WhatsApp moet een vertegenwoordiger in Nederland aanwijzen

Op 22 november 2016 oordeelde de rechtbank Den Haag dat WhatsApp op grond van de Wet bescherming persoonsgegevens (‘Wbp’) een vertegenwoordiger in Nederland dient aan te wijzen.

WhatsApp had beroep ingediend tegen een besluit van 22 juli 2014 van de Autoriteit Persoonsgegevens (‘AP’) waarin WhatsApp op de vingers was getikt wegens het handelen in strijd met de Wbp. De AP gaf WhatsApp een termijn van drie maanden om een vertegenwoordiger in Nederland aan te wijzen, waarna zij een dwangsom zou verbeuren van € 10.000,- per dag met een maximum van € 1.000.000,-. Deze termijn was gedurende de rechtszaak geschorst, maar is naar aanleiding van dit vonnis weer gaan lopen.

Hieronder zullen de belangrijkste punten uit de uitspraak van de rechtbank aan bod komen en zal besproken worden wat voor gevolgen deze uitspraak voor andere internationale app aanbieders zou kunnen hebben.

Toepassing Wbp

In artikel 4 Wbp is bepaald op welke situaties deze wet van toepassing is. Volgens lid 1 is de Wbp in elk geval van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke (lees: WhatsApp) in Nederland. Maar het in Amerika gevestigde WhatsApp heeft momenteel geen vestiging in Nederland.

In het tweede lid staat echter dat de Wbp ook van toepassing is op de verwerking van persoonsgegevens door een verantwoordelijke die geen vestiging heeft in de EU, als daarbij gebruik wordt gemaakt van geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

WhatsApp voerde bij de rechtbank Den Haag onder meer aan dat van verwerking in Nederland geen sprake is, omdat zij geen gebruik zou maken van geautomatiseerde middelen in Nederland die worden ingezet voor meer dan alleen doorvoer van gegevens.

De rechtbank oordeelt echter dat WhatsApp wel degelijk gebruik maakt van geautomatiseerde middelen nu zij via de door haar geboden dienst – de app zelf, die zich op de smartphones van gebruikers in Nederland bevindt – persoonsgegevens verwerkt. Daarnaast constateert de rechtbank nog dat WhatsApp de app voor meer dan alleen doorvoer van persoonsgegevens gebruikt. Na het installeren van de app verkrijgt WhatsApp toegang tot het telefoonboek van de gebruiker en vergelijkt deze met de user tabel op haar eigen server in de VS, waarop de nummers van alle gebruikers staan opgeslagen.

Richtlijn en vinden van vertegenwoordiger

In het derde lid van artikel 4 Wbp is bepaald dat een verantwoordelijke, die geen vestiging in de EU heeft, geenpersoonsgegevens mag verwerken, tenzij zij in Nederland een persoon of instantie aanwijst die namens haar optreedt als verantwoordelijke: een vertegenwoordiger. Voor de toepassing van de Wbp en de daarop rustende bepalingen wordt de vertegenwoordiger aangemerkt als verantwoordelijke.

WhatsApp heeft zich op het standpunt gesteld dat deze Nederlandse bepaling in strijd is met de Privacyrichtlijn (welke geïmplementeerd is in de Wbp), waarin niet expliciet is opgenomen dat de vertegenwoordiger ook aan de Wbp dient te voldoen en geacht wordt verantwoordelijke te zijn. Artikel 4 lid 3 Wbp zou volgens WhatsApp tot gevolg hebben dat de Nederlandse vertegenwoordiger geacht wordt aansprakelijkheid op zich te nemen voor alle boetes en dwangsommen die WhatsApp in Nederland zou oplopen, terwijl zij tegelijkertijd geen enkele invloed heeft op de activiteiten van WhatsApp. Het is WhatsApp naar eigen zeggen niet gelukt een partij te vinden die een dergelijk risico wil aanvaarden.

De rechtbank gaat niet mee in dit betoog en oordeelt dat artikel 4 lid 3 Wbp niet in strijd is met de Privacyrichtlijn. Daarbij is van belang dat dit Nederlandse wetsartikel volgens de rechtbank de mogelijkheid onverlet laat dat de verantwoordelijke en Nederlandse vertegenwoordiger overeenkomen dat boetes en dwangsommen vanwege eventuele overtredingen van de Wbp voor rekening van de verantwoordelijke komen.

Toekomstige wetgeving

Verder heeft WhatsApp aangevoerd dat de AP onvoldoende rekening heeft gehouden met de Algemene Verordening Gegevensbescherming (‘AVG’), die op 25 mei 2018 van toepassing zal zijn. Daarin staat namelijk dat een verantwoordelijke zonder vestiging in de EU slechts één vertegenwoordiger binnen de hele EU hoeft aan te wijzen.

Ook dit betoog wordt door de rechtbank van de hand gewezen. Het besluit van de AP was immers al een half jaar voordat de AVG op 24 mei jl. in werking trad genomen. Bovendien heeft WhatsApp momenteel geen vertegenwoordiger in een andere lidstaat, waardoor geen concreet zicht op legalisatie bestaat.

Wat betekent dit nu voor de praktijk?

Uit deze uitspraak kan worden afgeleid dat internationale aanbieders van apps al snel onder de reikwijdte van de Wbp zullen vallen en dus een vertegenwoordiger in Nederland zullen moeten aanwijzen. Althans, dat lijkt in ieder geval zo te zijn als er persoonsgegevens van Nederlandse burgers verwerkt worden en de app aanbieder geen vestiging heeft in de EU.

Betekent dit dat alle app aanbieders van buiten de EU een vertegenwoordiger zullen moeten aanwijzen? Dat lijkt niet uit het vonnis te volgen.  Aanbieders van apps waarbij door de app aanbieder zelf geen persoonsgegevens verwerkt worden lijken er niet onder te vallen. Hierbij kan bijvoorbeeld gedacht worden aan een app waarmee adressen kunnen worden opgeslagen, terwijl de app aanbieder zelf geen inzage krijgt in deze gegevens en deze dus op geen enkele manier verwerkt. De persoon die de adressen invoert en beheert is dan zelf verantwoordelijke in de zin van de Wbp, waarbij de Wbp geheel niet van toepassing zal zijn als dit een privéverwerking betreft. Ook indien er met de app in het geheel geen persoonsgegevens worden verwerkt hoeft er geen Nederlandse vestiging c.q. vertegenwoordiger aangesteld te worden of indien de aanbieder van de app (al) een verantwoordelijke in de EU heeft.

Toch is de uitspraak van de rechtbank Den Haag potentieel verstrekkend. Als een Nederlander immers een app installeert op zijn smartphone en de aanbieder van de app, die zich buiten de EU bevindt, vervolgens persoonsgegevens verwerkt met behulp van die app, valt deze verwerking onder de reikwijdte van de Wbp. Een van de redenen dat kritisch naar apps wordt gekeken is juist het feit dat de aanbieders vaak de persoonsgegevens verwerken. Dit zou dus betekenen dat een app aanbieder met maar één Nederlandse gebruiker zuiver genomen al een vertegenwoordiger in Nederland moet aanwijzen of een verantwoordelijke in de EU moet hebben. In de praktijk is het echter onwaarschijnlijk dat de AP zich snel zal richten op een aanbieder met maar één of een beperkt aantal Nederlandse gebruiker(s).

Algemene Verordening Gegevensbescherming

Daarnaast is nog van belang dat voorgenoemde situatie – zoals WhatsApp ook aanvoerde –  onder de AVG zal veranderen. Klik hier voor meer informatie over de AVG.

Volgens artikel 27 AVG kunnen verantwoordelijken namelijk volstaan met één vertegenwoordiger in de gehele EU. Het verschil met de huidige situatie is dat organisaties nu slechts kunnen volstaan met één verantwoordelijke in de EU. Dus als de app aanbieder in kwestie geen verantwoordelijke binnen de EU heeft, moet zij in elke lidstaat (van welke burgers zij persoonsgegevens verwerkt) een afzonderlijke vertegenwoordiger aanwijzen.

Vertegenwoordigers dienen er op hun beurt rekening mee te houden dat ook zij aan handhavingsprocedures onderworpen kunnen worden. Voor vertegenwoordigers is het daarom zaak om goede afspraken te maken met degene die zij vertegenwoordigen en deze afspraken contractueel vast te leggen.

Omdat de AVG reeds op 24 mei jl. in werking is getreden, verwachten wij dat toezichthouders zich rondom kwesties als deze terughoudend(er) zullen opstellen. Aan verantwoordelijken wordt nu immers een overgangstermijn van twee jaar gegund om hun organisaties ‘AVG-proof’ te maken. De AVG zal op 25 mei 2018 definitief van toepassing zijn en dan de Wbp vervangen. Tot die tijd lijken de betreffende app aanbieders enkel aan de verplichting te kunnen ontkomen om in iedere lidstaat afzonderlijk een vertegenwoordiger aan te wijzen door een vestiging c.q. verantwoordelijke in de EU te construeren.

Contact

Biedt u zelf een app aan? Wilt u meer weten over de reikwijdte van de Wet bescherming persoonsgegevens? Of heeft u het aan de stok met de AP?

Neem dan contact op met Huub de Jong.

 

Geschreven door: Lisa Molenaars en Huub de Jong