Is het toegestaan om persoonsgegevens te delen in WhatsApp groepen?

Een lezer vroeg me:

Is het toegestaan om persoonsgegevens te delen in WhatsApp groepen?(zowel zonder als met toestemming van die persoon). Ik weet bijna zeker van niet, maar kun jij mij helpen in welke artikel van de AVG dit is weergeven?
Persoonsgegevens verspreiden via digitale kanalen is een elektronische verwerking daarvan. De AVG is dan van toepassing. Het maakt niet uit of je dit als bedrijf of als particulier doet, en ook niet of het grootschalig of incidenteel gebeurt.

Als een verwerking onder de AVG valt, moet je een grondslag hebben. Toestemming is zo’n grondslag, dus in het geval dat er (specifiek en duidelijk) toestemming is verkregen, dan mag het. Maar ook zonder toestemming kan het, bijvoorbeeld als de verstrekking nodig is om een overeenkomst uit te voeren. Denk aan het adres van je Marktplaats-koper appen naar je broer die de vaas gaat brengen.

Bij delen in een groep kom je meestal uit bij grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Je zegt dan eigenlijk, zowel ik als deze groep hebben er recht op deze informatie te delen, en we hebben rekening gehouden met de privacy van deze persoon. De vraag is dan wat dat recht is en hoe je dan rekening hebt gehouden.

Een veel voorkomende situatie is dat je wilt waarschuwen voor een verdacht persoon (de buurtapp, het is 4 uur en alles heit wel). Dan zijn de persoonsgegevens dus het signalement (of kenteken) van die persoon en waar die zich dan bevindt. Hierover had ik in 2016 ook al een vraag, het antwoord is eigenlijk ongewijzigd. Zie ook de comments!

Een andere optie is dat iemand in een groep vraagt om contactgegevens, bijvoorbeeld of iemand een oppas of klusser weet. In dat geval zou ik eerder kiezen voor een privéreactie, gezien die vraag is het niet nodig om de hele groep die gegevens te verstrekken.

Een derde optie is dat die persoon lid moet worden van de groep. Dat zou AVG-technisch beter via een privébericht naar een beheerder kunnen, waarbij die bij de persoon navraagt of die het echt wil.

En zo kan ik nog wel even doorgaan. Waarmee ik maar wil zeggen, er is niet één antwoord maar het is een beredeneerde keuze waarbij je met genoeg randzaken rekening moet houden.Arnoud

2 reacties

  1. Je analyse lijkt voor mij te kijken naar de vraag “Mag je die gegevens delen met de andere mensen in die groep?” Maar wat ik me juist afvraag: heeft WhatsApp hier naar jouw inzien een rol als verwerker? (Of misschien zelfs gezamenlijke verwerkingsverantwoordelijke?) En zo ja, maakt dat uit?

    WhatsApp verwerkt volgens mij die persoonsgegevens wel degelijk namelijk, al is het maar tijdens het intypen en het weergeven. WhatsApp heeft tegenwoordig dan wel end-to-end versleuteling, maar dat is niet exact vergelijkbaar met een brief versturen in een gesloten envelop. De app heeft er immers toegang toe voordat de “brief” (het bericht) “in de gesloten envelop gedaan wordt” (versleuteld), en nadat de envelop “wordt geopend” (ontsleuteld) zodat je “de brief kunt lezen” (de app zelf moet je immers de tekst van het bericht laten zien).

    En als WhatsApp dan die rol heeft, zijn er dan nog dingen waar je als eindgebruiker over moet nadenken voordat je WhatsApp gebruikt om die gegevens te delen? WhatsApp’s gebruiksvoorwaarden zullen vast WhatsApp (proberen) vrij (te) waarden van enige verantwoordelijkheid, iets als “Als je persoonsgegevens via WhatsApp stuurt dan gaan we er van uit dat je zélf gecheckt hebt of je dat mag”, maar mag ik als eindgebruiker zonder verdere afspraken met WhatsApp, persoonsgegevens delen via WhatsApp? Een beetje een verzwakte vorm van de vraag, “stel ik heb een behandelende groep artsen die mijn medische gegevens met elkaar moet delen, dat kan op zich prima mogen onder de AVG, maar mogen ze daarvoor WhatsApp gebruiken?”

    Of dit allemaal verder uitmaakt in hoe WhatsApp zich moet gedragen is natuurlijk ook maar de vraag, want WhatsApp-berichten an sich zijn al persoonsgegevens waar ze fatsoenlijk mee om moeten gaan, ook als er niet de persoonsgegevens van anderen in staan.

    1. WhatsApp verwerkt volgens mij die persoonsgegevens wel degelijk namelijk, al is het maar tijdens het intypen en het weergeven.

      Wat hier van belang is dat vanuit whatsapp’s oogpunt de persoonlijke gegevens in de inhoud van berichten alleen “incidenteel” zijn en ook niet als persoonsgegevens gebruikt/verwerkt worden. Whatsapp is wel verwerker van de berichten als geheel (want gekoppeld aan persoonsgegevens – verzender, ontvanger(s)) en van de groep. Dus wat betreft beveiliging heeft Whatsapp best verantwoordelijkheid, maar is niet verantwoordelijk voor wat gebruikers doen in de inhoud van berichtjes, net zoals je ISP geen verwerker van je digitale bankafschrift is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.