Het Bureau van de Privacy Commissioner of Canada (OPC) en het Nederlandse College Bescherming Persoonsgegevens (CBP) hebben onderzocht hoe WhatsApp omgaat met de persoonlijke gegevens van zijn gebruikers. Zij concluderen dat WhatsApp de privacy schendt volgens de Canadese en Nederlandse wet.
Belangrijkste bevindingen en resultaten
OPC en CBP onderzochten hoe WhatsApp omgaat met de persoonsgegevens van gebruikers. Het blijkt dat WhatsApp een aantal internationaal aanvaarde privacy-principes schendt, met name als het gaat om behoud, bescherming, en openbaarmaking van persoonsgegevens. Ondanks dat WhatsApp stappen heeft ondernomen om aan de Canadese en Nederlandse privacywetgeving te voldoen, zijn er nog steeds problemen die moeten worden aangepakt.
Geen controle over wat er met je adresboek gebeurt
Zo geef je WhatsApp nu op het moment van installeren toegang tot je adresboek. Alle telefoonnummers worden verzonden naar de WhatsApp-servers, zodat de app andere WhatsAppgebruikers kan herkennen. WhatsApp verwijdert deze nummers echter niet na gebruik, maar behoudt ze in hashvorm. Dit is in strijd met de Canadese en Nederlandse privacywetgeving. Deze stelt namelijk dat dit soort informatie uitsluitend mag worden bewaard zolang dit nodig is voor het uitvoeren van een vooraf bekendgemaakte dienst. Alleen als je een iPhone met iOS6 hebt, kun je handmatig contacten toevoegen, en ben je niet gedwongen tot automatische upload van je complete adresboek.
Eenvoudig te onderscheppen
Verder waren op het moment van het onderzoek, berichten die via WhatsApp werden verzonden niet versleuteld. Hierdoor waren ze makkelijk te onderscheppen door anderen, vooral wanneer ze werden verzonden via onbeveiligde Wi-Fi-netwerken. In september 2012, introduceerde WhatsApp wel versleuteling van berichten, gedeeltelijk in antwoord op het onderzoek, .
Makkelijk te hacken
Als laatste bleek tijdens het onderzoek dat WhatsApp wachtwoorden genereert voor het uitwisselen van berichten. Gebaseerd op eenvoudig te achterhalen informatie van het gebruikte apparaat. Hierdoor is het voor derden relatief eenvoudig om berichten te versturen en ontvangen uit naam van iemand anders. Ofwel, je bent makkelijk te hacken. In de laatste update van de app is er wel verbetering aangebracht in het authenticatie proces. Dit maakt nu gebruik van een veiligere en willekeurig gegenereerde sleutel. Om te kunnen profiteren van deze beveiligingsupgrade moet je echter wel de nieuwste versie van de app downloaden. Of je nu een actieve gebruiker bent of niet.
De volgende stappen
WhatsApp heeft gedurende het onderzoek wel aangegeven mee te willen werken en te willen voldoen aan de verplichtingen. Onder de Canadese PIPEDA, zal de OPC de voortgang van WhatsApp monitoren. In Nederland zal het CBP hetzelfde doen onder de Wet bescherming persoonsgegevens (Wbp) en kijken of er verdere actie ondernomen moet worden. De OPC heeft weliswaar geen dwingende kracht, maar het CPB heeft wel de de mogelijkheid om de Nederlandse privacy wetgeving af te dwingen door het opleggen van sancties.
Mijlpaal in de onderzoekswereld
Het onderzoek is een mijlpaal voor de wereldwijde bescherming van de privacy. Voor het eerst werkten twee nationale autoriteiten voor gegevensbescherming samen in een onderzoek als dit.
“Ons kantoor is erg trots om een belangrijke wereldprimeur te markeren samen met onze Nederlandse collega’s. In het bijzonder in het licht van de huidige, steeds meer online en mobiele wereld zonder grenzen”, zegt Jennifer Stoddart, Privacy Commissioner of Canada. “Ons onderzoek heeft er toe geleid dat WhatsApp wijzigingen zal aanbrengen en zal zorgen voor betere bescherming van persoonlijke gegevens van gebruikers.”
Jacob Kohnstamm, voorzitter van het Nederlandse College Bescherming Persoonsgegevens, voegt toe: “Maar we zijn niet helemaal tevreden. Uit het onderzoek bleek dat de gebruikers van WhatsApp – afgezien van iPhone-gebruikers die iOS 6 software – geen keuze hebben om de app te gebruiken zonder het verlenen van toegang tot hun hele adresboek. Het adresboek bevat telefoonnummers van zowel gebruikers als niet-gebruikers. Dit gebrek aan keuze is in strijd (Nederlandse en Canadese) privacywet. Zowel gebruikers als niet-gebruikers moeten controle over hun persoonlijke gegevens hebben. En de gebruikers moeten vrij kunnen beslissen welke contactgegevens ze willen delen met WhatsApp.”
De volledige (Engelstalige) onderzoeksrapporten zijn te vinden op www.priv.gc.ca en www.dutchdpa.nl.
1 comment
Wat is het probleem dan specifiek? Momenteel is er, zo lijkt het, geen Whatsapp hack voor handen – dus lijkt het me een afgehandelde zaak, toch?
Comments are closed.