AVG: mag je nog e-mail en whatsapp gebruiken?

Dat Whatsapp aangeeft data te zullen delen met Facebook, mag geen nieuws zijn. Echter, het wordt ook gedeeld met derde partijen, bovendien is in de versleuteling van e-mail een lek ontdekt. Hoe moet je nog communiceren binnen de AVG?

Even de patiëngegevens per whatsapp versturen, was (hopen wij) voor menig organisatie al griijs gebied. Ook het openbaar bespreken van patiënten, inclusief eventuele aandoeningen, zou als organisatorische maatregel al tot de verleden tijd moeten behoren, niet alleen wanneer het bijzondere of gevoelige gegevens betreft.

Whatsapp voor communicatie binnen de AVG

Recent zal iedere Whatsapp gebruiker de nieuwe algemene voorwaarden van Whatsapp voorgeschoteld hebben gekregen. Het volgende viel te lezen:

In all cases, the information is shared securely and is not shared outside the Facebook Companies.

Alhoewel Whatsapp niet de langste algemene voorwaarden lijkt te hebben onder de social media platformen, zijn er naast deze noemer, andere kleine letters te vinden. Oftewel, ze behouden het recht om data door te spelen naar Facebook. Maar conversaties zijn echter versleuteld, wat valt er dan nog door te spelen?

Whatsapp conversaties zijn versleuteld

Alhoewel conversaties op zichzelf versleuteld blijven, is natuurlijk de vraag in hoeverre ze dit dusdanig opheffen dat ze communicaties wèl kunnen onderscheppen, bijvoorbeeld om op basis van gebruikte woorden, gerichte advertenties er tussen te gooien wanneer je  per Wharsapp over die paar schoenen van Nike hebt gesproken.

Aanvullend is er buiten hetgeen dat je typt, sprake van zogenaamde meta-data: denk aan de plek waar je je op moment van gebruik van Whatsapp, bevindt, hoe vaak en met wie je appt.

Delen met derden

Wanneer je voor het laatst online was, of welk telefoonnummer je gebruikt, wordt nu al doorgegeven aan Facebook. Alhoewel geclaimed wordt dat er nu geen accountinformatie gedeeld wordt, kan ook hiervoor gelden dat dit op termijn kan wijzigen. 

En reeds in de recente algemene voorwaarden, was het volgende terug te vinden:

We share information with the Facebook Companies (and trusted third parties)

WhatsApp maakt alvast de weg vrij om zich het recht voor te behouden met wie data gedeeld mag worden. Het wrange is natuurlijk, dat WhatsApp op elk moment kan bepalen wie de vertrouwde derde partij betreft. Hiervoor zal geen nieuwe algemene voorwaarden worden voorgeschoteld aan WhatsApp gebruikers en zal dus stilzwijgend kunnen plaats vinden. De reden dat WhatsApp deze algemene voorwaarden nog voor de AVG deadline van 25 mei heeft voorgeschoteld aan zijn gebruikers?

WhatsApp in Duitsland

De Duitse privacy toezichthouder heeft Facebook opgedragen afstand te doen van bovenstaande praktijken; gegevens van WhatsApp gebruikers moeten door Facebook verwijderd worden en gegevens mogen niet meer door Facebook verzameld worden.

Wist je dat:
Het hebben van een website, binnen de AVG wet redenen kan hebben om aan de documentatieplicht te moeten voldoen?

Kortom, een goed advies in deze kwestie om als bijvoorbeeld zorgpraktijk in het kader van de AVG geen gebruik te maken van WhatsApp. Kies voor (al dan niet betaalde) alternatieven, waarmee bescherming van persoonsgegevens gewaardborgd is. Een veel genoemd oplossing voor iOs en Android smartphones is de app Signal.

Lek in versleuteling van e-mailberichten

Pretty Good Privacy (PGP), in 1991 bedacht, is een methode om tekst en bestanden te beveiligen. In 2014 berichtte nu.nl dat PGP daar de beste methode voor was, maar daar lijkt recent een eind aan te zijn gekomen. In de PGP versleuteling is een lek ontdekt, waardoor bijvoorbeeld gevoelige mails gewoon te lezen zijn. Dit treft ook eerder ontvangen met PGP versleutelde mailberichten, die met deze lek voor vreemde ogen toegankelijk worden.

Criteria voor blootstelling van informatie

Volkskrant weet enkele criteria op te sommen, waarbij PGP geen risico vormt. Deze zijn als volgt:

  • gmail wordt door afzender en ontvanger gebruikt;
  • afzender of ontvanger heeft html ondersteuning uit staan;

Hierbij zijn kanttekeningen direct op zijn plaats. Weinig personen die mail versturen, heeft HTML uit staan. Immers, middels HTML kan een mail bericht verrijkt worden met een zogenaamde mail-handtekening, of bijvoorbeeld verwijzingen naar de website of social media kanalen van een bedrijf.

Bovendien is de kans klein te noemen dat zowel ontvanger als afzender gmail gebruiken. En alhoewel het risico met name zit in het lezen ofwel openen van versleutelde mailberichten, vindt de EFF het onverstandig om PGP versleuteling momenteel nog te gebruiken voor het verzenden van mailberichten (zolang er nog geen oplossing is).

PGP niet standaard bij mail communicatie

Let wel: PGP is zeker niet standaard, normaliter worden mailberichten onversleuteld verstuurd en is verstuurde data, eenmaal onderschept, direct te lezen. Reden genoeg om in e-mail berichten zonder PGP versleuteling geen persoonsgegevens te versturen. Ook eventuele bijlages zullen direct bloot liggen bij onderschepping, tenzij de bijlages zelf versleuteld zijn.

Alternatief op PGP mail communicatie

Is er binnen een organisatie wel sprake van PGP en komt communicatie door de ontdekte lek in het geding? Neem dan de nodige organisatorische maatregelen, stel een tijdelijke communicatie-stop per mail in zolang het lek niet gedicht wordt of ga alvast op zoek naar alternatieve communicatie kanalen.

Wordt er stelselmatig (bijzondere of gevoelige) persoonsgegevens verwerkt, bijvoorbeeld verstuurd naar dezelfde ontvanger? Ga dan na of er technische maatregelen te treffen zijn. Denk bijvoorbeeld aan SOAP/API oplossingen, waarbij data geautomatiseerd 'onder water' wordt verstuurd.

Organisatorische maatregelen Technische maatregelen