Wat is er aan de hand met WhatsApp? – Mathieu stelt gerust

Eind juni heeft een rechter van het Amtsgericht Bad Hersfeld uitspraak gedaan in een zaak over het gebruik van WhatsApp door een minderjarig kind. Het meest opvallende deel van het vonnis is dat dat het door Whatsapp laten inlezen van het adresboek niet door de beugel kan. Dat vraagt om uitleg en de visie van een deskundige, in dit geval dus weer Mathieu Paapst.

De zaak is uitgebreid behandeld op Duitse blogs en zelfs de reguliere pers heeft er aandacht aan besteed. Dat is zo gek nog niet want bijna iedereen heeft wel eens van WhatsApp gehoord. Verder is dit in Duitsland en daar kan privacy op meer aandacht rekenen. Het vonnis lijkt daarbij ook nog eens heel duidelijk te zijn. De rechter is van mening dat iedere houder van een telefoonnummer dat in dat adresboek stond vooraf om toestemming gevraagd had moeten worden.

Die zin moet je op je in alten werken en waarschijnlijk is dan ook duidelijk waarom we Mathieu Paapst van ICTRecht, locatie Groningen de volgende twee vragen voorlegden. Mathieu is een voor de hand liggende keuze, omdat we recent zijn mening al noteerden over zaken als smoelenboeken.

De vragen waren:

  • is dit een voorproefje met wat we van de GDPR kunnen verwachten?
  • deze case is echt enduser/ B2C, maar in de B2B context zou je door dit vonnis toch ook in de problemen kunnen komen. Wie zou daar dan toestemming moeten geven? De persoon die de telefoon gebruikt of de werkgever?

Deze uitspraak is wat mij betreft nog niet richtinggevend. Dit is een rechter van een klein deelstaatje met 110.000 inwoners, zeg maar een soort kantonrechter, die zich normaal gesproken enkel met familiezaken zou moeten bezighouden, en die de “gevaren” van Whatsapp gebruikt om een moeder te diskwalificeren.

Op dit moment gaat de Autoriteit Persoonsgegevens er vanuit dat het delen van het adresboek mag (want noodzakelijk voor het kunnen aanbieden van de dienst), mits Whatsapp direct de telefoonnummers van personen die geen WhatsApp gebruiken (zeg maar de bijvangst) zal versleutelen. Die versleutelde data zijn toegankelijk voor een klein aantal technici bij WhatsApp. Ik kan me voorstellen dat dit – mede gelet op het recht op gegevenswissing – strenger zal gaan worden omdat er geen noodzaak lijkt te zijn om de bijvangst al dan niet versleuteld (en voor langere periode?) te bewaren.

Waar het gaat om het zakelijk inzetten van Whatsapp zijn er ook onder de huidige wetgeving al strenge voorwaarden, zo zou je bijvoorbeeld met WhatsApp een bewerkersovereenkomst moeten sluiten, en gelden inzake outbound marketing dezelfde regels als bij email. Het is daarom voor bedrijven sowieso aan te bevelen om enkel ontvangers in de contactenlijst op te nemen die toestemming hebben gegeven voor communicatie via Whats App.