De Privacyfunctionaris van WhatsApp

Moet WhatsApp in Nederland een vertegenwoordiger aanstellen om te voldoen aan de Wet Bescherming Persoonsgegevens? En hoe verhoudt dit zich met de toekomstige Privacyverordening?

In 2013 heeft de Autoriteit Persoonsgegevens een rapport uitgebracht over een onderzoek naar de verwerking van persoonsgegevens door WhatsApp. In dit rapport heeft de Autoriteit Persoonsgegevens geconcludeerd dat WhatsApp via het elektronisch adresboek van WhatsApp-gebruikers ook toegang kreeg tot de mobiele telefoonnummers van niet-gebruikers. Volgens de Autoriteit Persoonsgegevens was dat niet toegestaan.

WhatsApp heeft vervolgens in overleg met de Autoriteit Persoonsgegevens maatregelen getroffen die de bescherming van de privacy van niet-gebruikers waarborgen. Gevolg hiervan was dat WhatsApp conform de wet een vertegenwoordiger diende aan te stellen in Nederland. WhatsApp weigerde dit en stelde dat er in Nederland geen gegevens werden verwerkt. De bestuursrechter was echter een andere mening toebedeeld en oordeelde dat WhatsApp de gegevens van haar Nederlandse gebruikers wel verwerkt. Dit gebeurt namelijk via de applicatie die zich bevindt op Nederlandse smartphones. Er kan dan ook niet worden gezegd dat er enkel sprake is van de doorvoer van gegevens.

Het argument van WhatsApp dat haar geen ruimte was geboden om te anticiperen op de toekomstige Privacyverordening waaronder slechts één vertegenwoordiger binnen de EU behoeft te worden aangewezen werd ook door de bestuursrechter verworpen. Er was immers niet gebleken dat WhatsApp al een vertegenwoordiger in een andere EU-lidstaat had aangesteld. Volgens de bestuursrechter bestond er daarom ook geen concreet zicht op legalisatie van de bestaande situatie. WhatsApp diende dus wel degelijk een vertegenwoordiger in Nederland aan te stellen.