WhatsApp is al sinds 2014 bezig met de implementatie van de versleuteling van haar berichtenservice. Tot nu toe werkte de versleuteling slechts op sommige telefoons en in bepaalde situaties. De versleutelingstechnologie, die WhatsApp gebruikt in haar laatste update van de app, is ontwikkeld door Moxie Marlinspike, wel bekend bij de Amerikaanse Federal Bureau of Investigation (F.B.I.).
WhatsApp informeert haar gebruikers over de versleuteling en ook als een bericht wordt verstuurd naar iemand die een oudere versie gebruikt van de app waarbij de versleuteling nog niet ge-Marlinspiked is.
De F.B.I. heeft in haar onderzoek naar de versleuteling van Apple’s iMessage berichten, al laten doorschemeren niet blij te zijn met de positie die WhatsApp inneemt. Het onderzoeksbureau claimt dat de versleuteling strafrechtelijk onderzoek in de weg staat. Tegelijkertijd is de Nederlandse Autoriteit Persoonsgegevens kritisch op het gebruik van WhatsApp, omdat de app volgens hen niet de juiste veiligheidswaarborgen in acht neemt voor het versturen van persoonsgegevens via dit medium.
De Autoriteit raadt artsen en verpleegkundigen af om medische gegevens van hun patiënten te delen via WhatsApp. Er zijn echter geen redenen om te twijfelen aan de beveiliging van WhatsApp. Ten eerste heeft de Autoriteit al in 2013 onderzoek naar de berichtendienst gedaan. Naar aanleiding daarvan heeft WhatsApp passende maatregelen genomen. Bovendien lijkt met de huidige ontwikkelingen juist het tegendeel waar, de F.B.I. kan niet eens de berichtendienst tappen voor strafrechtelijke doeleinden, wat met analoge telefoongesprekken wel mogelijk is.
Medische gegevens zijn privacygevoelige gegevens. Het onderscheid dat de Autoriteit maakt tussen de verzending van gevoelige persoonsgegevens (1) en normale persoonsgegevens via WhatsApp, is niet nodig. (2) De Wbp vereist weliswaar dat persoonsgegevens worden beveiligd door middel van passende technische en organisatorische maatregelen tegen verlies of onrechtmatige verwerking (3) en dat beveiligingsmaatregelen zwaarder dienen te zijn naarmate verlies of onrechtmatig gebruik van de gegevens een grotere impact heeft op de persoon. Evenwel is er geen enkele aanleiding om de beveiliging van WhatsApp in twijfel te trekken – het tegendeel is makkelijker te verdedigen –, en is het onderscheid in dit geval dus irrelevant.
In het specifieke geval dat de Autoriteit bekritiseert, delen medisch vakgenoten gegevens over een derde – namelijk hun patiënt – met elkaar. De patiënt maakt dus niet zelf de keuze of en welke gegevens hij over zichzelf via de berichtenservice deelt. Deze situatie is wezenlijk anders indien een bedrijf ervoor kiest om WhatsApp in te zetten als klantenservicekanaal. Het bedrijf dat dit kanaal aanbiedt is geen verwerker van de gegevens en wordt daarom niet als verantwoordelijke gezien in de zin van de Wbp.(4) Het zijn immers de klanten zelf die besluiten gegevens op een bepaalde wijze te verzenden.
De vraag is waar iedereen zich zo druk om maakt? Hebben we hier een nieuwshype te pakken of zijn er daadwerkelijk gegronde redenen voor de paniek? Alles afwegende – type gegevens, beveiliging en situatie – lijkt er geen grond voor bezorgdheid en is het gewoon afwachten tot de hype overwaait.
In de tussentijd gewoon rustig door-appen dus!
(1) De AP heeft het begrip gevoelige persoonsgegevens geïntroduceerd. In de Beleidsregels datalekken pagina p.5 staat opgesomd wat er onder gevoelige persoonsgegevens moet worden verstaan: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
(2) Artikel 1 aanhef en onder a Wbp waarin persoonsgegevens worden gedefinieerd als “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.”
(3) Artikel 13 Wbp
(4) Artikel 1 sub d en e Wbp