Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

WhatsApp (Facebook): Achtergrond en bevindingen bij de boete van 225 miljoen euro door de Ierse autoriteit voor gegevensbescherming

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

WhatsApp heeft van de Ierse toezichthouder een boete van 225 miljoen euro gekregen. De 266 pagina's tellende Ierse brief van auteur Helen Dixon is zeer lezenswaardig en leerzaam. Naast een goed onderbouwde analyse van de processen bij WhatsApp bevat het talloze conclusies, waaronder een afleiding over gegevensbescherming.

Update 08.09.2025

Klokkenluider (voormalig beveiligingshoofd van WhatsApp Attaullah Baig) klaagt Meta aan voor het negeren van beveiligingsproblemen.

Verwijten van de kern, naar bron Bron:

  • Duizenden Meta/WhatsApp-medewerkers hebben toegang tot gevoelige gebruikersgegevens (profielfoto's, locaties, contactpersonen)
  • Dagelijks meer dan 100.000 accounts gehackt zonder adequate tegenmaatregelen
  • Weigering van voorgestelde beveiligingsoplossingen
  • Vergelding en ontslag na waarschuwingen aan Meta-leiding

Baig beweert dat hij de privacyovereenkomst van de FTC van 2019 en de effectenwetgeving heeft geschonden. Hij heeft ook de FTC en SEC op de hoogte gesteld.

Inleiding

De volgende beschrijvingen en tekstfragmenten in de vorm van screenshots verwijzen naar de officiële rapportage van de Ierse gegevensbeschermingsautoriteit van 20 augustus 2021. De motivatie voor het onderzoek naar de schriftuur what vooral de gedetailleerdheid van de uiteenzettingen. Talrijke referenties en beschrijvingen tonen op overtuigende wijze hoe het onderzoek is verlopen. De uit deze resulteert zijn opmerkelijk. Zo gaat het onder andere om vragen naar

  • Informatieplicht,
  • de specificatie van ontvangers van gegevens,
  • de verantwoordelijkheid
  • de identificeerbaarheid van personen,
  • de persoonlijke referentie van gegevens en
  • het bedrag van de boete.
De zonden van Meta: https://dr-dsgvo.de/meta

Wie je iemand die reden wil kennen waarom de Ierse gegevensbeschermingsautoriteit het begrip piecemeal fashion gebruikt en wat het betekent, moet hij alleen maar nadenken over in welke vorm WhatsApp informatie biedt. Zo komt men snel op „häppchenweise“, een woord dat in de AVG niet voorkomt en waarschijnlijk ook niet toegestaan is als er verplichtingen zijn om te vervullen. Dit scheibchenwise serveren van plichtinformatie lijkt naast Facebook ook Google als tactiek gekozen te hebben, om zo lang mogelijk wetten te kunnen ontwijken.

De volgende verklaring komt vrij vaak voor in het onderzoek van Helen Dixon, auteur van het document waarin de gegevensbeschermingsevaluatie van WhatsApp werd uitgevoerd.

It is clear that WhatsApp and I fundamentally disagree …

Veelgebruikte uitspraak van Helen Dixon in haar rapport als hoofd van de Irish Data Protection Authority.

De auteur schrijft dit toen WhatsApp een antwoord gaf op vragen van de toezichthouder dat niet geldig leek voor de hoofdonderzoeker. Facebook heet nu Meta. Ik heb deze naamsverandering hier niet gevolgd.

Hashwaarde als persoonlijke gegevens?

Algemeen wordt in het proces tegen WhatsApp onderzocht hoe gebruikers die mogelijk geen gebruik maken van WhatsApp worden benaderd op grond van de wetgeving over bescherming van persoonsgegevens. Wanneer een nieuwe gebruiker zich bij WhatsApp aanmeldt, worden de contacten in zijn adresboek hiervan geïnformeerd. Dit gebeurt waarschijnlijk met toestemming, maar niet conform de GDPR. Deze contacten in het adresboek van een nieuwe WhatsApp-gebruiker worden daarom als Niet-gebruikers aangeduid. De melding vindt plaats via een onzichtbare communicatie met de WhatsApp-app en niet door middel van een zichtbare melding op systeemniveau, zo ver ik weet.

De melding aan de Non-Users vindt plaats door in een register te kijken of deze gebruikers al gemeld zijn. Om gegevensbescherming te waarborgen, wordt niet hun telefoonnummer in het register opgeslagen, maar een hash-waarde. Dit proces heet Lossy Hashing. Wie wil weten hoe dit hash-proces werkt, vindt hieronder meer informatie.

Het WhatsApp hashing-algoritme voor telefoonnummers (randnr. 34).

WhatsApp introduceert deze hash-waarde voor telefoonnummers om andere WhatsApp-gebruikers via het zogenaamde Contact Feature te informeren wanneer een nieuwe gebruiker WhatsApp bevoegt (Rn. 44h). De reden voor de hash-benadering wordt eveneens besproken.

Rn 40.

Met de hashwaarde is het waarschijnlijk niet mogelijk om conclusies te trekken over een specifieke gebruiker. In plaats daarvan zou het alleen mogelijk moeten zijn om een groep van 16 verschillende gebruikers te identificeren.

Rn. 42

Hierbij wil ik opmerken dat in een vonnis van het OGH (Oostenrijk) van 18 februari 2021 (Zaaknummer: 6 Ob 127/20z) ook waarschijnlijkheidsuitspraken over voorkeuren van personen als persoonsgegevens werden beschouwd, mits de persoonlijke verwijzing aanwezig what voordat de uitspraken werden gedaan.

Identificeerbaarheid van een persoon

Interessant is het begrip van de door mevrouw Dixon geciteerde Article 29 Working Party van de EU, die zelfs in Art. 94 GDPR wordt genoemd. Deze groep ziet het zo: Een Persoon wordt als identificeerbaar beschouwd, wanneer hij/zij van een andere groep personen kan worden onderscheiden. Dit wordt uitgedrukt in de zogenaamde Opinion 4/2007 van deze groep.

punt 52 (secundair citaat, hier bespaar ik mezelf het citeren van de oorspronkelijke bron, het "Advies 4/207 van de "Groep gegevensbescherming artikel 29"").

De identificeerbaarheid als criterium voor het bestaan van persoonsgegevens wordt in Artikel 4, lid 1 GDPR genoemd. In de overweging 26 worden nog meer gegeven.

Het is dus niet noodzakelijk dat concreet op een persoon teruggekeerd kan worden, zodat bijvoorbeeld een "hard" personenbezogen datum als de IP-adres, de naam, het postadres of het kenteken van het voertuig voorligt. In plaats daarvan is het voldoende dat een persoon als die ene persoon herkend kan worden en van andere personen onderscheiden kan worden.

Dat is overigens ook het concept van Web Tracking. Het interesseert Google & Co minder wie precies achter de gebruiker zit die op dit moment een website bezoekt. In plaats daarvan wil Google of een reclameverlener weten of deze gebruiker de gebruiker 4711 is of iemand anders, zodat zijn gebruikersprofiel kan worden gebruikt. Want van gebruiker 4711 is bekend dat hij vrouwelijk is, heavy metal muziek luistert en online graag Griekse specialiteiten koopt.

Ondanks dat niet direct op deze manier kan worden geconcludeerd dat een bepaalde persoon in een groep mensen bedoeld is, kan er nog steeds sprake zijn van identificeerbaarheid van de persoon. Dit drukt de Article 29 Working Party zo uit.

Concreet betekent dat volgens mijn begrip, dat ook bijlagen die niet aanwezig hoeven te zijn, maar kunnen worden opgevraagd of binnenkort beschikbaar zullen zijn, in overweging moeten worden genomen. Dit is analoog aan het EuG-oordeel over IP-adressen.

In Rn. 60 en 61 wordt verder uitgevoerd wat de HvJ reeds heeft vastgesteld. Dat namelijk gegevens als persoonsgerelateerd volgens Artikel 4 lid 1 GDPR moeten worden gewaardeerd, ook al kan niet direct en niet door de verantwoordelijke op de persoon gesloten worden.

Redeomaatgrond 26 bevat een risicobepaalde benadering voor de beoordeling of gegevens persoonsgerelateerd zijn (Rn. 79). Dit wordt ook in het Breyer-arrest van het EHRM gezien bij IP-adressen (Rn. 85). In het Breyer-arrest wordt opgemerkt dat een persoonsbinding als zodanig mag worden aangenomen (indien een identificator zoals een IP-adres of iets anders wordt gebruikt), wanneer het risico van identificatie in de praktijk niet kan worden genegeerd (Rn. 46).

In overweging 26 staat onder andere:

Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen die door de voor de verwerking verantwoordelijke of een andere persoon kunnen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals het afzonderlijk identificeren.

Uittreksel uit overweging 26 van de GDPR.

Er wordt daarbij vermeld dat de beschikbare technologie en technologische ontwikkelingen moeten worden meegenomen. In dit kader wordt WhatsApp ervan verdacht dat met behulp van een bekende telefoonnummer van Non-Users zoekacties in het internet of sociale media kunnen worden uitgevoerd om diens identiteit vast te stellen (Rn. 83 c).

Er wordt een vergelijking getrokken tussen de WhatsApp-hashwaarde van Non-Users en het EuG-uitspraak over IP-adressen (Rn. 70 en 95). Mevrouw Dixon stelt vast dat de hashwaarde voor een Non-User samen met zijn telefoonnummer, die slechts voor korte tijd in de cache aanwezig is, een persoonsgegeven vertegenwoordigt (Rn. 66 en 110). De telefoonnummer wordt door haar ook nog steeds als persoonsgegeven beschouwd nadat deze is omgezet naar een hashwaarde.

Sehr interessant is de benadering, testgewijs ervan uit te gaan, dat het telefoonnummer van een Non-User geen persoonsgegeven vertegenwoordigt (Rn.89). Het gevolg zou zijn dat deze telefoonnummer zonder beperkingen verwerkt kon worden. Dit lijkt onredelijk en is daarom niet aan te nemen, wat de persoonsbezichtiging bevestigt (Rn. 90f). Een andere benadering tot deze inzichten leidt via Artikel 33 GDPR. Daarin wordt de verplichting genoemd om de schending van de bescherming van persoonsgegevens aan een toezichthoudende autoriteit te melden. Een dergelijke melding zou niet mogelijk zijn als de in kwestie staande gegevens geen persoonsgegeven zouden zijn (Rn. 94). Ook wordt vastgesteld dat WhatsApp het ontwerp van de applicatie zelf in handen heeft en daarmee veilige mechanismen had kunnen instellen. Hier noem ik Artikel 25 GDPR als een referentie.

Het is voldoende dat Mogelijkheden voor identificatie van personen bestaan en het is niet van belang of een verantwoordelijke deze mogelijkheden kan of wil gebruiken (Rn. 95). De kans op identificatie speelt hierbij geen rol.

De verwerking van een telefoonnummer van een Non-User vindt plaats in de volgende stappen (Rn. 103):

  1. Toegang tot het nummer via WhatsApp
  2. Overdracht van het nummer naar WhatsApp-servers
  3. Onderwijs van een Lossy-Hash waarde uit het nummer
  4. Onherstelbare verwijdering van het nummer

Trots het onherroepelijke wissen van de nummer na een zeer korte tijd wordt deze als persoonsgerelateerd beschouwd. Het opheffen als behoud van de nummer met mogelijke kennis wordt als belangrijke manier van gegevensverwerking benadrukt (to collect = opheffen, Rn. 103). Of WhatsApp de nummer daadwerkelijk wissen of het alleen beweert, is een andere vraag.

Het bestaan van gegevensverwerking is niet afhankelijk van tijdsbeperkingen. Zelfs gegevens die slechts extreem kort beschikbaar zijn, worden de facto verwerkt.

Volgens paragraaf 104 ibid.

Verder wordt uitgevoerd dat een Non-User op het eerste gezicht een niet nader geïdentificeerde persoon uit een groep van veel is. Het doel is echter om de individuele Non-User aan te spreken en hem tot Gebruiker te maken, wat een vorige identificatie vereist (Rn. 92).

Frau Dixon accepteert dat de WhatsApp-functie om te zien welke contacten in het eigen adresboek ook WhatsApp-gebruikers zijn, nuttig is. Omgekeerd stelt ze echter ook vast dat WhatsApp zelf daarvan profiteert (Rn. 93). Daaruit ontstaat een verantwoordelijkheid.

Als het hierom gaat wordt het ingewikkeld, waarom ik er slechts kort op in ga. Omdat WhatsApp waarschijnlijk nieuwe informatie heeft, vindt een matching van gebruikers plaats over een nieuwe hash-waarde, de Notification Hash, en niet over de vroegere Lossy Hash. Ierland en het Europees Comité voor de Rechten van de Mens waren het dan ook oneens over de vraag of een telefoonnummer dat niet is gekoppeld aan een gebruiker na het hashing nog steeds persoonsgegevens bevat. Het comité heeft Ierland op grond van Artikel 65, lid 6 GDPR opgedragen zijn mening te herzien en de persoonsbezigheid te erkennen (Rn. 106ff).

Wat is een controller?

Een verantwoordelijkheid ontstaat uit feitelijke omstandigheden en niet uit formele omstandigheden (Rn. 119f). Het concept van de verantwoordelijke is daarmee een functioneel concept. Voor het bepalen van de ingezette middelen zijn zowel organisatorische als technische vragen te stellen, zoals postuleert door de Opinion 1/2010. Wie de doelstellingen bepaalt, is feitelijk verantwoordelijke (Rn. 121). Dit geldt bijvoorbeeld ook voor het bepalen van de opslagduur van gegevens of de toegangsrechten.

Wie verantwoordelijk is kan ook worden bepaald door wie een proces heeft geïnitieerd of waarom het proces plaatsvindt (par. 122 c).

Om te bepalen of er sprake is van verantwoordelijkheid, kan een test worden uitgevoerd op verschillende criteria. Dit is wat Helen Dixon voorstelt.

Het concept van de rol van een verantwoordelijke onderscheidt zich voornamelijk doordat het verantwoordelijkheid toewijst (Rn. 116). Hier wordt ook op Opinion 1/2010 van de Artikel 29 Groep verwezen (Rn. 118). Volgens dit laatste ontstaat verantwoordelijkheid wanneer een instelling heeft besloten om gegevens voor eigen doeleinden te verwerken.

Belangrijke vragen voor het bepalen van de verantwoordelijkheid zijn (paragraaf 141):

  • Welke gegevens moeten worden verwerkt?
  • Hoe lang worden de gegevens opgeslagen?
  • Wie moet toegang hebben tot de gegevens?

Deze vragen zijn naar het oordeel van betrokken personen te beantwoorden, een uitgebreide kijk op de aansprakelijkheid is hiervoor gepast (Rn. 139).

Bepaal een functie, waarbij personenbezige gegevens verwerkt dienen te worden, zal de kans dat deze functie verantwoordelijke is (zie Rn. 145 c), toenemen.

Als een instantie niet specificeert of niet precies aangeeft hoe lang gegevens worden opgeslagen, vergroot dit de kans dat de instantie de voor de verwerking verantwoordelijke is (zie paragraaf 145, onder d), omdat de betrokkene hier dan geen invloed van betekenis op heeft en er dus ook niet verantwoordelijk voor is.

Degene die bepaalt wie toegang heeft tot de gegevens is er verantwoordelijk voor of verhoogt de kans dat hij de voor de gegevensverwerking verantwoordelijke is (zie overweging 145 e).

Hetzelfde geldt voor de bepaling van de middelen (paragraaf 145, onder f).

Na alledat en meer ziet Helen Dixon WhatsApp als verantwoordelijke en niet als opdrachtgever (Rn. 154).

Informatieverplichtingen van de verantwoordelijken

Vanwege de complementariteit van Artikel 13 GDPR en Artikel 14 GDPR ziet mevrouw Dixon een bijzondere betekenis voor de informatieverplichting van betrokken personen door verantwoordelijken (Rn. 173). Zelfs nog duidelijker, ziet ze de informatieverplichtingen ook op basis van Artikel 15 lid 1 en 2 GDPR als de fundament ("bedrock"), waarop de andere rechten van betrokkenen rusten (Rn. 174). Want alleen dan kan een betrokkene begrijpen of en hoe zijn gegevens verwerkt zijn of zullen worden.

De verplichte informatie over de gegevensverwerking die WhatsApp biedt, is inzake omvang in aanmerking genomen (Rn. 195). Daarvoor werd zelfs de ongeveer omvang in DIN A4-bladzijden bepaald. Ook werd de deel van elk afzonderlijk document (gebruiksvoorwaarden, gegevensbeschermingsinformatie etc.) aan het totale omvang in procentuele waarden bepaald.

Het bleek dat een link naar een belangrijk document met een linktekst als "Meer leren" niet voldoende indruk maakt (Rn. 196f). Het formaat van de individuele documenten werd kritisch beoordeeld (Rn. 198f) en vergeleken met Artikel 12, lid 1 GDPR. Eveneens werd de noodzaak om een langere tekst te scrollen kritisch bekeken (ongeveer Rn. 204). WhatsApp erkende zelfs na de onderzoeken dat verbeterpunten bestaan bij het verstrekken van verplichte informatie (Rn. 215f).

In Rn. 224 wordt opgemerkt dat marktgegevens of voor bepaalde marktsegmenten specifieke gedragspatronen betreffende de GDPR irrelevant zijn. Het argument "alle doen het zo" geldt dus niet. Dit schijnargument heb ik laatst tegen gekomen in een verweerschrift van een aanvraaggegner. Het proces waarin ik als deskundige bij de rechter mocht ondersteunen, loopt nog.

Een overmatige verstrekking van algemene en onvoldoende verstrekking van concrete informatie lijkt ongunstig voor de GDPR (Rn. 226).

Beginnend met Rn. 329, legt mevrouw Dixon uit welke informatie WhatsApp in welke vorm biedt en beschouwt daarbij ook verwijzingen naar verdere documenten. Vanaf Rn. 332 worden de documenten in hun structuur en wijze van aanbod bekritiseerd. Ook wordt er op gewezen dat inhoudelijke duplicaten bestaan en anderzijds ontbreken voorbeelden of is de taal onduidelijk. Als gevolg wordt een risico van verwarring en ondoorzichtigheid gezien (Rn. 336).

Het geheel kan als volgt worden samengevat:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Dit benadering kan ook worden overgebracht op de veel en ondoorzichtige Google-documenten die bij het gebruik van Google-tools zoals Google reCAPTCHA, Google Maps of het Google Tag Manager relevant worden. Ik kijk uit naar het volgende grote boetebedrag dat Google hopelijk zal krijgen. Een aanleiding zou de Chrome Browser zijn. ([1]) ([2]) ([3]) ([4])

Ab Rn. 345 wordt vastgesteld dat WhatsApp helaas de Categorieën van verwerkte gegevens niet voldoende gewaardeerd heeft.

In Rn. 355 wordt het bovenin mijn bijdrage als Cliffhanger gebruikt woord "piecemeal" gebruikt:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

punt 355 ibid.

Het wordt opgemerkt dat de WhatsApp-gegevensbeschermingsinformatie van zodanige aard is dat geen rode draad herkenbaar is, laat staan een enkel geheel tekst (Rn. 356), hieraan ook "De gebruiker moet niet moeite hebben om het voorgeschreven informatie te bereiken". Deze beschuldiging zou ik graag aan Google voorleggen. Eenvoudiger wordt het door de Ierse vestigingsplaats, maar waarschijnlijk zal het eerder zijn tegen verantwoordelijken uit Duitsland te gaan die niet anders kunnen dan onbezonnen diensten van Google in te zetten, of idealerwijze Googles uitspraken hebben begrepen en mij binnen een maand kunnen uitleggen (Art. 12 Abs. 3 GDPR).

In al haar beoordelingen van WhatsApp-verklaringen merkt Helen Dixon regelmatig op dat WhatsApp en zij het "fundamenteel oneens" zijn. Dit is haar immers een boete waard, maar geen pijnlijke boete voor Facebook.

Specificatie van ontvangers

Volgens Artikel 13, lid 1 van de AVG en Artikel 14, lid 1 van de AVG moeten de ontvangers of categorieën van ontvangers van gegevens worden genoemd om informatieplichten volgens Artikel 12 van de AVG na te komen. De Artikel 29-groep wordt door mevrouw Dixon hierop aangehaald (Rn. 426).

De Groep schrijft dat de namen van ontvangers meestal moeten worden vermeld omdat dit meestal de meest betekenisvolle informatie is waarop een betrokkene recht heeft. De betrokkene moet kunnen weten wie zijn gegevens heeft ontvangen of zou moeten ontvangen.

Als er categorieën ontvangers worden genoemd, moet dit zo nauwkeurig mogelijk gebeuren. Dit omvat ook het benoemen van de activiteiten van elke categorie ontvangers.

Ik ben van mening dat bij een informatieverzoek naar Artikel 15 lid 1 c GDPR de concrete ontvangers moeten worden genoemd. Vooral geldt dit volgens mij als de betrokken persoon dit expliciet wil. Deze ontvangers moeten immers bekend zijn bij de verantwoordelijke. Het concreet informatieverzoek kan alleen tegengewerkt worden als er valide redenen zijn om individuele ontvangers niet te noemen. Behalve een geheimhoudingsovereenkomst e.d. kan ik me hierbij niet veel mogelijkheden voorstellen. In het eveneens verlinkte artikel 15 heb ik enkele bronnen genoemd die mijn mening ondersteunen.

Specificatie van de opslagperiode

Volgens Artikel 5, lid 1, onder c en e van de GDPR gelden de principes van gegevensminimisatie en opslagbeperking. In dit verband moeten informatieverplichtingen worden nagekomen (Artikel 13, lid 2, onder a van de GDPR). Vooral om te beoordelen of er een gerechtvaardigd belang is, is de opslagduur van gegevens een belangrijke informatie. De Article 29 Working Party wordt daarover als volgt geciteerd:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Uittreksel uit paragraaf 468.

Demnach moeten aangiftes over de opslagduur zo nauwkeurig mogelijk zijn. In Rn. 469 wordt erop gewezen dat het om bedeutingvolle informatie ("meaningful information") gaat, met welke de lezer dus iets aan de hand kan krijgen.

In Rn. 482 wordt in elk geval bevestigd dat WhatsApp op enkele plaatsen is geslaagd om de voorschriften uit artikel 13 GDPR na te leven, namelijk bij het uitleggen van het recht op inzage. Maar dan weer iets negatiefs wordt vastgesteld (Rn. 496) bij minder gemakkelijk naleefbare regels, zoals de voorwaarden voor een toestemming.

Een geautomatiseerde besluitvorming volgens Artikel 13 lid 2 f vindt volgens Rn. 524 niet plaats bij WhatsApp.

Gegevensuitwisseling met andere Facebook-bedrijven

Deel 3 van het document gaat over transparantie bij het delen van gebruikersgegevens tussen WhatsApp en de andere Facebook-bedrijven. Individuele tekstpassages uit het privacybeleid van WhatsApp worden nauwkeurig geanalyseerd op naleving van de GDPR. Het citeren van deze passages is een van de redenen voor de lengte van het totale document van mevrouw Dixon, hoewel talrijke discussies bijdragen aan de lengte ervan.

Mevrouw Dixon merkt op dat de Facebook-bedrijven waarmee WhatsApp gegevens deelt niet voldoende worden genoemd (punt 577). WhatsApp vindt dit OK omdat de GDPR dit niet vereist (alinea 581) of omdat het voldoende zou zijn als deze informatie ergens anders in openbare bronnen zou kunnen worden gevonden.

In Rn. 591f wordt officieel vastgesteld dat WhatsApp gefaald is om de uitwisseling van gegevens met andere Facebook-bedrijven voldoende te beschrijven. Bovendien moedigt mevrouw Dixon WhatsApp aan te strepen twijfelachtige privacy-informatie, mits WhatsApp niet voornemens is gegevens uit te wisselen met andere Facebook-ondernemingen.

Transparantie van verwerking

In deel 4 van het document worden vragen over de transparantie van de gegevensverwerking besproken (Rn. 593ff). Daarbij ging het voornamelijk om het door mevrouw Dixon genoemde transparantiekoncept uit Artikel 5, lid 1 GDPR en de informatieplichten uit de artikelen 12, 13 en 14 GDPR.

De EDPB ziet dit transparantiebegrip niet gedefinieerd in de AVG, maar geeft het toch (Rn. 188). Ierland werd door Europa overstemd en moest WhatsApp wegens een overtreding van art. 5 lid 1 AVG aan de orde stellen.

Bepaling van de boete

Ik sparen hier in detail uit op deel 5 van het onderwerp dat de mogelijkheid van het opleggen van een boete behandelt. Het strekt zich verrassend over veel pagina's uit. Uiteindelijk vraagt EDPB de Ierse autoriteit om een hogere straf te geven dan what bedacht (Rn. 807).

De Ierse gegevensbeschermingsautoriteit wilde eerst alleen maar een boete van 50 miljoen euro opleggen. Een bezwaar van andere Europese landelijke autoriteiten, waaronder uit Duitsland, leidde tot 225 miljoen euro. Misschien werden de 50 miljoen euro aan Ierland toegekend omdat de Franse gegevensbeschermingsautoriteit CNIL een gelijkwaardige boete oplegde aan Google vanwege de Franse zoekmachine google.fr (Rn. 809ff).

Als je wilt weten hoeveel inkomsten Facebook (VS) en WhatsApp (Ierland) hebben gegenereerd, kun je het antwoord hier vinden:

Rn. 881 ebd.

De omzet what immers zo hoog dat de boete niet hoger what dan 2 of 4 % van dit bedrag. Hier is een (recentere) statistiek die helpt om de omzet te schatten:

Bron: https://de.statista.com/themen/1995/whatsapp/. (afbeelding is automatisch vertaald).

Het bedrag van de geldboete bestaat uit verschillende tranches, die als volgt werden gerechtvaardigd.

Rn. 888 c

Art. 5 Abs. 1 a GDPR bepaalt dat de verwerking van persoonsgegevens op rechtmatige wijze, naar goed trouw en in een voor de betrokken persoon begrijpelijke manier plaatsvindt. Dit lijkt WhatsApp niet te zijn gelukt.

Art. 12 GDPR bevat bepalingen over de verplichtingen om transparante informatie te verstrekken aan betrokkenen, die door WhatsApp op strafrechtelijke wijze lijken te zijn geschonden.

Art. 13 GDPR betreft informatie voor de verwerking van gegevens die zijn verwerkt bij de betrokkene. Er waren ook hiaten bij WhatsApp.

Artikel 14 GDPR is analoog aan artikel 13 GDPR, maar dan gaat het om gegevens die niet bij de betrokken persoon zijn verwerkt. Hierbij moet vooral de procedure van Non-Users worden genoemd, die met een kennelijk niet toegestaan hash-verfahren werd uitgevoerd.

De hoogte van de boete werd meerdere keren bekritiseerd, want voor Facebook lijkt het bedrag waarschijnlijk best redelijk laag. Ik vermoed dat de economische voordelen voor Facebook uit de door de overheid vastgestelde schendingen van de gegevensverwerking veel hoger waren. Het is immers marketingtechnisch bijna goud waard als de registratie van een nieuwe gebruiker ervoor zorgt dat alle gebruikers in zijn adresboek feitelijk kunnen worden benut.

Slotopmerkingen

De afleidingen en redenen in het document van Helen Dixon zijn zeker het lezen waard. Ze leiden tot interessante inzichten en bevindingen. Ze laten echter op zijn minst zien hoe een officieel onderzoek kan verlopen. Er wordt bijvoorbeeld melding gemaakt van onderzoeken door de autoriteiten zelf, waarop WhatsApp reageerde. Dit leidde vervolgens tot de conclusies van een medewerker ("beslisser"), die op hun beurt werden geanalyseerd door de hoofdonderzoeker zelf, die ook rekening hield met de reacties van WhatsApp.

Het argument van Helen Dixon is gebaseerd op wat ik een coherente afleiding vind. Of het betreffende oordeel specifiek goed of slecht, goed of fout, gepast of bevooroordeeld is, is een andere vraag.

In ieder geval is de argumentatie sterk gericht op relevante richtlijnen en adviezen, zoals die van de Artikel 29 Werkgroep, de voorloper van de EDPB.

Ik ben het op één belangrijk punt met Helen Dixon eens: Een persoon wordt als identificeerbaar beschouwd als hij van andere mensen kan worden onderscheiden. Dit is de mening van de Artikel 29-Fractie.

Ook interessant

Belangrijkste boodschappen van dit artikel

WhatsApp kreeg een boete van 225 miljoen euro voor het schenden van de regels voor gegevensbescherming, met name bij het delen van gebruikersgegevens met andere bedrijven.

Zelfs als een hashwaarde niet direct een persoon identificeert, kan het nog steeds als persoonsgegevens worden beschouwd als het wordt gebruikt om een persoon binnen een groep mensen te identificeren.

Zelfs als een telefoonnummer niet direct aan een persoon is gekoppeld, kan het toch als een persoonsgegeven worden beschouwd omdat het mogelijk is om er iemand mee te identificeren.

WhatsApp verwerkt telefoonnummers, zelfs als deze worden verwijderd, om gebruikers te identificeren en hen advertenties te tonen.

Degene die gegevens verwerkt en bepaalt wie er toegang toe heeft, is verantwoordelijk voor de naleving van de General Data Protection Regulation (GDPR).

Het privacybeleid van WhatsApp en Google is verwarrend en moeilijk te begrijpen voor gebruikers.

WhatsApp moet transparanter zijn over welke gegevens het doorgeeft aan wie en hoe lang deze worden opgeslagen.

WhatsApp kreeg een boete van 225 miljoen euro voor een gebrek aan transparantie in het gebruik en de overdracht van gegevens aan andere Facebook-bedrijven.

De toezichthouder voor gegevensbescherming bekritiseert Facebook (WhatsApp) voor niet-conforme gegevensbeschermingspraktijken bij het informeren van niet-gebruikers en vindt de boete te laag.

Over deze kernuitspraken

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden