Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

| AE 9611 | Privacy | 16 reacties

Een lezer vroeg me:

In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer. Is dat wel toegestaan?

Namen en telefoonnummers zijn persoonsgegevens, en het gebruik daarvan valt in principe dan ook onder de Wet bescherming persoonsgegevens (en vanaf volgend jaar de Privacyverordening/AVG/GDPR). Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.

Bij WhatsApp-groepen val je echter mogelijk buiten deze wet, omdat het vaak gaat om particulieren die die groepen opzetten. De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.

Als de wet wel van toepassing is, dan moet je dus als groepsbeheerder nagaan of er toestemming is of een duidelijke noodzaak. In de praktijk zal men daar erg makkelijk mee omgaan, en kom je er pas achter dat je in de groep zit als je er berichten van ontvangt. Het ‘kwaad’ (de anderen die je naam en adres hebben) is dan al geschied.

Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp. Maar dat boeit weinig: toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.

Ik vraag me af waarom WhatsApp niet gekozen heeft voor een popupje of iets dergelijks waarbij je moet goedkeuren dat je in een groep terecht wilt komen. Erg moeilijk lijkt me dat niet en het zou veel ergernis schelen.

Arnoud

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Is een snapchatvideo openbaar of privé?

| AE 9095 | Privacy, Strafrecht | 13 reacties

video-camera-filmen-fotoIn juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat wel openbaar, je deelt het toch maar met een beperkt aantal mensen?

Wat die diefstallen en de video met elkaar te maken hebben, weet ik niet precies, maar het gaat mij dus om die video. De verdachte had stiekem gefilmd hoe een dame seks met hem had, en die video op Snapchat gezet.

Het is strafbaar om stiekem video’s (of foto’s) te maken van mensen wanneer dat in niet-openbare ruimtes gebeurt (art. 139f Strafrecht). Ja, ook met een mobiele telefoon of andere gewone camera, niet alleen met bewakingscamera’s of zo. En vervolgens verbiedt 139g Strafrecht het openbaar maken van zo’n video.

In deze zaak was de video in een niet-openbare ruimte gemaakt – het bubbelbad bij een woning. Dus dat artikel 139f was overtreden, stond vast. Maar die openbaarmaking, hoe zit dat dan?

“Openbaar maken” betekent in de context van het strafrecht niet perse dat je zelf de hele wereld direct benaderd moet hebben, zoals wanneer je het op Youtube zou zetten. Ook als je een kleinere groep mensen bedient, kan dat nog steeds “openbaar” zijn. Het moet gaan om “een bredere kring van betrekkelijk willekeurige derden”. In al wat oudere jurisprudentie (Hyves!) werd bepaald hoe dat wordt ingevuld bij online acties. Zijn 20 familieleden meer of minder openbaar dan 10 willekeurige fans?

Uiteindelijk kwam daar een arrest van de Hoge Raad voorbij met het criterium:

de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken,

Dat criterium zie je terug in deze zaak:

Door het heimelijk gemaakte filmpje op Snapchat te plaatsen, heeft verdachte dit ter kennis willen brengen van het publiek, te weten ofwel alle overige gebruikers van Snapchat ofwel de groep door verdachte goedgekeurde contacten, hetgeen eveneens een groep van zekere omvang betreft. Daarmee heeft verdachte het heimelijk vervaardigde filmpje openbaar gemaakt in de zin van de wet.

In mijn woorden: die groep van mensen waar het filmpje naartoe gestuurd was, was betrekkelijk willekeurig. Iedereen had in principe daar bij kunnen horen. Bovendien mocht iedereen het filmpje doorsturen, de verdachte had niets gedaan om dat te verhinderen. En daarmee geef je het aan de openbaarheid prijs.

Bij WhatsApp zou dit denk ik ook opgaan in een groepsapp waar willekeurige mensen lid van kunnen worden. Bij doorsturen naar één persoon zou ik dat minder snel zien, tenzij uit de context blijkt dat je verdere verspreiding best leuk zou vinden.

Arnoud

Amerikaans WhatsApp valt onder Nederlandse privacywet

| AE 9088 | Aansprakelijkheid, Privacy | 18 reacties

De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men… Lees verder

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Strafrecht | 12 reacties

Facebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen… Lees verder

Mag WhatsApp data gaan delen met Facebook?

| AE 8893 | Privacy | 26 reacties

Chat-app WhatsApp gaat standaard accountinformatie van gebruikers delen met Facebook, zodat het sociale netwerk relevantere advertenties gaat aanbieden. Dat meldde Tweakers vorige week. Wie dat niet wil, kan het uitzetten (klik gerust, ik wacht wel even) maar moet wel bedenken dat Facebook dan minder optimaal “spam [kan] bestrijden en advertenties relevanter [] maken”. Maar ik… Lees verder

Moet een Whats-Appbuurtgroep rekening houden met de Wbp?

| AE 8664 | Privacy | 32 reacties

Een lezer vroeg me: In steeds meer buurten worden zogenaamde WABP-groepen opgericht. Dit zijn Whatsapp groepen voor buurtbewoners zodat die elkaar via zo’n groep snel kunnen alarmeren als er iets verdachts in de buurt aan de hand is. Je deelt dan foto’s en beschrijvingen van verdachte personen, plus iedereen ziet natuurlijk elkaars telefoonnummer, en beheerders… Lees verder