Afgelopen 30 augustus kopte NU.nl met de volgende tekst: “Toezichthouders bestuderen data-uitwisseling WhatsApp en Facebook”[1]. WhatsApp heeft namelijk in de vernieuwde voorwaarden opgenomen dat persoonsgegevens van de gebruiker mogen worden gedeeld met Facebook: er was een vinkje standaard aangezet. De gebruiker moet een actieve handeling verrichten om deze gegevensdeling te weigeren.

De Artikel 29-werkgroep, die de privacytoezichthouders van alle 28 EU-lidstaten vertegenwoordigt, zegt de veranderingen “met extreme waakzaamheid” te volgen. Volgens hen is het essentieel dat de gebruiker controle houdt over zijn eigen gegevens. Had Whatsapp het niet beter om kunnen draaien en gebruikers actief moeten laten kiezen om hun data te delen?

Het lijkt in strijd te zijn met een belangrijke pijler van de Wet bescherming persoonsgegevens (Wbp), namelijk die van ondubbelzinnige toestemming. Hiermee wordt bedoeld dat voor de verwerking van persoonsgegevens, de betrokkene zijn ondubbelzinnige toestemming moet hebben gegeven. De betrokkene moet weten welke gegevens verwerkt worden en hoe die verwerking plaatsvindt om vervolgens actief toestemming te geven.

In het Trends in Veiligheid rapport beschreven wij in het artikel ‘Privacy als ruilmiddel: onvermijdelijk maar ook onacceptabel?’ dat de door de Wbp vereiste vrije en geïnformeerde toestemming onder druk staat. Privacy als ruilmiddel – gebruikers betalen met persoonsgegevens voor toegang tot apps – is hoogstwaarschijnlijk onvermijdelijk, maar er moet wel een acceptabele balans worden gevonden tussen privacy en commerciële doeleinden. Wij concludeerden dat de principes van risicomanagement helpen om te begrijpen dat hier een gezamenlijke verantwoordelijkheid ligt voor overheid, applicatie ontwikkelaars en gebruikers op de volgende elementen:

  1. Identificeren van risico’s door creëren van bewustzijn
  2. Beoordelen van de risico’s
  3. Beheersen en monitoring: één meldpunt voor misbruik

De voornaamste kennisdeling over de gewijzigde voorwaarden komt voort uit informatie-uitwisseling tussen de gebruikers. Gebruikers hebben elkaar ook geholpen met het beoordelen van de risico’s: online is op meerdere fora te vinden wat dit vinkje betekent en hoe het uitgezet kan worden. Op de website van de Autoriteit Persoonsgegevens (of andere overheidsinstantie) is niets te vinden over de gewijzigde voorwaarden. Hiermee bleef het beoordelen van het risico van de gewijzigde voorwaarden primair bij de gebruiker liggen. Wat ons betreft passend dat het beoordelen van de risico’s bij de gebruiker ligt, maar de overheid zou hierin kunnen ondersteunen. Uit het TNS NIPO onderzoek, uitgevoerd voor het trendrapport van Cagemini, blijkt namelijk dat 58 procent van de ondervraagden behoefte heeft aan een ‘veilige app keurmerk’. Met een dergelijk door de overheid gefaciliteerd keurmerk, kan informatie en beoordeling van de risico’s snel en breed gedeeld worden. De casus van Whatsapp geeft de overheid een ideaal momentum om zo’n keurmerk te introduceren. Gekoppeld aan een meldpunt, kan door collectieve inspanningen een acceptabele grens worden gevonden in het ruilen van privacy voor toegang tot apps.

Lees het gehele artikel ‘Privacy als ruilmiddel: onvermijdelijk maar ook onacceptabel?’ op Trends in Veiligheid.