Via onze helpdesk krijgen we vaak de vraag of WhatsApp Business een goede manier is om contact te onderhouden met collega’s en klanten en waar je zoal aan moet denken voordat je een dergelijk communicatiekanaal gaat gebruiken. Hoe kijken wij als Audittrail daar tegenaan?
Om bij het begin te beginnen, organisaties gaan verschillend om met WhatsApp. Dit is namelijk afhankelijk van waar WhatsApp voor wordt gebruikt en of het gaat om een werktelefoon die privé mag worden gebruikt of een werktelefoon die enkel voor zakelijk gebruik is bedoeld. Daarnaast kan WhatsApp zelf worden gebruikt, of kan er een API (communicatiemiddel tussen twee applicaties) tussen WhatsApp en ander software zitten. Over het algemeen raden wij het gebruik van WhatsApp Business af om een aantal redenen. En die redenen hebben alles te maken met de privacy- en informatiebeveiligingsrisico’s die hiermee gepaard gaan. Hieronder sommen we een aantal vragen en risico’s voor je op, waar je over moet nadenken:
Is er een verwerkersovereenkomst?
Bij WhatsApp Business moet je de servicevoorwaarden (voorwaarden voor gegevensverwerking) accepteren. Dit zou je kunnen interpreteren als een soort van verwerkersovereenkomst, maar dan is het er wel eentje waar je geen aanpassingen in kan doen. Je zal dus nog veel voorwaarden moeten accepteren van WhatsApp. Zo behouden ze bijvoorbeeld het recht om de gegevens voor hun eigen doelen te gebruiken en te verkopen. Er blijft daarom een groot privacy risico bestaan.
Hoe zit het met de beveiliging?
Als organisatie mag je in principe WhatsApp ‘inhuren’ als verwerker. Een doel en verwerkingsgrondslag voor het gebruiken van WhatsApp voor je bedrijfsvoering of communicatie kan je waarschijnlijk ook wel formuleren. Maar je moet ook voldoende passende technologische en organisatorische maatregelen kunnen treffen en ervoor kunnen zorgen dat de verwerker de gegevens niet gebruikt voor andere doeleinden. Helaas garandeert WhatsApp deze bovengenoemde zaken nu niet, waar dat normaal in een verwerkersovereenkomst wel gedaan wordt. Omdat je als organisatie wel Verwerkingsverantwoordelijke bent, vormt ook dit een privacy risico.
Waar wordt de data opgeslagen en is dat veilig?
Een andere vraag die je moet stellen is waar je gegevens worden opgeslagen en of je bereid bent om aanvullende maatregelen te nemen als de data buiten de Europese Economische Ruimte (EER) wordt opgeslagen. De Europese Unie heeft op dit moment namelijk geen afspraken over gegevensverwerkingen met bijvoorbeeld de Verenigde Staten. Meta, het moederbedrijf van WhatsApp, stelt in hun servicevoorwaarden dat bij het gebruik van de dienst de organisatie akkoord gaat dat de gegevens die WhatsApp gaat verzamelen, opslaan en gebruiken naar de Verenigde Staten en andere landen wereldwijd gaat “ongeacht in welk land u onze Zakelijke Diensten gebruikt”. Daarnaast moet de organisatie accepteren dat “de wet- en regelgeving en normen in het land waar uw informatie wordt opgeslagen of verwerkt, kunnen verschillen van die in uw eigen land.”
Kan je nog voldoen aan de rechten van betrokkenen?
In de AVG worden een aantal rechten van betrokkenen genoemd, zoals het recht op inzage of het recht op gegevenswissing. Betrokkenen hebben dus het recht een kopie van hun gegevens in te zien. De verwerkingsverantwoordelijke heeft slechts één maand om te reageren op een verzoek om inzage van de persoonsgegevens. Door een gebrek aan centrale controle in WhatsApp, is het moeilijk om de vereiste informatie gemakkelijk te verzamelen. Alle medewerkers kunnen bijvoorbeeld groepsapps aanmaken. Denk bijvoorbeeld aan teamleiders die WhatsApp-groepen aanmaken voor het runnen van hun team. Als privacy officer of security officer is het een grote opgave om al deze groepen te monitoren. Volledige inzage geven is daarom een haast onmogelijke opgave.
Wil je het risico van potentiële datalekken accepteren?
In de praktijk blijkt toch vaak dat er klantgegevens en/of bedrijfsinformatie via WhatsApp wordt verstuurd. Het is voor elk lid van een WhatsApp-groep heel eenvoudig om een bericht door te sturen. Dit kan naar elk nummer in hun lijst met contactpersonen. Dit laat geen gegevens achter in de groep zelf en daarom zorgt WhatsApp ervoor dat je snel de controle over je bedrijfsgegevens verliest. Als het om persoonlijke informatie gaat en die wordt doorgestuurd naar mensen die er niets mee te maken hebben, is er sprake van een datalek. Afhankelijk van de aard van de persoonlijke informatie, kan dit de organisatie in grote problemen brengen.
Toch WhatsApp gebruiken voor bedrijfsvoering?
Ondanks dat we hierboven een aantal risico’s hebben opgesomd, zou je als organisatie kunnen besluiten om toch WhatsApp te gaan gebruiken. Of misschien gebruik je het al en wil of kan je niet meer zonder. In dit geval raden wij aan om in ieder geval rekening te houden met de volgende onderwerpen:
Daarnaast is het aan te raden om de volgende maatregelen te nemen:
Wat moet ik anders? Zijn er alternatieven?
Natuurlijk is WhatsApp niet het enige communicatiekanaal dat beschikbaar is. Er zijn alternatieven die meer rekening houden met privacy. Als laatste is mijn advies om te kijken naar alternatieven die privacy vriendelijker zijn.
Bron: Audittrail, Foto: Audittrail
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.