CBP en OPC: WhatsApp beëindigt privacyovertredingen deels na onderzoek
CBP en OPC: WhatsApp beëindigt privacyovertredingen deels na onderzoek
maandag 28-01-2013 14:39
Dit is een origineel bericht van College bescherming persoonsgegevens (CBP)
Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp. Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.
Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. "Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent", aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. "Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten."
De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: "Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp - behalve iPhone-bezitters met besturingssysteem iOS 6 - verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp."

Belangrijkste bevindingen
De belangrijkste bevindingen van de beide privacytoezichthouders zijn:
- Wie whatsapp wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. WhatsApp kan vervolgens andere whatsapp-gebruikers uit het adresboek herkennen en de gebruiker tonen wie van zijn contacten ook whatsapp gebruikt. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart. Dit is in strijd met Canadees en Nederlands privacyrecht.

- Bij aanvang van het onderzoek constateerden de privacytoezichthouders dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer inmiddels versleuteld.

- Tijdens het onderzoek bleek dat WhatsApp op zodanige wijze wachtwoorden genereerde dat het bedrijf whatsapp-gebruikers bloot stelde aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen. WhatsApp heeft naar aanleiding van deze constatering een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren om een nieuw wachtwoord te krijgen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan.

Het CBP zal nu bekijken in hoeverre de geconstateerde overtredingen voortduren en beslissen of het handhavende maatregelen zal nemen.
Links:
Organisatie info:
												College bescherming persoonsgegevens (CBP)