Tag: WhatsApp

About WhatsApp

Subscribe Feeds

Kan de werkgever anno 2019 verwachten dat je beschikbaar bent op WhatsApp?

Geplaatst op in Ondernemingsvrijheid, Privacy, 34 reacties

Maandag blogde ik over de vraag of een werkgever je kan verplichten een smartphone aan te schaffen. Daarop kreeg ik een paar vervolgvragen, met name over WhatsApp dat in het mkb en onderwijs veel gebruikt wordt voor werkoverleg en andere zakelijke communicatie. Mensen ‘moeten’ dan hun 06 doorgeven, of dat wordt gewoon in de groep gezet en daarna kan iedereen het zien en met iedereen overleggen. Aangenomen dat je een smartphone hebt en WhatsApp al gebruikt, in hoeverre kun je daar dan nog nee tegen zeggen?

Het installeren van WhatsApp is praktisch gezien weinig gedoe en vergt niet veel van je telefoon, dus daar heb je alleen je privacy-argument nog over. Dat zei ik maandag. En dat geldt natuurlijk des te meer als je WhatsApp al hebt en gebruikt om te chatten – dan vind je de privacyzorgen rond WhatsApp dus kennelijk niet onoverkomelijk, en waarom zou dat bij je werkgever daar dan ineens wél een probleem moeten zijn?

Het enige argument dat ik dan nog overhoud, is dat je niet wil dat je privé 06 nummer bij collega’s terecht komt. Allereerst omdat ze je dan voor werkdingen gaan appen buiten werktijd, en niet iedereen stelt daar prijs op. En ten tweede omdat ze dan misschien dat privénummer voor niet-werkgerelateerde dingen gaan gebruiken, zoals de babbelgroep of gewoon “hee Wim kun jij zaterdag helpen verhuizen je woont in m’n buurt” wat je misschien niet wilt.

De werkgever moet in principe zorgen voor de gereedschappen, waaronder ook de communicatiemiddelen als communicatie op afstand deel van je werk is. Dus als de werkgever wil dat jij in een groepsapp chat, dan moet hij zorgen voor een smartphone met groepsapp. Maar als het gebruikelijk is dat mensen dat zelf meenemen (zoals de chefkok met zijn messenset) dan mag de werkgever verlangen dat een goed werknemer zijn smartphone meeneemt en de chatapplicatie aanslingert voor het werk. Gezien de dekkingsgraad van WhatsApp in Nederland vind ik het lastig daar wat tegenin te brengen.

Wel is het zo dat de collega’s dan netjes en alleen werkgerelateerd je 06-nummer mogen gebruiken. Buiten werktijd je benaderen mag alleen wanneer het überhaupt gerechtvaardigd is dat je buiten werktijd wordt benaderd (zouden ze je ook op je vaste lijn bellen?). Dat hangt af van je branche – is er een vergoeding voor overwerk, zijn er piketdiensten, heb je flexibele uren en ga zo maar door.

Collega’s benaderen voor privézaken is een stuk lastiger. Enerzijds, dat is iets dat gebeurt (ook in de kantine kan Hans Wim vragen om te verhuizen, of hij stuurt een groepsmail naar alle kantooradressen). Anderzijds is dat nummer wel net iets meer privé dan de werkcommunicatiemiddelen. Als werkgever heb je dan een zorgplicht (ook vanuit de AVG, maar vooral vanuit goed werkgeverschap) dat die 06-nummers niet zomaar worden misbruikt. Ik zou dus zeggen dat een werkgever op klachten “ik krijg privéberichten van collega’s” moet ageren, en bij voorkeur dit vooraf al verbieden in zijn social media reglement.

Arnoud

WhatsApp verhoogt minimumleeftijd naar 16 jaar vanwege AVG

Geplaatst op in Privacy, 17 reacties

Gebruikers van chatdienst WhatsApp moeten voortaan minstens 16 jaar oud zijn, las ik bij Nu.nl. De aangepaste voorwaarden voor de chatapplicatie, die alleen in Europa worden doorgevoerd, eisen dat de gebruiker minimaal zestien is en maken afsluiting mogelijk van wie onder deze leeftijd blijkt. Er is vooralsnog geen informatie dat WhatsApp dit werkelijk gaat handhaven. En ja, dit is nieuws want AVG – hoewel het eigenlijk al sinds, oh, 2001 wettelijk zo geregeld was. Maar dat is onvermijdelijk bij berichtgeving over de AVG.

Onder de Wbp die sinds 2001 van kracht was, was het voor personen onder de 16 niet mogelijk om toestemming te geven voor verwerking van hun persoonsgegevens. In plaats daarvan was toestemming nodig van hun ouders of verzorgers. Dat gold voor chatdiensten, social media en andere dienstverleners – maar ook anderen, als je als dertienjarige je voorkeur voor chocoladepasta wilde opgeven bij zomerkamp dan had je formeel ouderlijke toestemming nodig om dat op een formulier te mogen zetten.

De AVG verandert niets aan de leeftijdsgrens, maar beperkt wel de scope. Internetdiensten moeten ouderlijke toestemming hebben van personen onder de zestien wiens persoonsgegevens ze willen gebruiken. Behalve voor persoonsgegevens die strikt noodzakelijk nodig zijn voor de dienst natuurlijk, of wanneer de gegevens wettelijk verplicht gebruikt moeten worden. Ook bij diensten onder een eigen gerechtvaardigd belang is geen ouderlijke toestemming nodig – er is dan immers helemáál geen toestemming nodig.

Het strengere uit de AVG is de eis dat “de verwerkingsverantwoordelijke redelijke inspanningen [pleegt] om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven”. De AVG vermeldt geen manieren waarmee de verwerkingsverantwoordelijke de bedoelde controle moet uitvoeren. De al langer bestaande Amerikaanse COPPA-wetgeving (15 U.S.C. §§ 6501-6506) over ditzelfde onderwerp vereist verifiable parental consent voordat men persoonlijke informatie van personen onder de dertien jaar verwerkt. De uitvoeringsregels (16 C.F.R. § 312.5(c)) noemen diverse opties: een getekend formulier, een geldige creditcard, een telefonisch contact met iemand die getraind is kinderstemmen te herkennen en, bij verwerkingen zonder derdenverstrekking, een reactie per mail van de ouder dat een en ander akkoord is.

WhatsApp doet dus het minimaal noodzakelijke om aan de AVG te voldoen. Verbied zestienminners toegang, houd de deur op een kier voor ouderlijke toestemming wanneer een kind wordt afgesloten en ga geen nadere controle uitvoeren. Eerlijk gezegd zou ik ook niet weten hoe een gratis dienst als WhatsApp kan nagaan of hun gebruikers onder de 16 jaar zijn.

Arnoud

Hoe verboden is een spambericht van een relatie in je WhatsApp?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het spamverbod?

Het spamverbod uit de Telecommunicatiewet kent geen onderscheid naar gebruikt communicatiemiddel. Of je nu via e-mail, fax of sms het bericht stuurt, maakt helemaal niets uit. En al in 2009 werd bepaald dat ook privéberichten op sociale netwerkdiensten (in dat geval: krabbelen op Hyves) als spam te zien kan zijn.

In de tijd van Hyves was er nog discussie over dat geval omdat het spamverbod toen alleen gold voor “abonnees”, en een gebruiker van een gratis dienst is moeilijk als “abonnee” te zien. Maar tegenwoordig staat er “abonnee of gebruiker” in de spamwet (artikel 11.7 Telecommunicatiewet) zodat er gen twijfel zijn: een privé-appje is een bericht aan een gebruiker en mag dus getoetst worden aan de spamwetgeving.

De wet kent ook geen eis dat het om een ongericht reclamebericht moet gaan, of dat het grootschalig gestuurd moet zijn. Eén gepersonaliseerd bericht kan dus al spam zijn, zoals wat ik laatst kreeg: “Dag Arnoud, ik zag dat je bedrijf nu 35 mensen heeft, kunnen wij eens langskomen om een voorstel te doen hoe jij ze de perfecte lunch kunt leveren?” Het criterium is ongevraagd en commercieel oogmerk, meer niet.

Heel misschien zou je nog met de gebruiksvoorwaarden van de dienst kunnen betogen dat bepaalde soorten berichten wél mogen. LinkedIn heeft bijvoorbeeld de mogelijkheid dat je aangeeft open te staan voor recruitment of dienstaanbiedingen; een bericht van recruiter X is dan moeilijk nog als ongevraagd te beschouwen. Bij WhatsApp zie ik dergelijke opties niet. Dan zou je hooguit nog kunnen zeggen, als je een persoon zoals Y toevoegt dan moet je weten dat die zijn boeken gaat pushen en gaat hengelen om commerciële koffie.

Wat vinden jullie? Was die lunch-pusher een spammer, en wat doe je met kopjekoffiehengelaars in je WhatsApp?

Arnoud

Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

Geplaatst op in Privacy, 16 reacties

Een lezer vroeg me:

In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer. Is dat wel toegestaan?

Namen en telefoonnummers zijn persoonsgegevens, en het gebruik daarvan valt in principe dan ook onder de Wet bescherming persoonsgegevens (en vanaf volgend jaar de Privacyverordening/AVG/GDPR). Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.

Bij WhatsApp-groepen val je echter mogelijk buiten deze wet, omdat het vaak gaat om particulieren die die groepen opzetten. De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.

Als de wet wel van toepassing is, dan moet je dus als groepsbeheerder nagaan of er toestemming is of een duidelijke noodzaak. In de praktijk zal men daar erg makkelijk mee omgaan, en kom je er pas achter dat je in de groep zit als je er berichten van ontvangt. Het ‘kwaad’ (de anderen die je naam en adres hebben) is dan al geschied.

Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp. Maar dat boeit weinig: toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.

Ik vraag me af waarom WhatsApp niet gekozen heeft voor een popupje of iets dergelijks waarbij je moet goedkeuren dat je in een groep terecht wilt komen. Erg moeilijk lijkt me dat niet en het zou veel ergernis schelen.

Arnoud

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

Geplaatst op in Innovatie, Privacy, 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Is een snapchatvideo openbaar of privé?

Geplaatst op in Privacy, Regulering, 14 reacties

video-camera-filmen-fotoIn juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat wel openbaar, je deelt het toch maar met een beperkt aantal mensen?

Wat die diefstallen en de video met elkaar te maken hebben, weet ik niet precies, maar het gaat mij dus om die video. De verdachte had stiekem gefilmd hoe een dame seks met hem had, en die video op Snapchat gezet.

Het is strafbaar om stiekem video’s (of foto’s) te maken van mensen wanneer dat in niet-openbare ruimtes gebeurt (art. 139f Strafrecht). Ja, ook met een mobiele telefoon of andere gewone camera, niet alleen met bewakingscamera’s of zo. En vervolgens verbiedt 139g Strafrecht het openbaar maken van zo’n video.

In deze zaak was de video in een niet-openbare ruimte gemaakt – het bubbelbad bij een woning. Dus dat artikel 139f was overtreden, stond vast. Maar die openbaarmaking, hoe zit dat dan?

“Openbaar maken” betekent in de context van het strafrecht niet perse dat je zelf de hele wereld direct benaderd moet hebben, zoals wanneer je het op Youtube zou zetten. Ook als je een kleinere groep mensen bedient, kan dat nog steeds “openbaar” zijn. Het moet gaan om “een bredere kring van betrekkelijk willekeurige derden”. In al wat oudere jurisprudentie (Hyves!) werd bepaald hoe dat wordt ingevuld bij online acties. Zijn 20 familieleden meer of minder openbaar dan 10 willekeurige fans?

Uiteindelijk kwam daar een arrest van de Hoge Raad voorbij met het criterium:

de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken,

Dat criterium zie je terug in deze zaak:

Door het heimelijk gemaakte filmpje op Snapchat te plaatsen, heeft verdachte dit ter kennis willen brengen van het publiek, te weten ofwel alle overige gebruikers van Snapchat ofwel de groep door verdachte goedgekeurde contacten, hetgeen eveneens een groep van zekere omvang betreft. Daarmee heeft verdachte het heimelijk vervaardigde filmpje openbaar gemaakt in de zin van de wet.

In mijn woorden: die groep van mensen waar het filmpje naartoe gestuurd was, was betrekkelijk willekeurig. Iedereen had in principe daar bij kunnen horen. Bovendien mocht iedereen het filmpje doorsturen, de verdachte had niets gedaan om dat te verhinderen. En daarmee geef je het aan de openbaarheid prijs.

Bij WhatsApp zou dit denk ik ook opgaan in een groepsapp waar willekeurige mensen lid van kunnen worden. Bij doorsturen naar één persoon zou ik dat minder snel zien, tenzij uit de context blijkt dat je verdere verspreiding best leuk zou vinden.

Arnoud

Amerikaans WhatsApp valt onder Nederlandse privacywet

Geplaatst op in Ondernemingsvrijheid, Privacy, 19 reacties

whatsapp De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men toch onder de Nederlandse Wbp.

WhatsApp en de toezichthouder liggen al een tijdje in de clinch over naleving van de Wbp. In november 2015 werd een besluit opgelegd waarin WhatsApp onder meer toezegde hashing te gaan gebruiken zodat ze alleen nog gegevens kon matchen van gebruikers onderling, en niet meer tevens van niet-gebruikers. “WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek” stond er dan omineus in het persbericht, en nu zien we dat men die betwisting heeft doorgepakt, maar zonder succes.

Het lijkt een formeel puntje. Een bedrijf dat buiten Europa gevestigd is en persoonsgegevens van Nederlanders verwerkt, moet een vertegenwoordiger aanstellen (art. 4 lid 3 Wbp). Het idee daarachter is dat je als Nederlands burger dan makkelijker klachten en claims kunt indienen bij dat bedrijf.

WhatsApp had nooit zo’n vertegenwoordiger gesteld, ik vermoed omdat ze vonden dat ze überhaupt niet onder Nederlands recht vallen (als ze daar al ooit van gehoord hadden, Nederland is de hoofdstad van Denemarken, toch?). Maar de rechtbank bevestigt nu dat dat toch echt moet. Het juridische argument dat onze wet in strijd is met de Privacyichtlijn uit 1995 (omdat het tekstueel niet 100% matcht) gaat van tafel, de Nederlandse regels zijn een prima invulling van de Richtlijn.

Belangrijker vind ik echter het onderliggende punt: WhatsApp valt onder de Wbp, hoewel ze hier geen vestiging of server hebben. Dit vanwege artikel 4 lid 2 Wbp:

Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

Je zou denken dat dat gaat over servers en zo, maar de AP zegt nu – met instemming van de rechtbank – dat dit óók gaat over smartphones. Niet heel verrassend, de Artikel 29-Werkgroep had dat al in 2013 gesteld, maar het is nu door de rechter bevestigd.

Misschien een tikje gek, want die smartphones zijn toch uitsluitend voor persoonlijk gebruik door de consument-eigenaren? Klopt, maar de WhatsAppapp doet meer, die stuurt immers data door naar WhatsApp het bedrijf in de VS die er meer mee doet. Zoals dus dat matchen. En daarom kan WhatsApp niet zeggen dat ze slechts een faciliterend bedrijf (‘bewerker’ in het jargon) is voor de consument.

Ik moest glimlachen bij het verweer “Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.” Want die vertegenwoordiger is dus aansprakelijk voor alle claims en boetes die WhatsApp veroorzaakt, en je zou dus wel gek zijn. Maar, zo merkt de rechtbank ook op, je kunt als vertegenwoordiger prima afspreken dat WhatsApp je schadeloos stelt bij deze claims. Dus nee, ook dat is geen argument.

Alles bij elkaar een best belangwekkende uitspraak, want dit geldt niet alleen voor WhatsApp. Iedere app-exploitant die gebruikerspecifieke data naar de VS laat sturen, is nu verplicht zichzelf in Europa daar verantwoordelijk (en aansprakelijk) voor te stellen.

Arnoud

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

Geplaatst op in Privacy, Regulering, 12 reacties

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

Mag WhatsApp data gaan delen met Facebook?

Geplaatst op in Privacy, 26 reacties

whatsappChat-app WhatsApp gaat standaard accountinformatie van gebruikers delen met Facebook, zodat het sociale netwerk relevantere advertenties gaat aanbieden. Dat meldde Tweakers vorige week. Wie dat niet wil, kan het uitzetten (klik gerust, ik wacht wel even) maar moet wel bedenken dat Facebook dan minder optimaal “spam [kan] bestrijden en advertenties relevanter [] maken”. Maar ik mis iets, mag dit zomaar?

“We have not, we do not, and we will not ever sell your personal information to anyone. Period. End of story”. Dat was ooit de stoere uitspraak van de chatdienst over privacy. Dat werd bevestigd na de aankoop door Facebook – WhatsApp zou een autonoom bedrijf blijven. Maar al is de marketingmeelbal nog zo snel, het wijzigingsbeding achterhaalt hem wel. Want uiteraard had ook WhatsApp ergens in de voorwaarden een “Wij mogen deze voorwaarden herzien en als je dat niet bevalt dan hoepel je maar op”-clausule.

En ja, zulke clausules zijn legaal. De wet ziet WhatsApp als niet anders dan een schoonmaakbedrijf dat elke week je huis komt reinigen. Dienstverlening moet van tijd tot tijd kunnen wijzigen, en het is dan logisch dat de opdrachtgever mag opzeggen. Logisch bij schoonmaken en dergelijke, iets minder logisch bij online diensten en apps. Want dan krijg je dus dit soort dingen.

Privacytechnisch zie ik ook weinig dat je kunt doen. Want ja, de gegevens die ze gaan delen zijn persoonsgegevens onder de Wbp en straks de Privacyverordening (check die cursus) en nee dat mag niet zonder uitdrukkelijke toestemming worden gekoppeld (ook in de VS niet) maar daar komt vast een draai dat stilzitten uitdrukkelijk instemmen is, want dat is het bij de cookiewet ook. Sorry, ik ben alweer rustig.

Ik werd nog getroffen door de reactie van ‘Rainbow’ bij Tweakers:

Wat ik persoonlijk het meest bezwaarlijk vind is dat je er niet onderuit kan, ook als je zelf geen WhatsApp gebruikt (en dus niet hebt ingestemd met de gebruikersvoorwaarden van die dienst). Voorheen was dit nog niet echt een probleem, omdat de privacyvoorwaarden van WhatsApp wel prima waren, ze verzamelden de gegevens, maar deden er in principe niets mee. Nu dus wel.

En dat is hier nog wel een hele interessante. Want inderdaad, bij WhatsApp worden ook telefoonnummers van niet-gebruikers opgeslagen. Hoewel in Nederland alleen als hash zodat niet-gebruikers van WhatsApp beter beschermd zijn, zoals de Autoriteit Persoonsgegevens eind 2015 nog meldde. Maar “hashen == privacy” is ook een beetje overrated: matchen blijft gewoon mogelijk, alleen moet Facebook nog even de hash van de bij haar bekende 06-nummers berekenen. Alleen gebruikers wier 06 niet bij Facebook bekend is (oeps, handig joh die tweefactorauthenticatie), zouden nu buiten schot moeten blijven. Ik ben benieuwd.

Arnoud

Mag ik een sms naar mijn klanten sturen?

Geplaatst op in Privacy, 14 reacties

whatsappEen lezer vroeg me:

Ons bedrijf wil per Whatsapp gaan communiceren met klanten. Ik heb dat als security officer afgeraden, omdat we niet weten wat er in Amerika gebeurt met de persoonsgegevens die er dan over de lijn gaan. SMS lijkt me een betere optie, maar hoe zit dit wettelijk?

WhatsApp zou ik tegenwoordig wel durven aanraden mits de end-to-end encryptie aan staat. Dan kan WA immers niet meelezen. Ik denk dat je er tegenwoordig wel op mag vertrouwen dat die encryptie een redelijk niveau van beveiliging geeft. Misschien zou je bij medische gegevens meer moeten doen.

SMS-berichten zijn niet versleuteld maar gaan over een afgeschermd netwerk. Dat lijkt me security-technisch ook wel in orde.

Een ander punt is wat klanten ervan vinden om ineens berichtjes te krijgen via deze kanalen. Zeker bij SMS vinden (in mijn ervaring) een hoop mensen het erg opdringerig, om niet te zeggen ongewenst. Heel formeel is dénk ik geen toestemming nodig voor serviceberichten naar je klanten. Het sturen van reclame per sms (of WhatsApp) mag niet zonder toestemming, maar bijvoorbeeld een klant een reminder voor een afspraak per sms sturen is volstrekt legaal als zij hun 06 hebben gegeven.

Wel is vereist dat ergens in de privacyverklaring staat dat dit zal gebeuren, en is wenselijk dat de klant zich kan afmelden voor die berichten. Verder zou het voor mij ook van de context afhangen: waarom geef ik dat 06-nummer, is dat om eenmalig teruggebeld te worden of is het deel van mijn klantprofiel?

Toch zou ik altijd aanraden om toestemming te vragen.

Arnoud