Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

12 reacties

  1. Als in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is… Waarom moet er dan in de rest van Europa dan nog per land zo’n zelfde rechterlijke uitspraak komen voordat men stopt met het graaien van deze gegevens? En wat als in een van die landen een andere uitspraak komt?

    1. Ik meen dat als er in een land een uitspraak is, dat dit voor jurisprudentie zorgt in alle andere landen. Dat was ook zo bij het download verbod voor copyrighteed materiaal dat nu ook in Nederland van toepassing is (downloaden van films en muziek was eerst wel toegestaan).

      1. Jurisprudentie ja, maar de rechtszaken moeten nog steeds gevoerd worden en voor je het weet ben je jaren verder voor ze werkelijk effectief gestopt zijn met graaien… Op deze manier wordt het nooit wat met Europa toch?

  2. Mag die Duitse waakhond, net als in Nederland op basis van de WBP, ook een boete per geval opleggen? Dan moeten ze natuurlijk eerst weten óf Facebook de data al heeft gebruikt of niet. Laat ze maar betalen!

  3. Whatsapp is overgenomen door facebook, dus krijgt het daarmee automatisch toegang tot de klantgegevens. Is dat dan hetzelfde als aan een ander bedrijf geven? En nog anders, geldt dit nu ook voor een willekeurige andere bedrijfsovername? Dus stel webwinkel A neemt webwinkel B over. Dan is het klantenbestand 1 van de meest waardevolle assets, maar mag webwinkel nu dan wel of niet aan de slag met die gegevens? Of alleen als daar expliciet toestemming voor gevraagd is via een opt-in of de algemene voorwaarden.

    1. Over het algemeen zal die andere winkel het klantenbestand gebruiken voor het doel waar deze voor verzameld was. Bijvoorbeeld omdat met de garantie / service heeft overgenomen, Of de webshop inclusief accounts.

      Het probleem van facebook lijkt mij dat facebook de data voor een heel ander doel dan whatsapp gebruikt en daar heeft Whatsapp geen toestemming voor gevraagd.

  4. Het probleem van facebook is dat ik bijvoorbeeld in mijn contactenlijst een Duitser heb staan met alleen een e-mail adres (zonder een .de TLD). WhatsApp heeft toegang tot die contacten, facebook heb ik geen toegang tot contacten gegeven. Ik zit al sinds die recente aankondiging dat ze data gaan delen te wachten op een bericht van facebook of ik deze persoon ken :/

    En feitelijk zijn ze dan dus in overtreding. De uitspraak betekent simpelweg dat ze de koppeling niet kunnen doen. Ik kan wel toestemming geven als ze er expliciet om zouden vragen. Maar dat betekent niet dat mijn contacten hier akkoord mee gaan. Sowieso zijn al die diensten die je adresboek plunderen om suggesties te doen verdacht. LinkedIn en Google doen hetzelfde met contactpersonen. Dat betekent dus dat ze via mij de persoonsgegevens van mensen opslaan die daar mogelijk geen toestemming voor hebben gegeven. En zwaarwegend belang zie ik niet. Immers als deze mensen facebook willen kunnen ze zich zelf aanmelden, daar hoef ik ze niet voor uit te nodigen.

  5. Hoe weet je eigenlijk dat het over Duitsers gaat?

    Wat is de reikwijdte van die Duitse Wbp? Heeft die inderdaad specifiek betrekking op persoonlijke gegevens van gebruikers met de Duitse nationaliteit? Of van alle gebruikers van een gegevensbeheerder die in Duitsland is gevestigd? Of van gegevens verwerkt in Duitsland, of verkregen door gebruik in Duitsland, of gebruikt in Duitsland? Of nog iets anders? Hoe weet je dat?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.