image

Is het toegestaan om persoonsgegevens te delen in WhatsApp-groepen?

woensdag 16 november 2022, 10:37 door Arnoud Engelfriet, 17 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag:Is het toegestaan om persoonsgegevens te delen in WhatsApp-groepen? (zowel zonder als met toestemming van die persoon). Ik weet bijna zeker van niet, maar kun jij mij helpen in welke artikel van de AVG dit is weergeven?

Antwoord: Persoonsgegevens verspreiden via digitale kanalen is een elektronische verwerking daarvan. De AVG is dan van toepassing. Het maakt niet uit of je dit als bedrijf of als particulier doet, en ook niet of het grootschalig of incidenteel gebeurt.

Als een verwerking onder de AVG valt, moet je een grondslag hebben. Toestemming is zo'n grondslag, dus in het geval dat er (specifiek en duidelijk) toestemming is verkregen, dan mag het. Maar ook zonder toestemming kan het, bijvoorbeeld als de verstrekking nodig is om een overeenkomst uit te voeren. Denk aan het adres van je Marktplaats-koper appen naar je broer die de vaas gaat brengen.

Bij delen in een groep kom je meestal uit bij grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Je zegt dan eigenlijk, zowel ik als deze groep hebben er recht op deze informatie te delen, en we hebben rekening gehouden met de privacy van deze persoon. De vraag is dan wat dat recht is en hoe je dan rekening hebt gehouden.

Een veel voorkomende situatie is dat je wilt waarschuwen voor een verdacht persoon (de buurtapp, het is 4 uur en alles heit wel). Dan zijn de persoonsgegevens dus het signalement (of kenteken) van die persoon en waar die zich dan bevindt. Hierover had ik in 2016 ook al een vraag, het antwoord is eigenlijk ongewijzigd. Zie ook de comments!

Een andere optie is dat iemand in een groep vraagt om contactgegevens, bijvoorbeeld of iemand een oppas of klusser weet. In dat geval zou ik eerder kiezen voor een privéreactie, gezien die vraag is het niet nodig om de hele groep die gegevens te verstrekken.

Een derde optie is dat die persoon lid moet worden van de groep. Dat zou AVG-technisch beter via een privébericht naar een beheerder kunnen, waarbij die bij de persoon navraagt of die het echt wil.

En zo kan ik nog wel even doorgaan. Waarmee ik maar wil zeggen, er is niet één antwoord maar het is een beredeneerde keuze waarbij je met genoeg randzaken rekening moet houden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
16-11-2022, 11:08 door Anoniem
Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen?
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.
16-11-2022, 12:15 door Anoniem
Door Anoniem: Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen?
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.

Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..

Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
16-11-2022, 15:13 door Anoniem
Door Anoniem:
Door Anoniem: Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen?
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.

Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..

Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
Kan je niet helpen op juridisch gebied kan je echter wel een link geven naar de blokkering database van meta services
https://www.facebook.com/contacts/removal

Let wel op je geeft toestemming tot verwerking van je gegeven voor het expliciete doel van het voorkomen dat je gegevens verder verwerkt weer worden als iemand poogt je toe te voegen of privacy instellingen laks heeft staan.

Meer informatie over de informatie verwerking van meta van niet gebruikers is te vinden via: https://www.facebook.com/help/637205020878504
16-11-2022, 16:19 door Anoniem
Door Anoniem:
Kan je niet helpen op juridisch gebied kan je echter wel een link geven naar de blokkering database van meta services
https://www.facebook.com/contacts/removal

Let wel op je geeft toestemming tot verwerking van je gegeven voor het expliciete doel van het voorkomen dat je gegevens verder verwerkt weer worden als iemand poogt je toe te voegen of privacy instellingen laks heeft staan.

Meer informatie over de informatie verwerking van meta van niet gebruikers is te vinden via: https://www.facebook.com/help/637205020878504
Bedankt voor de links en de info, deze optie kende ik niet.
Het voelt wel wat raar dat ik aan meta informatie moet geven omdat datzelfde meta op iedereen z'n telefoon het adresboek oplepelt.

Ik zie hier wel twee problemen:
1) Ik vertrouw meta voor geen nanometer, dus hoe kan ik ze vertrouwen dat ze dit niet misbruiken?
2) Er zijn nog tientallen andere (niet meta) apps die hetzelfde gedrag hebben, al zouden die allemaal zo'n optie hebben dan is het voor mij niet te doen om die aanvraag overal te doen. Wat mij betreft is het dan ook hoog tijd dat er wetgeving komt dat ze geen informatie mogen verzamelen over andere personen dan degene die op "I accept" heeft gedrukt bij de voorwaarden.
16-11-2022, 16:22 door DDK - Bijgewerkt: 16-11-2022, 16:23
Uhhh Arnoud, jij stelt : "Het maakt niet uit of je dit als bedrijf of als particulier doet" waarom is de huishoudelijke uitzondering hier dan volgens jou niet op van toepassing ?

Als jij voor huishoudelijke gegevensverwekingen de AVG van toepassing verklaart dan geld dat ook voor het recht van betrokkene en alle andere randvoorwaarden voor de verwerking?

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/persoonsgegevens-op-internet#wat-is-de-uitzondering-voor-persoonlijk-of-huishoudelijk-gebruik-6433 :
"is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing"
16-11-2022, 18:20 door karma4
Het niet gerechtvaardigd belang bij een whatsapp buurtapp is anonimiteit met een doel van privacy inbreuk van anderen.
Bij de verwerking van mogelijke slachtoffers worden nogal wat persoonsgegevens verwerkt.
Geen verwerkingsregister en geen FG, daar moet hard handhavend tegen opgetreden worden.
16-11-2022, 18:21 door Anoniem
Door DDK: Uhhh Arnoud, jij stelt : "Het maakt niet uit of je dit als bedrijf of als particulier doet" waarom is de huishoudelijke uitzondering hier dan volgens jou niet op van toepassing ?

Als jij voor huishoudelijke gegevensverwekingen de AVG van toepassing verklaart dan geld dat ook voor het recht van betrokkene en alle andere randvoorwaarden voor de verwerking?

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/persoonsgegevens-op-internet#wat-is-de-uitzondering-voor-persoonlijk-of-huishoudelijk-gebruik-6433 :
"is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing"

Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.

En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
16-11-2022, 23:05 door Anoniem
AVG Artikel 2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

De vraag is wat dit betekent.

Daarom even overwegingen lezen
(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.

Ah. Dus als persoonlijk gebruik. Dat kan ook de buurt app zijn (immers, houdt géén verband met beroeps- of handelsactiviteiten). Dan is AVG niet van toepassing. Maar de dienstverlener (whatsapp en vergelijkbaren), daarvoor geldt weer wel de AVG.

Simpel toch?
of....
17-11-2022, 03:31 door Anoniem
Ik denk dat stalking een misdrijf is dus dat je met alle privegegevens voorzichtig moet zijn om daar niet medeplichtig aan te zijn.

Er zijn wel wetten voor. En uitleggen.

Maar voorkomen is beter dan blussen.
17-11-2022, 10:25 door Anoniem
Door Anoniem: AVG Artikel 2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

De vraag is wat dit betekent.

Daarom even overwegingen lezen
(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.

Ah. Dus als persoonlijk gebruik. Dat kan ook de buurt app zijn (immers, houdt géén verband met beroeps- of handelsactiviteiten). Dan is AVG niet van toepassing. Maar de dienstverlener (whatsapp en vergelijkbaren), daarvoor geldt weer wel de AVG.

Simpel toch?
of....

Volgens mij slaat Arnoud de plank mis door Persoonlijk als Individueel te lezen. De AVG is mijns inziens niet standaard van toepassing op de buurt-whatsapp en de familie whats-app. De sleutel = beroeps en handelsactiviteit. Zolang dat niet plaats vindt heb je geen verwerking nodig om de contactgegevens te delen van Miep op de hoek. Vraag ik als particulier om de contactgegevens van een glazenwasser? Dan mag een andere particulier zonder problemen die gegevens delen. Die gegevens staan ongetwijfeld ook op de website van de glazenwasser.
17-11-2022, 12:59 door karma4
Door Anoniem:
Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.

En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
Dat is de doorgelsagen privacy waarbij vakantiekiekjes sprotbijenkomsten ofwel het sociale gebeuren ineens als privacy problemen neergezet wordt. Om de sociale binding via privacy aan te vallen is vrij privacy schendend. Er zit een FvD verband.
18-11-2022, 03:12 door Anoniem
Door karma4:
Door Anoniem:
Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.

En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
Dat is de doorgelsagen privacy waarbij vakantiekiekjes sprotbijenkomsten ofwel het sociale gebeuren ineens als privacy problemen neergezet wordt. Om de sociale binding via privacy aan te vallen is vrij privacy schendend. Er zit een FvD verband.

Zijlijntje maar wel leuk en gaat ook over privacy en dataverwerking.

Als je vroeger je Kodak filmrolletje afgedrukt wou hebben, dan kon dat alleen in een ontwikkelcentrale. En dan kon je een paar dagen later de afrukjes in de winkel ophalen. Omdat het meestal om vakantiekiekjes ging, waren er ook mensen met filmrolletjes die iets teveel vakantiepret op dat rolletje hadden gezet. Tot eind jaren 60 werden die mooi niet afgedrukt. Er werd zelfs overwogen om de zedenpolitie in te schakelen. Ik weet dat want mijn moeder had een bijbaantje in zo een centrale. Uiteindelijk werd echter vaak besloten maar te zeggen dat het ontwikkelen van het hele rolletje mislukt was.

In de jaren 70 sloeg dat om. Toen mocht je ineens wel je eigen privacy op een Kodak rolletje zetten. Je kreeg zelfs het gesloten mapje mee in de winkel zonder dat andere klanten mee konden kijken of ze wel goed gelukt waren.

Inmiddels zijn we alweer 30 jaar terug bij af.

Dat is een zonde groter dan de vakantiekiekjeszonde.
18-11-2022, 15:20 door Anoniem
Door Anoniem:
Door Anoniem: Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen?
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.

Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..

Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
Disclaimer: IANAL.

Deze functie is misschien voor de gebruiker nog okay, als het om een "persoonlijke of huishoudelijke activiteit" gaat. Maar ik zou denken dat die functie voor Meta / Whatsapp niet toegestaan is. Die gooien het vast op gerechtvaardigd belang (art. 6 lid 1 sub f AVG): onze gebruikers moeten elkaar kunnen vinden. Dat kan echter ook prima anders zonder het hele adresboek in "de cloud" te sturen.

Voor zakelijke toestellen ligt het nog weer anders. Dan is de adreslijst waarschijnlijk niet het bezit van de medewerker, maar van het bedrijf. Sowieso valt dan het argument "persoonlijk of huishoudelijke activiteit" weg. Daarom lijkt mij ook dit niet toegestaan onder de AVG. Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
18-11-2022, 17:05 door Anoniem
Door Anoniem:
Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
Hoe kan je die dingen van elkaar scheiden dan? Volgens mij gebruik je whatsapp (of andere app met soortgelijk gedrag) en zit je dus aan het uploaden van je adresboek vast, of je blokkeert dat en de app is niet functioneel.
22-11-2022, 10:18 door Anoniem
Door Anoniem:
Door Anoniem:
Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
Hoe kan je die dingen van elkaar scheiden dan? Volgens mij gebruik je whatsapp (of andere app met soortgelijk gedrag) en zit je dus aan het uploaden van je adresboek vast, of je blokkeert dat en de app is niet functioneel.

Exact, dat is het hele probleem, tenzij je een losse zakelijke telefoon hebt en een losse prive telefoon. Grotendeels gebruiken de mensen maar 1 telefoon voor zowel zakelijk en prive, je kan niet per contact aangeven of je deze wel of niet wilt delen. Delen uitzetten heeft meestal tot gevolg dat de app niet of nauwelijks werkt.

Blackberry had destijds nog niet eens zo slecht concept waarbij zakelijk en prive strict gescheiden konden worden op 1 telefoon. Dit is een optie die ik nog steeds mis op de hedendaagse telefoons. Zou graag 2 containers willen, 1 prive en 1 zakelijk die ik ook aan en uit kan zetten en per contrainer kan bepalen welke apps ik gebruik.
27-11-2022, 16:14 door Anoniem
Ik sta gewoon niet toe dat er iets van mij op sociale media terecht komt. Doe je dat toch - dan kan je maar hopen dat ik daar niet achter kom. Geen toestemming is geen toestemming. Ook op 't werk wilde men dat doen - en we blijven dan vriendelijk maar we leggen dat uit als 'ik ben een absoluut tegenstander van sociale media - u begrijpt dat ik gezien dat standpunt het niet kan maken dat er iets gepubliceerd wordt'. Wat ik dan eigenlijk wil zeggen is: riskeer het niet, want ik ga staalhard uithalen via het gerecht. Totnogtoe is dat trouwens nog niet nodig geweest - maar als het moet zal het zo zijn. Alle sociale media zijn voor mij de vijand.
GDPR of niet - verboden blijft verboden.
16-04-2023, 09:10 door Anoniem
Na afloop van een slecht gefloten wedstrijd hebben we besloten een klacht in te doenen bij de bond. In de whatsapp groepsapp van ouders van spelers in het elftal en in de app van de spelers zelf heb ik aangegeven dat we een klacht over het fluiten van de wedstrijd ingediend hebben.
Ik heb daarbij ook de naam van de scheidsrechter die in onze klacht naar de bond vermeld staat. genoemd. Een van de ouders wees mij er op dat volgens de avg niet mocht. Ik twijfel.
Mag dit volgens de AVG?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.