WhatsApp Business en de AVG: mag het wel?

Bijna elke ondernemer gebruikt WhatsApp voor werk. Klantcontact, teamcommunicatie, leveranciersafspraken. Het is snel, iedereen heeft het, en de drempel is nul. Maar vanuit de AVG bekeken is WhatsApp een van de lastigste tools om zakelijk te verantwoorden.

Niet omdat het niet mag. Maar omdat de voorwaarden niet op orde zijn voor zakelijk gebruik met persoonsgegevens.

Het probleem: contactenlijst en verwerkersovereenkomst

Zodra je WhatsApp installeert, uploadt de app je volledige contactenlijst naar servers van Meta (het moederbedrijf van WhatsApp). Alle namen en telefoonnummers. Zonder dat die contacten daarvoor toestemming hebben gegeven. Dat is een verwerking van persoonsgegevens door een derde partij, zonder grondslag en zonder verwerkersovereenkomst.

Er is geen verwerkersovereenkomst beschikbaar voor WhatsApp of WhatsApp Business. Meta biedt die niet aan voor deze producten. Data wordt opgeslagen in de VS. Meta bepaalt zelf hoe de data wordt verwerkt. Juridisch is Meta daarmee geen verwerker (die jouw instructies opvolgt), maar een zelfstandige verwerkingsverantwoordelijke.

De WhatsApp Business API (de enterprise-variant voor grotere bedrijven, via providers als Trengo of Messagebird) biedt meer controle en soms een verwerkersovereenkomst via de provider. Maar de standaard WhatsApp Business-app die de meeste ondernemers gebruiken? Die heeft dezelfde problemen als de gewone WhatsApp.

Per use case: hoe risicovol is het?

Intern teamgebruik. Laagste risico. Je communiceert met je eigen medewerkers, niet met klanten. Het contactenlijst-probleem blijft, maar de impact is beperkter. Beter alternatief: Microsoft Teams of Slack onder je bestaande verwerkersovereenkomst.

Klantcontact (afspraken, updates). Middelhoog risico. Klantnamen, telefoonnummers, mogelijk bestelinformatie of persoonlijke gegevens in berichten. Geen verwerkersovereenkomst. Meer over het veilig bewaren van klantgegevens lees je in het artikel over klantgegevens opslaan. Het risico zit vooral in de structurele verwerking: elke klant die je toevoegt, wordt onderdeel van de contactenlijst die Meta ontvangt.

Gevoelige informatie (gezondheid, financieel, juridisch). Hoog risico. Een fysiotherapeut die behandelinformatie deelt via WhatsApp. Een boekhouder die financiële gegevens bespreekt. WhatsApp is end-to-end versleuteld (de inhoud is beschermd), maar de metadata (wie communiceert met wie, wanneer, hoe vaak) is dat niet. En het ontbreken van een verwerkersovereenkomst maakt dit juridisch onhoudbaar.

Wat je kunt doen als je WhatsApp blijft gebruiken

Stoppen met WhatsApp is voor veel ondernemers niet realistisch. Klanten verwachten het. Medewerkers zijn eraan gewend. Maar je kunt het risico beperken:

• Installeer WhatsApp niet op je zakelijke telefoon met je volledige contactenlijst. Gebruik een apart nummer of een aparte telefoon. Zo beperk je de contacten die Meta ontvangt.
• Voer geen gevoelige persoonsgegevens in via WhatsApp. Geen BSN, geen medische informatie, geen financiële details. Verwijs voor gevoelige zaken naar e-mail of een beveiligd portaal.
• Vermeld WhatsApp in je privacyverklaring. Informeer klanten dat je WhatsApp gebruikt voor communicatie en dat Meta als derde partij betrokken is.
• Bewaar geen berichten langer dan nodig. Verwijder gesprekken met klantgegevens zodra het doel is bereikt.

Wil je weten of je communicatietools en andere privacybasics op orde zijn? Doe de Privacy Scan en krijg binnen 2 minuten een overzicht.

De alternatieven

Signal. Open source, end-to-end versleuteld, geen metadata-verzameling, niet commercieel. De meest privacy-vriendelijke optie. Nadeel: veel klanten hebben het niet en zullen het niet installeren voor één leverancier.

Microsoft Teams / Slack. Voor interne communicatie. Valt onder je bestaande Microsoft 365 of Google Workspace verwerkersovereenkomst. Niet geschikt voor klantcontact tenzij je klanten op je platform uitnodigt.

Zakelijke berichtenplatformen (Trengo, Messagebird/Bird, Zendesk). Bieden WhatsApp-integratie via de Business API, vaak met een verwerkersovereenkomst. Duurder, maar juridisch beter onderbouwd. Geschikt als je veel klantcontact via berichten hebt.

E-mail. Soms is de simpelste oplossing de beste. E-mail via Google Workspace of Microsoft 365 (met verwerkersovereenkomst) is voor veel zakelijke communicatie voldoende.

De afweging

WhatsApp voor zakelijk gebruik is een grijs gebied. Het is niet per se verboden, maar de voorwaarden voldoen niet aan de AVG-eisen voor gegevensverwerking door derden. De AP heeft zich hier nog niet expliciet over uitgesproken met een boete, maar de juridische analyse is helder: geen verwerkersovereenkomst, geen controle over de contactenlijst, geen grondslag voor de upload naar Meta.

De praktische afweging: als je WhatsApp gebruikt voor incidenteel, niet-gevoelig klantcontact en de risicobeperkende maatregelen treft, is het juridische risico beheersbaar. Maar voor structureel gebruik met persoonsgegevens, gevoelige informatie of in gereguleerde sectoren (zorg, juridisch, financieel) is het onvoldoende.

Documenteer je keuze. Leg vast waarom je WhatsApp gebruikt, welke risico's je hebt geïdentificeerd en welke maatregelen je hebt genomen. Dat is wat de AP verwacht: een bewuste afweging, niet een onbewust risico.