De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men toch onder de Nederlandse Wbp.
WhatsApp en de toezichthouder liggen al een tijdje in de clinch over naleving van de Wbp. In november 2015 werd een besluit opgelegd waarin WhatsApp onder meer toezegde hashing te gaan gebruiken zodat ze alleen nog gegevens kon matchen van gebruikers onderling, en niet meer tevens van niet-gebruikers. “WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek” stond er dan omineus in het persbericht, en nu zien we dat men die betwisting heeft doorgepakt, maar zonder succes.
Het lijkt een formeel puntje. Een bedrijf dat buiten Europa gevestigd is en persoonsgegevens van Nederlanders verwerkt, moet een vertegenwoordiger aanstellen (art. 4 lid 3 Wbp). Het idee daarachter is dat je als Nederlands burger dan makkelijker klachten en claims kunt indienen bij dat bedrijf.
WhatsApp had nooit zo’n vertegenwoordiger gesteld, ik vermoed omdat ze vonden dat ze überhaupt niet onder Nederlands recht vallen (als ze daar al ooit van gehoord hadden, Nederland is de hoofdstad van Denemarken, toch?). Maar de rechtbank bevestigt nu dat dat toch echt moet. Het juridische argument dat onze wet in strijd is met de Privacyichtlijn uit 1995 (omdat het tekstueel niet 100% matcht) gaat van tafel, de Nederlandse regels zijn een prima invulling van de Richtlijn.
Belangrijker vind ik echter het onderliggende punt: WhatsApp valt onder de Wbp, hoewel ze hier geen vestiging of server hebben. Dit vanwege artikel 4 lid 2 Wbp:
Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
Je zou denken dat dat gaat over servers en zo, maar de AP zegt nu – met instemming van de rechtbank – dat dit óók gaat over smartphones. Niet heel verrassend, de Artikel 29-Werkgroep had dat al in 2013 gesteld, maar het is nu door de rechter bevestigd.
Misschien een tikje gek, want die smartphones zijn toch uitsluitend voor persoonlijk gebruik door de consument-eigenaren? Klopt, maar de WhatsAppapp doet meer, die stuurt immers data door naar WhatsApp het bedrijf in de VS die er meer mee doet. Zoals dus dat matchen. En daarom kan WhatsApp niet zeggen dat ze slechts een faciliterend bedrijf (‘bewerker’ in het jargon) is voor de consument.
Ik moest glimlachen bij het verweer “Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.” Want die vertegenwoordiger is dus aansprakelijk voor alle claims en boetes die WhatsApp veroorzaakt, en je zou dus wel gek zijn. Maar, zo merkt de rechtbank ook op, je kunt als vertegenwoordiger prima afspreken dat WhatsApp je schadeloos stelt bij deze claims. Dus nee, ook dat is geen argument.
Alles bij elkaar een best belangwekkende uitspraak, want dit geldt niet alleen voor WhatsApp. Iedere app-exploitant die gebruikerspecifieke data naar de VS laat sturen, is nu verplicht zichzelf in Europa daar verantwoordelijk (en aansprakelijk) voor te stellen.
Arnoud
Zo moeilijk moet het toch niet zijn iemand te vinden die in ruil voor een paar flessen jenever zijn krabbel wil zetten onder een contract waar hij die verantwoordelijkheid aanvaard? Veel succes om boetes te innen bij iemand zonder bezittingen en zonder vaste verblijfplaats. En als die vertegenwoordiger wordt opgesloten neem je gewoon een nieuwe aan, de groep kandidaat vertegenwoordigers lijkt groot genoeg: http://www.nu.nl/binnenland/3660862/aantal-daklozen-in-nederland-gestegen.html
Geldt dat dan ook voor bedrijven zoals strava en runkeeper ? Deze verwerken locatie data en namen. (Alhoewel ze niet meer hebben dan een username /email (eventueel gmail en facebook account voor de login) en wachtwoord.
Aangezien de username/email (eventueel gmail en facebook account voor de login) te herleiden is tot 1 persoon gaat het om een persoonsgegeven in de zin van de WBP. Dus Ja.
Je kunt toch niet, op basis van Nederlands recht, bepalen dat iemand onder Nederlands recht valt? Dan moet je al uit gaan van de a-priori aanname dat iemand onder Nederlands recht valt; zonder die aanname worden je conclusies ongeldig. Alleen als Nederlands recht zou zeggen dat je niet onder Nederlands recht valt kan je een harde conclusie trekken.
Je kunt nu dus alleen stellen dat Whatsap volgens Nederlands recht onder Nederlands recht valt. Op die manier valt iedereen potentieel onder elk recht. Ik kan ook een soevereine staat uitroepen (die natuurlijk door niemand anders wordt erkend), en claimen dat iedereen onder mijn recht valt. Het lijkt erop dat dit alleen betekenis heeft voor zover het consequenties heeft.
Wat zijn de consequenties nu? In de VS zal Whatsapp toch geen consequenties ondervinden? Of hebben we internationale verdragen met de VS die voor handhaving kunnen zorgen? Als Whatsapp de uitspraak negeert, kunnen werknemers van Whatsapp dan nog veilig naar Nederland op vakantie, of worden ze dan hier gearresteerd of zo? Op basis waarvan dan? En aandeelhouders van Whatsapp? Wie ondervinden er wel consequenties?
Natuurlijk wel, waar moet het anders? Elk land heeft wetten die bepalen wanneer je onder hun recht valt. Ik vind daar niets raars aan. Je hebt die wetten nodig om te bepalen of iemand überhaupt onder jouw wetten valt. Volgens wiens regels moet je anders bepalen of NL recht geldt?
Uiteraard heeft zo’n bepaling alleen nut als je er consequenties aan kunt verbinden. WhatsApp kan bestuurlijke boetes krijgen, en die zijn te incasseren omdat allerlei geldstromen van het bedrijf door Nederland gaan. WhatsApp kan ook verboden worden de dienst in Nederland aan te bieden, en dat verbod kan dan via Google’s Play Store en Apple’s App store worden geëffectueerd.
Dat valt maar te bezien, van de telefoons afhalen wordt lastig, de app is gratis. Met uitzondering van de iPhone kunnen ze de app gewoon op hun eigen website zetten en alle android en windows phone gebruikers kunnen die dan installeren. Ik verwacht gezien het marktaandeel dat dit ook gewoon zal gebeuren.
Maar veel makkelijker is het om iemand een BV op te laten richten. Deze handelt alle klachten af en laat zich door WhatsApp betalen voor die dienstverlening. Als je geen vermogen opbouwt in die BV valt er bij claims weinig te halen.
Dat laatste is hetzelfde als geen vertegenwoordiger hebben, en dus voldoet WhatsApp dan alsnog niet aan de Wbp.
Heb je een link naar de vereisten voor een vertegenwoordiger?
WhatsApp heeft het erover dat ze geen commerciële partij hebben kunnen vinden die het risico wil dragen. De rechter schiet het gebruik van een derde niet af maar zegt dat ze die dan maar schadeloos moeten stellen. Je mag het risico dus blijkbaar wel bij een derde onderbrengen.
In het geval van WhatsApp (of gewoon Facebook – waarom wordt Facebook Europa in Ierland niet aangewezen) is het duidelijk dat ze wel degelijk economische activiteit heeft in/gericht op Nederland (en de EU). De WhatsApp gebruikers in Nederland zijn niet alleen bijvangst of touristen uit de verenigde staten. Als zodanig behoort dit onder het lokale (grotendeels Europese) recht te vallen.
Het kan waarschijnlijk nergens anders. De jure kan je denk ik alleen relatieve uitspraken doen, bijv. “volgens het Nederlandse recht valt het onder het Nederlandse recht”, en geen absolute, bijv. “het valt onder het Nederlandse recht”.
Mijn punt is dat dat vaak niet uit maakt, en dat het, zeker in internationale en internet-zaken, meer uit maakt wat er de facto kan. De facto val je onder bepaald recht als dat recht over jou gehandhaafd kan worden. Daarom houdt het recht normaal gesproken op bij de landsgrenzen: voorbij de landsgrenzen kan het recht meestal niet gehandhaafd worden.
Wat voor impact gaat dit hebben op piepkleine websites (zoals mijn eigen), gehost buiten de EU, die ook wel eens gegevens van Nederlanders voor hun kiezen krijgen, van die tien of twintig man die zich aanmelden. Uiteindelijk is dit onwerkbaar, en zal het leidden tot harde grenzen in het internet: elk land zijn eigen “Chinese firewall” met de bijbehorende censuur en dat is uitermate ongewenst. Nu is WhatsApp (nu van Facebook) via zijn verdienmodel gewoon in Nederland te raken, maar dit doortrekken naar elke partij in het buitenland gaat te ver. Laat de Nederlandse consument maar leren dat consumentenbescherming in Europa alleen geldt als je zaken doet met bedrijven in Europa. (Of verwachten we nu serieus ook dat de NL keuringsdienst van waren tentjes in Thailand aan gaat pakken die onhygiënische zaken aan NL toeristen verkoopt.)
Consumenten dit aanleren is echter best lastig. Lang niet is zo technisch onderbouwd als de gemiddelde bezoeker die op dit blog een reactie achter laat. Waar begin je?
Beetje wazige tekst dat vonnis. Volgens de Wbp
Dan moet je het vervolgens niet gaan hebben over (5.3) Die vertegenwoordiger ís immers de verantwoordelijke heb je net er boven vastgesteld. Als in 5.3 geen ‘verantwoordelijke’ maar ‘eiseres’ was gebruikt dan was dat toch een stuk duidelijker geweest ?Ik vind dit niet onduidelijk. De vertegenwoordiger wordt aangemerkt als de verantwoordelijke, dus dat laatste woord verwijst naar die vertegenwoordiger. Maar specifiek waar je het hebt over de relatie tussen de vertegenwoordiger en zijn achterman, vind ik het normaal dat je dan ‘verantwoordelijke’ plakt op de achterman. Maar goed, ik ben verknipt jurist.
Deze uitspraak heeft verregaande consequenties voor Whatsapp. De betreffende regel is immers zuiver EU recht, zodat als de NL rechter gelijk heeft (dat valt dus nog te bezien), WhatsApp onder het recht van alle EU/EER landen valt. Ik vermoed dus dat dit een zaak wordt voor het Europese Hof en dat het laatste woord hier nog niet over gesproken is, dwangsom of niet. Komt bij dat je wel gek ben als je vertegenwoordiger wilt zijn van bedrijven van dit kaliber. Die risico’s zijn onaanvaardbaar groot. Dat soort bedrijven kunnen dus niet anders dan een entiteit in Europa oprichten die fungeert als EU controller (zie ook Facebook), met alle fiscale consequenties van dien. Overigens nog wel een aardig puntje: Hoe wil de AP die dwangsom binnenslepen als er geen vertegenwoordiger in NL is? Bij gebrek aan een verdrag die het innen van dit soort dingen in de VS mogelijk maakt, kan de AP niet anders dan een invorderingszaak beginnen voor een rechter in de VS. Succes zou ik zeggen.
Vergis je niet hoeveel geldstromen er via brievenbusfirma’s door Nederland en Ierland (ook EU) lopen. Daar is prima een invordering op te doen.
Betekent dit dat ook Telegram, Signal, Kik, Tinder, etc. ook vertegenwoordigers in Nederland moeten hebben? En ik neem aan dat er in de WBP niet over een ondergrens aan omzet of aantallen klanten wordt gesproken, zodat ook startende app-bedrijven hieronder vallen? Lijkt me praktisch niet haalbaar.
Ik zie nergens dat de vertegenwoordiger fysiek in Nederland moet zitten. Ik (ianal) vermoed dat het voldoende is, dat er een op praktische wijze ‘aanspreekbare’ (aansprakelijke) vertegenwoordiger is. Dat is toch niet vreemd of onhaalbaar?