Is het toegestaan om persoonsgegevens te delen in WhatsApp-groepen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag:Is het toegestaan om persoonsgegevens te delen in WhatsApp-groepen? (zowel zonder als met toestemming van die persoon). Ik weet bijna zeker van niet, maar kun jij mij helpen in welke artikel van de AVG dit is weergeven?
Antwoord: Persoonsgegevens verspreiden via digitale kanalen is een elektronische verwerking daarvan. De AVG is dan van toepassing. Het maakt niet uit of je dit als bedrijf of als particulier doet, en ook niet of het grootschalig of incidenteel gebeurt.
Als een verwerking onder de AVG valt, moet je een grondslag hebben. Toestemming is zo'n grondslag, dus in het geval dat er (specifiek en duidelijk) toestemming is verkregen, dan mag het. Maar ook zonder toestemming kan het, bijvoorbeeld als de verstrekking nodig is om een overeenkomst uit te voeren. Denk aan het adres van je Marktplaats-koper appen naar je broer die de vaas gaat brengen.
Bij delen in een groep kom je meestal uit bij grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Je zegt dan eigenlijk, zowel ik als deze groep hebben er recht op deze informatie te delen, en we hebben rekening gehouden met de privacy van deze persoon. De vraag is dan wat dat recht is en hoe je dan rekening hebt gehouden.
Een veel voorkomende situatie is dat je wilt waarschuwen voor een verdacht persoon (de buurtapp, het is 4 uur en alles heit wel). Dan zijn de persoonsgegevens dus het signalement (of kenteken) van die persoon en waar die zich dan bevindt. Hierover had ik in 2016 ook al een vraag, het antwoord is eigenlijk ongewijzigd. Zie ook de comments!
Een andere optie is dat iemand in een groep vraagt om contactgegevens, bijvoorbeeld of iemand een oppas of klusser weet. In dat geval zou ik eerder kiezen voor een privéreactie, gezien die vraag is het niet nodig om de hele groep die gegevens te verstrekken.
Een derde optie is dat die persoon lid moet worden van de groep. Dat zou AVG-technisch beter via een privébericht naar een beheerder kunnen, waarbij die bij de persoon navraagt of die het echt wil.
En zo kan ik nog wel even doorgaan. Waarmee ik maar wil zeggen, er is niet één antwoord maar het is een beredeneerde keuze waarbij je met genoeg randzaken rekening moet houden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.
Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..
Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.
Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..
Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
https://www.facebook.com/contacts/removal
Let wel op je geeft toestemming tot verwerking van je gegeven voor het expliciete doel van het voorkomen dat je gegevens verder verwerkt weer worden als iemand poogt je toe te voegen of privacy instellingen laks heeft staan.
Meer informatie over de informatie verwerking van meta van niet gebruikers is te vinden via: https://www.facebook.com/help/637205020878504
Kan je niet helpen op juridisch gebied kan je echter wel een link geven naar de blokkering database van meta services
https://www.facebook.com/contacts/removal
Let wel op je geeft toestemming tot verwerking van je gegeven voor het expliciete doel van het voorkomen dat je gegevens verder verwerkt weer worden als iemand poogt je toe te voegen of privacy instellingen laks heeft staan.
Meer informatie over de informatie verwerking van meta van niet gebruikers is te vinden via: https://www.facebook.com/help/637205020878504
Het voelt wel wat raar dat ik aan meta informatie moet geven omdat datzelfde meta op iedereen z'n telefoon het adresboek oplepelt.
Ik zie hier wel twee problemen:
1) Ik vertrouw meta voor geen nanometer, dus hoe kan ik ze vertrouwen dat ze dit niet misbruiken?
2) Er zijn nog tientallen andere (niet meta) apps die hetzelfde gedrag hebben, al zouden die allemaal zo'n optie hebben dan is het voor mij niet te doen om die aanvraag overal te doen. Wat mij betreft is het dan ook hoog tijd dat er wetgeving komt dat ze geen informatie mogen verzamelen over andere personen dan degene die op "I accept" heeft gedrukt bij de voorwaarden.
Als jij voor huishoudelijke gegevensverwekingen de AVG van toepassing verklaart dan geld dat ook voor het recht van betrokkene en alle andere randvoorwaarden voor de verwerking?
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/persoonsgegevens-op-internet#wat-is-de-uitzondering-voor-persoonlijk-of-huishoudelijk-gebruik-6433 :
"is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing"
Bij de verwerking van mogelijke slachtoffers worden nogal wat persoonsgegevens verwerkt.
Geen verwerkingsregister en geen FG, daar moet hard handhavend tegen opgetreden worden.
Als jij voor huishoudelijke gegevensverwekingen de AVG van toepassing verklaart dan geld dat ook voor het recht van betrokkene en alle andere randvoorwaarden voor de verwerking?
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/persoonsgegevens-op-internet#wat-is-de-uitzondering-voor-persoonlijk-of-huishoudelijk-gebruik-6433 :
"is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing"
Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.
En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
De vraag is wat dit betekent.
Daarom even overwegingen lezen
(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
Ah. Dus als persoonlijk gebruik. Dat kan ook de buurt app zijn (immers, houdt géén verband met beroeps- of handelsactiviteiten). Dan is AVG niet van toepassing. Maar de dienstverlener (whatsapp en vergelijkbaren), daarvoor geldt weer wel de AVG.
Simpel toch?
of....
Er zijn wel wetten voor. En uitleggen.
Maar voorkomen is beter dan blussen.
c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
De vraag is wat dit betekent.
Daarom even overwegingen lezen
(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
Ah. Dus als persoonlijk gebruik. Dat kan ook de buurt app zijn (immers, houdt géén verband met beroeps- of handelsactiviteiten). Dan is AVG niet van toepassing. Maar de dienstverlener (whatsapp en vergelijkbaren), daarvoor geldt weer wel de AVG.
Simpel toch?
of....
Volgens mij slaat Arnoud de plank mis door Persoonlijk als Individueel te lezen. De AVG is mijns inziens niet standaard van toepassing op de buurt-whatsapp en de familie whats-app. De sleutel = beroeps en handelsactiviteit. Zolang dat niet plaats vindt heb je geen verwerking nodig om de contactgegevens te delen van Miep op de hoek. Vraag ik als particulier om de contactgegevens van een glazenwasser? Dan mag een andere particulier zonder problemen die gegevens delen. Die gegevens staan ongetwijfeld ook op de website van de glazenwasser.
Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.
En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
Omdat er sprake is in de originele vraag over verwerking in groepsverband. Daardoor behoort het niet tot persoonlijk gebruik.
Als je dit zou doen in je eigen chat app naar jezelf dan is er niks in de AVG wat je tegen houdt. Maar moment dat je in groeps verband doet veranderen de toepasselijke regels.
En ja dit kan voor hele bizarre uitzonderingen zorgen of juist problemen veroorzaken
Zijlijntje maar wel leuk en gaat ook over privacy en dataverwerking.
Als je vroeger je Kodak filmrolletje afgedrukt wou hebben, dan kon dat alleen in een ontwikkelcentrale. En dan kon je een paar dagen later de afrukjes in de winkel ophalen. Omdat het meestal om vakantiekiekjes ging, waren er ook mensen met filmrolletjes die iets teveel vakantiepret op dat rolletje hadden gezet. Tot eind jaren 60 werden die mooi niet afgedrukt. Er werd zelfs overwogen om de zedenpolitie in te schakelen. Ik weet dat want mijn moeder had een bijbaantje in zo een centrale. Uiteindelijk werd echter vaak besloten maar te zeggen dat het ontwikkelen van het hele rolletje mislukt was.
In de jaren 70 sloeg dat om. Toen mocht je ineens wel je eigen privacy op een Kodak rolletje zetten. Je kreeg zelfs het gesloten mapje mee in de winkel zonder dat andere klanten mee konden kijken of ze wel goed gelukt waren.
Inmiddels zijn we alweer 30 jaar terug bij af.
Dat is een zonde groter dan de vakantiekiekjeszonde.
De toestellen bevatten persoonsgegevens van collega's in je adresboek en veel van die apps hebben de "gewoonte" om je hele adresboek leeg te lepelen en naar de maker van de app te sturen.
Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Ik heb er uiteraard geen probleem mee dat mijn collega's mijn gegevens hebben, ik heb er wel moeite mee dat mijn gegevens worden verpatst voor een "gratis" dienstje.
Dit vind ik inderdaad een hele terechte vraag. Ook ik geef geen toestemming om mijn gegevens te delen met Meta/Whatsapp maar toch gebeurd dit bij iedereen die mijn gegevens heeft opgenomen in zijn contacten en gebruik maakt van Whatsapp..
Hoe wordt hier juridisch tegenaan gekeken? Uiteindelijk geven de gebruikers van de dienst toestemming om de contacten te delen zonder dat er toestemming is van de eigenaar van deze data.
Deze functie is misschien voor de gebruiker nog okay, als het om een "persoonlijke of huishoudelijke activiteit" gaat. Maar ik zou denken dat die functie voor Meta / Whatsapp niet toegestaan is. Die gooien het vast op gerechtvaardigd belang (art. 6 lid 1 sub f AVG): onze gebruikers moeten elkaar kunnen vinden. Dat kan echter ook prima anders zonder het hele adresboek in "de cloud" te sturen.
Voor zakelijke toestellen ligt het nog weer anders. Dan is de adreslijst waarschijnlijk niet het bezit van de medewerker, maar van het bedrijf. Sowieso valt dan het argument "persoonlijk of huishoudelijke activiteit" weg. Daarom lijkt mij ook dit niet toegestaan onder de AVG. Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
Overigens is er bij mijn werkgever hiervoor een duidelijke policy, die het gebruik van Whatsapp toestaat maar expliciet het uploaden van het adresboek verbiedt.
Exact, dat is het hele probleem, tenzij je een losse zakelijke telefoon hebt en een losse prive telefoon. Grotendeels gebruiken de mensen maar 1 telefoon voor zowel zakelijk en prive, je kan niet per contact aangeven of je deze wel of niet wilt delen. Delen uitzetten heeft meestal tot gevolg dat de app niet of nauwelijks werkt.
Blackberry had destijds nog niet eens zo slecht concept waarbij zakelijk en prive strict gescheiden konden worden op 1 telefoon. Dit is een optie die ik nog steeds mis op de hedendaagse telefoons. Zou graag 2 containers willen, 1 prive en 1 zakelijk die ik ook aan en uit kan zetten en per contrainer kan bepalen welke apps ik gebruik.
GDPR of niet - verboden blijft verboden.
Ik heb daarbij ook de naam van de scheidsrechter die in onze klacht naar de bond vermeld staat. genoemd. Een van de ouders wees mij er op dat volgens de avg niet mocht. Ik twijfel.
Mag dit volgens de AVG?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.