbeeld in het Android-besturingssysteem van smartphones vanaf versie 6.0.

 

Vooral bij deze configuratie van de smartphone is de functionaliteit van de applicatie als volgt beperkt:

  • Als WhatsApp na de installatie geen toestemming krijgt om toegang te krijgen tot de contactpersonen, maar voor de eerste toepassing, kan de gebruiker niet zelfstandig met de communicatie beginnen, maar alleen zelf contact met hem opnemen.
  • Het is niet mogelijk om handmatig een telefoonnummer in te voeren dat gebruikt moet worden voor communicatie.
  • Als WhatsApp later toestemming krijgt om toegang te krijgen tot de contactpersonen, worden de telefoonnummers van de contactpersonen overgezet naar WhatsApp.

 

Een gebruik van WhatsApp zonder overdracht van telefoonnummers is daarom alleen mogelijk als de toegang tot de contacten direct na de installatie permanent wordt gedeactiveerd.

De overdracht van persoonlijke gegevens naar de VS is over het algemeen gerechtvaardigd bij WhatsApp, omdat WhatsApp deelneemt aan het zogenaamde Privacy Shield.

De Privacy Shield Agreement is momenteel van kracht en vormt derhalve een geldige rechtsgrond.

Op basis van het Privacy Shield heeft de EU Commissie besloten dat persoonsgegevens naar de VS mogen worden overgedragen indien het ontvangende bedrijf zich heeft gecertificeerd, d.w.z. zich heeft verplicht tot naleving van de principes van het Privacy Shield, en als actieve deelnemer is opgenomen op de website van het Amerikaanse ministerie van Handel.

Op basis van het privacyschild kunnen persoonsgegevens naar de VS worden overgedragen overeenkomstig artikel 45, lid 3 AVG.

Daarom zijn er momenteel geen bezwaren tegen de overdracht van persoonsgegevens aan de VS tijdens het gebruik ervan.

Er wordt echter al geruime tijd op hoog niveau gepraat over de rechtmatigheid van het privacyschild. Het risico bestaat dat de Privacy Shield Agreement voor de rechter wordt aangevochten en door het Hof van Justitie onverbindend wordt verklaard. Dit is al gebeurd met zijn voorganger, de zogenaamde Safe Harbour Agreement.

Het gebruik van WhatsApp is in ieder geval een inbreuk op Art. 25 lid 1 AVG.

Het vereist dat de voor de verwerking verantwoordelijke passende en evenredige technische en organisatorische maatregelen neemt, zowel op het moment dat de verwerkingsmethoden worden vastgesteld als op het moment van verwerking, om de beginselen inzake gegevensbescherming effectief toe te passen.

Dit betekent dat de keuze van de verwerkingsmethoden zodanig moet worden gemaakt dat bij het gebruik van de verwerkingsmethoden aan de basisgegevensbeschermingsverordening kan worden voldaan.

De selectie van WhatsApp vormt een inbreuk op deze verplichting. Enerzijds is de regelmatige overdracht van gegevens uit het contactboek in strijd met het beginsel van de gegevenseconomie in artikel 5, lid 1, letter c AVG.

WhatsApp biedt niet de mogelijkheid om deze overdracht uit te schakelen, te beperken tot individuele contactgroepen of anderszins de overdracht te configureren.

Ten tweede selecteert WhatsApp een serviceprovider die persoonlijke gegevens verwerkt op een manier die niet in overeenstemming is met de toepasselijke wetgeving.

WhatsApp verklaart in haar Privacybeleid zelf dat zij de informatie waarover zij beschikt gebruikt voor doeleinden die nauwelijks beperkt zijn.

Meer actueel awareness nieuws

Verificatiecodes WhatsApp niet doorsturen! Cybercriminelen proberen zo toegang te krijgen tot je WhatsApp

Het consumentenprogramma Radar waarschuwt geen verificatiecodes voor WhatsApp door te sturen. Cybercriminelen proberen zo toegang te krijgen tot je WhatsApp.

In een appje, zogenaamd van een kennis, staat dat een WhatsApp-verificatiecode per ongeluk naar jou is verzonden.

De ‘kennis’ vraagt jou om die code naar hem door te sturen.

Doe dat niet, waarschuwt Radar. Het is een truc van cybercriminelen die steeds vaker gebruikt wordt om toegang te krijgen tot WhatsApp-accounts.

Je WhatsApp-account is gekoppeld aan je telefoonnummer via zo’n verificatiecode.

Als je je telefoonnummer voor WhatsApp wil wijzigen, moet je dat bevestigen met een code die je via een sms-bericht ontvangt.

Wanneer je de verificatiecode doorstuurt, kunnen fraudeurs via jouw WhatsApp-account praten met jouw contacten.

,,Ze maken zo misbruik van de vertrouwensrelatie, en kunnen bijvoorbeeld namens jou betaalverzoeken verzenden”, aldus cybercrime-expert Elmer Lastdrager.

Fraudeurs kunnen bijvoor­beeld namens jou betaalver­zoe­ken verzenden.

Heb je de code toch doorgestuurd? Verwijder dan de app en installeer hem opnieuw. Je krijgt dan weer een verificatiecode om de app aan jouw nummer te koppelen.

Doe dat zo snel mogelijk, benadrukt Lastdrager. ,,Hoe sneller je erbij bent, hoe minder kans dat er via jou berichten worden verspreid.”

Meer actueel awareness nieuws

Alternatieve privacyvriendelijke messenger- of chat apps voor Whatsapp

Chatprogramma’s als WhatsApp zijn onderdeel geworden van het dagelijks leven van mensen. En bedrijven zien de programma’s nu als een substituut voor e-mail communicatie.

Maar er is een probleem… Whatsapp staat sinds de invoering van de AVG ter discussie.

Zijn er alternatieve chatprogramma’s die wel aan de nieuwe Europese privacywet voldoen? Jazeker! We zetten ze op een rij.

Welke chatdienst is de beste op het gebied van gegevensbescherming?

Negen van de tien mensen maakt op zijn smartphone of computer gebruik van een chatdienst waarmee korte berichten kunnen worden verstuurd.

90 procent van de gebruikers geeft aan dat de beveiliging van hun gegevens voor hen een belangrijk criterium was bij het selecteren van de chatdienst.

Gelet op het grootschalige gebruik van Whatsapp is de wens daarbij wellicht de vader van de gedachte, omdat mensen in de praktijk hun strenge criteria dan toch niet toepassen.

WhatsApp is een drukke gezellige kroeg en de concurrentie een rustig dorpshuis

Enerzijds omdat vrijwel iedereen gebruik maakt van Whatsapp en het dan niet praktisch of zinvol is om zelf gebruik te maken van een andere dienst. Vergelijk het met een druk cafe waar al je vrienden en collega’s naar toe gaan, terwijl jij naar een rustig buurthuis gaat. Dan komt er van communicatie en netwerken met jouw contacten in de rest van de wereld weinig terecht.

Welke chatdienst is de beste op het gebied van gegevensbescherming?

Anderzijds weten veel mensen ook niet welke alternatieve diensten er zijn. Als organisaties medewerkers voor zakelijke doeleinden verplichten om gebruik te maken van een alternatieve privacyvriendelijke chatdienst heeft dat waarschijnlijk wel impact op het gebruik van die diensten.

Het is dus kortom handig om een overzicht te hebbern van alternatieve messengerdiensten die Whatsapp kunnen vervangen.

De website Secure Messaging kan daarbij helpen. Deze site heeft een aantal populaire alternatieve messengerprogramma’s vergeleken.

Secure Messaging vergelijkt de volgende chatdiensten:

Vergelijking messengers richt zich op gegevensbescherming en privacy

De nadruk bij de vergelijking ligt in de eerste plaats op aspecten die verband houden met gegevensbescherming en de privacy van gebruikers. De verschillende functies en mogelijkheden spelen een minder grote rol.

Bij elke app wordt  in kaart gebracht hoe het zit met de juridische consequenties op basis van internationale wetten. Daarbij is het niet verwonderlijk dat de VS in negatieve zin vooroplopen. De Amerikanen geven lokale opsporingsautoriteiten verregaande bevoegdheden om gebruikersadministratie en -gegevens te controleren.

Waar wordt de data opgeslagen? In Europa?

Secure Messaging heeft ook de locaties van de verschillende datacenters in kaart gebracht met hun respectievelijke wettelijke randvoorwaarden. Op dit punt valt de App Threema op. Het datacenter en het hoofdkantoor bevinden zich in Zwitserland.

Versleuteling van chats en anoniem gebruik

De uitgebreide tabel van Secure Messaging helpt bij het kiezen van een messengerdienst of app die past binnen jouw  bedrijfsomgeving.

De vergelijking laat ook zien of messengerdienst de verzonden berichten versleutelt of dat anoniem gebruik van de app mogelijk is.

Heeft de messengerdienst toegang tot jouw gegevens? Kan er meegelezen worden?

Bij de keuze van een messengerdienst is het in het bijzonder van belang om aandacht te besteden aan de vraag of de exploitanten van de dienst de berichten van de gebruikers kunnen lezen.

Threema uitstekend alternatief voor WhatsApp

Als bedrijven en gebruikers hun keuze voor een chatdienst daadwerkelijk primair zouden maken vanuit het oogpunt van beveiliging van gegevens, dan zou Threema de eerste keuze zijn.

Meer actueel awareness nieuws