Is whatsappen nu ook al een datalek?

whatsappDe datalekken vliegen je om de oren de laatste tijd. En om een of andere reden zit WhatsApp daar hoog in de buzz. Je communiceert dan immers over een kanaal beheerd door een derde, en niet zomaar een derde maar een perfide Amerikaanse imperialist met allerlei snode aftap- en profilingplannen. Dat moet toch haast wel een datalek zijn?

Voor een datalek dat moet worden gemeld gelden vier eisen (eisen 3 en 4 bepalen of gemeld moet worden):

  1. Er is sprake van een inbreuk op de beveiliging. Dat kan gaan om een inbreuk op techniek (een inbraak, een geraden wachtwoord) of een organisatorisch falen (zonder kaartje naar binnen kunnen, geen toezicht op een dossierkast) maar er moet iets van een beveiliging zijn en die moet geschonden worden.
  2. Het moet gaan om persoonsgegevens. Andere gegevens, hoe waardevol ook, kunnen geen datalek in de zin van de wet opleveren.
  3. Er moet een aanmerkelijke kans zijn dat de persoonsgegevens misbruikt worden. Is misbruik slechts een theoretisch risico, dan is het lek geen datalek.
  4. Betrokken personen moeten er nadeel van (kunnen) ondervinden. Die lat ligt niet hoog, maar hij is hoger dan nul. Nadeel kan zijn reputatieschade, oplichting en dergelijke maar ook dingen als moeten ruziën over dat je had betaald (de betalingsbewijzen waren gewist, ook een datalek).

Een conversatie voeren via WhatsApp zie ik op zich niet als een datalek. Als beide partijen ervoor kiezen hun eigen gegevens via dit kanaal te verstrekken, dan zie ik dat niet als een inbreuk op de beveiliging. Ze aanvaarden dan beiden de kans dat er iets mis kan gaan, en zien dat kennelijk als acceptabel.

Kiezen ze ervoor om andermans gegevens te verspreiden, zoals artsen wel deden, dan wordt het iets schemeriger. Die ander heeft niet gekozen voor het kanaal. Bovendien haal je je in die situatie nog een extra verplichting op de hals: je besteedt dan een stukje verwerking van andermans persoonsgegevens uit bij WhatsApp Inc, en de wet eist dat je dan een bewerkersovereenkomst sluit waarin je rechten en plichten vastlegt. Volgens mij kán dat niet eens met WhatsApp.

Toevallig kwam ik dit Linkedin-bericht tegen waarin Gjerryt Leuverink beschrijft hoe zorginstelling ’s Heeren Loo Zorggroep graag dichtbij en gastvrij wil zijn; ook digitaal. Daarom gebruikt men WhatsApp als communicatiemiddel. Dat leverde de nodige kritiek op, maar zoals Leuverink reageert:

Waar het om gaat is dat iemand die een appje stuurt aan een ander daarmee indirect toestemming geeft aan WhatsApp om ‘iets’ met dat berichtje en de twee betrokken 06-nummers te doen. Als je dat niet wilt, moet je niet WhatsAppen. Als je dat wel wilt, moet je bewust de app installeren, bewust je nummer koppelen en de voorwaarden accepteren, bewust een nummer toevoegen aan je contacten daar dan bewust een berichtje naartoe sturen.

Maar ik kan als jurist niet ontkennen dat er toch stevige juridische bezwaren te verzinnen zijn. Die bewerkersovereenkomst is nu eenmaal echt een ding, en zeker als je gegevens van anderen (zoals die artsen) gaat versturen dan zit je met een levensgroot toestemmingsprobleem. Alleen: is dat erg?

We komen dan weer terug bij de al vaker gevoerde discussie: mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen? Want als we de privacywet hard inzetten, dan moet je stoppen met WhatsApp. Dan kun je de Amerikaanse cloud gelijk uit en houden er ook een heleboel andere dingen op. Maar ga je mee in elke nieuwe hippe innovatie, dan kunnen we privacy wel afschrijven want wat dóen al die startups met persoonsgegevens en hoezo is het normaal dat een Amerikaans-wollig document dat “Privacy Policy” heet genoeg is om onze mooie wetgeving opzij te zetten? Ik ben er nog steeds niet uit wat nu de beste insteek is.

Arnoud

24 reacties

  1. De argumentatie dat we dit allemaal bewust zouden doen is naief. Gjerryt Leuverink kan wel zeggen dat je daar bewust mee om moet gaan, maar daar zit hem nou juist de crux in dit verhaal. Het communiceren over WhatsApp wordt zo normaal gevonden, dat het voor veel mensen niet duidelijk is wat de exacte impact is. Het is privé punt. Dat er ook iemand “mee kan kijken” wordt vaak helemaal buiten beschouwing gelaten. Wat betekent zo’n bewerkings overeenkomst? Wat staat er in de algemene voorwaarden? Als die vragen niet beantwoord kunnen worden, kan je er vanuit gaan dat dit niet bewust geïnstalleerd is. “Iedereen gebruikt het” is de reactie en daarmee is het klaar. Daarom moeten we fel reageren op het delen van privé gegevens via apps van bedrijven zoals WhatApp (Facebook), want diens motieven zijn niet het beschermen van deze gegevens, maar juist het delen daarvan en daar dik aan verdienen.

    1. Je hebt wel een punt Sander, maar toch wil ik daar 2 belangrijke andere tegenover zetten:

      1) Het is niet naïef bedoeld. Als we vinden dat het anders moet met WhatsApp wil ik daar best in meegaan, maar dat moet je dan niet verlangen van willekeurige organisaties of ‘de schuld’ bij die organisaties neerleggen. Dat zou lekker makkelijk zijn: we kunnen (willen?) WhatsApp niet aanpakken als overheid, dus leggen we de rekening wel bij ‘de organisaties’. Wat los je daarmee op? 2) Het valt me op dat social media (en met name WhatsApp) er dan flink van langs krijgen. Maar wat dan als jij via Google zoekt naar iets (wordt opgeslagen) of Gmail / Hotmail gebruikt? Moet NS dan bijvoorbeeld mailtjes van een @gmail-adres blokkeren omdat het vluchtnummer waarover zij een vraag stellen wordt opgeslagen bij Google?

      1. Het is ook lekker makkelijk om dit bij de overheid neer te leggen. De overheid die what’s app moet aanpakken, daar verwacht ik weinig van (op welke basis? / met welke middelen? / hoe zie je dat voor je?). Moet er dan per dienstverlener een wet worden gemaakt wat er wel in niet mee mag… Ik vind het best redelijk dat je van bedrijven en organisaties eist dat ze hun verantwoordelijkheid nemen voor gebruik van communicatiemiddelen met afdoende oog voor privacy en beveiliging. Of en wanneer what’s app onvoldoende is kan ik niet helemaal beoordelen, maar het voelt bij mij zeker bij verstandelijk gehandicapten niet lekker om te zeggen:

        Als zij dat via social media (of WhatsApp) willen doen is dat aan hen.

        Je zou in deze toch verwachten dat de organisatie de verantwoordelijkheid neemt. Ik krijg dan ook enorme jeuk van communicatieadviseurs die in dit verband aangeven:

        want ik wil niet ‘betuttelen’

        Waarom moet alles via systemen van derden? Zijn er geen standaard anonieme secure chat mogelijkheden in de zorg, om via de webpage van de zorgverlener, zonder app en met de eigen server the kunnen communiceren? Dat lijkt nog laagdrempelliger en veiliger.

        Vraag me overigens ook af hoe lang het eerste contact duurt (hoeveel berichten) en wat dan de tweede kanalen kunnen zijn die men wel en niet veilig acht?

        1. WhatsApp wordt door 1 miljard wereldburgers gebruikt waarvan 10 miljoen (!) Nederlanders. Dat maakt het maatschappelijk relevant en dan is de overheid vertegenwoordiger namens ons allemaal richting partijen als Facebook / WhatsApp. Dat is niet ‘makkelijk’ – het is zelfs gecompliceerd – maar zo werkt het nu eenmaal. Het enige dat wij bij ’s Heeren Loo doen, is – onder andere! – dit kanaal aanbieden voor het eerste klantcontact. Daarna worden mensen bijvoorbeeld teruggebeld en als ze cliënt bij ons worden, zijn er andere systemen om data veilig op te slaan. Zorg moet dichtbij en laagdrempelig georganiseerd zijn, daarom kiezen wij de kanalen die mensen al (veel) gebruiken in plaats van ze te verplichten iets anders te gebruiken. En geloof me: als je een verstandelijke beperking hebt, niet zo goed durft te bellen of niet zo handig bent met websites – en je WhatsAppt al met je zusje en een paar vrienden, kan het heel fijn zijn om de zorgorganisatie even een appje te sturen: ‘Hallo – hebben jullie ook begeleid wonen in Amersfoort?’. Wij appen dan: ‘Daar kunnen we je wel mee helpen, mag iemand je hier even over terugbellen?’.

          1. Het voordeel van zo’n gratis en veelgebruikte dienst is wel duidelijk, maar het is de vraag of we de nadelen ook begrijpen. What’s App moet ook geld verdienen en ik vraag me af hoe hoog de privacy van europese burgers op hun prioriteitenlijst staat.

            Stel dat de (bijna) klanten van s’HL (of hun contacten met een beperking) nu door derde partijen met zeer getargette réclames worden verleid tot onverantwoordelijke aankopen, zijn je klanten dan geholpen?

            De overheid heeft besloten de verantwoordelijkheid (ook) bij organisaties neer te leggen (en dat lijkt me best verstandig) en een organisatie als s’HL heeft dan wellicht een bewerkersovereenkomst nodig. Vraag is of s’HL door dit soort punten te negeren dapper of juist roekeloos is. Omdat bezwaren onvoldoende begrepen lijken te worden en weggewuifd worden door totale aantallen gebruikers te noemen, neig ik daarom toch iets meer naar laatste.

            Er zijn toch ook alternatieven: klant die what’s-appt vindt de benodigde contactgegevens waarschijnlijk op de website. Ik zie daar ook een mogelijkheid om via de website contact op te nemen, maar dat nodigt niet echt uit: er is veel meer info in te vullen dan bij een What’s appje en de vraag komt pas op het laatst. Eerst een veld voor een vraag en dan een voor e-mail adres en daarna eventueel nog wat optionele velden voor extra gegevens lijkt me al een stuk prettiger. En wellicht een beveiligde verbinding: verstandelijk gehandicapten kunnen ook behoefte hebben aan privacy …

  2. Je vierstappentoets is te streng. De Autoriteit Persoonsgegevens (AP) zegt:

    Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

    We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

    Is aan jouw voorwaarden een en twee voldaan, dan is er sprake van een datalek in de zin der wet. Vragen drie en vier zijn van belang bij de afweging of gemeld moet worden aan de AP en of daarnaast alle betrokkenen in kennis moeten worden gesteld. Zie bladzijde vier en vijf van de Beleidsregels.

    Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

    Overigens sta ik een tamelijk strikte toepassing van de privacyregels voor. Het is m.i. juist de bedoeling om paal en perk te stellen aan het ongebreidelde gebruik van persoonsgegevens ‘omdat het nu eenmaal kan’. De gegevenseigenaren – dat wil zeggen degenen op wie de informatie betrekking heeft, niet degene die die informatie bijhoudt – moeten weer daardwerkelijke zeggenschap krijgen over wat er met die informatie gebeurt. Gebruik door derden is niet erg, maar dat moet dan wel in nauw overleg met de betrokkenen gebeuren.

  3. Interessant stuk. Wat mijn ziens het grootste privacy issue van Whatsapp is, is dat je helemaal niet de app hoeft te installeren, en de gebruiksvoorwaarden te accepteren, om je informatie (naam en telefoonnummer) kwijt te raken aan whatsapp. Aangezien whatsapp toegang vraagt aan gebruikers tot hun gehele contactenlijst, is de enige vereiste dat je één iemand kent die whatsapp gebruikt, die mijn nummer in zijn telefoonboek heeft staan, en voila: whatsapp/Facebook heeft mijn gegevens en kan daar volgens de voorwaarden mee doen wat zij willen. Is dat geen schending van je privacy? Of zie ik dat verkeerd?

      1. Het Cbp is wel erg meegaand met WhatsApp. Aan de ene kant stelt het Cbp in haar onderzoek (p.31) vast dat de wijze van hashen van telefoonnummers die WhatsApp gebruikt, onvoldoende is omdat WhatsApp de hash-formule kent en daarmee eenvoudig een opzoektabel kan genereren waarmee de opgeslagen gehashte identifiers weer herleid kunnen worden tot het oorspronkelijke telefoonnummer. Aan de andere kant accepteert het Cbp kritiekloos de opvatting van WhatsApp dat het opzoeken of iemand die in de contactenlijst voorkomt ook een WhatsApp gebruiker is door alle telefoonnummers maar naar WhatsApp op te sturen, noodzakelijk is voor de dienst. Dat dat laatste geenszins nodig is om een messagedienst op te zetten laat bijvoorbeeld Threema zien.

        mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen?

        Het is niet zozeer de innovatie die over de privacy heen dendert, als wel de gemakzucht. De gemakzucht van ontwikkelaars, die geen zin hebben om een uurtje na te denken over privacyaspecten. Gemakzucht van een onderneming als WhatsApp, die het de gebruikers zo makkelijk mogelijk maken wil (en misschien ook nog commerciële mogelijkheden in “hergebruik” van de persoonsgegevens ziet) . De gemakzucht van de gebruikers van WhatsApp die een beetje privacy van anderen schenden niet zo erg vinden, zolang ze zo zelf maar snel aan de slag kunnen.

        Privacy staat innovatie niet in de weg, zie bijvoorbeeld Threema.
  4. Ik denk dat het probleem vooral zit in het medisch gebruik van WhatsApp. De richtlijnen voor artsen voor het versturen van medische gegevens stellen eisen (versleutelen, secure servers) aan de communicatie met en over patiënten. Ik kan mij niet voorstellen dat WhatsApp daaraan voldoet of je zou er misschien eigen encryptie aan toe moeten voegen.

  5. Moet je ook een bewerkersovereenkomst afsluiten met telecomproviders (fax/telefoon) , postbedrijven en koerierdiensten (brieven en pakketjes), emailproviders en andere derden die je gebruikt voor bedrijfsmatige communicatie waar persoonsgegevens bij betrokken zijn (en uitgezonderd van een klant aan de balie is dat eigenlijk iedere vorm van communicatie)?

    1. Je hebt al het briefgeheim en telecomproviders mogen alleen in specifieke gevallen meeluisteren (bijv. bij het oplossen van storingen) en de betrokken medewerkers hebben een geheimhoudingsplicht.

      Het gebruik van een encrypted VPN bij communicatie over het open Internet kan natuurlijk geen kwaad.

  6. Je laatste alinea is interessant, maar geeft toch blijk van een aanname die niet noodzakelijk klopt:

    ‘mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen?’ ‘Maar ga je mee in elke nieuwe hippe innovatie, dan kunnen we privacy wel afschrijven want wat dóen al die startups met persoonsgegevens’

    Hier zit de aanname onder dat innovatie en privacy met elkaar conflicteren. Maar dat is natuurlijk niet zo, dat is alleen zo omdat het WhatsApp niets kan schelen en omdat niemand een WhatsAlternative opzet dat wel aan de wet voldoet.

    Er zijn zoveel innovaties die er juist zijn omdat er een noodzaak is om een wettelijke bepalingen te voldoen. Waarom zou dat hier anders zijn? Innovatie is niet noodzakelijk ‘goed’ (=gewenst)

    Klonen van mensen is ook een innovatie. Maar toch vindt bijna iedereen dat te ver gaan.

    En waarom is dat bij internet/privacyzaken anders? Omdat het de mensen te weinig kan schelen, totdat ze er zelf het slachtoffer van worden. De wet stoort de mensen.

    De vraag die je dan kunt stellen is of je wel zo’n wet moet hebben als het de mensen toch niet boeit (dat is de betuttelende overheid) of dat je de mensen tegen zichzelf in bescherming moet nemen (dat is de beschermende overheid).

    Een beetje hetzelfde als vuurwerk halen uit Belgie. Dat was tientallen jaren een non-issue, alleen de laatste paar jaar keert het tij.

  7. Hippe innovatie/communicatie en privacy hoeven elkaar toch niet te bijten? Dat is een groot misverstand.

    Een multinational en privacy, die bijten elkaar natuurlijk wel. Want gratis staat daar voor betalen met je persoons- en gebruiksgegevens.

    Maar waarom zou je als zorginstelling niet kiezen voor een chat-applicatie die de privacy juist wel beschermd. Laten we zeggen chatsecure. https://guardianproject.info/apps/chatsecure/

    Dat is ontworpen om veilig met elkaar te chatten: de inhoud is beveiligd en de metadata wordt niet opgeslagen. (geen idee hoe daarop wordt toegezien, maar de sector zou dat in eigen hand kunnen nemen en het CPB toezicht laten houden) En is het instellen van Chatsecure ingewikkeld? Dat valt erg mee lijkt me. Zo min mogelijk opslaan, of zo min mogelijk willen weten is toch het beste uitgangspunt als je privacy wil waarborgen.

    1. Bedankt voor de link. Punt is wel dat je laagdrempellig wilt zijn in het scenario van de hulpvraag door verstandelijk beperkte. Als je eerst een (onbekende) app moet installeren en wellicht ook nog configureren zou ik zelf in veel gevallen ook snel afhaken. Dat wordt anders als zo’n systeem kritische massa zou krijgen … Misschien kunnen overheden daarvoor betere randvoorwaarden creeren.

      1. Kritische massa of kritische principes.

        We weten allemaal dat de put gedempt wordt als het kalf verdronken is. Natuurlijk heeft Whatsapp een natuurlijk vliegwiel, het ongebreideld overnemen van een adresboek leidt tot een lage drempel voor in gebruik nemen.

        Maar verdienen verstandelijk gehandicapten juist niet bescherming als het privacy betreft, en als het moeite kost, dan dient juist die zorginstelling even te helpen met het installeren van een privacy veilige app.

        Waarom juicht iedereen een infrastructuur toe die laagdrempelig is en waarin de moeilijke beslissingen zogenaamd niet genomen hoeven te worden, omdat de multinational ze neemt (u een gratis dienst, wij een eeuwigdurende licentie tot hergebruik op alles wat u doet, zegt of schrijft, inclusief waar u bent of wie u kent . (w.o. de ziekte waaraan u leidt en wie u behandelt) Dat is toch een slechte deal (voor een gehandicapte).

        Kijk eens naar een 2Doc documentaire over Datahet nieuwe goud. Daarin komt naar voren dat lijsten verhandeld worden met personen die aan een bepaalde ziekte/handicap leiden. Allemaal doordat zorginstellingen/ziekenhuizen niet goed met privacy/trackers/adds/apps omgaan.

    2. Naast chatsecure kan ik ook nog twee voorbeelden van privacy-vriendelijke innovatie in de zorg geven, een technische en een zorginhoudelijke die technisch ondersteund is. Beiden van Nederlandse bodem: Kanta Messenger, een gratis whatsapp-achtige app die geheel voor de zorg ontwikkeld is. En JouwOmgeving, een eigen dossier omgeving voor licht verstandelijk gehandicapte jongeren. Die is ontwikkeld in samenwerking met zorginstellingen die het essentieel vinden dat de jongeren ook inzage krijgen in en controle krijgen over hun eigen gegevens. Die combinatie van technische en zorginnovatie werkt in de praktijk heel goed.

      1. Zonder cynisch te willen zijn. Wat is het voordeel van een gratis whats-app-achtige app die geheel voor de zorg is ontwikkeld, boven een app die open source is met open standaarden werken, en die niet alleen voor de zorg is ontwikkeld maar voor alles en iedereen? De veilige server?

        En over mijn/jouwOmgeving achtige omgevingen; in het algemeen stikt het daar van javascripts/sociale media widgets die tracken en analyseren. (3rd-party) Javascript en privacy vloekt als de hel, (niet per definitie maar wel in de praktijk) en dat wordt er ook niet beter op, aangezien javascript steeds meer gepushed wordt.

        Wat zou er met de winst van Facebook en Google gebeuren als we allemaal een week Javascript uitschakelen in onze browsers?

        Mailen met gmail door artsen zou eigenlijk ook niet moeten , of ga ik nou te ver?

        1. @Maaziek: mee eens dat er ook met open source veel mogelijk is in de zorg: met een xmpp server en ‘chatsecure’ kom je ook een eind. Wat Kanta wat mij betreft voor heeft op zo een open systeem is het gemak waarmee de eindpunten van de e2e encryptie elkaar kunnen authenticeren.

          Het punt van de 3rd party javascript is reëel. Ik heb vorig jaar onderzoek gedaan naar een 20 tal hulpsites, gemiddeld werden er per site van 3,8 advertentie verkopende organisaties elementen geladen. JouwOmgeving, die ik noemde, zat ook in de test en had als een van de weinigen nul diensten van derden. Bij JouwOmgeving zijn ze zelfs zo ver gegaan dat ze een anonimiseringsproxy hebben draaien, zodat de gebruikers, zonder dat Google ze kan volgen, youtube filmpjes op de site kunnen kijken. Ik vind dat dat soort initiatieven veel meer aandacht moeten krijgen: juist in de zorg kunnen innovatie en privacy heel goed hand in hand gaan.

          1. @Winfried. Chatsecure is net zo ingewikkeld als elke dienst waarvoor je een account aanmaakt, over encryptie en authenticatie hoef je als gebruiker niet eens na te denken.

            Probleeem blijft dat ook 1st javascript kan tracken en lekken (w.o. WEBRTC-api de echte ip-adressen) , daar helpt geen anonimiseringsdienst aan, het enige wat helpt is geen javascript. Dat zou de norm moeten zijn, een minimale functionaliteitsniveau toegankelijk zonder javascript. Helaas wordt je uitgelachen als je dat voorstelt.

  8. Ik mis het onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens, zoals gegevens over iemands gezondheid. Voor het verwerken en doorgeven van gegevens van die laatste categorie geldt: “nee tenzij”. In het geval van ’s Heeren Loo is uit het feit dat er contact is af te leiden dat iemand verstandelijk beperkt is, wat een bijzonder persoonsgegeven is. Dat maakt dat er niet alleen toestemming nodig is, maar ook een wettelijke grondslag of een dwingende noodzaak. Beiden zijn in dit geval niet aanwezig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.