Privacy Alerts #17: WhatsApp tweemaal beboet

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
PW17

Grote techbedrijven zoals Google en Facebook worden steeds vaker beschuldigd van privacyschendingen. Afgelopen week was het de berichtendienst WhatsApp die tweemaal een boete had ontvangen voor het schenden van privacyregels. Verder in Privacy Alerts #17: Apple vertraagt plan voor scan op kindermisbruik na ophef over privacy en bedrijven moeten vaccinatiebewijs kunnen checken, stellen werkgevers.

WhatsApp (tweemaal) beboet voor inbreuk op privacyregels

Afgelopen vrijdag heeft Turkije de berichtendienst WhatsApp een boete opgelegd voor het schenden van de privacy van haar gebruikers. WhatsApp heeft volgens Turkije ‘niet voldoende maatregelen genomen om onrechtmatige verwerking van persoonlijke gegevens te vermijden’. Eerder die week had ook de Ierse gegevensbeschermingsautoriteit WhatsApp een boete van €225 miljoen opgelegd wegens inbreuk op Europese privacyregels. Dit is de hoogste boete die de Ierse toezichthouder ooit heeft opgelegd.

WhatsApp kwam al eerder dit jaar (in januari) onder vuur te liggen nadat het aan gebruikers had gevraagd om nieuwe gebruiksvoorwaarden goed te keuren, waardoor WhatsApp meer gegevens kon delen met het moederbedrijf Facebook. Het ging daarbij om gegevens zoals telefoonnummers en locatiegegevens.

In juli deed de Ierse privacywaakhond op verzoek van de EDPB onderzoek naar de verwerkingsactiviteiten van Facebook en WhatsApp. Aangezien Facebook zijn Europese hoofdvestiging in Ierland heeft, is de Ierse toezichthouder hierin de leidende autoriteit.

Nu blijkt dat WhatsApp volgens de Ierse toezichthouder haar gebruikers onder andere onvoldoende informeert over wat er met hun gegevens wordt gedaan, bijvoorbeeld binnen andere onderdelen van het moederbedrijf Facebook. Daarmee voldoet WhatsApp niet aan de Europese transparantieverplichtingen.

De Ierse autoriteit stelt vast dat er in totaal vier wetsartikelen zijn overtreden. Het gaat daarbij om artikel 5.1 (a), 12, 13 en 14 van de Algemene Verordening Gegevensbescherming (AVG).

WhatsApp is echter van mening dat zij al sinds 2018 transparant is over wat er gebeurt met gegevens van gebruikers. Het bedrijf noemt de hoogte van de boete tevens ‘’disproportioneel’’ en stelt bezwaar te zullen maken.

Apple vertraagt ‘kindermisbruikscan’ na ophef over privacy

Apple krijgt het de laatste tijd te verduren. Er is onder andere gedoe over de betaalsystemen in de App Store en ook is er kritiek op de ‘kinderpornoscan’ die Apple wilt doorvoeren op iPhones. Onlangs schreven wij een blog over de nieuwe software van Apple die bedoeld is om beelden met kinderporno te detecteren.

Het bedrijf zei een maand geleden dat het foto’s en video’s van gebruikers die zijn opgeslagen wilt scannen op afbeeldingen van mogelijk kindermisbruik. Apple wil de ‘scan’ toevoegen in de nieuwe iOS 15. De kinderpornoscan-functie zal voorlopig alleen in de Verenigde Staten aan iOS-apparaten worden toegevoegd.

Het automatisch scannen van beelden op de aanwezigheid van kindermisbruik is niet nieuw. Bedrijven als Amazon en Facebook scannen al langer beelden van gebruikers. De methode van Apple is wel nieuw, omdat de controle deels plaatsvindt op het apparaat van de gebruiker zelf in plaats van in de cloud.

De foto’s en video’s van gebruikers zullen worden vergeleken met een database van bekende beelden van kindermisbruik. Als het systeem bekende misbruikbeelden detecteert, wordt Apple ingeschakeld. De beelden worden vervolgens in lage resolutie getoond aan controleurs van het bedrijf. De medewerkers van Apple zullen alleen toegang hebben tot de gedetecteerde beelden, niet tot de gehele fotobibliotheek van de gebruiker. Als blijkt dat er sprake is van kinderporno, schakelt Apple de bevoegde autoriteiten in.

Privacygroepen zijn bezorgd dat Apple gedwongen kan worden om de functie uit te breiden voor breder gebruik door overheidsinstanties. De kritiek luidt dat de software kan worden gebruikt om de vrijheid van meningsuiting te beperken (censuur). Ook kan de privacy en veiligheid van Apple-gebruikers daardoor gevaar lopen.

Het bedrijf zegt zelf dat het rekening houdt met de privacy van haar gebruikers. Er zou een drempel worden ingesteld om een extreem hoog niveau van nauwkeurigheid te waarborgen. Ook heeft Apple meermaals gezegd dat de functie alleen is bedoeld voor het detecteren van kindermisbruikbeelden en dat het andere verzoeken (van overheidsinstanties) zal afwijzen. Toch besluit het bedrijf nu om de plannen uit te stellen en de komende maanden extra tijd te nemen om input te verzamelen en verbeteringen aan te brengen voordat de dienst wordt vrijgegeven.

Dat Apple maatregelen wil nemen tegen de verspreiding van pornografisch materiaal met minderjarigen is een goed streven. Hoe dit in de praktijk zal uitpakken en welke gevolgen dit heeft voor de privacy van VS-gebruikers, zal nog moeten blijken. In Europa lijkt het invoeren van de automatische scan op kinderporno echter niet mogelijk vanwege de AVG.

Werkgevers moeten vaccinatiebewijs van werknemers kunnen controleren

De discussie over vaccineren op de werkvloer laaide nog niet zo lang geleden op nadat bekend werd dat Leaseplan als eerste Nederlandse bedrijf van zijn personeel verlangt dat zij gevaccineerd zijn.

Vakbond FNV krijgt steeds vaker bezorgde mails en telefoontjes van leden binnen. ‘’Mag mijn werkgever vragen om een vaccinatiebewijs of testbewijs als ik op kantoor ga werken?’’, bijvoorbeeld. De laatste weken kreeg de FNV al tachtig van zulke meldingen binnen, zegt vicevoorzitter Kitty Jong.

Als het aan werkgevers ligt, wordt het binnenkort mogelijk om bij personeel na te gaan of zij gevaccineerd zijn, getest of recent hersteld van een corona-infectie. Iets wat nu (nog) niet zomaar mag omdat het een schending van de privacy kan opleveren. De huidige wetgeving biedt immers geen specifieke basis voor werkgevers om medische informatie van werknemers te mogen registreren – ook niet hun vaccinatiestatus, zo stelt de Autoriteit Persoonsgegevens. Dat is voorbehouden aan arbodiensten en bedrijfsartsen.

Daarnaast worden gegevens over de gezondheid van een persoon beschouwd als bijzondere persoonsgegevens. Organisaties mogen deze gegevens op grond van de AVG alleen verwerken als dat gebeurt voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.

Bij het registreren van coronavaccinaties staat echter niet vast of werkgevers aan deze eis kunnen voldoen. Volgens het RIVM is het namelijk nog onzeker of gevaccineerde personen besmettelijk zijn. Als het qua risico of inzetbaarheid geen wezenlijk verschil maakt of een werknemer wel of niet gevaccineerd is, heeft een werkgever geen goede reden om dit te registreren. Werkgevers die toch willen registreren of hun personeel gevaccineerd is, moeten hiervan de noodzaak kunnen bewijzen. Anders overtreden ze de AVG.

Werkgevers zijn van mening dat de strenge privacyregels beginnen te knellen. Zij zien een tegenstelling tussen de privacywet en de plicht om werknemers een veilige werkomgeving te bieden.

Deze botsende belangen tussen werkgevers en werknemers zullen niet alleen worden uitgevochten in de politiek, maar ook in de rechtszaal, zegt arbeidsrechtadvocaat Pascal Besselink van juridisch dienstverlener DAS. De rechter zal daarbij moeten afwegen of de grondrechten en privacy van de werknemer zwaarder wegen dan de zorgplicht van de werkgever.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.