Mag je je adresboeken openstellen voor diensten als Meta of WhatsApp?

Vorige week werd in mijn column voor Security.nl een terechte vraag opgeworpen:

Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen? De toestellen bevatten persoonsgegevens van collega’s in je adresboek en veel van die apps hebben de “gewoonte” om je hele adresboek leeg te lepelen en naar de maker van de app te sturen. Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Dit is natuurlijk waar, en niet alleen voor zakelijke toestellen maar ook bij privégebruik van de dienst WhatsApp. En de feature “upload je adresboek en ontdek wie van je contacten ook bij ons zit” is natuurlijk bij vele sociale netwerken bekend, het is een handige en snelle manier om mensen te leren kennen – en om je potentiële klantenbestand te verruimen.

Het is natuurlijk ook problematisch onder de AVG, maar ook onder de oude Wbp overigens. De kern is dat jij geen toestemming kunt geven voor de verstrekking van die gegevens, alle mooie woorden in de terms of service ten spijt. Een dienstverlener mag er dus ook niet vanuit gaan dat jij toestemming hebt gehaald bij alle mensen in je adresboek. Dat is dus een probleem.

Er is ook geen echte noodzaak om die gegevens te verstrekken voor het gebruik van die dienst. Je kunt zelf prima mensen toevoegen of buiten het systeem om ze benaderen en hun contactgegevens bij de dienst verkrijgen (of de jouwe geven). Dan is er voor juristen nog één optie, en dat is het legitiem belang: het is op zich handig om in een keer al je vrienden (contacten) gevonden te hebben. Dat biedt de basis voor een beroep op het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG), maar je moet dan vervolgens een privacy-afweging maken: hoe erg is het voor die mensen om zo in het systeem te komen, en wat kan ik doen om dat nadeel te verminderen tot vrij dicht bij nul?

Voor mensen die ook de dienst gebruiken is dat vrij makkelijk, zij zitten er al en willen dus kennelijk benaderd worden. Maar de mensen die niet op (in dit geval) WhatsApp willen, die willen waarschijnlijk ook niet bij WhatsApp bekend staan als een mogelijk contact. (Ik herinner me menig dienst die je dan ging mailen “Je vrienden missen je op XYZ.example, word je ook lid”, nee dacht het niet.) Alleen weet jij op voorhand niet welke mensen er al op die dienst zitten, dat is immers het hele punt van je adresboek delen.

Gelukkig is er een oplossing, en nog goedgekeurd door onze eigen Autoriteit Persoonsgegevens ook. De app leest je adresboek uit en stuurt een hash van alle contactgegevens naar de dienst. Die kan dat vergelijken met het gebruikersbestand. Wie gebruiker is, geeft een match op de hash. En wie geen gebruiker is, blijft zo anoniem want de hash is dan niet te herleiden tot zijn telefoonnummer (of mailadres, bij andere diensten). Met die constructie is het dus legaal om je adresboek te uploaden. Het enige is: je moet wel vooraf weten dat dit zo werkt, en daar zijn de meeste diensten nogal kortaf over.

In theorie kun je, zeker bij telefoonnummers, een set rainbow tables uitrekenen waarmee de hashes terug te herleiden zijn. Er zijn in Nederland bijvoorbeeld maar zestig miljoen 06-nummers* en dat is een triviale set om alle hashes van uit te rekenen. Maar een bedrijf dat zegt “bij ons kun je veilig je adresboek uploaden want wij matchen alleen gehashed” en dat vervolgens toch de nummers gaat gebruiken, is natuurlijk keihard in overtreding.

Arnoud * Ik weet dat er acht cijfers na 06 komen, dus in theorie 100 miljoen nummers, maar diverse ranges zoals 06-0 en 06-9 en ik meen ook de range 06-11 worden niet uitgegeven. Zie deze bron voor alle beschikbare nummers.

11 reacties

  1. Veiliger maar mogelijk minder gebruiksvriendelijker is de hash uitrekenen van het telefoonnummer samen met de voornaam van het contact. Dan wordt het een stuk lastiger om een rainbow table uit te rekenen. Hierdoor ontstaan er echter geen matches als je “Jaap” in je adresboek heb staan als “gekke Jappie” of als je je vader er als “vader” in heb staan.

    Een mogelijke nettere (maar wel irritantere) oplossing zou zijn dat whatsapp vanaf jouw telefoon een smsje naar door jouw aangegeven contacten stuurt met de mededeling dat jij nu whatsapp gebruikt met daarin een link om jouw gegevens toe te voegen. Deze functie verstuurd geen gegevens naar de servers van Whatsapp. Op die manier is er geen AVG probleem, geen rainbow table probleem, maar worden mensen wel lastig gevallen door smsjes.

    1. maar worden mensen wel lastig gevallen door smsjes.

      En met het zonder toestemming geautomatiseerd verzenden van SMS-berichten overtreed je het “spamverbod” uit de telecommunicatiewet. Daarnaast zullen gebruikers die voor berichten moeten betalen niet blij zijn met de telefoonrekening die deze app hen oplevert.

        1. Als “AllesGoed” zonder te vragen berichtjes ging versturen dan zou ik zeggen dat “AllesGoed” de overtreder van het spamverbod is. (En het programma malware.) Als de gebruiker een bewuste actieve keus maakt, is hij de verantwoordelijke voor het verzenden. De vinkjes voor de geselecteerde ontvangers zouden standaard uit moeten staan, anders kun je een argument maken dat “AllesGoed” de ontvangers geselecteerd heeft.

          1. Ik denk dat je dan op het ‘Tell a friend’-protocol van de OPTA ACM terechtkomt: https://www.acm.nl/nl/publicaties/publicatie/9676/Gezamenlijk-oordeel-OPTA-en-CBP-over-Tell-a-friend-systemen-op-websites

            In dit gezamenlijke rechtsoordeel stellen OPTA en CBP vast dat ‘Tell a friend’-systemen alleen rechtmatig kunnen zijn als tenminste aan de volgende voorwaarden is voldaan: 1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger; 2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails. 3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht. 4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

            Het laatste punt gaat hier dan wellicht niet volledig op.

  2. Yup. Bij whatsapp is het practisch onmogelijk de app te gebruiken zonder toegang tot je adresboek. Dat is geen ongelukje, dat is heel bewust zo opgezet. Ik heb het wel werkend door de dual-messenger functie van Samsung te gebruiken, maar het werkt super rot. Dus hele volksstammen delen hun adresboek, inclusief mijn nummer, wat ik bepaald niet op prijs stel.

    En dan heb je het eenmaal werkend, en dan deel je automatisch je telefoonnummer met iedereen in de hele wijk. Dus heb speciaal voor whatsapp een tweede simkaart met een ander nummer. Waarom gaat AP niet eens achter de big tech privacy inbreuk aan?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.