GDPR: Je hebt er ongetwijfeld al veel over gehoord. Maar ben je er al van op de hoogte dat de nieuwe wetgeving betekent dat het gebruik van WhatsApp als intern communicatiemiddel voor bedrijven praktisch gezien wordt uitgesloten? Zo niet, lees dan even verder!

WhatsApp, een enorm leuke manier om te chatten met vrienden en familie, ideaal voor privégebruik. Daarnaast wordt het platform ook vaak door bedrijven gebruikt als primair intern communicatiemiddel. Naast dat WhatsApp überhaupt niet geschikt is als intern communicatiemiddel, maakt de nieuwe GDPR wetgeving WhatsApp nog minder bruikbaar voor bedrijven.

Hoewel WhatsApp GDPR ready is voor particuliere gebruikers, is het platform vanaf 25 mei niet meer geschikt als intern communicatiemiddel voor bedrijven. Volgens de nieuwe GDPR wetgeving, zijn bedrijven aansprakelijk voor het beschermen van zowel klant- als personeelsgegevens. Hierdoor wordt het gebruik van WhatsApp als intern communicatiemiddel voor bedrijven uitgesloten, om onder andere de volgende redenen:

1. De nieuwe GDPR regels verplichten bedrijven om te controleren wie toegang heeft tot welke data.

Whatsapp biedt gebruikers de mogelijkheid om gegevens, berichten en bestanden onbeperkt te delen zonder dat er een spoor achterblijft dat duidelijk laat zien wie je bestanden kan zien. Wanneer je WhatsApp gebruikt om (gevoelige) informatie naar je medewerkers te versturen, is het vervolgens lastig om precies te traceren wie allemaal toegang heeft tot deze data.

Ondanks dat in de privacyverklaring van WhatsApp wordt uitgelegd dat berichten gelijk verwijderd worden van de servers van WhatsApp, registreert en archiveert WhatsApp wel

bepaalde gegevens (o.a. populaire foto's en video’s) langer op hun eigen servers, naar eigen zeggen om hun service te verbeteren. Hierdoor is het als bedrijf onmogelijk om te controleren wie toegang heeft tot bepaalde gegevens en wat ermee gebeurt. Door WhatsApp te gebruiken als intern communicatiemiddel maak je het voor je bedrijf enorm lastig om de nieuwe GDPR wetgeving na te komen.

2. Bedrijven moeten door de nieuwe GDPR wetgeving bijhouden van wie ze gegevens opslaan en daarvoor officieel toestemming vragen.

In de privacyverklaring van WhatsApp wordt uitgelegd dat WhatsApp automatisch gebruik maakt van de contactenlijst in je telefoon en daardoor ook de contacten die je medewerkers in hun telefoon hebben staan. Hierdoor worden er gegevens (de contacten in iemands telefoon) opgeslagen zonder dat je daar als bedrijf officieel toestemming voor hebt gegeven. Wanneer je als bedrijf WhatsApp gebruikt als intern communicatiemiddel is dit in strijd met het ‘officieel toestemming hebben’ in de GDPR wetgeving.

3. De GDPR betekent ook dat gegevens correct en veilig moet worden verwijderd mocht een medewerker dat willen.

WhatsApp legt in de privacyverklaring uit dat WhatsApp gegevens kan bewaren of delen met Facebook company products (o.a. Facebook, Messenger & Instagram) om hun services te verbeteren wat als resultaat heeft dat je geen controle meer over hebt over alle data als bedrijf. Hierdoor verlies je de autoriteit om de gegevens van je medewerkers te beschermen en te verwijderen mochten zij hun ‘right to be forgotten’ willen uitoefenen. De berichten van een medewerker die wil worden vergeten blijven immers wel bestaan bij de personen naar wie ze dit gestuurd hebben wanneer ze hun WhatsApp account behouden voor privégebruik. Wanneer een medewerker verwijderd wil worden uit het systeem van je bedrijf, is dit erg lastig als zij WhatsApp privé blijven gebruiken. In de privacyverklaring blijkt dat zelfs wanneer een medewerker zijn complete account heeft verwijderd, de informatie die anderen over ze hebben, zoals bijvoorbeeld een kopie van de berichten die ze ontvangen hebben van de medewerker, kan blijven bestaan.

4. WhatsApp heeft net als moederbedrijf Facebook de autoriteit om gegevens wereldwijd te delen zowel intern als extern.

WhatsApp zegt ook in de privacyverklaring dat ze informatie (o.a. accountinformatie en contactenlijst) wereldwijd mogen delen, zowel intern met Facebook company products als extern aan bedrijven, serviceproviders en partners. Daarnaast mag bijvoorbeeld ook data worden overgedragen, opgeslagen en verwerkt in andere landen waaronder de Verenigde Staten, waar andere, mildere privacy regels gelden. Hierdoor riskeer je als Europees bedrijf dat er dingen gebeuren met de gegevens die niet binnen de GDPR regels vallen, en kun je niet meer controleren wie toegang heeft tot je data (zie punt 1).

5. WhatsApp is alleen toegankelijk vanaf 16 jaar

Bestaat je bedrijf onder andere uit werknemers die jonger dan 16 zijn, (vakkenvullers, afwassers etc.) dan is het gebruik van WhatsApp überhaupt niet toegestaan. Het gebruik van WhatsApp als intern communicatiemiddel is dan zeker uitgesloten.

Vanaf 25 mei 2018 zorgt het gebruik van WhatsApp als intern communicatiemiddel ervoor dat je bedrijf niet voldoet aan de GDPR wetgeving wat kan resulteren in boetes die kunnen oplopen tot 20 miljoen euro.

(Bronnen:)
https://www.rijksoverheid.nl/documenten/rapporten/2016/01/07/tk-bijlage-1-council-of-the-european-union
https://www.whatsapp.com/legal/?eea=1#key-updates