De Data Protection Commission (DPC) heeft een boete van 5,5 miljoen euro uitgedeeld aan WhatsApp. De berichtendienst had geen juridische basis om gebruikersgegevens te verwerken, wat een regelrechte overtreding is van de Europese privacywetgeving. Moederbedrijf Meta krijgt zes maanden de tijd om orde op zaken te stellen.
De Ierse toezichthouder kondigt de boete aan via een persverklaring (1).
Voor het begin van deze zaak moeten we terug naar 25 mei 2018. Op deze datum trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Om de nieuwe Europese wet- en regelgeving op het gebied van privacy te omzeilen, veranderde de chatdienst haar gebruiksvoorwaarden. Wie na de ingangsdatum van de AVG gebruik wilde blijven maken van WhatsApp, moest deze nieuwe voorwaarden accepteren. Zo niet, dan zou de dienst ontoegankelijk worden gemaakt.
Een Duitser was hier niet van gecharmeerd en diende een klacht in bij de DPC. In zijn ogen probeerde WhatsApp instemming af te dwingen bij gebruikers, om zo een juridische grondslag te verkrijgen om gebruikersgegevens te mogen verwerken. Daarmee oefende de berichtendienst dwang uit op haar gebruikers, wat in strijd is met de AVG.
WhatsApp zei dat deze data noodzakelijk waren om de dienstverlening en beveiliging van het platform te garanderen. Door in te stemmen met de nieuwe voorwaarden, gingen gebruikers een contract aan met de chatdienst. Om ervoor te zorgen dat het bedrijf haar diensten kon blijven leveren, was het noodzakelijk om gegevens van gebruikers te verzamelen. Volgens artikel 6 lid 1 onder (b) van de AVG had WhatsApp hiermee een rechtmatige grond om gebruikersgegevens te verzamelen en verwerken.
Aanvankelijk weigerde de DPC in te grijpen. Na druk van de European Data Protection Board (EDPB), waarin alle privacywaakhonden van Europa zijn vertegenwoordigd, besloot de Ierse toezichthouder dat de ‘contractuele noodzaak’ onvoldoende was om gebruikersgegevens rechtmatig te verzamelen. De EDPB was van mening dat het voor WhatsApp niet noodzakelijk is om gegevens van gebruikers te verzamelen om de continuïteit en beveiliging van de dienst te verbeteren. Na veel wikken en wegen heeft de Ierse toezichthouder deze conclusie overgenomen.
In het persbericht schrijft de DPC dat WhatsApp de AVG heeft overtreden door niet transparant genoeg te zijn tegenover gebruikers. Zij waren om die reden onvoldoende op de hoogte van welke gegevens de berichtendienst verzamelde, en voor welke doeleinden deze data noodzakelijk waren. Dat is een schending van artikel 12 en artikel 13 lid (c) van de AVG. Daarvoor kreeg WhatsApp in september 2021 al een boete opgelegd van de DPC van 225 miljoen euro.
De toezichthouder was, net als de leden van de EDPB, niet van mening dat WhatsApp ongeoorloofd druk uitoefende op gebruikers om akkoord te gaan met de nieuwe voorwaarden. Al met al vindt de DPC het gerechtvaardigd om een boete van 5,5 miljoen euro op te leggen aan WhatsApp. Meta, het moederbedrijf van WhatsApp, krijgt een half jaar de tijd om de boel op orde te brengen.
Een woordvoerder van WhatsApp laat aan persbureau Reuters weten de boete aan te vechten.
De Oostenrijkse privacystichting Noyb is niet te spreken over het vonnis van de DPC. Volgens voorzitter Max Schrems negeert de Ierse toezichthouder de kern van de zaak, namelijk of de chatapplicatie gebruikersgegevens mag verzamelen en delen met Facebook en Instagram om daar persoonlijke advertenties te tonen.
In tegenstelling tot deze bedrijven schotelt WhatsApp weliswaar geen gerichte advertenties voor aan gebruikers. Het platform levert wel metadata aan Facebook en Instagram aan. Deze metadata geven veel persoonlijke informatie prijs over het communicatiegedrag van gebruikers. Tevens verzamelt WhatsApp zaken als telefoonnummer en bijbehorend Facebook- of Instagram-profiel. Deze informatie gebruikt Meta om gepersonaliseerde advertenties aan te bieden op deze platforms.
“WhatsApp zegt dat het versleuteld is, maar dat geldt alleen voor de inhoud van chats, niet voor de metadata. WhatsApp weet nog steeds met wie je het meest chat en op welk tijdstip. Hierdoor kan Meta heel goed inzicht krijgen in het sociale weefsel om je heen. Meta gebruikt deze informatie om bijvoorbeeld advertenties te targeten waarin vrienden al geïnteresseerd waren. Het lijkt erop dat de DPC nu gewoon weigert om hierover een besluit te nemen, ondanks vier-en-een-half jaar onderzoek”, aldus Schrems.
Het is niet de eerste privacyboete die de DPC dit jaar uitschrijft aan Meta. Vorige week oordeelde de toezichthouder dat Facebook en Instagram niet op de juiste manier om toestemming vroegen om data van gebruikers te mogen verzamelen voor gerichte advertenties. Daarvoor moeten zij een bedrag van respectievelijk 210 miljoen euro en 180 miljoen euro betalen.
Noyb was kritisch over het boetebesluit. Volgens de privacystichting vergat de Ierse toezichthouder om de inkomsten van moederbedrijf Meta behaalde door de AVG te overtreden in overweging te nemen. In de ogen van Noyb deelde de DPC een cadeau ter waarde van 4 miljard euro uit aan Meta.
“We weten allemaal van de enorme inkomsten van Meta. Het is verbazingwekkend dat de DPC daar geen rekening mee heeft gehouden. De DPC maakte niet eens gebruik van haar wettelijke bevoegdheden om Meta om de informatie te vragen. Wij onderzochten daarom openbaar beschikbare informatie en ontdekten dat alleen al deze factor de boete met 3,97 miljard euro had moeten verhogen”, zei Schrems over de kwestie.
https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-inquiry-whatsapp
