Het risico dat iemand onrechtmatige toegang krijgt tot persoonsgegevens van burgers als gemeenten de zakelijke versie van Whatsapp gebruiken, is beperkt. Dat blijkt uit een risicoanalyse van de Vereniging van Nederlandse Gemeenten (VNG). Het is volgens de VNG nog onduidelijk of gemeenten een licentie kunnen aanvragen voor de uitgebreide zakelijke versie van de app.
Juiste maatregelen
Als de juiste maatregelen worden getroffen, zijn de risico’s voor burgers verwaarloosbaar tot beperkt, blijkt uit een zogeheten data protection impact assessment (DPIA) van de zakelijke versie van Whatsapp, uitgevoerd door de Informatiebeveiligingsdienst van de VNG. Gemeenten zijn op zoek naar een vervanging van de particuliere versie van Whatsapp waar ze sinds 7 december geen gebruik meer van mogen maken. Leveranciers raden de zakelijke versie aan, maar de VNG probeert hierover nog meer duidelijkheid te krijgen.
Onrechtmatige toegang
Het enige noemenswaardige risico is volgens de Informatiebeveiligingsdienst (IBD) het risico van onrechtmatige toegang tot persoonsgegevens (de risico's van het verdwijnen of ongewenst wijzigen van persoonsgegevens zijn 'verwaarloosbaar'). ‘Als burgers zich aan de gepubliceerde regels, van zowel Whatsapp als de gemeente, houden zal bij het optreden van dit risico de schade verwaarloosbaar zijn door de beperking van persoonsgegevens die worden gedeeld en bewaard.’
Niet aan de regels houden
Whatsapp geeft zelf aan dat gegevens zoals betaalkaartnummers en rekeningnummers niet of beperkt verstuurd mogen worden via hun platform. En ‘gemeenten moeten duidelijk zijn welke gegevens nodig zijn om een bepaalde vraag op te pakken en niet meer gegevens uitvragen dan noodzakelijk’, schrijft de IBD. ‘De reden dat het risico toch ‘beperkt’ is en niet verwaarloosbaar is ‘omdat niet alle burgers zich aan de gepubliceerde regels zullen houden’.
Identiteitsfraude
De belangrijkste gevolgen van onrechtmatige toegang tot persoonsgegevens zijn volgens de DPIA identiteitsfraude, stigmatisering en het ontvangen van ongewenste reclame. De belangrijkste dreigingen die hiertoe kunnen leiden zijn malware via Whatsapp; als Facebook of Whatsapp contactgegevens misbruikt; een datalek bij Whatsapp of een van de Facebookbedrijven; Amerikaanse overheidsorganisaties die toegang vragen; en een onduidelijke identiteit van een klant ‘waardoor (persoons)gegevens met een klant kunnen worden gedeeld die die niet mag ontvangen’.
Wachten op reactie
De VNG heeft contact opgenomen met Whatsapps eigenaar Facebook, ‘om duidelijkheid te krijgen wat gemeenten mogen op het gebied van WhatsApp for Business’, en wacht op een reactie. ‘Het is nog onduidelijk of gemeenten een licentie kunnen aanvragen voor de API-variant van WhatsApp for Business. En mocht dat niet kunnen, op welke termijn dat wel mogelijk is.’
Klein of groot
Overigens zijn er twee verschillende versies van de zakelijke versie van Whatsapp: Whatsapp Business, bestemd voor kleinbedrijven, en Whatsapp Business API (kort voor application programming interface), een uitgebreide versie bedoeld voor middelgrote en grote bedrijven. Welke gemeenten welke versie kunnen gebruiken, is niet duidelijk.
Bron: BinnenlandsBestuur Digitaal