WhatsApp verzamelt alle contactgegevens uit de telefoon, behalve bij de app onder iOS 6. Het College Bescherming Persoonsgegevens (CBP) vindt het verwerken van het hele elektronische adresboek een brug te ver en in strijd met de privacywetten. “Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren", schrijft de privacywaakhond.

Hoorzitting volgt

“Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig", aldus het CBP.

Woordvoerder Lysette Rutgers van het CBP laat weten dat het vervolg van deze procedure een hoorzitting is waarbij WhatsApp wordt gehoord over de bevindingen van de privacywaakhond. Dan wordt bekeken of het nodig is om een sanctie op te leggen zoals een dwangsom.

WhatsApp verwerkt gegevens

Volgens het CBP werpt WhatsApp zich op als gegevensverwerker en moet het bedrijf daarom voldoen aan de bepalingen van de Wet Bescherming Persoonsgegevens (Wbp). Zo moeten gebruikers ervan op de hoogte worden gesteld dat hun gegevens worden geregistreerd en moet daar ondubbelzinnige toestemming voor worden verleend. Dat gebeurt momenteel niet.

Ook bewaart WhatsApp de gegevens van inactieve gebruikers nog een jaar. Onder de Wbp moet de chatdienstverlener daarom aantonen dat dit noodzakelijk is en daaraan heeft WhatsApp niet voldaan. Het CBP deed samen met de Canadese privacywaakhond Office of the Privacy Commissioner (OPC) onderzoek naar de vermeende privacyschending van het Amerikaanse WhatsApp.

IMEI's en MAC-adressen

WhatsApp verzamelde tot december gegevens over het toestel en netwerk, zoals het IMEI-nummer van de smartphone en het MAC-adres van het WiFi-netwerk (PDF van het CBP-rapport). Naar aanleiding van het Canadees-Nederlandse onderzoek heeft WhatsApp zijn werkwijze aangepast, zodat deze gegevens niet meer worden bijgehouden. Het CBP constateert dat WhatsApp dit met een update in december heeft geregeld en gebruikers dwingt hun app te updaten.

Ook het onversleuteld versturen van berichten was de beide privacywaakhonden een doorn in het oog en ook dit zou inmiddels zijn aangepast door de berichtendienst. Samen met het gehasht versturen van onder meer het IMEI-nummer konden hackers de chats van WhatsApp-gebruikers relatief eenvoudig kapen.

Ook al zijn er een aantal wijzigingen doorgevoerd, de chatdienst voldoet niet aan de Nederlandse privacywet. In de hoorzitting moet blijken of en zo ja hoe WhatsApp voldoet aan de eisen van de Wbp. Het CBP kan het Amerikaanse bedrijf bijvoorbeeld een dwangsom opleggen.