WhatsApp Business; Goed idee of grote fout?
WhatsApp Business; Goed idee of grote fout?
30 juni 2022 
in Privacy

WhatsApp Business; Goed idee of grote fout?

Via onze helpdesk krijgen we vaak de vraag of WhatsApp Business een goede manier is om contact te onderhouden met collega’s en klanten en waar je zoal aan moet denken voordat je een dergelijk communicatiekanaal gaat gebruiken. Hoe kijken wij als Audittrail daar tegenaan?

Om bij het begin te beginnen, organisaties gaan verschillend om met WhatsApp. Dit is namelijk afhankelijk van waar WhatsApp voor wordt gebruikt en of het gaat om een werktelefoon die privé mag worden gebruikt of een werktelefoon die enkel voor zakelijk gebruik is bedoeld. Daarnaast kan WhatsApp zelf worden gebruikt, of kan er een API (communicatiemiddel tussen twee applicaties) tussen WhatsApp en ander software zitten. Over het algemeen raden wij het gebruik van WhatsApp Business af om een aantal redenen. En die redenen hebben alles te maken met de privacy- en informatiebeveiligingsrisico’s die hiermee gepaard gaan. Hieronder sommen we een aantal vragen en risico’s voor je op, waar je over moet nadenken:

Is er een verwerkersovereenkomst?

Bij WhatsApp Business moet je de servicevoorwaarden (voorwaarden voor gegevensverwerking) accepteren. Dit zou je kunnen interpreteren als een soort van verwerkersovereenkomst, maar dan is het er wel eentje waar je geen aanpassingen in kan doen. Je zal dus nog veel voorwaarden moeten accepteren van WhatsApp. Zo behouden ze bijvoorbeeld het recht om de gegevens voor hun eigen doelen te gebruiken en te verkopen. Er blijft daarom een groot privacy risico bestaan.

Hoe zit het met de beveiliging?

Als organisatie mag je in principe WhatsApp ‘inhuren’ als verwerker. Een doel en verwerkingsgrondslag voor het gebruiken van WhatsApp voor je bedrijfsvoering of communicatie kan je waarschijnlijk ook wel formuleren. Maar je moet ook voldoende passende technologische en organisatorische maatregelen kunnen treffen en ervoor kunnen zorgen dat de verwerker de gegevens niet gebruikt voor andere doeleinden. Helaas garandeert WhatsApp deze bovengenoemde zaken nu niet, waar dat normaal in een verwerkersovereenkomst wel gedaan wordt. Omdat je als organisatie wel Verwerkingsverantwoordelijke bent, vormt ook dit een privacy risico.

Waar wordt de data opgeslagen en is dat veilig?

Een andere vraag die je moet stellen is waar je gegevens worden opgeslagen en of je bereid bent om aanvullende maatregelen te nemen als de data buiten de Europese Economische Ruimte (EER) wordt opgeslagen. De Europese Unie heeft op dit moment namelijk geen afspraken over gegevensverwerkingen met bijvoorbeeld de Verenigde Staten. Meta, het moederbedrijf van WhatsApp, stelt in hun servicevoorwaarden dat bij het gebruik van de dienst de organisatie akkoord gaat dat de gegevens die WhatsApp gaat verzamelen, opslaan en gebruiken naar de Verenigde Staten en andere landen wereldwijd gaat “ongeacht in welk land u onze Zakelijke Diensten gebruikt”. Daarnaast moet de organisatie accepteren dat “de wet- en regelgeving en normen in het land waar uw informatie wordt opgeslagen of verwerkt, kunnen verschillen van die in uw eigen land.”

Kan je nog voldoen aan de rechten van betrokkenen?

In de AVG worden een aantal rechten van betrokkenen genoemd, zoals het recht op inzage of het recht op gegevenswissing. Betrokkenen hebben dus het recht een kopie van hun gegevens in te zien. De verwerkingsverantwoordelijke heeft slechts één maand om te reageren op een verzoek om inzage van de persoonsgegevens. Door een gebrek aan centrale controle in WhatsApp, is het moeilijk om de vereiste informatie gemakkelijk te verzamelen. Alle medewerkers kunnen bijvoorbeeld groepsapps aanmaken. Denk bijvoorbeeld aan teamleiders die WhatsApp-groepen aanmaken voor het runnen van hun team. Als privacy officer of security officer is het een grote opgave om al deze groepen te monitoren. Volledige inzage geven is daarom een haast onmogelijke opgave.

Wil je het risico van potentiële datalekken accepteren?

In de praktijk blijkt toch vaak dat er klantgegevens en/of bedrijfsinformatie via WhatsApp wordt verstuurd. Het is voor elk lid van een WhatsApp-groep heel eenvoudig om een bericht door te sturen. Dit kan naar elk nummer in hun lijst met contactpersonen. Dit laat geen gegevens achter in de groep zelf en daarom zorgt WhatsApp ervoor dat je snel de controle over je bedrijfsgegevens verliest. Als het om persoonlijke informatie gaat en die wordt doorgestuurd naar mensen die er niets mee te maken hebben, is er sprake van een datalek. Afhankelijk van de aard van de persoonlijke informatie, kan dit de organisatie in grote problemen brengen.

Toch WhatsApp gebruiken voor bedrijfsvoering?

Ondanks dat we hierboven een aantal risico’s hebben opgesomd, zou je als organisatie kunnen besluiten om toch WhatsApp te gaan gebruiken. Of misschien gebruik je het al en wil of kan je niet meer zonder. In dit geval raden wij aan om in ieder geval rekening te houden met de volgende onderwerpen:

  1. Voer een Data Protection Impact Assessment (DPIA) uit.
  2. Toets of er een rechtmatige grondslag is voor het gebruik van persoonlijke informatie in WhatsApp.
  3. Stel kaders vast over op welke manier je WhatsApp gaat gebruiken. Wat voor type communicatie gebeurt via WhatsApp en accepteer ik dit risico? Stuur in ieder geval geen gevoelige of bijzondere gegevens via dit communicatiekanaal, maar bedenk of je het risico wel zou willen nemen voor berichten zonder persoonsgegevens.
  4. Leg goed vast welke afwegingen en werkafspraken je als organisatie maakt.
  5. Bedenk of je de beveiliging van de informatie kan waarborgen.
  6. Hou bij de implementatie van WhatsApp rekening met het beginsel van privacy by design.
  7. Stel regels op voor toegangscontrole tot de gegevens van groepen om ervoor te zorgen dat er privacy by default is.
  8. Maak afspraken over op welke manier je persoonlijke informatie uit alle groepschats kan verwijderen indien een betrokkene een beroep doet om zijn recht van gegevenswissing.
  9. Onderzoek of je de bewaring van chatgegevens van groepen kan beheren en controleren.
  10. Zet het gebruik van WhatsApp in een privacyverklaring.
  11. Stel een beleid op voor het gebruik van WhatsApp of neem het op in een bestaand beleid.

Daarnaast is het aan te raden om de volgende maatregelen te nemen:

  1. Activeer de twee-staps verificatie;
  2. Schakel het blauwe vinkje uit;
  3. Stel de incognito modus in op WhatsApp (Dit voorkomt dat mensen je profielfoto zien, je WhatsApp status en je ‘Laatst gezien’)
  4. Schakel alle onnodige permissies uit (via de instellingen van de telefoon)
  5. Schakel de back-up van WhatsApp gesprekken naar de cloud uit.

Wat moet ik anders? Zijn er alternatieven?

Natuurlijk is WhatsApp niet het enige communicatiekanaal dat beschikbaar is. Er zijn alternatieven die meer rekening houden met privacy.  Als laatste is mijn advies om te kijken naar alternatieven die privacy vriendelijker zijn. Hiervoor verwijs ik graag naar onderstaande website: https://www.securemessagingapps.com/

Over de schrijver
Dylan Schreurs is Consultant Informatiebeveiliging & Privacy bij Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance.
Reactie plaatsen