De Spaanse AVG toezichthouder heeft vastgesteld dat het zakelijke gebruiken van de privé telefoon en het gebruik van WhatsApp in strijd is met de AVG. Toegeven, het is een ongewone zaak, maar dat er een scheiding moet bestaan tussen privé en zakelijk is weer eens aangetoond.
AEPD, de toezichthouder in kwestie is in dit geval in actie gekomen na een klacht van een oud medewerker van bedrijf X. Dat bedrijf verplicht medewerkers zakelijke toepassingen op de privé smartphones te installeren en gebruiken. Het gaat daarbij niet bijvoorbeeld een MFA app, maar apps voor de boekhouding en betalingen. X houdt ook de telefoonnummers van de medewerkers bij en deelt die zowel intern als extern, er is een WhatsApp groep voor de onderlinge communicatie waarmee ook klantgegevens worden gedeeld.
WhatsApp en financiële dienstverlening
Wat AEPD aantreft is de combinatie van “voorspelbare” AVG overtredingen, een paar unieke eigenaardigheden. Weet daarbij dat de dienstverlening van X in de financiële hoek zit. Het gebruik van WhatsApp groepen is daarom problematisch. Het delen van klantgegevens via dat kanaal is in de regel verboden omdat het niet controleerbaar is. Het is echter niet aan de AEPD daar toezicht op te houden, dat mag de Spaanse tegenhanger van de DNB of AFM doen.
Privé vs in control zijn
Waar AEPD wel over mag oordelen is het verplicht gebruiken van privé toestellen in een zakelijke context. Terecht merkt AEPD op dat bedrijf X nooit in control kan zijn en kan garanderen dat de data daarop goed is beschermd. Het verplichten WhatsApp te gebruiken en zo nummers te vergaren en delen kan evenmin door de beugel.
Omdat het bedrijf maximaal meewerkt en alle fouten herstelt of dat al had gedaan valt de boete laag uit. De boodschap van AEPD aan alle andere start-ups die zich financiële dienstverlener noemen liegt er echter niet om. Dat een andere toezichthouder zoch met de zaak kan gaan bemoeien zal in de sector eveneens zijn genoteerd.