WhatsApp schendt de privacy van gebruikers, zo concluderen het College bescherming persoonsgegevens (CBP) en de Canadese privacytoezichthouder. Beide toezichthouders onderzochten hoe de populaire berichtenapplicatie persoonsgegevens van gebruikers verwerkt. En dat blijkt in de strijd met de privacywetten te gebeuren.

WhatsApp zou inmiddels een aantal overtredingen hebben beëindigd, of stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort, aldus het CBP. Het is de eerste keer dat twee nationale privacytoezichthouders gezamenlijk de naleving van privacywetgeving door een Amerikaans bedrijf onderzoeken.

Adresboek
Wie whatsapp wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. WhatsApp kan vervolgens andere whatsapp-gebruikers uit het adresboek herkennen en de gebruiker tonen wie van zijn contacten ook whatsapp gebruikt. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart. Dit is in strijd met Canadees en Nederlands privacyrecht.

Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren. Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig.

Alleen gebruikers met een iPhone met besturingssysteem iOS 6 hebben de mogelijkheid om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.

Encryptie
Bij aanvang van het onderzoek constateerden de privacytoezichthouders dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer inmiddels versleuteld.

Wachtwoord
Tijdens het onderzoek bleek dat WhatsApp wachtwoorden genereerde voor het inloggen met de app op de server door gebruik te maken van het gehashte wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones. Daarmee stelde het bedrijf whatsapp-gebruikers bloot aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen.

WhatsApp heeft naar aanleiding van deze constatering een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren om een nieuw wachtwoord toegewezen te krijgen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan, aldus het CBP.

Keuze
"Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten", zegt Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder.

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp - behalve iPhone-bezitters met besturingssysteem iOS 6 - verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken."

Kohnstamm wil dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.