Vergroot contrast

CBP: Niet-gebruikers WhatsApp beter beschermd

WhatsApp biedt aanvullende bescherming aan niet-WhatsApp-gebruikers na onderzoek door het College bescherming persoonsgegevens (CBP). WhatsApp verwerkt de telefoonnummers van niet-gebruikers nu op een andere manier en heeft ook de bewaarmethode veranderd. Naar het oordeel van het CBP heeft het bedrijf hierdoor nu een wettelijke basis om deze gegevens te verwerken.

In januari 2013 heeft het CBP een rapport uitgebracht over een onderzoek dat in samenwerking met de Canadese privacytoezichthouder OPC is gedaan naar de verwerking van persoonsgegevens door WhatsApp. Het CBP concludeerde toen dat WhatsApp voor zijn dienstverlening van de gebruiker ook toegang kreeg tot de mobiele telefoonnummers van niet-gebruikers in zijn elektronisch adresboek.

Maatregelen

In het vervolg van dit onderzoek heeft WhatsApp toegelicht dat het technisch niet mogelijk is om zijn dienst aan te bieden zonder dat zijn gebruikers de telefoonnummers uit hun elektronische adresboek uploaden inclusief die van niet-WhatsApp-gebruikers. WhatsApp heeft in afstemming met het CBP een aantal maatregelen genomen. Deze maatregelen waarborgen dat WhatsApp de telefoonnummers van niet-gebruikers verwerkt om WhatsApp gebruikers elkaar te laten vinden en met elkaar in contact te brengen en niet voor andere doelen.

Het bedrijf heeft voor haar dienst passende beveiligingsmaatregelen getroffen die ervoor zorgen dat telefoonnummers van niet-gebruikers zodanig technisch worden bewerkt (‘gehasht’) dat de mogelijkheid van ander gebruik wordt beperkt. Ook worden deze ‘gehashte’ telefoonnummers afzonderlijk bewaard. Uitsluitend een beperkt aantal technici heeft toegang tot deze gegevens. WhatsApp zal ter bevestiging van haar maatregelen een extern onderzoek laten uitvoeren.

WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek.

UPDATE d.d. 22 november 2016

Op dinsdag 22 november heeft de rechtbank in Den Haag uitspraak gedaan in een zaak tussen WhatsApp en de Autoriteit Persoonsgegevens (AP). De rechtbank heeft bepaald dat WhatsApp in Nederland een vertegenwoordiger moet aanstellen.

De uitspraak is het gevolg van een beroepsprocedure  van WhatsApp tegen het besluit op bezwaar van de AP naar aanleiding van een last onder dwangsom die de AP (toen: College bescherming persoonsgegevens) het bedrijf in 2014 had opgelegd. In de last onder dwangsom eiste AP op 2 punten maatregelen van WhatsApp:

  1. WhatsApp moest de persoonsgegevens van niet-gebruikers die in het telefoonboek staan van een nieuwe WhatsApp-gebruiker direct vernietigen of onomkeerbaar anonimiseren.
  2. WhatsApp moest een vertegenwoordiger aanwijzen in Nederland.

De AP stelde dat WhatsApp een dwangsom van maximaal 1 miljoen euro  per maatregel moest betalen als het bedrijf bovenstaande maatregelen niet binnen een bepaalde tijd nam.

Betere bescherming niet-gebruikers

WhatsApp heeft destijds tegen de opgelegde last onder dwangsom een bezwaarschrift ingediend. Vervolgens heeft WhatsApp tijdens de bezwaarschriftprocedure alsnog afdoende bewezen dat de app niet functioneert zonder de gegevens van niet-gebruikers. De AP heeft vervolgens in haar besluit op bezwaar geconcludeerd dat de gegevens van niet-gebruikers nog steeds zijn aan te merken als persoonsgegevens. De AP eiste daarom dat WhatsApp afdoende technologische en organisatorische maatregelen zou nemen om de gegevens van niet-gebruikers beter te beschermen.

Eén van die maatregelen is het beveiligen van de gegevens van niet-gebruikers. Door deze gegevens onder meer te hashen en apart op te slaan en door een strikt toegangsbeleid wordt voorkomen dat WhatsApp  direct inzicht  heeft in het sociale netwerk van niet-gebruikers. Slechts een beperkt aantal technici heeft toegang tot deze gegevens voor het werkend houden van de app. Ook zijn deze gegevens niet toegankelijk voor derden, waaronder Facebook, de moedermaatschappij van WhatsApp. WhatsApp heeft de door de AP geëiste maatregelen doorgevoerd.

Vertegenwoordiger

WhatsApp heeft vervolgens beroep bij de rechter ingesteld tegen het besluit op bezwaar. Daarin heeft WhatsApp zich verweerd tegen de eis van de AP om een vertegenwoordiger in Nederland aan te stellen. De rechtbank heeft nu bepaald dat WhatsApp in Nederland een vertegenwoordiger moet aanstellen.

De Wet bescherming persoonsgegevens eist dat er een Nederlandse vertegenwoordiger is als een bedrijf in Nederland persoonsgegevens verwerkt maar geen vestiging heeft in de Europese Unie. WhatsApp kan nog in hoger beroep gaan tegen de uitspraak van de rechtbank.

UPDATE d.d. 27 juli 2018

De AP heeft in 2014 aan WhatsApp de eis gesteld om een vertegenwoordiger in Nederland aan te stellen. Ook de rechtbank Den Haag heeft in haar uitspraak van 22 november 2016 bepaald dat WhatsApp in Nederland een vertegenwoordiger moet aanstellen. De achtergrond van deze verplichting is dat de AP organisaties die niet in de EU gevestigd zijn gemakkelijker kan aanspreken op hun verantwoordelijkheden en dat betrokkenen hun rechten, zoals bijvoorbeeld hun recht op inzage, eenvoudiger kunnen uitoefenen.

Uit stukken van WhatsApp is gebleken dat zij inmiddels een rechtspersoon in Ierland heeft opgericht. Omdat WhatsApp volgens de AP een vestiging in Ierland en dus in de EU heeft, geldt de verplichting om een vertegenwoordiger in Nederland aan te stellen niet meer. Dit is voor de AP aanleiding geweest om de last onder dwangsom op te heffen. WhatsApp heeft het hoger beroep tegen de uitspraak van de rechtbank Den Haag ingetrokken.

Gerelateerd nieuws