De scene van Kees en haar buurman samen in zijn garage uit de film Flodder (“oh, buurman, wat doet u nou?”) schoot als eerste door mijn hoofd toen WhatsApp in augustus vol trots verkondigde gebruikersgegevens met moederbedrijf Facebook te gaan delen. Namelijk dat gevoel van genaaid worden. Want benadrukte WhatsApp na de overname door Facebook in 2014 niet herhaaldelijk dat er vooral géén data zouden worden verzameld en gedeeld? En bezwoer WhatsApp zo ongeveer niet de deal nooit te hebben gesloten als Facebook dit zou willen veranderen? We leven 2,5 jaar later en van de beloftes van WhatsApp is niks meer overgebleven.
WhatsApp legt het zelf als volgt uit: “de toegenomen coördinatie met Facebook zal ons in staat stellen om dingen te doen zoals het bijhouden van statistieken van de frequentie waarmee mensen gebruikmaken van onze diensten en het bestrijden van spam in WhatsApp. Indien jij een Facebook-account hebt, zal het koppelen van jouw telefoonnummer met de systemen van Facebook hen in staat stellen om betere vriendsuggesties te doen en jou relevantere advertenties te tonen. Je zou bijvoorbeeld een advertentie kunnen zien van een bedrijf waar je al mee werkt in plaats van een bedrijf waar je nog nooit van hebt gehoord.” Dat dus.
Goed, tot zover mijn persoonlijke gevoelsreflectie. Overigens is het beste nieuws voor mij dat ik helemaal niet op Facebook zit. En dan valt er ook niets te delen, dat dan weer niet natuurlijk. Maar dan nu mijn juridische gevoelsreflectie. Ook dat leidt tot de verzuchting “Oh WhatsApp, wat doe je nu?” Ik zal het uitleggen.
WhatsApp heeft namelijk haar privacybeleid aangepast. WhatsApp verdedigt dit o.a. als volgt: “we zijn sinds 2014 onderdeel van Facebook. WhatsApp is nu onderdeel van de Facebook-bedrijvengroep. Ons Privacybeleid legt uit hoe we samenwerken om onze Diensten en ons aanbod te verbeteren, zoals het bestrijden van spam, het doen van productsuggesties en het tonen van relevante aanbiedingen en advertenties op Facebook. Alle berichten, foto’s, en andere accountinformatie die u deelt via WhatsApp zullen niet worden gedeeld op Facebook of in andere applicaties uit onze bedrijvengroep waar anderen het kunnen zien en wat u op andere applicaties deelt zal niet via WhatsApp worden gedeeld waar anderen het kunnen zien.”
Volgens mij zegt WhatsApp hier met zoveel woorden dat de inhoud van je chats niet wordt gedeeld, maar wel gebruiksstatistieken. En je telefoonnummer natuurlijk. Maar “andere accountinformatie” dan weer niet, wat dat ook moge zijn. Maar goed, het staat buiten kijf dat WhatsApp persoonsgegevens deelt met Facebook in de zin van de privacywetgeving.
De privacywetgeving verlangt met zoveel woorden dat je een grondslag moet hebben voor het verwerken van gegevens. Zo ook dus WhatsApp voor het delen van persoonsgegevens met Facebook. En daar lijkt WhatsApp voor een opmerkelijke route te kiezen, die bovendien qua uitvoering de toets der kritiek niet kan doorstaan. WhatsApp gaat voor toestemming. In haar eigen woorden: “als u een bestaande gebruiker bent, kunt u ervoor kiezen om uw WhatsApp-accountinformatie niet te delen met Facebook om uw ervaring met advertenties en producten op Facebook te verbeteren. Bestaande gebruikers die akkoord gaan met de bijgewerkte Voorwaarden en Privacybeleid hebben 30 dagen om deze keuze te maken (…).
Waarom een opmerkelijke route? Omdat ik me afvraag waarom WhatsApp niet voor de grondslag “gerechtvaardigd belang” is gaan liggen. Want onder omstandigheden kan het verwerken van persoonsgegevens met het oog op direct marketing in het gerechtvaardigde belang van een onderneming zijn. En ook het verwerken van persoonsgegevens ten behoeve van statistieken kan binnen de reikwijdte van het gerechtvaardigd belang van een onderneming vallen. Maar wellicht gaat WhatsApp gewoon profilen, en dan is er maar één mogelijkheid: toestemming.
En waarom rammelt de uitvoering van het vragen van toestemming bij WhatsApp? De wet verlangt dat toestemming ondubbelzinnig en expliciet wordt gegeven. Omdat absoluut zeker moet zijn dat de betrokkene zijn of haar toestemming heeft verleend en voor welke specifieke doeleinden hij of zij dat heeft gedaan. De toestemming bij WhatsApp is niet ondubbelzinnig en expliciet, alleen al omdat WhatsApp voor een opt-out in plaats van een opt-in kiest, die bovendien verstopt zit in de instellingen. En belangrijker: na 30 dagen vervalt de instelling überhaupt, althans zo heb ik het begrepen. Als ik het dus goed heb begrepen, denkt WhatsApp dan voor eeuwig je gegevens met Facebook te kunnen delen, zonder dat je daar nog iets tegen kunt ondernemen. Dat riekt naar misbruik. Of in de beeldspraak van de film Flodder: chantage. Maar dan wel andersom. Echter die vlieger gaat niet op: toestemming moet je te allen tijde weer kunnen intrekken.
Deze rammelende uitvoering kan wat mij betreft tot geen andere conclusie leiden dan dat het delen door WhatsApp niet op rechtmatige wijze gebeurt, met als gevolg dat Facebook ook niets met die gegevens mag doen. Ik ben benieuwd of onze waakhond, de Autoriteit Persoonsgegevens, dit nog aan de kaak gaat stellen.
Menno Weij is partner bij SOLV advocaten, gespecialiseerd in Technologie, Media en Communicatie