WhatsApp krijgt de wind van voren vanwege privacyschendingen

Het College bescherming persoonsgegevens (CBP) heeft samen met de Canadese privacytoezichthouder Office of the Privacy Commissioner (OPC) onderzoek gedaan naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire gelijknamige mobiele app. De onderzoekers van beide privacytoezichthouders constateerden verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment echter nog voort.

Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming.

‘Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent’, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. ‘Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.’

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: ‘Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens.'

Californië

WhatsApp is gevestigd in Californië, de Verenigde Staten. De app is een veel gebruikte instant messaging app voor smartphones en is ontworpen als gratis internetalternatief voor sms en is beschikbaar voor verschillende smartphones en besturingssystemen, waaronder de iPhone van Apple, de Windows Phone van Microsoft, de Blackberry van Research in Motion, de Nokia Symbian en S40 en apparaten met het Android besturingssysteem van Google.

Met WhatsApp kunnen gebruikers ook foto's, video's en geluidsbestanden verzenden en ontvangen (MMS). Aanschaf van WhatsApp voor de iPhone kost eenmalig 0,89 eurocent. Op andere besturingssystemen is de app gedurende het eerste jaar gratis. Het verzenden en ontvangen van berichten via de app is gratis. Gebruikers betalen alleen de kosten voor het datagebruik via internet. De app staat in de top vijf van best verkopende apps. Volgens WhatsApp worden er sinds oktober 2011 via de app meer dan een miljard berichten per dag verstuurd. WhatsApp is ook in Nederland een van de meest populaire apps, met miljoenen Nederlandse gebruikers.

De app is zo bekend dat het werkwoord 'whatsappen' sinds oktober 2012 aan de Van Dale is toegevoegd.

Bevoegd

Het CBP is bevoegd om onderzoek in stellen op grond van de Wbp omdat via de app op smartphones in Nederland persoonsgegevens worden verwerkt. Het gaat onder meer om het mobiele telefoonnummer, unieke klant- en apparaatidentifiers en (als opgegeven) het push ID en de profielnaam van WhatsApp-gebruikers. Daarnaast verwerkt WhatsApp het mobiele telefoonnummer van niet-gebruikers wanneer dat is opgenomen in het adresboek van whatsapp-gebruikers. WhatsApp gebruikt smartphones van WhatsApp-gebruikers - door middel van de app die op de apparaten is geïnstalleerd - als middel bij de verwerking van persoonsgegevens in het kader van de app. De Wet bescherming persoonsgegevens (Wbp) is (evenals hoofdstuk 11 van de Telecommunicatiewet; Tw) dwingend recht. Dit betekent dat de toepasselijkheid in deze kwestie daarvan niet via een eenzijdige verklaring of contractueel in de algemene voorwaarden door WhatsApp kan worden uitgesloten.

Adresboek

Wie WhatsApp wil gebruiken, moet toegang geven tot zijn volledige elektronische adresboek, inclusief de mobiele telefoonnummers van contacten die de app niet gebruiken (behalve in de laatste app versie op een iPhone met iOS 6). Doordat WhatsApp geen ondubbelzinnige toestemming verkrijgt van niet-gebruikers voor de verwerking van hun persoonsgegevens, en WhatsApp ook geen andere grondslag heeft voor deze gegevensverwerking, handelt WhatsApp in strijd met artikel 8 van de Wbp. Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp niet alle mobiele telefoonnummers uit hun adresboek te verwerken. Doordat WhatsApp-gebruikers (behalve in de laatste app versie op een iPhone met iOS 6) niet de mogelijkheid biedt om te kiezen of zij hun contacten aan WhatsApp ter beschikking willen stellen en zo ja, welke, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig. Hierdoor handelt WhatsApp volgens de privacytoezichthouder in strijd met artikel 11, eerste lid, van de Wbp. Alleen gebruikers met een iPhone met besturingssysteem iOS 6 hebben de mogelijkheid om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.

Bewaartermijn

Van inactieve gebruikers bewaart WhatsApp nog gedurende een jaar persoonsgegevens. Doordat WhatsApp niet heeft aangetoond dat de gegevens van inactieve gebruikers zo lang bewaard moeten blijven, handelt WhatsApp in strijd met artikel 10, eerste lid, van de Wbp.

Wachtwoorden

Bij aanvang van het onderzoek hebben het CBP en de OPC twee tekortkomingen in de beveiliging geconstateerd, ten aanzien van het aanmaken van wachtwoorden en ten aanzien van de verzending van berichten. Bij aanvang van het onderzoek genereerde WhatsApp wachtwoorden door gebruik te maken van het gehashte WiFi MAC-adres op iPhones, en van het gehashte IMEI-toestelnummer op andere typen smartphones. Deze werkwijze stelde WhatsApp-gebruikers bloot aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen. Hierdoor handelde WhatsApp in strijd met artikel 13 van de Wbp. Naar aanleiding van het rapport Voorlopige Bevindingen heeft WhatsApp haar werkwijze aangepast, en een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren opdat zij een nieuw wachtwoord krijgen toegewezen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan. WhatsApp heeft in december 2012 updates van de app uitgebracht, en bij actieve gebruikers ervoor gezorgd dat zij gebruik (gaan) maken van de nieuwste versies door een geforceerde update. WhatsApp heeft aangegeven nog maatregelen te zullen treffen voor inactieve gebruikers. Doordat op dit moment WhatsApp nog niet voor alle accounts gebruik maakt van de nieuwe methode, handelt WhatsApp ten aanzien van deze gebruikers (nog) in strijd met artikel 13 van de Wbp. Bij aanvang van het onderzoek door het CBP en de OPC verstuurde WhatsApp de berichten via de app op onversleutelde wijze. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp versleuteling aangebracht. Hierdoor is de overtreding van artikel 13 van de Wbp op dit punt beëindigd.

Statusberichten

Iedere WhatsApp-gebruiker kan de statusberichten lezen van andere Whatsapp-gebruikers, ook van onbekenden van wie hij de mobiele telefoonnummers in zijn adresboek heeft. Naar aanleiding van het onderzoek door het CBP en de OPC heeft WhatsApp de informatie over de verspreiding van statusberichten aan haar gebruikers uitgebreid. De OPC benadrukt dat WhatsApp extra waarborgen moet inbouwen tegen de risico's van de brede verspreiding van potentieel gevoelige statusinformatie. Hoewel op dit punt formeel de Wbp niet lijkt te worden overtreden, onderschrijft het CBP de aanbeveling van de OPC dat gebruikers van WhatsApp een waarschuwing moeten krijgen, telkens als zij hun statusbericht aanpassen, over de verspreiding daarvan.

Belangrijkste bevindingen

  1. WhatsApp bewaart ook de mobiele telefoonnummers van niet-gebruikers.
  2. WhatsApp verstuurde de berichten via de app op onversleutelde wijze. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen.
  3. WhatsApp genereerde wachtwoorden voor het inloggen met de app op de server door gebruik te maken van het gehashte Wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones.

Aangekondigde maatregelen

Naar aanleiding van het onderzoek door het CBP en de OPC heeft WhatsApp aangekondigd dat de volgende aanpassingen op de agenda voor productontwikkeling staan. Whatsapp heeft daarbij geen termijnen genoemd.

  • het adresseren van de wachtwoordbeveiliging van inactieve gebruikers,
  • bewaartermijnen en de informatie daarover
  • het toevoegen van een waarschuwing/pop-up over de verspreiding van statusberichten - als gebruikers hun statusbericht aanpassen

Geforceerde update

Zoals gezegd heeft WhatsApp in december 2012 nieuwe versies van de app uitgebracht, en dwingt technisch af dat actieve gebruikers overschakelen naar deze nieuwste versies doordat zij de app anders niet meer kunnen gebruiken (geforceerde update). Ten aanzien van inactieve gebruikers die hun app niet updaten blijven volgens de privacytoezichthouders risico’s bestaan. Gebruikers krijgen immers alleen een nieuw wachtwoord toegewezen als zij actief een nieuwe update installeren. WhatsApp heeft aangegeven deze risico's voor inactieve gebruikers te zullen adresseren, maar heeft daarbij geen termijn genoemd. Doordat op dit moment WhatsApp niet voor alle accounts gebruik maakt van de nieuwe methode, handelt WhatsApp ten aanzien van de gebruikers met nog een wachtwoord gebaseerd op het WiFi MAC-adres of het IMEI-toestelnummer (nog) in strijd met artikel 13 van de Wbp.

Vervolgstappen

Het CBP en de OPC hebben nauw samengewerkt tijdens het onderzoek en hebben vervolgens ieder hun eigen onderzoeksrapport opgesteld waarin de onderzochte feiten zijn getoetst aan de respectievelijke nationale privacywetgeving in casu Canada’s Personal Information Protection and Electronic Documents Act (PIPEDA) en de Wet bescherming persoonsgegevens (Wbp). Nu de onderzoeksfase is afgesloten, zullen beide privacytoezichthouders los van elkaar een vervolg geven aan de bevindingen. In Nederland zal de handhavingsfase ingaan. Het CBP zal hierin bekijken in hoeverre de geconstateerde overtredingen voortduren en beslissen of het handhavende maatregelen zal nemen. De OPC zal op basis van de Canadese privacywetgeving de voortgang in de toezeggingen van WhatsApp dat het bedrijf de overtredingen zal beëindigen, volgen. De OPC heeft de ervaring dat bedrijven zich in de meeste gevallen meewerkend opstellen om hun verplichtingen na te komen. WhatsApp heeft deze bereidheid tot naleving van de aanbevelingen van de OPC ook laten zien. De OPC heeft in tegenstelling tot het CBP geen bevoegdheid tot het opleggen van sancties.

WhatsApp wordt inmiddels door miljoenen Nederlanders met een smartphone gebruikt. Toch zullen er waarschijnlijk maar heel weinig consumenten en zakelijke gebruikers zijn die de kleine lettertjes van de ellenlange gebruiksvoorwaarden van de aanbieder gedetailleerd hebben bestudeerd. Gelet op de geconstateerde privacyschendingen van de toezichthouders hebben deze gebruikers vanaf de installatie van de app op hun smartphone dus een zeker risico gelopen. Het verdient aanbeveling dat ook BTG-leden, bijvoorbeeld in het kader bring your own device een policy ontwikkelen met betrekking tot de vraag welke apps wel zijn toegestaan en welke niet.

 

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Voorjaar 2022
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.