Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

Een lezer vroeg me:

In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega’s te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?
Dit is weer zo’n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega’s die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega’s dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee he, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen*, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega’s Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega’s elkaar geven. Die – en de privéchats – hebben niets met werk te maken en staan er dus los van.

Arnoud * Ik was vandaag jaar oud toen ik doorhad dat een aktetas een aktetas heet omdat je er aktes in vervoert.


18 reacties

  1. Maar is er wel sprake van persoonsgegevens die in ‘verkeerde’ handen vallen? Meestal betreft het hier zakelijke nummers die ook online te vinden zijn. De chats is bij Whatsapp minder een probleem, omdat die op een nieuw toestel niet automatisch meegaan. Je zult een backup moeten binnentrekken daarvoor. (Andere chat-apps zonder end2end encryptie kunnen wel dit probleem hebben.)

    Verder moet je als werknemer er sowieso rekening mee houden dat het bedrijfstoestel niet jouw eigendom is, en kan belanden bij een andere gebruiker. Bijvoorbeeld als je de werkgever verlaat. De nieuwe gebruiker kan dan ook Whatsapp installeren en toegang krijgen tot jouw Whatsapp account.

    PS. Waarom dacht je dan dat een aktetas zo heet? Toch niet omdat hij analoog aan de rugtas, op aktes werd vervoerd?

    1. Een 06-nummer is een persoonsgegeven, omdat het uitgegeven is aan een persoon. Dit in tegenstelling tot een algemeen nummer (zoals 020-6631941, mijn kantoor) waarbij je niet perse bij één persoon uitkomt. En hier was het echt wel een probleem omdat via een sim hijack het WhatsApp account was overgenomen, dus toegang tot de contactenlijst en de chats door een volstrekt onbevoegde.

      Ik had er gewoon nooit over nagedacht dat die term een juridische etymologie zou hebben.

      1. Het is een persoonsgegeven, dat zeker. Maar wel een die waarschijnlijk openbaar is. Zo is het ook geen datalek, als deze op de website vermeld staat of als de telefoniste deze aan iedereen verstrekt. Is er dan nog wel sprake van een datalek?

        Verder vind ik het opmerkelijk dat men met een SIM hijack de chats kunnen worden uitgelezen. Als dat waar is, is het datalek niet meer in twijfel bij mij. Maar volgens mij kán dat niet met Whatsapp, vanwege de end2end encryptie. Het zou wél kunnen met bijvoorbeeld Telegram.

        Wat ook zou kunnen is dat alleen nieuwere chatberichten dus bij de verkeerde persoon uitkomen. Maar dan zou de schade zeer beperkt zijn: zodra je whatsapp meldt dat je elders bent aangemeld, én dus wordt afgemeld op je eigen telefoon, kun je je gelijk opnieuw aanmelden en wordt de ander weer afgemeld.

        1. Het is volgens mij pas een datalek als gegevens in handen vallen van personen die daar geen toegang toe zouden mogen hebben. Ik denk dat in bepaalde gevallen zakelijke nummers niet de reden kunnen zijn om van een datalek te kunnen spreken. Maar de meeste bedrijven verplichten niet dat hun medewerkers mobiel bereikbaar zijn voor klanten. Stel het gaat om het nummer van een chirurg, voor het via de app versturen van foto’s van een personeelsfeestje bv, en dat lekt uit, dan natuurlijk wel. Die zit er echt niet op te wachten om ‘s nachts door een patiënt gebeld te worden.

    2. je begrijpt wel dat 99% van de gebruikers whatsapp toestemming tot uitlezen contacten heeft gegeven en dat deze zeker met die nieuwe voorwaarden van whatsapp gewoon bij facebook terecht komen? Zowel Signal als Telegram bieden allebei end2end encryption, dus weet ook niet welke andere apps je het over hebt die dat niet hebben. Binnen mijn bedrijf is er een zakelijk whatsapp verbod dit omdat we geen data buiten de EU willen delen en whatsapp duidelijk aangeeft dit wél te doen.

      1. Die toestemming is echter onbevoegd gegeven, omdat je nou eenmaal niet toestemming kunt geven als het gaat om persoonsgegevens van een ander. Een grote partij als Facebook dient dat te weten, en kan dus alsnog aangepakt worden op het gebruik van die gegevens zonder geldige reden.

  2. We zaten in een (prive) zaaltje van het cafe en kwamen er achter dat het raam open stond en de buiten rokende afwashulp heeft onze geheime plannen gehoord? Of zoiets?

    “En natuurlijk dat gaat al 100 jaar goed met aktetassen*” Nou die blijven ook a 100 jaar naast de auto/postkoets liggen en zijn dan verdwenen met laptop/ganzenveer

  3. Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico

    Ik heb dat eerlijk gezegd, misschien door domheid of naiviteit, altijd anders gezien.

    De werkgever wil best toelaten dat er stukken mee naar huis worden genomen (liever niet, maar goed, je vertrouwt je werknemers, als zij een goede reden denken te hebben dan zal dat wel zo zijn) maar NATUURLIJK (zo vanzelfsprekend dat het niet eens vermeld dient te worden) neemt de werknemer persoonlijk dan de verantwoordelijkheid op zich om die stukken niet kwijt te raken of er andere rare dingen mee te doen.

    Natuurlijk gaat hij er zo voorzichtg mee om alsof het zijn eigen dikke stapel bankbiljetten was, dat is ‘part of the deal’. Als hij dat niet wil/kan, moet hij ze niet meenemen.

      1. Naar mijn gevoel is: ‘naar het cafe met een aktetas vol vertrouwelijke stukken’ al gauw bewuste roekeloosheid. Zelfs ‘stukken meenemen zonder de expliciete intentie om er supergoed op te letten ‘ is dat al.

        Maar ongetwijfeld is daar al rechtspraak over…

  4. OFFTOPIC is dat nou waar, dat de belastingdienst vanwege de AVG niet met gemeenten mag praten over waar de gedupeerden nu wonen? Kan de belastingdienst niet gewoon zelf in de Basisadminstratie kijken?

    Was net in het journaal. Dit kan toch nooit de bedoeling van de AVG zijn?

    1. Ik krijg de indruk dat er bij de belastingdienst een paar mensen zitten die helemaal geen haast hebben met het herstel van de fouten die er gemaakt zijn. Er zijn ook eerder al dossiers verdwenen. De AVG is een goed excuus om gegevensuitwisseling te traineren, levert je zo weer een paar weken op voordat een jurist zijn zegje erover gedaan heeft.

    2. Ik als gedupeerde ouder heb heel graag dat er zo snel mogelijk duidelijkheid komt voor mij. En dat de DADERS van bijvoorbeeld ambtelijke discriminatie vervolgd gaan worden.

      Maar volgens mij klopt het wel dat ze niet zomaar met gemeenten gegevens mogen uitwisselen wie welk probleem heeft. Er zal een wettelijke grondslag voor moeten zijn, en als die ontbreekt mag het niet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.