Mag Clubhouse eisen dat je je adresboek deelt?

| AE 12522 | Ondernemingsvrijheid, Privacy | 20 reacties

Clubhouse, de nieuwe social media app, is echt iets voor dummies, aldus een van de vele blogs over deze nieuwe dienst. Want je hoeft er weinig voor te kunnen: alleen luisteren. De app draait namelijk om live gesprekken, zonder beeld of chatten. De app is nieuw en hip, en je kunt er alleen gebruik van maken als je uitgenodigd wordt (en een iPhone hebt). En daarbij een opmerkelijk detail: “Omdat Clubhouse gebruik maakt van je contactenlijst (in je telefoon) ziet de app direct wie van je bekenden er al gebruik maakt van de app.” Dat is even geleden, dat apps je adresboek standaard leegtrekken om zo andere mensen te kunnen werven. Hoe zit dat ook alweer, mocht dat nou of niet?

Je adresboek moet je delen om anderen te kunnen uitnodigen. Doel hiervan is namelijk dat Clubhouse kan zien wie van deze mensen al een account heeft. Maar indirect natuurlijk ook het opbouwen van een groot informatiebestand van kennelijk kapitaalkrachtige mensen met interesse in high tech en het laatste en hipste, je bent startup of niet natuurlijk. (Tenzij je voor de app betaalt, gaat het om je data en niet om de dienstverlening.)

Dit delen van adresboeken is in Europa problematisch, omdat een vermelding in je adresboek een persoonsgegeven is van die contactpersoon. Die mag jij daar hebben – uitzondering voor persoonlijk gebruik en/of toestemming tot communicatie met die persoon. Maar delen van die vermelding met een ander mag in principe gewoon niet, tenzij het netjes is van wel, en in bulk lijkt me eigenlijk nooit netjes. Dat is niet waarom jij in mijn adresboek zit, juridisch gezegd: de doelbinding ontbreekt, en toestemming is er ook al niet. Dus nee.

Tegelijk zie ik ook wel de legitieme behoefte van alleen uitnodigingen willen sturen aan mensen die de app al hebben. Dus dat Clubhouse wil nagaan of een opgegeven genodigde de app heeft, dat lijkt me legitiem. Precies dat was wat Whatsapp vroeger deed, totdat onze AP ingreep: die gegevens mag je wel verwerken, maar niet zodanig dat je ze óók voor gewone marketingdoeleinden (profielopbouw van niet-klanten) kunt inzetten. De dienst stuurt nu alleen hashes van 06-nummers uit het adresboek, en de server kan daarmee zien of iemand al klant is (men heeft dezelfde hash in het klantenbestand) of niet (hash onbekend). Dit is dus wat Clubhouse ook moet gaan doen.

Arnoud

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me:

Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?
Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde regels. Dat zijn immers allemaal persoonsgegevens onder de AVG.

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie “Contactpersoon toevoegen” kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie layout laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn (“geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte”), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook (“Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren”). En wellicht kom je er ook met een eigen gerechtvaardigd belang (“Jaap vindt het vast fijn als Pieter hem appt hierover”).

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud

Ik wil niet in Apples adresboekcloud!

| AE 6108 | Privacy, Security | 18 reacties

adresboek-apple-icloudBij ict7 las ik over de nieuwe manier van adresboekbeheer van Apple in hun OS Mavericks:

[Het oude adresboek] was veilig, daar kwam geen ander tussen. Maar het nieuwe OS Mavericks heeft die mogelijkheid geschrapt. Nu kunnen adresgegevens en dergelijke alleen nog via iCloud naar een ander apparaat worden overgezet. Dat is natuurlijk niet zonder reden. Technisch was het geen enkel probleem geweest de ‘kabelmogelijkheid’ te handhaven. Dat Apple nu alleen nog maar de mogelijkheid biedt om dergelijke privédata via de servers van Apple over te zetten geeft te denken.

En dan dus de hamvraag: mag dat?

Een digitaal adresboek is hoe je het wendt of keert een verwerking van persoonsgegevens, en eentje die via de privacyschendende VS loopt ook nog. Dus daar heb je eigenlijk best wel een probleem.

Er is echter in de Wet bescherming persoonsgegevens een uitzondering die ik altijd de adresboekuitzondering noem, om precies deze reden:

Deze wet is niet van toepassing op verwerking van persoonsgegevens… ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

Het argument is dan dat een privéadresboek een “uitsluitend persoonlijk of huishoudelijk doel” dient, immers het is voor jou om je adressen bij te houden. Niemand anders leest het (de NSA daargelaten) en dan is het dus alleen voor jezelf. En daarmee ben je van álle regels uit de Wbp af. Je hoeft mensen neit te vertellen dat ze in je adresboek staan, en zelfs het enge exporteren naar de VS is geen probleem.

Bij een zakelijk adresboek gaat dit echter vrijwel meteen mank: ís dat wel “persoonlijk of huishoudelijk”? Een bedrijf is geen persoon en geen huishouden.

Als je dat zegt, dan mag een bedrijf dus niet haar klantenbestand in de iCloud stoppen. Maar óók niet zomaar in een eigenbeheeradresboek. Dat moeten ze dan rechtvaardigen bínnen de kaders van de Wbp. Dus: toestemming, uitvoering overeenkomst of dringende noodzaak als grondslag; informeren via een privacyverklaring of iets dergelijks dat men een adresboek heeft; inzage- en correctierecht op de adresgegevens en niet te vergeten een bewerkersovereenkomst met Apple sluiten zodat juridisch geregeld is dat zij netjes met je gegevens omgaan.

En nee dat werkt voor geen meter maar daarom wordt het dus de hoogste tijd voor een nieuwe privacywet. Helaas is de Privacyverordening een eindje uitgesteld, werking op zijn vroegst in 2016.

Arnoud