Autoriteit Persoonsgegevens raadt medisch gebruik WhatsApp af

 

WhatsApp mag niet gebruikt worden voor het versturen van medische gegevens door artsen en verpleegkundigen. Dat stelt de Autoriteit Persoonsgegevens in het televisieprogramma EenVandaag. Volgens de toezichthouder voldoet WhatsApp niet aan de wettelijke eisen om gevoelige patiëntgegevens te delen.

 

Aan welke eisen WhatsApp niet voldoet, legt de Autoriteit verder niet uit. Maar onomstreden is de app nooit geweest. De Autoriteit Persoonsgegevens heeft eerder in 2013 een onderzoek gepubliceerd met betrekking tot de verwerking van persoonsgegevens door WhatsApp. Uit het onderzoek kwam toen naar voren dat WhatsApp alle mobiele telefoonnummers uit het adresboek van de gebruiker bewaarde, ook de mobiele telefoonnummers van niet-gebruikers. Dit is in strijd met Nederlands privacyrecht. Om gebruikers in staat te stellen met elkaar te chatten, hoeft WhatsApp namelijk niet ook telefoonnummers van niet-gebruikers te bewaren. Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de verzamelde telefoonnummers bovenmatig. Bij aanvang van het onderzoek constateerde de toezichthouder tevens dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het privacybeleid aangepast en het berichtenverkeer versleuteld.

 

Maar nu lijkt het erop dat het versturen van berichten en foto’s via WhatsApp nog steeds niet voldoende is beveiligd. Foto’s die door middel van de app worden verzonden, worden door WhatsApp namelijk automatisch opgeslagen op de smartphone van de ontvanger, tenzij de gebruiker deze optie handmatig heeft uitgeschakeld. Dit betekent dat foto’s van patiënten in de privécollectie van de ontvanger terecht kunnen komen. Die foto’s worden op hun beurt weer automatisch geüpload door allerlei clouddiensten. Bovendien is het ook zo dat andere apps bij installatie vragen om toegang tot de foto’s van de gebruiker. Hierdoor kunnen foto’s van patiënten die zijn opgeslagen op de smartphone, toegankelijk zijn voor andere geïnstalleerde apps. Daar komt nog bij dat WhatsApp begin 2014 is overgenomen door Facebook. Facebook is regelmatig in opspraak geraakt om de slechte beveiliging van berichten en privacyschending. Hierdoor zijn de zorgen met betrekking tot de privacy- en beveiligingsproblemen van WhatsApp alleen nog maar toegenomen.

 

Medische gegevens zijn per definitie privacygevoelig. De verwerking en de beveiliging van dergelijke gegevens dient dan ook aan strenge eisen te voldoen. De Autoriteit Persoonsgegevens heeft onlangs al in een open brief aan Raden van Bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. Het standpunt van de toezichthouder ten aanzien van het versturen van patiëntgegevens via WhatsApp komt dan ook niet geheel uit de lucht vallen. Medici zullen daarom op zoek moeten gaan naar een alternatief voor WhatsApp.