WhatsApp heeft naar aanleiding van het rapport over een verricht onderzoek van het College bescherming persoonsgegevens (“CBP”) wijzigingen doorgevoerd met betrekking tot de verwerking van de telefoonnummers van niet-WhatsApp-gebruikers, waardoor hen aanvullende bescherming wordt geboden. De telefoonnummers van niet-WhatsApp-gebruikers worden nu op een andere manier verwerkt en ook de manier van bewaren is aangepast. Door de aanpassingen heeft WhatsApp volgens het CBP op grond van de Wet bescherming persoonsgegevens (“Wbp”) een wettelijke basis om de gegevens te verwerken.
Rapport
In januari 2013 heeft het CBP een rapport gepubliceerd over het onderzoek dat zij heeft uitgevoerd in samenwerking met de Canadese privacy toezichthouder over het gebruik van persoonsgegevens door WhatsApp. Op basis van dit onderzoek constateerden de toezichthouders meerdere overtredingen van de geldende nationale privacywetten, zoals het onversleuteld versturen van berichten en de verplichte toegang tot het adresboek van WhatsApp-gebruikers. Over dit laatste zei CBP-voorzitter Jacob Kohnstamm:
“Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”
Nadat de toezichthouders op grond van een samenwerkingsovereenkomst nauw hebben samengewerkt, hebben zij ieder een eigen onderzoeksrapport opgesteld. Hierbij zijn de onderzochte feiten getoetst aan de respectievelijke nationale privacywetgeving. Het CBP is als Nederlandse privacy toezichthouder bevoegd onderzoek in te stellen op grond van de Wbp, omdat in Nederland persoonsgegevens worden verwerkt bij het gebruik van WhatsApp door Nederlandse gebruikers. Het gaat onder meer om mobiele telefoonnummers van (niet-)gebruikers en unieke klant- en apparaatidentifiers van gebruikers.
Toegang tot adresboek
Wie WhatsApp wil gebruiken, dient toestemming te geven tot zijn volledige elektronische adresboek, inclusief de telefoonnummers van niet-WhatsApp-gebruikers. Aangezien WhatsApp voor de verwerking van de persoonsgegevens geen ondubbelzinnige toestemming verkrijgt van de niet-WhatsApp-gebruikers, en ook geen sprake is van een andere grondslag voor de gegevensverwerking, verwerkt WhatsApp die gegevens onrechtmatig.
Bovendien hoeft WhatsApp niet alle telefoonnummers van de gebruikers te verwerken om gebruikers in staat te stellen met elkaar te kunnen whatsappen. Nu de gebruikers niet de mogelijkheid hebben om te kiezen of zij hun contacten aan WhatsApp beschikbaar willen stellen en zo ja, welke, is een groot deel van de verzamelde contacten bovenmatig. Ook hierdoor handelt WhatsApp in strijd met de Wbp, omdat op grond van de Wbp niet meer gegevens mogen worden verzameld dan noodzakelijk.
Maatregelen
WhatsApp heeft, reagerend op het onderzoek, aangegeven dat het technisch niet mogelijk is om de dienst aan te bieden zonder dat de gebruikers de telefoonnummers uit hun adresboek uploaden, inclusief die van niet-WhatsApp-gebruikers. Naar aanleiding van het rapport heeft WhatsApp echter een aantal maatregelen genomen in overeenstemming met het CBP. Deze maatregelen waarborgen dat de telefoonnummers van niet-WhatsApp-gebruikers worden verwerkt zodat WhatsApp gebruikers elkaar kunnen vinden en met elkaar in contact worden gebracht en niet voor andere doeleinden.
Zo worden telefoonnummers van niet-WhatsApp-gebruikers dusdanig technisch bewerkt (‘gehasht’) dat de mogelijkheid van ander gebruik wordt beperkt, aldus het CBP. Deze ‘gehashte’ telefoonnummers worden bovendien apart bewaard. Voorts heeft slechts een beperkt aantal technici toegang tot deze gegevens.
Uit het onderzoek bleek ook dat WhatsApp de berichten onversleuteld verstuurde. Zo konden anderen de inhoud van de berichten in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer al eerder versleuteld.