Overtredingen WhatsApp deels beëindigd na onderzoek CBP en Canadese privacytoezichthouder
Canadese en Nederlandse privacytoezichthouders publiceren onderzoeksrapporten na gezamenlijk onderzoek naar populaire mobiele app

​Persbericht, 28 januari 2013

Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp.  Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.
Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. “Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent”, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. “Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.”
De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”

Belangrijkste bevindingen
De belangrijkste bevindingen van de beide privacytoezichthouders zijn:
  • Wie whatsapp wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. WhatsApp kan vervolgens andere whatsapp-gebruikers uit het adresboek herkennen en de gebruiker  tonen wie van zijn contacten ook whatsapp gebruikt. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart.  Dit is in strijd met Canadees en Nederlands privacyrecht. Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren. Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig. Alleen gebruikers met een iPhone met besturingssysteem iOS 6 hebben de mogelijkheid om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.
  • Bij aanvang van het onderzoek constateerden de privacytoezichthouders dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer inmiddels versleuteld.
  • Tijdens het onderzoek bleek dat WhatsApp wachtwoorden genereerde voor het inloggen met de app op de server door gebruik te maken van het gehashte wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones. Daarmee stelde het bedrijf whatsapp-gebruikers bloot aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen. WhatsApp heeft naar aanleiding van deze constatering een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren opdat zij een nieuw wachtwoord krijgen toegewezen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan.

Volgende stappen
Het CBP en de OPC hebben nauw samengewerkt tijdens het onderzoek en hebben vervolgens ieder hun eigen onderzoeksrapport opgesteld waarin de onderzochte feiten zijn getoetst aan de respectievelijke nationale privacywetgeving (Canada’s Personal Information Protection and Electronic Documents Act [PIPEDA] en de Wet bescherming persoonsgegevens [Wbp]). Nu de onderzoeksfase is afgesloten zullen beide privacytoezichthouders los van elkaar een vervolg geven aan de bevindingen.

In Nederland zal de handhavingsfase ingaan. Het CBP zal hierin bekijken in hoeverre de geconstateerde overtredingen voortduren en beslissen of het handhavende maatregelen zal nemen.

De OPC zal op basis van de Canadese privacywetgeving de voortgang in de toezeggingen van WhatsApp dat het bedrijf de overtredingen zal beëindigen, volgen. De OPC heeft de ervaring dat bedrijven zich in de meeste gevallen meewerkend opstellen om hun verplichtingen na te komen. WhatsApp heeft deze bereidheid tot naleving van de aanbevelingen van de OPC ook laten zien. De OPC heeft in tegenstelling tot het CBP geen bevoegdheid tot het opleggen van sancties.

zoek
Ik wil snel naarSnel naar
header