Welke data deelt WhatsApp met Facebook?

De laatste tijd is WhatsApp veel in het nieuws vanwege het aangepaste privacybeleid. Daardoor ligt de connectie tussen de chat-app en eigenaar Facebook opnieuw onder een vergrootglas. Welke data deelt WhatsApp met Facebook? We nemen de privacyvoorwaarden met je door.

In januari kondigde WhatsApp de nieuwe privacyvoorwaarden aan. Via een notificatie kregen WhatsApp-gebruikers te horen dat zij tot 8 februari hadden om deze voorwaarden te accepteren, anders zou de chatapplicatie niet meer beschikbaar zijn. De aankondiging leidde wereldwijd tot veel kritiek op WhatsApp, met name vanwege de wijzigingen in de voorwaarden die de dienst zouden toestaan meer data met moederbedrijf Facebook te delen. 

Vanwege de ophef verschoof WhatsApp de ingangsdatum van de nieuwe voorwaarden naar 15 mei 2021, zonder verder wijzigingen in de voorwaarden aan te brengen. Laten we die eens nader bekijken.

Bedrijven op WhatsApp

Volgens WhatsApp was veel kritiek gebaseerd op een misverstand. WhatsApp-gebruikers zouden in de veronderstelling zijn dat Facebook voortaan hun gesprekken kon inzien. WhatsApp stelt nooit inhoud van gesprekken te delen met derden. De gesprekken zijn namelijk end-to-end versleuteld, waardoor ze versleuteld langs de server van WhatsApp komen en alleen door de ontvanger kunnen worden ontsleuteld. WhatsApp en Facebook kunnen de gesprekken dus niet inzien.

Wel krijgen bedrijven de mogelijkheid hun WhatsApp-account (vaak gebruikt door de klantenservice van een bedrijf) te laten beheren door diensten van Facebook, waaronder hostingdiensten. De mogelijkheid bestaat dan dat een externe dienstverlener (zoals Facebook in de rol van hostingbedrijf) toegang heeft tot deze communicatie. Bedrijven kunnen immers besluiten zulke externe dienstverleners in te schakelen om hun communicatie met hun klanten te helpen beheren.

In die situatie is het dus niet WhatsApp dat de inhoud van het gesprek verwerkt en deelt, bijvoorbeeld met Facebook, maar het bedrijf waarmee de klant communiceert. Gebruikers zullen dan het privacybeleid van het bedrijf in kwestie moeten raadplegen. Op een aparte pagina geeft WhatsApp tot slot aan dat het gebruikers voorafgaand aan een chatgesprek zal informeren als een bedrijf gebruikmaakt van de hostingdiensten van Facebook. 

WhatsApp legt zijn gebruikers verder uit dat het communiceren met bedrijven via WhatsApp tot gevolg kan hebben dat de inhoud van dat gesprek zichtbaar kan zijn voor meerdere mensen binnen dat bedrijf. WhatsApp informeert de gebruikers dus over de verwerking van gegevens door derde partijen bij gebruik van de app.

Delen van informatie met Facebook als verwerker

WhatsApp werd in 2014 overgenomen door Facebook. De Europese marktwaakhond (ESMA) keurde de overname goed onder de voorwaarde dat er geen accountgegevens tussen WhatsApp en Facebook zouden worden uitgewisseld. Die belofte werd verbroken; Facebook koppelde gebruikersaccounts van het platform en WhatsApp via telefoonnummers automatisch aan elkaar. Facebook kreeg daarvoor een boete van 110 miljoen euro van de Europese Commissie.

Ook nationale privacytoezichthouders hadden kritiek op het delen van gegevens. De Britse toezichthouder concludeerde dat Facebook alleen in de hoedanigheid van ‘verwerker’ voor WhatsApp (bijvoorbeeld als hostingprovider), toegang mag hebben tot de data van gebruikers, omdat de dienst niet aan een belangrijke wettelijke verplichting kon voldoen die op de zogenoemde verwerkingsverantwoordelijke rust. 

Een verwerkingsverantwoordelijke mag persoonsgegevens alleen gebruiken of delen met een andere verwerkingsverantwoordelijke als hij daarvoor een wettelijke grondslag heeft. Die grondslag voor delen van data met Facebook ontbrak destijds. Voor het delen van persoonsgegevens met een verwerker is geen afzonderlijke grondslag vereist. Als verwerker mag Facebook de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen volgens de instructies van WhatsApp.

In het huidige privacybeleid licht WhatsApp op een aparte pagina toe wanneer de dienst gegevens deelt met Facebook. Voor bijvoorbeeld het analyseren van de dienstverlening verstrekt WhatsApp de accountregistratiegegevens van gebruikers (telefoonnummer), de apparaatgegevens (versie van het besturingssysteem, de appversie, de landcode en de netwerkcode van het mobiele nummer) en gebruiksgegevens (frequentie en tijdstip van laatste gebruik). In deze situatie treedt het Facebook-bedrijf op als verwerker. Facebook verwerkt de gegevens alleen op instructie van WhatsApp en gebruikt de gegevens niet voor eigen doeleinden.

Delen van informatie met Facebook als verwerkingsverantwoordelijke

Zoals aangegeven, dient WhatsApp op basis van de privacywetgeving AVG wel een wettelijke grondslag te hebben voor het delen van persoonsgegevens met Facebook-bedrijven voor de eigen doeleinden van deze bedrijven. Facebook treedt dan namelijk niet op als verwerker, maar als zelfstandig verwerkingsverantwoordelijke. Vervolgens moet Facebook ook een wettelijke grondslag te hebben voor het (verder) verwerken van de gegevens.

Uit het privacybeleid volgt dat WhatsApp gegevens met Facebook deelt ‘als dit nodig is voor het promoten van veiligheid, beveiliging en integriteit tussen alle Facebook-bedrijven’. WhatsApp verstrekt de Facebook-bedrijven daarvoor gegevens waarmee vastgesteld kan worden of WhatsApp-gebruikers ook andere Facebook-producten gebruiken en om te bepalen of de andere Facebook-bedrijven actie moeten ondernemen tegen een gebruiker. 

Bij een spammer kan WhatsApp bijvoorbeeld telefoonnummers verstrekken van de betreffende spammer en informatie verschaffen over incidenten. Facebook is dan geen verwerker, maar verwerkingsverantwoordelijke. Voor beide partijen is dus een wettelijke grondslag vereist. WhatsApp noemt geen specifieke grondslag voor deze doorgifte. Het bedrijf geeft alleen aan dat deze gegevens worden verwerkt in overeenstemming met de sectie ‘Onze wettelijke basis voor het verwerken van gegevens’.

Tot slot vermeldt het nieuwe privacybeleid dat WhatsApp geen accountgegevens (meer) verstrekt voor verbetering van Facebook-producten op Facebook of voor een relevantere advertentiebeleving op Facebook. Dit is een positieve wijziging ten opzichte van het voorgaande privacybeleid. Daarin stond dat Facebook gegevens van WhatsApp wel kon gebruiken voor ‘het doen van productsuggesties en het tonen van relevante aanbiedingen en advertenties’. 

Het nieuwe privacybeleid stelt dat als WhatsApp er toch voor kiest gegevens voor dit doeleinde te delen met Facebook-bedrijven, het bedrijf dat alleen zal doen na goedkeuring van de Ierse Data Protection Commission.

Conclusie

Opgesomd:

  • WhatsApp licht in het privacybeleid de gevolgen toe van het gebruiken van de dienst om te communiceren met bedrijven.

  • WhatsApp legt uit welke gegevens het deelt met Facebook in hoedanigheid van verwerker.

  • Een positieve wijziging is dat Facebook-bedrijven accountgegevens van WhatsApp niet meer mogen gebruiken voor productverbetering of verbetering van het advertentiebeleid op Facebook. Voor het delen van gegevens met Facebook-bedrijven voor de veiligheid en beveiliging van diens eigen diensten, vergeet WhatsApp de wettelijke grondslag te concretiseren.

De commotie rondom het nieuwe privacybeleid blijkt met name relevant te zijn voor betrokkenen buiten de Europese Unie. In het privacybeleid voor landen buiten de Europese Unie staat namelijk dat Facebook de ontvangen data van WhatsApp wél mag gebruiken voor productsuggesties en het aanbieden en het tonen van relevante aanbiedingen en advertenties. 

Waar het oude privacybeleid de WhatsApp-gebruikers nog expliciet de keuze bood dit gebruik door Facebook te verbieden, lijkt deze keuze in de huidige versie verdwenen te zijn. Voor de betrokkenen binnen de Europese Unie is dit niet relevant.

Tekst: Jesse Vermeij en Jacintha van Dorp (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: whatsapp, facebook, privacy, privacymeetlat