WhatsApp bestraft voor bewaren 06-nummers en vaagheid over Facebook

Privacy Door schending van privacy met data en telefoonnummers krijgt WhatsApp een boete van 225 miljoen euro van Europese toezichthouders.

WhatsApp, met wereldwijd 2 miljard gebruikers, legt niet duidelijk uit hoe data verwerkt worden en gedeeld met andere Facebookdiensten.
WhatsApp, met wereldwijd 2 miljard gebruikers, legt niet duidelijk uit hoe data verwerkt worden en gedeeld met andere Facebookdiensten. Foto Remko de Waal

Facebook-dochter WhatsApp moet een boete van 225 miljoen euro betalen vanwege een schending van de privacyregels. Dat maakte de Ierse toezichthouder DPC donderdag bekend.

De chatdienst, met wereldwijd 2 miljard gebruikers, legt niet duidelijk uit hoe data verwerkt worden en gedeeld met andere Facebookdiensten. Ook schiet WhatsApp tekort in het anonimiseren van contactgegevens van niet-gebruikers, die via adresboeken worden geüpload.

WhatsApp voldoet daarmee niet aan de Algemene Verordening Gegevensbescherming (AVG) die in 2018 in de EU werd ingevoerd. In dat jaar begon de Ierse toezichthouder DPC een onderzoek naar WhatsApp, op verzoek van toezichthouders uit onder meer Duitsland, Frankijk en de Nederlandse Autoriteit Persoonsgegevens.

WhatsApp is volgens de klacht veel te vaag over de manier waarop persoonsgegevens gedeeld worden met andere diensten zoals Instagram en Facebook zelf.

WhatsApp omschrijft het zo: „we delen gegevens met Facebook-bedrijven om diensten zoals infrastructuur, technologie en systemen te ontvangen die ons helpen WhatsApp te verstrekken en te verbeteren en om WhatsApp en andere Facebook-bedrijven veilig en beschermd te houden.”

Een bedrijf dat veel gegevens verzamelt – Facebook ‘tagt’ bijvoorbeeld mensen in foto’s en koppelt biometrische data aan profielen – zal meer uitleg moeten geven dan twee regels met algemeenheden, vinden de toezichthouders. WhatsApp biedt geen enkele transparantie, aldus de aanklacht, die spreekt van een ‘total failure’ aan benodigde informatie.

WhatsApp wordt bestraft vanwege een ‘total failure’ bij het leveren van benodigde data over klanten en privacy

Dat maakt deze zaak een belangrijke testcase: veel grote techbedrijven houden hun privacyvoorwaarden vaag om aanvaringen te voorkomen. Ondertussen verzamelen ze zoveel mogelijk gegevens om hun diensten te optimaliseren, zonder dat gebruikers daar enig zicht op hebben.

Een ander pijnpunt is de manier waarop telefoonnummers van mensen die WhatsApp niet gebruiken toch via adresboeken van gebruikers bij WhatsApp belanden. Het bedrijf zegt telefoonnummers van ‘niet-klanten’ op te slaan in hashes – versleutelde digitale codes. De Autoriteit Persoonsgegevens wees de DPC erop dat deze bewaarmethode niet volledig anoniem is. Dat geeft WhatsApp de mogelijkheid niet-gebruikers te herkennen.

Volgens de regels van de AVG zouden daarom ook ‘niet-klanten’ WhatsApp kunnen vragen om inzicht in hun gegevens, of hun profielen laten verwijderen.

Lees ook: Column Marc Hijink: ‘Wat wil WhatsApp van je weten?

WhatsApp beroept zich er ook op persoonsgegevens te mogen verwerken omdat de dienst een ‘contract’ zou hebben met zijn gebruikers. Die grondslag wordt door het onderzoek in twijfel gebracht.

Moederbedrijf Facebook heeft, net als veel andere techbedrijven, zijn Europese hoofdkantoor in het Ierse Dublin. De Ierse toezichthouder hield in januari nog rekening met een boete van 50 miljoen euro. Maar de European Data Protection Board nam de regie over en eiste ‘heroverweging’ en een hogere boete.

225 miljoen euro is een schijntje voor Facebook (nettowinst in 2020: 29 miljard dollar). Toch is het een van de hoogste boetes die tot nu toe is uitgedeeld wegens een schending van de AVG. In juli kreeg Amazon een boete van 746 miljoen euro opgelegd. WhatsApp gaat tegen de boete in beroep, liet het bedrijf weten.

Facebook probeert WhatsApp aan andere diensten te verbinden, zoals communicatie met bedrijven. Daarvoor werden eerder dit jaar nieuwe privacyvoorwaarden ingevoerd, die WhatsApp-gebruikers niet konden weigeren. Na protesten besloot WhatsApp om weigeraars niet langer te dwingen de nieuwe voorwaarden te accepteren. Ze blijven wel een hinderlijke pop-up zien.