Moet een Whats-Appbuurtgroep rekening houden met de Wbp?

| AE 8664 | Privacy | 32 reacties

whatsappEen lezer vroeg me:

In steeds meer buurten worden zogenaamde WABP-groepen opgericht. Dit zijn Whatsapp groepen voor buurtbewoners zodat die elkaar via zo’n groep snel kunnen alarmeren als er iets verdachts in de buurt aan de hand is. Je deelt dan foto’s en beschrijvingen van verdachte personen, plus iedereen ziet natuurlijk elkaars telefoonnummer, en beheerders vragen vaak om nog meer gegevens (zoals namen en adressen). Valt zo’n groep ook onder de Wet bescherming persoonsgegevens?

De Wbp is van toepassing op iedere geautomatiseerde verwerking (en dat is ieder gebruik) van persoonsgegevens. Niet alleen als een bedrijf of stichting dat doet. Ook privépersonen hebben dus te maken met deze wet.

De enige echte uitzondering is die voor het strikt huishoudelijk gebruik, maar die uitzondering werd in 2014 ver uitgekleed, toen het Hof bepaalde dat zodra je “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt” je die uitzondering niet meer mag inroepen. Oftewel, het moet écht iets privé zijn en het mag niet met de openbare ruimte te maken hebben.

Een WhatsApp-bericht sturen met daarin een beschrijving (of foto) van een verdacht iemand is dus een verwerking van persoonsgegeven, waar de plaatser voor verantwoordelijk is. De gegevens van groepsleden worden beheerd door de beheerder, en die is daar dus verantwoordelijk voor. En die 06-nummers die iedereen kan zien, daar is WhatsApp dan weer verantwoordelijk voor.

In de praktijk gaat dit allemaal per ongeluk goed, omdat niemand er echt een probleem van maakt. En meestal komt de belangenafweging binnen de Wbp ook wel goed uit: er is een dringend belang bij het elkaar wijzen op verdachte figuren in de buurt, iedereen snapt wat een WhatsApp-Buurtpreventie is, eigenlijk ontbreken alleen de verplichte contactgegevens van de verantwoordelijke. Maar in theorie heb je echt een privacyverklaring nodig, beveiligingsregels en onderlinge afspraken over gebruik van die gegevens.

Arnoud

Is whatsappen nu ook al een datalek?

| AE 8380 | Innovatie, Privacy | 24 reacties

whatsappDe datalekken vliegen je om de oren de laatste tijd. En om een of andere reden zit WhatsApp daar hoog in de buzz. Je communiceert dan immers over een kanaal beheerd door een derde, en niet zomaar een derde maar een perfide Amerikaanse imperialist met allerlei snode aftap- en profilingplannen. Dat moet toch haast wel een datalek zijn?

Voor een datalek dat moet worden gemeld gelden vier eisen (eisen 3 en 4 bepalen of gemeld moet worden):

  1. Er is sprake van een inbreuk op de beveiliging. Dat kan gaan om een inbreuk op techniek (een inbraak, een geraden wachtwoord) of een organisatorisch falen (zonder kaartje naar binnen kunnen, geen toezicht op een dossierkast) maar er moet iets van een beveiliging zijn en die moet geschonden worden.
  2. Het moet gaan om persoonsgegevens. Andere gegevens, hoe waardevol ook, kunnen geen datalek in de zin van de wet opleveren.
  3. Er moet een aanmerkelijke kans zijn dat de persoonsgegevens misbruikt worden. Is misbruik slechts een theoretisch risico, dan is het lek geen datalek.
  4. Betrokken personen moeten er nadeel van (kunnen) ondervinden. Die lat ligt niet hoog, maar hij is hoger dan nul. Nadeel kan zijn reputatieschade, oplichting en dergelijke maar ook dingen als moeten ruziën over dat je had betaald (de betalingsbewijzen waren gewist, ook een datalek).

Een conversatie voeren via WhatsApp zie ik op zich niet als een datalek. Als beide partijen ervoor kiezen hun eigen gegevens via dit kanaal te verstrekken, dan zie ik dat niet als een inbreuk op de beveiliging. Ze aanvaarden dan beiden de kans dat er iets mis kan gaan, en zien dat kennelijk als acceptabel.

Kiezen ze ervoor om andermans gegevens te verspreiden, zoals artsen wel deden, dan wordt het iets schemeriger. Die ander heeft niet gekozen voor het kanaal. Bovendien haal je je in die situatie nog een extra verplichting op de hals: je besteedt dan een stukje verwerking van andermans persoonsgegevens uit bij WhatsApp Inc, en de wet eist dat je dan een bewerkersovereenkomst sluit waarin je rechten en plichten vastlegt. Volgens mij kán dat niet eens met WhatsApp.

Toevallig kwam ik dit Linkedin-bericht tegen waarin Gjerryt Leuverink beschrijft hoe zorginstelling ’s Heeren Loo Zorggroep graag dichtbij en gastvrij wil zijn; ook digitaal. Daarom gebruikt men WhatsApp als communicatiemiddel. Dat leverde de nodige kritiek op, maar zoals Leuverink reageert:

Waar het om gaat is dat iemand die een appje stuurt aan een ander daarmee indirect toestemming geeft aan WhatsApp om ‘iets’ met dat berichtje en de twee betrokken 06-nummers te doen. Als je dat niet wilt, moet je niet WhatsAppen. Als je dat wel wilt, moet je bewust de app installeren, bewust je nummer koppelen en de voorwaarden accepteren, bewust een nummer toevoegen aan je contacten daar dan bewust een berichtje naartoe sturen.

Maar ik kan als jurist niet ontkennen dat er toch stevige juridische bezwaren te verzinnen zijn. Die bewerkersovereenkomst is nu eenmaal echt een ding, en zeker als je gegevens van anderen (zoals die artsen) gaat versturen dan zit je met een levensgroot toestemmingsprobleem. Alleen: is dat erg?

We komen dan weer terug bij de al vaker gevoerde discussie: mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen? Want als we de privacywet hard inzetten, dan moet je stoppen met WhatsApp. Dan kun je de Amerikaanse cloud gelijk uit en houden er ook een heleboel andere dingen op. Maar ga je mee in elke nieuwe hippe innovatie, dan kunnen we privacy wel afschrijven want wat dóen al die startups met persoonsgegevens en hoezo is het normaal dat een Amerikaans-wollig document dat “Privacy Policy” heet genoeg is om onze mooie wetgeving opzij te zetten? Ik ben er nog steeds niet uit wat nu de beste insteek is.

Arnoud

De legaliteit van WhatsApp voor je klantenservice

| AE 8111 | Innovatie | 9 reacties

whatsapp-banVoor wie het nog niet wist: WhatsApp is de next big thing in klantcontact, las ik bij Klantcontact.nl. De chatapplicatie staat bij 90% van de Nederlanders op de telefoon, en het ligt dan ook voor de hand om met je klanten te gaan appen in plaats van ze te verplichten te bellen. Maar ik lees op diverse plekken (ook bij Klantcontact in de comments) dat dat niet zou mogen, omdat WhatsApp commercieel gebruik van haar dienst zou verbieden. Eh, nee.

De voorwaarden van WhatsApp verbieden commercieel gebruik van de dienst niet. Ze verbieden wel ‘commercial solicitation’ ofwel cold calling en acquisitie. De voorwaarden zijn daar duidelijk over:

You agree not to collect or harvest any personally identifiable information, including phone number, from the Service, nor to use the communication systems provided by the Service for any commercial solicitation or spam purposes. You agree not to spam, or solicit for commercial purposes, any users of the Service.

Met andere woorden, het is dus prima om met je klanten te appen, zelfs als dat voor een direct commercieel doel is, denk aan verlengen of upsells. Wat niet mag, is mensen ongevraagd appen en ze commerciële aanbiedingen doen. Zelfs niet als je hun 06-nummer legaal verkregen hebt. Maar dit mag sowieso al niet vanwege onze antispamwet. Voor de wet zijn ongevraagde chatberichten gelijk aan ongevraagde e-mails. Ongevraagde, koude acquisitie per e-mail is verboden.

Iets lastiger wordt het als je chatlogs in je CRM-systeem wil opslaan. WhatsApp verbiedt namelijk de ontwikkeling van spiders en tools om automatisch berichten over te brengen in een ander systeem. Diverse partijen die API’s bouwden om WhatsApp-data op te vragen, hebben ook al een advocaat op hun dak gehad. Heel strikt gezien moet je dus handmatig het log van elk gesprek exporteren en dan in je CRM-systeem plakken.

Ook krijg je dan te maken met de Wet bescherming persoonsgegevens. Die zegt namelijk dat je klanten moet informeren wat er met hun logs gebeurt en voor welke doelen je die informatie gebruikt. Je zou dan bij de WhatsApp-chat als opening moeten zeggen: “Deze chat wordt gelogd voor kwaliteitsdoeleinden – zie onze privacy policy [link] voor details”. Erg vriendelijk komt dat niet over, maar een andere optie zie ik zo niet.

Alles bij elkaar lijkt me de juridische zorg om WhatsApp voor een bedrijf een storm in een glas water. Maar ja, dit is internetrecht en dan is automatisch alles juridisch een noviteit hè 😉

Arnoud

Moment, ik app even uw huiduitslag naar mijn collega

| AE 7823 | Privacy | 24 reacties

In veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt? Foto’s van aandoeningen, en chatberichten… Lees verder

WhatsApp mag alles met je foto’s en teksten, is dat nieuws?

| AE 6672 | Intellectuele rechten | 13 reacties

Wat veel mensen niet weten: WhatsApp heeft de rechten op iedere foto die je via de app verstuurt, meldde Z24 vorige week. De bepaling is goed verstopt in de kleine lettertjes van de gebruiksovereenkomst, aldus de site, die vervolgens een Duitse jurist opvoert om te laten zeggen dat die kleine lettertjes érg ver gaan. Het… Lees verder

Mag Facebook de WhatsApp-gebruikers toevoegen aan haar database?

| AE 6411 | Informatiemaatschappij | 20 reacties

Facebook neemt Whatsapp over voor een bedrag van 19 miljard dollar (13,8 miljard euro), meldde Nu.nl gisteren. Uiteraard vooral om zo toegang te krijgen tot de contactgegevens van de 450 miljoen actieve gebruikers van de instantberichtendienst. Maar dat roept de vraag op: mag Facebook dat wel als ze straks eigenaar zijn van WhatsApp, Inc. als… Lees verder

Israëlische wet verbiedt ‘wraakporno’, hoe zit dat bij ons?

| AE 6281 | Privacy, Regulering | 8 reacties

Israël heeft het uploaden van seksueel getinte foto’s en filmpjes zonder toestemming van de personen in beeld verboden, om ‘wraakporno’ tegen te gaan, las ik bij Tweakers. Wie seksueel expliciete afbeeldingen van een ander publiceert, is strafbaar als hij geen toestemming heeft. Daarmee wil men het fenomeen ‘revenge porn’ oftewel wraakporno aan banden leggen: het… Lees verder

Seksfilmpje versturen via WhatsApp is geen smaad of belediging

| AE 5615 | Regulering, Uitingsvrijheid | 34 reacties

Het versturen van een seksfilmpje via WhatsApp naar één persoon maakt je niet schuldig aan smaad, ook niet als die persoon het vervolgens doorstuurt. Dat bepaalde de rechtbank Overijssel deze week. Van smaad kan pas sprake zijn als “het publiek” kennisneemt van die berichten, en daarvan is bij een WhatsApp bericht geen sprake. Daarbij is… Lees verder

WhatsApp als bewijs van een gemoedstoestand

| AE 4685 | Intellectuele rechten, Iusmentis, Ondernemingsvrijheid | 152 reacties

Dit vonnis gaat ongetwijfeld bekend worden als het WhatsApp-vonnis, want ja nieuwe technologie hè. Maar uiteraard gáát het niet om WhatsApp, net zo min als het ooit ging om de postduif als zodanig. Het gaat om ontslag: als een boze werknemer “Ik heb er geen zin meer in. Ik heb het hier gezien en ga… Lees verder