De Data Protection Commission (DPC) heeft een recordboete opgelegd aan WhatsApp. De chatdienst moet een bedrag van 225 miljoen euro betalen wegens het overtreden van de Europese privacywet- en regelgeving. Ze is namelijk niet transparant genoeg geweest naar gebruikers toe over welke gegevens het bedrijf verzamelt en deelt met andere bedrijven, waaronder moederbedrijf Facebook. Dat schrijft de Ierse privacywaakhond in een persverklaring.
Het onderzoek naar WhatsApp begon in december 2018. De Ierse toezichthouder kreeg de opdracht om te onderzoeken of de chatdienst zich hield aan de transparantieverplichtingen die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). De Europese privacywet verplicht bedrijven die persoonsgegevens verzamelen en verwerken dat gebruikers weten om welke data het gaat, voor welke doeleinden deze gegevens worden verzameld en met welke bedrijven deze informatie wordt gedeeld.
Vanaf dag één voerde de DPC het onderzoek op eigen kracht uit. Dat komt Europa met een one-stop shop mechanisme of éénloketsysteem werkt: de toezichthouder van het land waar het hoofdkantoor van het bedrijf in kwestie is gevestigd, moet de zaak onderzoeken. Omdat het hoofdkantoor van WhatsApp in Dublin staat, belandde de zaak op het bord van de DPC. De Ierse privacywaakhond trad daarbij op namens andere Europese toezichthouders, waaronder de Autoriteit Persoonsgegevens.
In december 2020, twee jaar nadat het onderzoek van start was gegaan, stuurde de DPC een conceptrapport naar alle betrokken toezichthouders. Acht Europese toezichthouders maakten bezwaar: ze vonden het onderzoek te beperkt, omdat de Ierse onderzoekers naar slechts een klein aantal onderdelen van de dataverzamelingspraktijken van de chatdienst had gekeken.
Om de knoop door te hakken, nam de European Data Protection Board (EDPB) eind juli een bindend besluit. Daarin gaf de Europese belangenorganisatie de opdracht aan de DPC om het boetebesluit opnieuw te beoordelen en eventueel te verhogen op basis van een aantal factoren die in het besluit van de EDPB waren opgenomen. Nadat de Ierse toezichthouder opnieuw naar het boetebesluit had gekeken, besloot ze om de boete vast te stellen op 225 miljoen euro.
In het boetebesluit (PDF), dat 266 pagina’s telt, staat dat WhatsApp op verschillende manieren de AVG overtrad. Zo verwerkt de chatdienst alle telefoonnummers uit de contactlijst van de gebruiker, ook als daar personen tussen zitten die geen WhatsApp op hun smartphone hebben staan. De telefoonnummers van niet-gebruikers worden door een hashingalgoritme gehaald, maar voordat dat gebeurt zijn deze gegevens terug te herleiden naar individuele personen. Wanneer WhatsApp gegevens verwerkt van niet-gebruikers, fungeert het als verwerkingsverantwoordelijke in plaats van gegevensverwerker, zo zegt de toezichthouder.
Verder constateert de DPC dat WhatsApp op meerdere vlakken niet transparant genoeg is naar gebruikers toe over de data die ze verzamelt en voor welke doeleinden. Zo zegt de chatdienst dat ze gegevens mag delen met andere bedrijven van moederbedrijf Facebook, waaronder Instagram. Het blijft echter onduidelijk of gebruikers verplicht zijn om het delen van hun gegevens te accepteren om van de chatdienst gebruik te mogen maken. Daarmee overtreedt WhatsApp artikel 13 van de AVG.
Tot slot zegt de Ierse toezichthouder dat WhatsApp niet ‘eerlijk en transparant’ is over het verzamelen van data, wat een overtreding is van artikel 5 van de AVG. Daarin staat onder meer dat persoonsgegevens moeten worden verwerkt op een wijze die ‘rechtmatig, behoorlijk en transparant’ is tegenover de betrokkene. Het artikel legt tevens de basis voor minimale gegevensverwerking, wat ook wel dataminimalisatie wordt genoemd. Tevens zegt het artikel dat de verwerkingsverantwoordelijke ‘passende technische of organisatorische maatregelen’ moet nemen zodat de informatiebeveiliging op orde is.
Een woordvoerder van WhatsApp vertelt tegenover persbureau Reuters dat hij de boete van 225 miljoen euro ‘volstrekt disproportioneel’ vindt. “WhatsApp zet zich in om een veilige en private dienst te leveren. We hebben eraan gewerkt om ervoor te zorgen dat de informatie die we verstrekken transparant en volledig is en zullen dat blijven doen. We zijn het niet eens met het besluit van vandaag over de transparantie die we in 2018 aan mensen hebben verstrekt. En de straffen zijn volstrekt disproportioneel”, aldus de woordvoerder.
Hij bevestigt dat WhatsApp in beroep gaat tegen de boete. Het boetebedrag van 225 miljoen euro is de hoogste boete die de DPC tot nu toe heeft opgelegd. Het is niet de hoogste AVG-boete die ooit is uitgedeeld. Afgelopen maand kreeg Amazon nog een boete van 746 miljoen euro van de Luxemburgse privacywaakhond CNPD aan zijn broek.