WhatsApp en Facebook delen informatie over gebruikers. Mag dat zomaar?

De Europese privacy waakhond (WP29) meent van niet. Afgelopen vrijdag heeft deze Artikel 29-werkgroep een brief gestuurd aan WhatsApp waarin zij aangeeft dat het niet zomaar is toegestaan om gegevens tussen WhatsApp en Facebook uit te wisselen.

Collega Robbert Santifort schreef al eerder over de privacy-kopzorgen van WhatsApp, zeker na de overname door Facebook in 2014. En deze zorgen, ondanks de recent door WhatsApp geïntroduceerde end-to-end-encryptie, bleken terecht. Wat WhatsApp neemt het dus niet zo nauw met de gegevens van haar gebruikers nu is gebleken dat zij alles deelt met Facebook.

Na de overname van WhatsApp door Facebook in 2014, heeft Facebook de gebruiksvoorwaarden en de privacy policy van haar bedrijf doorgevoerd voor al haar gebruikers. Dus, ook voor de gebruikers van WhatsApp. Wij nemen aan dat voor de overname de gebruiksvoorwaarden en privacy policy van WhatsApp en Facebook niet hetzelfde waren.

Waarom is deze constatering nu belangrijk voor de gebruiker van WhatsApp vóór de overname door Facebook?

Op het moment dat een gebruiker zich registreert voor een internetdienst zal hij akkoord moeten gaan met de gebruiksvoorwaarden en de privacy policy van het bedrijf dat deze dienst aanbiedt. Dit is niet anders zodra iemand gebruik wil maken van de diensten van Facebook of WhatsApp. Dergelijke voorwaarden bestaan uit regels die de rechten en plichten  van zowel de gebruiker als van het bedrijf weergeven. Zo wordt er onder andere in de gebruiksvoorwaarden geregeld hoe je een dienst kunt gebruiken en onder welke voorwaarden dat zal plaatsvinden. En in de privacy policy wordt onder andere benoemd onder welke voorwaarden het bedrijf jouw gegevens mag verwerken. Let op, de cursief getypte woorden in de voorgaande twee zinnen is niet voor niets. Een gebruiker heeft namelijk het recht om zelf te beslissen of hij akkoord gaat met de voorwaarden van een bedrijf. Dit gaat meestal door een check-in-the-box met “ik ga akkoord met deze gebruiksvoorwaarden” en hetzelfde geldt voor de privacy policy. Prima, nog geen man overboord vóór de overname van WhatsApp door Facebook. De gebruiker is  namelijk destijds zelf akkoord gegaan met de voorwaarden van WhatsApp.  

Nu komt de crux van het verhaal. Op grond van wet- en regelgeving omtrent privacy moet een bedrijf voor de verwerking van persoonsgegevens een doelomschrijving opnemen in haar privacy policy. Daarin staat dan onder welke voorwaarden het bedrijf persoonsgegevens mag verwerken. Uiteindelijk is het de gebruiker die toestemming geeft aan het bedrijf om voor bepaalde doeleinden gegevens te verwerken. Het probleem is echter dat Facebook en WhatsApp niet dezelfde doelomschrijving hanteerden voor het verwerken van persoonsgegevens vóór de overname van WhatsApp door Facebook.

Facebook heeft bijvoorbeeld in de doelomschrijving van haar privacy policy staan dat zij gerichte advertenties mag plaatsen op de accounts van haar gebruikers. Daarnaast mag zij de persoonsgegevens van gebruikers ook gebruiken voor marketingdoeleinden. Beide doelen dienen om inkomsten te generen voor Facebook. WhatsApp daarentegen kende dit soort doelomschrijvingen in haar privacy policy niet. Nadat Facebook haar voorwaarden ook heeft laten gelden voor WhatsApp, kan men zich afvragen of de gebruiker van WhatsApp wel toestemming heeft gegeven voor de nieuwe wijze van verwerking, waarbij het eveneens maar de vraag is of Facebook de gegevens van gebruikers van WhatsApp mag delen. Volgens Artikel 29-werkgroep is dat niet het geval. Zij hebben dan ook ernstige bedenkingen over de manier waarop dat is gegaan. De privacy waakhond verzoekt WhatsApp dan ook om haar te voorzien van meer informatie voor nader onderzoek.

Artikel 29-werkgroep benoemt in dezelfde brief aan WhatsApp ook nog een ander punt van kritiek. Zij vraagt zich ook af of het bedrijf voldoende handvatten geeft aan gebruikers om hun rechten te kunnen uitoefenen. Bovendien vragen zij zich af wat het effect van de gegevensuitwisseling voor de enkele WhatsApp gebruikers zal zijn binnen het gehele concern van Facebook. Niet alle WhatsApp-gebruikers zijn immers ook lid van Facebook en vice versa. Mogen de persoonsgegevens dan zomaar gedeeld worden?

Bij ons is daarnaast nog een andere vraag gerezen. Nu Facebook in bezit is van zoveel persoonsgegevens, heeft zij wel voldoende passende technische en organisatorische maatregelen getroffen om de persoonsgegevens van gebruikers te kunnen beschermen? Stel voor dat Facebook, net zoals recent is gebeurd met Yahoo, wordt gehackt en 500 miljoen persoonsgegevens worden gestolen, dan is de impact gigantisch. En dit staat nog los van de nadelige gevolgen voor iedere gebruiker van de dienst. Hoe het ook zij, we zullen nog even moeten wachten op het antwoord van WhatsApp.

Ady van Nieuwenhuizen, IE Advocaat
Talin Ghazarian, IE Advocaat

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.