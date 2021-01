In de WhatsAppgroep met collega’s waar Niels Bloembergen tot zes jaar geleden in zat, gingen alle mogelijke berichten door elkaar heen. Hij was toen persoonlijk begeleider in de jeugd- en gehandicaptenzorg. „Een snelle vraag over hoe een bepaalde dienst was afgelopen, heeft iemand de ouders van die cliënt al geïnformeerd, en o ja, hoe was je vakantie?”

Ook appen begeleiders vaak direct met hun cliënten, weet Bloembergen. Dat is snel en makkelijk, maar het leidt ook tot dilemma’s voor zorginstanties. „Zij moeten continu afwegen: doe je wat voor de privacywet het beste is, of doe je simpelweg wat werkt?”

Bloembergen is intussen zelfstandig adviseur op het gebied van online hulpverlening in de geestelijke gezondheidszorg. Zijn missie richt zich nu tegen de gangbare communicatie in de zorgpraktijk: hij wil WhatsApp uitbannen van de werkvloer. De app verhoogt het risico op datalekken en onzorgvuldige omgang met persoonlijke gegevens, stelt hij. Maar Bloembergen weet ook dat die wens weerstand oplevert bij werknemers. „WhatsApp is natuurlijk veel handiger. Het zit al op de telefoon van de cliënten en sluit aan op hun belevingswereld. Leg mensen met een verstandelijke beperking maar eens uit dat het voor hun privacy en gegevensbeheer beter is over te schakelen naar een veilig cliëntenportaal.”

WhatsApp gebruiken is een keuze voor gemak, en dat is volgens Bloembergen de reden dat zorginstellingen nauwelijks protocollen over de berichtenapp hebben. „Dat vind ik opvallend. Alle datastromen in de zorg zijn helemaal dichtgetimmerd qua privacyregels, maar WhatsApp staat nog maar matig op de radar.”

Berichtendienst WhatsApp ontstond in 2009, bedacht door een Amerikaan en Oekraïner voor hun nieuwe iPhone. Sinds 2014 is Facebook eigenaar en heeft de gratis chatdienst twee miljard gebruikers, van wie 12,1 miljoen in Nederland.

WhatsApp is makkelijk en snel, voor vragen, opmerkingen, een kort bericht. De app zit toch al op ieders telefoon

Twaalf jaar na de lancering is WhatsApp wijdverspreid en genormaliseerd, óók in de werkomgeving. Ondanks kritiek op het gebruik van metadata van de berichtendienst, is de appgroep met collega’s eerder regel dan uitzondering. En ook 1-op-1 is WhatsApp vaak een makkelijk en snel kanaal voor vragen, opmerkingen of een ‘ik ben wat later’-berichtje. De app zit tenslotte toch al op ieders telefoon, die vermaledijde smartphone die altijd binnen handbereik ligt. Wie ‘even snel’ iets moet weten, stuurt een WhatsApp-berichtje.

Voorlichtingsfilms en examens

Betekent dit dat bedrijven WhatsApp zien als een officieel communicatiemiddel, met alle veiligheidseisen van dien? Bij de grote spelers wel, zegt Ruud Buurma. Hij adviseert bedrijven over privacy en informatiebeveiliging en werkte langdurig in de financiële sector. „Ik denk dat bijna alle grote partijen tegenwoordig een socialemediarichtlijn hebben, waar WhatsApp ook onder valt. Dat is meestal beleid vanuit de security-afdeling, die bespreekt welke informatie je wel of niet mag delen op welke kanalen. Dat gaat niet zomaar in een bijzinnetje: hele voorlichtingsfilms worden er gemaakt, met examens en alles erop en eraan.”

Een voorbeeld daarvan is onlinebetaaldienst Adyen (ruim 1.600 medewerkers). Alle nieuwe medewerkers moeten er een securitytraining volgen. Aan het eind ervan ondertekenen ze een formulier bij wijze van eed. „Zodat niemand achteraf kan zeggen het niet begrepen te hebben”, vertelt Suze Derkse, communicatiemedewerker van Adyen. Volgens haar is het al heel normaal elkaar aan te spreken op foutief chatgedrag. „Dan zeg je: zullen we hier anders even over videobellen, of overschakelen op Mattermost? – dat is ons beveiligde chatplatform, een variant op Slack. Dat voelt niet ongemakkelijk, nee. Iedereen is er wel van doordrongen dat wij werken met sensitieve informatie en dat je via WhatsApp een te grote kans hebt op een data-lek.”

Die bewustwording komt mede door de nieuwe AVG-wetgeving sinds 2018. Die Algemene verordening gegevensbescherming dwingt bedrijven zorgvuldig om te gaan met persoonsgegevens. Ook hebben bedrijven sindsdien een verantwoordingsplicht op dit vlak; ze moeten kunnen aantonen dat ze hun best doen persoonsgegevens zo goed mogelijk te beschermen.

Verhit WhatsApp-gesprek

Voor de overheid was er nog een andere gamechanger: de uitspraak van de Raad van State van maart 2019. Deze uitspraak bepaalde dat óók chatberichten uit WhatsApp bij een beroep op de Wet Openbaar van Bestuur (Wob-verzoek) opvraagbaar zijn. Zo kon het dat afgelopen juni het verhitte WhatsAppgesprek tussen burgemeester van Amsterdam Femke Halsema en minister Ferd Grapperhaus (Justitie, CDA) over de Black Live Matters-demonstratie op de Dam kon worden vrijgegeven.

Een werkgroep van de Rijksoverheid heeft zich na de Raad van State-uitspraak gestort op het maken van chatregels, met als slogan: app met beleid, niet over beleid. In een animatiefilmpje voor alle rijksmedewerkers zien we een foto van een lunchsalade en de vraag ‘zullen we zo even samen lunchen?’ – dat krijgt een groen vinkje. Een vraag over in welke salarisschaal collega Roos zit, krijgt een rood kruis: géén persoonsgevoelige informatie delen via WhatsApp. Gaat het om een bestuurlijk besluit? Dan moet het via de mail.

Lijken grote organisaties hun WhatsApp-zaken goed geregeld te hebben, bij kleinere bedrijven is dat maar sporadisch het geval, ziet privacy-adviseur Buurma. Ook in de zorg is het bepaald niet overal goed geregeld, volgens Niels Bloembergen. „Er zijn socialemediaprotocollen, maar dat gaat dan meer over hoe je jezelf uit, op Facebook bijvoorbeeld, niet over het gebruik van WhatsApp tussen collega’s. Daar loopt de zorg echt in achter. Misschien bestaat er een zekere weerstand tegen te veel regels en te veel nieuwe online platforms. Een zorgverlener wil gewoon mensen helpen, klaar.”

Recht op vergetelheid

Waarom is berichten sturen via WhatsApp eigenlijk zo verkeerd? De gesprekken zijn tenslotte end-to-end versleuteld en de app voldoet, ook met de nieuwe voorwaarden, aan de strenge eisen van de Europese wetgeving.

„De gekoppelde clouddiensten zijn een groot probleem”, zegt Bloembergen. „Veel mensen hebben ingesteld dat de foto’s en screenshots uit hun WhatsApp automatisch worden geüpload in Google Drive of een andere clouddienst. Daarmee raak je het zicht kwijt op wat er met die data gebeurt. Terwijl klanten tegenwoordig het ‘recht op vergetelheid’ hebben, waarbij je bepaalde data moet kunnen vernietigen. Als hun gegevens in clouds staan op laptops waar eventueel ook familieleden van de gebruikers bij kunnen, tja, dan is het einde zoek.”

Ook WhatsAppfraude is een reëel gevaar. Fraudeurs doen zich voor als een bekende, je klikt op een linkje en criminelen hebben toegang tot bedrijfsgevoelige informatie. Maar imagoschade is voor bedrijven misschien nog wel het grootste risico, denkt Ruud Buurma. „Als een grote bank in het nieuws komt vanwege een datalek via WhatsApp, nou, dat staat niet zo fraai. Dat kost ze klanten.” Bovendien ontvangen AVG-overtreders een hoge boete, en dat is óók niet erg wenselijk.

Daarom zegt Niels Bloembergen resoluut: weg met WhatsApp in de zorg. „Je kunt ook gedragsregels afspreken, maar het gaat zo makkelijk tóch over inhoudelijke zaken dat ik ervoor zou pleiten om WhatsApp helemaal te verbannen. Daarvoor is het essentieel dat er een volwaardig alternatief is. Dat zou bijvoorbeeld JouwOmgeving kunnen zijn, of KPN Zorgmessenger. Eerder hoorde ik een leidinggevende weleens voorstellen: laten we anders vanaf nu elkaar sms’en. ‘Onder welke steen heb jij geleefd?’, is dan de reactie. Binnen no time was iedereen weer aan het appen.”

Volgens Buurma is WhatsApp verbieden vechten tegen de bierkaai, omdat de app een belangrijke plaats inneemt in onze dagelijkse communicatie. „Dat moet je niet proberen weg te houden, dat moet je onderdeel laten zijn van je organisatie.”

Want, daar is iedereen het mee eens: WhatsApp is ook gewoon ontzettend handig. Buurma: „Het gaat zo lekker dwars door alle formaliteiten heen. Alsof je altijd een kamer binnen kunt stormen en dan meteen bij de juiste persoon je vraag kunt neerleggen. Ik zal de laatste zijn om te ontkennen dat dat verdomde effectief is.”