Deze angst voor schadeclaims komt uit de hoek van de gegevensbescherming en de jurisprudentie van de Duitse rechtbanken omtrent deze kwestie.
AVG
Bijna ieder bedrijf heeft wel te maken met de verwerking van persoonsgegevens, omdat er veelal BSN-nummers, nationaliteit, bankrekeningnummers, salarisgegevens etc. verwerkt worden. De Algemene Verordening Gegevensbescherming (AVG) is een Europese wetgeving die ziet op het rechtmatig omgaan met persoonsgegevens. Op het moment dat persoonlijke gegevens verwerkt worden, is de AVG van toepassing. In principe betekent dit dat zo min mogelijk gegevens verwerkt mogen worden. De verwerking van persoonsgegevens is vaak geoorloofd, omdat er toestemming is van de betrokken persoon, het verwerken van persoonsgegevens nodig is voor de uitvoering van een overeenkomst of het noodzakelijk is voor het nakomen van een wettelijke verplichting. Maar hoe staat dit in relatie tot een verbod op WhatsApp op de werktelefoon?
WhatsApp is een veelvuldig gebruikt communicatiemiddel, omdat hiervoor in principe geen kosten gemaakt hoeven te worden en het bovendien eenvoudig is in gebruik. De algemene gebruiksvoorwaarden van WhatsApp stellen dat de gebruiker van de dienst de contacten in zijn of haar adresboek ter beschikking stelt aan WhatsApp. De dienst krijgt dus toegang tot zowel nummers van andere gebruikers van WhatsApp als van de overige contacten in het adresboek die geen gebruik maken van de communicatiedienst. Alle metadata wordt uiteindelijk bij en door WhatsApp Ireland Limited opgeslagen. Deze deelt de gegevens op zijn beurt met Facebook als ook extern met partners van Facebook. Op deze manier is er geen controle meer mogelijk over welke data uiteindelijk waar eindigt.
WhatsApp op de werktelefoon
Diverse ondernemingen verzoeken werknemers om hun eigen telefoon mee te nemen naar het werk (BYOD - Bring Your Own Device). Vaak is het echter zo dat de onderneming een telefoon ter beschikking stelt en de werknemer deze ook gebruikt voor privédoeleinden. Als een smartphone gebruikt wordt voor het werk, is MS-Outlook meestal ook geïnstalleerd. Het is zo dat de data met betrekking tot contacten tussen de e-mailserver en het adresboek van de smartphone uitgewisseld worden. Doordat het toevoegen van contacten aan het adresboek gezien wordt als verwerking van persoonsgegevens, is de AVG van toepassing op dergelijke handelingen.
In het voorjaar van 2017 zijn er in Duitsland twee uitspraken gewezen waarin het gebruik van WhatsApp beoordeeld werd. De uitkomst was, dat als een gebruiker aan WhatsApp toestemming geeft om voortdurend data te verwerken zonder dat de gebruiker voorafgaand toestemming van zijn of haar contactpersonen verkregen heeft, hij of zij tegenover deze personen een onrechtmatige daad pleegt en het gevaar loopt door deze personen aansprakelijk gesteld te worden. Deze uitspraken werden niet gewezen in een werkgerelateerde context, maar hebben wel praktische gevolgen door de AVG die sinds 25 mei 2018 in werking is getreden. Doordat Outlook gegevens uitwisselt met het adresboek en WhatsApp op haar beurt toegang heeft tot de gegevens in het adresboek, ligt een aantasting van het recht van de Outlook contactpersoon op de loer.
Aansprakelijkheidsrisico
Naast aansprakelijkheid van de onderneming zelf, bestaat ook het gevaar dat de leidinggevende organen met hun privévermogen aansprakelijk zijn, in geval zij opzettelijk of door nalaten de noodzakelijke maatregelen voor het toezicht niet treffen.
Mogelijke uitwegen
Een optie om te voorkomen dat bedrijfsgegevens eindigen bij WhatsApp of Facebook of zelfs bij partners van Facebook, is om aparte gebruikersprofielen in te stellen; één voor bedrijfsgerelateerde zaken en één voor privédoeleinden. Het nadeel hiervan is dat dit vaak hoge kosten met zich meebrengt. Een andere mogelijkheid zou zijn om de toegangsmogelijkheden van WhatsApp te beperken. Dit is echter alleen bij Apple-toestellen zonder al te veel moeite mogelijk. Het nadeel hiervan is dat de werkzaamheid van een dergelijke beperking niet onomstreden is. De meest veilige optie is daarom om WhatsApp niet te gebruiken op een smartphone waarop ook werkgerelateerde informatie terechtkomt. Een realistische optie zou zijn om WhatsApp te vervangen door een communicatieapp die “gegevensbeschermings-proof” is. Een dergelijke app maakt geen gebruik van een telefoonnummer of e-mailadres, maar van een door toeval toegewezen ID, zodat de app volledig anoniem gebruikt kan worden.
Het feit dat steeds meer Duitse bedrijven een verbod op WhatsApp instellen is dus niet zo vreemd in het licht van mogelijke aansprakelijkheid in het kader van de gegevensbescherming. Vooral tegen de achtergrond van de Duitse jurisprudentie, raden wij u aan om een dergelijk verbod ook voor uw Duitse bedrijf te hanteren. Wij helpen u graag bij de implementatie hiervan.
