Mag je je adresboeken openstellen voor diensten als Meta of WhatsApp?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Vorige week werd in mijn column voor Security.nl een terechte vraag opgeworpen: “Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen? De toestellen bevatten persoonsgegevens van collega’s in je adresboek en veel van die apps hebben de “gewoonte” om je hele adresboek leeg te lepelen en naar de maker van de app te sturen. Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?”

Antwoord: Dit is natuurlijk waar, en niet alleen voor zakelijke toestellen maar ook bij privégebruik van de dienst WhatsApp. En de feature “upload je adresboek en ontdek wie van je contacten ook bij ons zit” is natuurlijk bij vele sociale netwerken bekend, het is een handige en snelle manier om mensen te leren kennen – en om je potentiële klantenbestand te verruimen.

Het is natuurlijk ook problematisch onder de AVG, maar ook onder de oude Wbp overigens. De kern is dat jij geen toestemming kunt geven voor de verstrekking van die gegevens, alle mooie woorden in de terms of service ten spijt. Een dienstverlener mag er dus ook niet vanuit gaan dat jij toestemming hebt gehaald bij alle mensen in je adresboek. Dat is dus een probleem.

Er is ook geen echte noodzaak om die gegevens te verstrekken voor het gebruik van die dienst. Je kunt zelf prima mensen toevoegen of buiten het systeem om ze benaderen en hun contactgegevens bij de dienst verkrijgen (of de jouwe geven). Dan is er voor juristen nog één optie, en dat is het legitiem belang: het is op zich handig om in een keer al je vrienden (contacten) gevonden te hebben. Dat biedt de basis voor een beroep op het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG), maar je moet dan vervolgens een privacy-afweging maken: hoe erg is het voor die mensen om zo in het systeem te komen, en wat kan ik doen om dat nadeel te verminderen tot vrij dicht bij nul?

Voor mensen die ook de dienst gebruiken is dat vrij makkelijk, zij zitten er al en willen dus kennelijk benaderd worden. Maar de mensen die niet op (in dit geval) WhatsApp willen, die willen waarschijnlijk ook niet bij WhatsApp bekend staan als een mogelijk contact. (Ik herinner me menig dienst die je dan ging mailen “Je vrienden missen je op XYZ.example, word je ook lid”, nee dacht het niet.) Alleen weet jij op voorhand niet welke mensen er al op die dienst zitten, dat is immers het hele punt van je adresboek delen.

Gelukkig is er een oplossing, en nog goedgekeurd door onze eigen Autoriteit Persoonsgegevens ook. De app leest je adresboek uit en stuurt een hash van alle contactgegevens naar de dienst. Die kan dat vergelijken met het gebruikersbestand. Wie gebruiker is, geeft een match op de hash. En wie geen gebruiker is, blijft zo anoniem want de hash is dan niet te herleiden tot zijn telefoonnummer (of mailadres, bij andere diensten). Met die constructie is het dus legaal om je adresboek te uploaden. Het enige is: je moet wel vooraf weten dat dit zo werkt, en daar zijn de meeste diensten nogal kortaf over.

In theorie kun je, zeker bij telefoonnummers, een set rainbow tables uitrekenen waarmee de hashes terug te herleiden zijn. Er zijn in Nederland bijvoorbeeld maar zestig miljoen 06-nummers* en dat is een triviale set om alle hashes van uit te rekenen. Maar een bedrijf dat zegt “bij ons kun je veilig je adresboek uploaden want wij matchen alleen gehashed” en dat vervolgens toch de nummers gaat gebruiken, is natuurlijk keihard in overtreding.

Arnoud: * Ik weet dat er acht cijfers na 06 komen, dus in theorie 100 miljoen nummers, maar diverse ranges zoals 06-0 en 06-9 en ik meen ook de range 06-11 worden niet uitgegeven. Zie deze bron voor alle beschikbare nummers.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl