image

Valt het delen van contactgegevens via WhatsApp onder de AVG?

woensdag 21 oktober 2020, 11:37 door Arnoud Engelfriet, 18 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?

Antwoord: Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde regels. Dat zijn immers allemaal persoonsgegevens onder de AVG.

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie "Contactpersoon toevoegen" kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie lay-out laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn ("geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte"), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook ("Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren"). En wellicht kom je er ook met een eigen gerechtvaardigd belang ("Jaap vindt het vast fijn als Pieter hem appt hierover").

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
21-10-2020, 15:18 door Anoniem
Iets aan iemand geven om 'te whatsappen' is natuurlijk nooit netjes om te doen. Maar even los daarvan...
21-10-2020, 16:44 door Anoniem
Ik heb geen whatsapp account en worstel ook met deze vraag. Zowel zakelijk als privé moet ik mijn telefoonnummer vaker aan mensen geven, en ik vind het prima als zij dat nummer hebben, maar niet dat facebook deze heeft met (onder andere) mijn naam daar aan gekoppeld. Zijn zij dan in overtreding als ze dat nummer toch met facebook delen? Vrijwel iedereen deelt z'n hele adressenboek met whatsapp, waardoor facebook precies weet met wie ik allemaal contacten leg, ook al neem ik helemaal niks van hun af. En de meeste mensen delen hun contactenlijst met nog veel meer andere partijen zoals Google, MS en vele anderen. Daarnaast voegen veel mensen ook andere gegevens aan het contact toe zoals mijn e-mail adres en soms echte adres wat allemaal naar deze partijen toe gaat. En dan spreek ik nog niet eens over de toegang die zij zomaar geven over hun telefoon- en sms applicatie waar erg veel data van mij uitgehaald kan worden.

Ik heb het gevoel alsof er geen ontsnappen is aan het systeem en mijn (shaduw)profiel enorm is enkel omdat anderen niks geven om hun privacy en die van de mensen om hun heen.

Ik vind de conclusie de je geeft wel frappant. "het alleen doen als het netjes is om te doen"? Hoe zie je dit voor je dan, als 99.9% van de mensen dit automatisch doet? Iedereen is hier dus in overtreding? Hoe valt daar actie op te ondernemen als dat zo is?
21-10-2020, 17:22 door Anoniem
@16:44 wat ik doe is enkel een vast nummer opgeven (die heb je al voor 9 of 15 euro per jaar en kun je wereldwijd gebruiken) en mensen met klem vragen niet mijn achternaam in hun telefoon te zetten.

Hoogste tijd dat de AP optreedt tegen bedrijven die jouw gegevens met derden delen; toevoegen als contactpersoon in een telefoon is dit ook. Dan nog websites, je kunt vrijwel nergens meer iets bestellen of jouw gegevens gaan via tot wel 15 derde partijen (als je die scripts laat uitvoeren neem ik aan dat ze jouw data zien). Ook daar hoor je de AP nooit over, terwijl het allemaal volgens de AVG niet mag.

Zijn veel webshops die jouw data delen met facebook bij een bestelling zodat facebook weet dat jij dat artikel gekocht hebt en ze daar geen advertenties meer hoeven weergeven. Wat doet facebook met deze data wanneer je daar helemaal geen account hebt?
21-10-2020, 17:24 door Anoniem
Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen.
Maar dat is niet waar het om gaat....
Waar het om gaat is: als je iemand opbelt die whatsapp heeft (en je hebt het zelf niet en bent dus niet akkoord met de
voorwaarden), mag die ander dan jouw naam en nummer aan whatsapp geven?
Want dat doet ie wel, als hij jouw nummer in zijn adresboek zet en er mee akkkoord is dat zijn adresboek met whatsapp
gedeeld wordt.
22-10-2020, 09:27 door _R0N_
Vroeger donderde er 1x per jaar een halve boom op de deurmat met alle persoonsnamen, adressen en telefoonnummers van iedereen in je stad. En iedereen was happy. #olddays

Maar goed, hoe zit dat met WhatsApp groepen?
De buurtpreventiegroep bevat nu zo'n 100+ telefoonnummers, ik woon in een buurt waar we iedereen nog kennen bij naam maar in andere plaatsen is dat niet zo en heb je een lijst met telefoonnummers van mensen die je niet kent...

Wie is dan verantwoordelijk voor het verspreiden? WhatsApp of de beheerders van de groep?
22-10-2020, 10:53 door Anoniem
Wie is dan verantwoordelijk voor het verspreiden? WhatsApp of de beheerders van de groep?
Ik denk dat je WhatsApp verantwoordelijk kunt houden als zij niet de mogelijkheid bieden (ik weet niet of dat zo is!)
om een groep aan te maken waar je wel lid van kunt worden, maar niet van kunt zien wie er nog meer lid zijn en wat
hun nummer is. Dat is basisfunctionaliteit lijkt me.
Maar in dit geval ben je er tenminste nog zelf bij. Je hebt al WhatsApp, en je bent neem ik aan vrijwillig toegetreden
tot die groep. Dat waren 2 momenten om, als je sociaal paranoide bent, op de rem te kunnen trappen.
Bij het scenario wat ik om 17:24 schetste heb je helemaal nooit wat te maken gehad met WhatsApp maar wordt
wel je info met hen gedeeld, door iemand anders die daar akkoord voor heeft gegeven.
Dat is wel een beetje een raar mechanisme. Stel jij claimt dat jouw telefoon is gestolen door Piet, maar Piet beweert
dat dat niet zo is want er is akkoord voor gegeven, hij mocht hem hebben. Maar jij hebt daar helemaal geen akkoord
voor gegeven, dat heeft Piet's vriend Jan gedaan. Die heeft Piet verteld dat hij willekeurige telefoons mag stelen.
Dus dat heeft ie gedaan en hij voelt zich gedekt. Zou dat dan acceptabel zijn? Lijkt me niet.
22-10-2020, 11:25 door Arnoud Engelfriet
Door Anoniem:
Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen.
Maar dat is niet waar het om gaat....
Waar het om gaat is: als je iemand opbelt die whatsapp heeft (en je hebt het zelf niet en bent dus niet akkoord met de
voorwaarden), mag die ander dan jouw naam en nummer aan whatsapp geven?
Want dat doet ie wel, als hij jouw nummer in zijn adresboek zet en er mee akkkoord is dat zijn adresboek met whatsapp
gedeeld wordt.
Nee, dat doet ie niet. Dan gaat er een hash van jouw 06 nummer naar WhatsApp, zodat die kan kijken of jij al in zijn WhatsApp-contacten staat. Zo ja, dan kun je met hem chatten via deze app. Het is dankzij onze eigen Autoriteit Persoonsgegevens dat WhatsApp géén adresboek als zodanig meer ontvangt.
22-10-2020, 12:30 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem:
Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen.
Maar dat is niet waar het om gaat....
Waar het om gaat is: als je iemand opbelt die whatsapp heeft (en je hebt het zelf niet en bent dus niet akkoord met de
voorwaarden), mag die ander dan jouw naam en nummer aan whatsapp geven?
Want dat doet ie wel, als hij jouw nummer in zijn adresboek zet en er mee akkkoord is dat zijn adresboek met whatsapp
gedeeld wordt.
Nee, dat doet ie niet. Dan gaat er een hash van jouw 06 nummer naar WhatsApp, zodat die kan kijken of jij al in zijn WhatsApp-contacten staat. Zo ja, dan kun je met hem chatten via deze app. Het is dankzij onze eigen Autoriteit Persoonsgegevens dat WhatsApp géén adresboek als zodanig meer ontvangt.
Van de WhatsApp site:
Please note that WhatsApp regularly looks at the phone numbers in your phone’s address book and then checks to see which of those numbers are verified in WhatsApp. Any WhatsApp users from your address book will appear as contacts you can message in WhatsApp. During this entire process, phone numbers are sent to WhatsApp for lookup, securely, over an encrypted connection.

Het hashen zou overigens ook geen zin hebben want je maakt in korte tijd een rainbow table van alle mogelijke 06 nummers.
22-10-2020, 13:09 door Anoniem
Ben je niet zelf verantwoordelijk voor dit delen, wanneer je gebruik maakt van WhatsApp, en akkoord bent gegaan met hun voorwaarden ?
22-10-2020, 13:11 door Anoniem
@Arnoud :

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Je richt je nu op wel/geen zakelijk gebruik, door de WhatsApp gebruiker. Hoe zit het met zakelijk gebruik, door WhatsApp zelf, ook al is het vanuit gebruikers perspectief voor zuiver persoonlijk gebruik ?
22-10-2020, 13:46 door -Peter-
Door Anoniem:
Door Arnoud Engelfriet:Nee, dat doet ie niet. Dan gaat er een hash van jouw 06 nummer naar WhatsApp, zodat die kan kijken of jij al in zijn WhatsApp-contacten staat. Zo ja, dan kun je met hem chatten via deze app. Het is dankzij onze eigen Autoriteit Persoonsgegevens dat WhatsApp géén adresboek als zodanig meer ontvangt.
Van de WhatsApp site:
Please note that WhatsApp regularly looks at the phone numbers in your phone’s address book and then checks to see which of those numbers are verified in WhatsApp. Any WhatsApp users from your address book will appear as contacts you can message in WhatsApp. During this entire process, phone numbers are sent to WhatsApp for lookup, securely, over an encrypted connection.

Als Whatsapp hier hashes gaat noemen, snapt 99,99% van de gebruikers het niet. Je gaat ook niet vertellen dat er bij onderzoek naar vingerafdrukken gezocht wordt ophashes en pas bij een mogelijk positieve hit worden de vingerafdrukken echt vergeleken.

Het hashen zou overigens ook geen zin hebben want je maakt in korte tijd een rainbow table van alle mogelijke 06 nummers.

Dat is iets wat natuurlijk niemand de AP vertelt. :-(

Wat hier gebeurt, is technisch gezien misschien geen pseudonimisering. Wettelijk bezien zou ik dat toch als zodanig kunnen classificeren. Er vindt een vertaling plaats van een persoonsgegeven naar een pseudoniem (hash). De tabel om terug te vertalen is er misschien niet, maar is wel eenvoudig te genereren. Wat dit misschien zelfs niet eens meer pseudonimisering maakt, maar gewoon verwerking van persoonsgegevens.

Pseudonimiseren is toch ook een verwerking?

Peter
22-10-2020, 13:51 door Arnoud Engelfriet
Door Anoniem:
Van de WhatsApp site:
Please note that WhatsApp regularly looks at the phone numbers in your phone’s address book and then checks to see which of those numbers are verified in WhatsApp. Any WhatsApp users from your address book will appear as contacts you can message in WhatsApp. During this entire process, phone numbers are sent to WhatsApp for lookup, securely, over an encrypted connection.

Het hashen zou overigens ook geen zin hebben want je maakt in korte tijd een rainbow table van alle mogelijke 06 nummers.
Daar staat "checks to see", ze gaan niet in zo'n FAQ uitleggen wat een hashfunctie is. Maar hier staat wat de AP ze bevolen heeft te doen: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013-whatsapp-dutchdpa-final-findings-en.pdf

Natuurlijk kun je rainbow tables gebruiken. Maar het is ze verboden op straffe van dwangsommen. En ja, grote techbedrijven negeren vast alle wetten. Maar in dit specifieke geval zie ik het voordeel niet en de kans dat het uitkomt is vrij groot. Dus waarom zou je?
22-10-2020, 18:53 door Anoniem
Arnoud, bedankt voor het delen van het onderzoek door het (toen) CBP. Toch staat daar onomwonden onder CONCLUSIONS op pagina 36:

"Access to the address book
People who want to use the app must grant WhatsApp access to their entire electronic address
book, including the mobile phone numbers of contacts that are not using the app (except in the
latest app version on an iPhone with iOS 6). Because WhatsApp does not obtain unambiguous
consent from non-users to process their personal data and does not have any other legal ground
for processing that data, WhatsApp is acting in breach of the provisions of Article 8 of the Wbp."

Dit lijkt mij wel van belang. Bijvoorbeeld voor privacy bewuste clienten in de GGZ. Zelf geen WhatsApp gebruiken met het opgegeven telefoonnummer is dan immers niet afdoende.
22-10-2020, 21:48 door Anoniem
Door -Peter-:
Door Anoniem:
Door Arnoud Engelfriet:Nee, dat doet ie niet. Dan gaat er een hash van jouw 06 nummer naar WhatsApp, zodat die kan kijken of jij al in zijn WhatsApp-contacten staat. Zo ja, dan kun je met hem chatten via deze app. Het is dankzij onze eigen Autoriteit Persoonsgegevens dat WhatsApp géén adresboek als zodanig meer ontvangt.
Van de WhatsApp site:
Please note that WhatsApp regularly looks at the phone numbers in your phone’s address book and then checks to see which of those numbers are verified in WhatsApp. Any WhatsApp users from your address book will appear as contacts you can message in WhatsApp. During this entire process, phone numbers are sent to WhatsApp for lookup, securely, over an encrypted connection.


Het hashen zou overigens ook geen zin hebben want je maakt in korte tijd een rainbow table van alle mogelijke 06 nummers.

Dat is iets wat natuurlijk niemand de AP vertelt. :-(
(...)

Peter

Gelukkig is dat ook niet nodig, in de laatste alinea van https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013-whatsapp-dutchdpa-final-findings-en.pdf staat:
"In section 2.2 of this report, the Dutch DPA determined that the mobile phone numbers of non-
users are not immediately deleted after verification that they have granted their unambiguous
consent for the data to be processed. The out-of-network numbers are hashed and then stored
and saved [CONFIDENTIAL: (...)]. 109 In section 3.5 of this report, the Dutch DPA determined
that there is (also) no question of disidentification by hashing, now that WhatsApp can
recalculate the hashed out-of-network numbers and create a lookup table, for example, of all out-
of-network numbers in readable (plain text) and hashed format. There is therefore no question of
a compare and forget system. With respect to this point, therefore, WhatsApp’s view has not led
to a change in the conclusions in the report that WhatsApp has no legal ground for this data to
be processed."
22-10-2020, 21:57 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem:
Van de WhatsApp site:
Please note that WhatsApp regularly looks at the phone numbers in your phone’s address book and then checks to see which of those numbers are verified in WhatsApp. Any WhatsApp users from your address book will appear as contacts you can message in WhatsApp. During this entire process, phone numbers are sent to WhatsApp for lookup, securely, over an encrypted connection.

Het hashen zou overigens ook geen zin hebben want je maakt in korte tijd een rainbow table van alle mogelijke 06 nummers.
Daar staat "checks to see", ze gaan niet in zo'n FAQ uitleggen wat een hashfunctie is. Maar hier staat wat de AP ze bevolen heeft te doen: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013-whatsapp-dutchdpa-final-findings-en.pdf

Natuurlijk kun je rainbow tables gebruiken. Maar het is ze verboden op straffe van dwangsommen. En ja, grote techbedrijven negeren vast alle wetten. Maar in dit specifieke geval zie ik het voordeel niet en de kans dat het uitkomt is vrij groot. Dus waarom zou je?

Die vraag is wel te beantwoorden: https://www.security.nl/posting/448798/Barbie+krijgt+Oostenrijkse+Big+Brother+Award
De kans dat het uitkomt is inderdaad vrij groot, zie de reactie van anoniem om 18:53
23-10-2020, 11:24 door Arnoud Engelfriet
Door Anoniem: Arnoud, bedankt voor het delen van het onderzoek door het (toen) CBP. Toch staat daar onomwonden onder CONCLUSIONS op pagina 36:
Dat was inderdaad de conclusie destijds, daarom is WhatsApp bevolen om te stoppen met die manier van werken. Dat heeft WA ook gedaan, dat is waarom die hash constructie sindsdien ingevoerd is.

Als jij meer weet over dat ze die weer eruit gehaald hebben en gewoon lekker zijn gaan harvesten dan hoor ik het graag maar tot nu toe nul signalen daarover gelezen.
23-10-2020, 15:19 door Anoniem
Bedankt voor je antwoord Arnoud.

Het is niet dat het hashen niet wordt gedaan. Het onaardige is wat het CBP in de laatste alinea van paragraaf 3.6 aangeeft. Dat het hashen geen zin heeft en daarom haar conclusies niet aanpast. Het betekent dat er gewoon een profiel kan worden aangelegd dat geld waard is en vehandeld kan worden.

Dat wil niet zeggen dat dat gebeurt. "The future is private" heeft Mark Zuckenberg een tijdje geleden immers gezegd.

Een maatschappelijk probleem kan bijvoorbeeld zijn dat de GGZ niet meer toegankelijk is voor een groep mensen die zo verschrikkelijk paranoide is dat ze Mark Zuckenberg niet vertrouwd en bang is om de kans op een hypotheek te verspillen.

Ik ben oprecht bezorgd over onze infrastructuur.
24-10-2020, 13:03 door Anoniem
Nee het delen van gegevens in een kleine (app) groep, valt niet onder AVG
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.