Mag WhatsApp data gaan delen met Facebook?

| AE 8893 | Privacy | 26 reacties

whatsappChat-app WhatsApp gaat standaard accountinformatie van gebruikers delen met Facebook, zodat het sociale netwerk relevantere advertenties gaat aanbieden. Dat meldde Tweakers vorige week. Wie dat niet wil, kan het uitzetten (klik gerust, ik wacht wel even) maar moet wel bedenken dat Facebook dan minder optimaal “spam [kan] bestrijden en advertenties relevanter [] maken”. Maar ik mis iets, mag dit zomaar?

“We have not, we do not, and we will not ever sell your personal information to anyone. Period. End of story”. Dat was ooit de stoere uitspraak van de chatdienst over privacy. Dat werd bevestigd na de aankoop door Facebook – WhatsApp zou een autonoom bedrijf blijven. Maar al is de marketingmeelbal nog zo snel, het wijzigingsbeding achterhaalt hem wel. Want uiteraard had ook WhatsApp ergens in de voorwaarden een “Wij mogen deze voorwaarden herzien en als je dat niet bevalt dan hoepel je maar op”-clausule.

En ja, zulke clausules zijn legaal. De wet ziet WhatsApp als niet anders dan een schoonmaakbedrijf dat elke week je huis komt reinigen. Dienstverlening moet van tijd tot tijd kunnen wijzigen, en het is dan logisch dat de opdrachtgever mag opzeggen. Logisch bij schoonmaken en dergelijke, iets minder logisch bij online diensten en apps. Want dan krijg je dus dit soort dingen.

Privacytechnisch zie ik ook weinig dat je kunt doen. Want ja, de gegevens die ze gaan delen zijn persoonsgegevens onder de Wbp en straks de Privacyverordening (check die cursus) en nee dat mag niet zonder uitdrukkelijke toestemming worden gekoppeld (ook in de VS niet) maar daar komt vast een draai dat stilzitten uitdrukkelijk instemmen is, want dat is het bij de cookiewet ook. Sorry, ik ben alweer rustig.

Ik werd nog getroffen door de reactie van ‘Rainbow’ bij Tweakers:

Wat ik persoonlijk het meest bezwaarlijk vind is dat je er niet onderuit kan, ook als je zelf geen WhatsApp gebruikt (en dus niet hebt ingestemd met de gebruikersvoorwaarden van die dienst). Voorheen was dit nog niet echt een probleem, omdat de privacyvoorwaarden van WhatsApp wel prima waren, ze verzamelden de gegevens, maar deden er in principe niets mee. Nu dus wel.

En dat is hier nog wel een hele interessante. Want inderdaad, bij WhatsApp worden ook telefoonnummers van niet-gebruikers opgeslagen. Hoewel in Nederland alleen als hash zodat niet-gebruikers van WhatsApp beter beschermd zijn, zoals de Autoriteit Persoonsgegevens eind 2015 nog meldde. Maar “hashen == privacy” is ook een beetje overrated: matchen blijft gewoon mogelijk, alleen moet Facebook nog even de hash van de bij haar bekende 06-nummers berekenen. Alleen gebruikers wier 06 niet bij Facebook bekend is (oeps, handig joh die tweefactorauthenticatie), zouden nu buiten schot moeten blijven. Ik ben benieuwd.

Arnoud

Moet een Whats-Appbuurtgroep rekening houden met de Wbp?

| AE 8664 | Privacy | 32 reacties

whatsappEen lezer vroeg me:

In steeds meer buurten worden zogenaamde WABP-groepen opgericht. Dit zijn Whatsapp groepen voor buurtbewoners zodat die elkaar via zo’n groep snel kunnen alarmeren als er iets verdachts in de buurt aan de hand is. Je deelt dan foto’s en beschrijvingen van verdachte personen, plus iedereen ziet natuurlijk elkaars telefoonnummer, en beheerders vragen vaak om nog meer gegevens (zoals namen en adressen). Valt zo’n groep ook onder de Wet bescherming persoonsgegevens?

De Wbp is van toepassing op iedere geautomatiseerde verwerking (en dat is ieder gebruik) van persoonsgegevens. Niet alleen als een bedrijf of stichting dat doet. Ook privépersonen hebben dus te maken met deze wet.

De enige echte uitzondering is die voor het strikt huishoudelijk gebruik, maar die uitzondering werd in 2014 ver uitgekleed, toen het Hof bepaalde dat zodra je “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt” je die uitzondering niet meer mag inroepen. Oftewel, het moet écht iets privé zijn en het mag niet met de openbare ruimte te maken hebben.

Een WhatsApp-bericht sturen met daarin een beschrijving (of foto) van een verdacht iemand is dus een verwerking van persoonsgegeven, waar de plaatser voor verantwoordelijk is. De gegevens van groepsleden worden beheerd door de beheerder, en die is daar dus verantwoordelijk voor. En die 06-nummers die iedereen kan zien, daar is WhatsApp dan weer verantwoordelijk voor.

In de praktijk gaat dit allemaal per ongeluk goed, omdat niemand er echt een probleem van maakt. En meestal komt de belangenafweging binnen de Wbp ook wel goed uit: er is een dringend belang bij het elkaar wijzen op verdachte figuren in de buurt, iedereen snapt wat een WhatsApp-Buurtpreventie is, eigenlijk ontbreken alleen de verplichte contactgegevens van de verantwoordelijke. Maar in theorie heb je echt een privacyverklaring nodig, beveiligingsregels en onderlinge afspraken over gebruik van die gegevens.

Arnoud

Wat is beter: een telefoonnummer of een socialemediaaccount?

| AE 6464 | Ondernemingsvrijheid | 66 reacties

aansluitpunt-muur-telefoon-adsl.pngEen lezer vroeg me:

Als ik het goed begrijp, moet ik op onze webshop een telefoonnummmer vermelden. Ik heb daar moeite mee, want bellen is erg storend voor mijn werk. Wel houd ik de hele dag Twitter en Facebook in de gaten, en zal ik binnen een uur of zo reageren. Waarom vindt de wet dat niet genoeg?

De wet eist inderdaad expliciet dat aanbieders van internetdienstverlening (zoals webshopeigenaren) een telefoonnummer vermelden op hun site. Art. 3:15d BW formuleert het zo:

gegevens die een snel contact en een rechtstreekse en effectieve communicatie met hem mogelijk maken, met inbegrip van zijn elektronische postadres;

Dat hieronder ook een telefoonnummer valt, werd in 2008 bevestigd door het Hof van Justitie. En vanwege dat “met inbegrip” concludeerde dat Hof dat je náást e-mail een telefoonnummer moest publiceren. En uiteraard opnemen als men daarheen belt, hoewel binnen het redelijke: niemand verwacht dat een winkel om 3 uur ’s nachts telefonisch bereikbaar is.

Het argument hierbij is dat e-mail minder direct is dan de telefoon. Wie een probleem heeft met zijn bestelling, wil soms direct contact om live uit te kunnen leggen wat het probleem is. Dat kan per telefoon, maar een mail die een dag later wordt beantwoord is niet genoeg. Een chat of contactformulier mocht wel – mits men maar binnen 30 tot 60 minuten reageert op vragen daarin.

Vandaag de dag zou je die norm best door kunnen trekken naar sociale media. Als je daar bovenop zit, en dus binnen 30 tot 60 minuten reageert op vragen en klachten, dan heb je niet óók nog een telefoonnummer nodig.

Tegelijk voel ik er wel een beetje huiver bij: ik vind het persoonlijk best irritant om berichtjes in een chat te typen. Je moet maar net afwachten wanneer je een reactie krijgt en of ze je bericht hebben opgevat zoals je het bedoelde. Aan de telefoon hoor je zoiets, en je kunt direct inbreken en corrigeren. Plus, 30 minuten lag in de conversatie is buitengewoon irritant, zeker als je met een acuut probleem zit.

Wat vinden jullie? Is de telefoon superieur aan Twitter/Facebook/chats voor klantenservice?

Arnoud