“WhatsApp is een veilig kanaal, maar het gaat erom hoe je ermee omgaat. Het belangrijkste risico is dat je onbewust gevoelige persoonsgegevens deelt, dus daar moet je goede afspraken over maken. Als je, zoals wij, zorgvuldig met klantgegevens omgaat, dan is WhatsApp zeker veilig”, stelt Marc van den Boom, social media manager bij SNS. Gevraagd naar de betekenis van zorgvuldig in deze content, geeft hij aan dat de webcaremedewerkers van de bank goed getraind zijn. Voorafgaand aan het afhandelen van klantcontacten via WhatsApp, doorlopen zij eerst een ‘serieuze’ opleiding. In de basis moeten zij goede kennis hebben van de producten van de financieel dienstverlener, plus diverse Wft-diploma’s behalen. Daarna volgt een entreetoets, een schrijftest (“foutloos Nederlands is belangrijk en de taal- en valkuilen van social moeten bekend zijn”), worden tijdens interne interviews cases besproken en aan het eind wacht nog een exit-toets. De mate van zorgvuldigheid uit zich eveneens in de actieve monitoring. Voor social media berichten, of dat nou via Facebook, Twitter of WhatsApp is, past de bank het zogenoemde ‘4 ogen-principe’ toe; ieder antwoord moet door twee of drie mensen worden geaccordeerd, voordat het naar de klant wordt verstuurd. “WhatsApp is een supertransparant kanaal. Dit mag gewoon niet fout gaan. Zeker niet met het oog op het beeld dat mensen van SNS hebben”, benadrukt Van den Boom.
Ook Karen de Vries, woordvoerder ABN Amro, beschouwt WhatsApp niet als een onveilig klantenservicekanaal. Zeker niet nu begin april dit jaar end-to-end-encryptie is uitgerold. Hierdoor hebben alleen nog de ontvanger en de verzender toegang hebben tot chatgesprekken. “Desalniettemin kiest ABN Amro ervoor geen persoonsgegevens via WhatsApp uit te wisselen. Wij vragen er niet naar. En als er een noodzaak is om dat uit te wisselen, dan gaat dat telefonisch. Op deze manier zijn we er nog zekerder van zijn dat contact via WhatsApp veilig verloopt en de privacy van klanten geborgd is.”
In een reactie accentueert Interpolis-woordvoerder Maroesja Hupkes dat de populaire app geen 100% veilig kanaal is voor privacygevoelige informatie. Klantcommunicatie over bijvoorbeeld medische en financiële gegevens verloopt dan ook niet via WhatsApp, maar telefonisch of per mail. “Als WhatsApp bijvoorbeeld de voorwaarden wijzigt, of als data uitlekt, dan staan wij als bedrijf langs de zijlijn toe te kijken zonder iets te kunnen doen.” Desondanks overheerst een positief gevoel. Zowel klanten als bedrijven moeten vooral scherp zijn op wat voor soort informatie ze via dit medium delen. “Dan is WhatsApp een enorm handig kanaal voor allerhande vragen waar je snel een antwoord op kunt krijgen”, nuanceert ze.

Risico’s
Beide banken geven aan dat de messagingdienst in kwestie weinig risico’s met zich meebrengt. Zij hebben hun handen in die zin meer vol aan phising (waarbij criminelen onder valse voorwendselen gegevens ontfutselen, red.). Hoewel dit bij ABN Amro nog nooit is voorgekomen, benadert de bank klanten –  juist om het risico van phising verder te minimaliseren – nooit proactief via WhatsApp. “We wachten totdat klanten met ons contact opnemen voordat we in gesprek gaan”, legt De Vries uit.
Inhakend op de risico’s vindt Van den Boom dat er onderscheid moet worden gemaakt tussen gevoelige persoonsgegevens en gewone persoonsgegevens. Refereert hij in laatstgenoemd geval aan bijvoorbeeld postcodes of geboortedatums, ‘gevoelig’ zijn gegevens als bankrekeningnummers, saldi en transacties. “Vanzelfsprekend delen wij zulke zaken nooit via de sociale kanalen. Ook als iemand specifieke uitleg wenst, over een bepaald product ofzo, dan verzoeken wij om van kanaal te switchen.”

Verplichtingen
Hebben bedrijven nog bepaalde verplichtingen om klantcontact via WhatsApp te laten plaatsvinden, zoals Santifort in de Telegraaf beweert? “Ja”, reageert de social media manager van SNS, “maar dat geldt voor alle contactkanalen. Intern hadden wij natuurlijk de goedkeuring nodig van IT-security, en ook externe toezichthouders stellen eisen aan (cloud)applicaties. Verder werken wij met de online monitoringtool van Buzzcapture; voorafgaand aan de inzet van WhatsApp voor klantenservice is die door de technische en juridische molen gegaan.”
Volgens de woordvoerder van ABN Amro zijn er wettelijk geen concrete verplichtingen, uitgezonderd de zorgplicht van de bank ‘om klanten goed te informeren over het risico van het delen van persoonsgegevens’. “Klanten die zelf persoonsgegevens met ons delen via WhatsApp, vragen we ook altijd om die te verwijderen”, vult De Vries aan.
Bij Interpolis zijn de contactcentermedewerkers alert op welke informatie wel en niet via de diverse kanalen wordt gedeeld. De informatie via WhatsApp is vergelijkbaar met wat klanten op de website en in polisvoorwaarden kunnen terugvinden. Sinds kort maakt de verzekeraar ook gebruik maken van een disclaimer. Dit is het eerste bericht dat klanten ontvangen in het contact via de app. “Hiermee brengen we ze op de hoogte van risico van WhatsApp-gebruik en adviseren we om in geval van persoonlijke of gevoelige informatie een ander kanaal te kiezen. Wanneer een WhatsApp-gesprek over de openingstijden van ons contactcenter uitlekt, dan heeft dat minder grote gevolgen dan wanneer het over uitbetalingen van zorgdeclaraties gaat”, aldus Hupkes.

Privacy
Vanuit privacy-oogpunt wisselt ABN Amro geen persoonsgegevens uit via de populaire messagingdienst. Indien nodig gaat de dienstverlening telefonisch verder, waarna een streng klantverificatieproces volgt. “Dat is bij ons dusdanig strikt dat de kans dat wij de klant niet herkennen, zeer gering is. Bovenal hebben we met het mobiele nummer in WhatsApp een extra verificatiemogelijkheid gekregen om te controleren dat de klant is wie hij zegt dat hij is.”
SNS kiest bij de communicatie via WhatsApp voor enige terughoudendheid, merkt Van den Boom op. Dit komt vooral doordat WhatsApp een data-applicatie is die onder de vleugels van Facebook draait. “Facebook en privacy blijven een heikel onderwerp”, vindt hij. Om eventuele discussies te voorkomen behandelt zijn team WhatsApp daarom net zo als de andere sociale kanalen. “WhatsApp is een fijn kanaal. Het is snel, efficiënt, biedt gemak en veelgestelde vragen zijn via deze weg prima te beantwoorden. Soms kan het ook lastig zijn om te bellen, bijvoorbeeld als je in de trein zit. Dan is een appje zo gestuurd. Maar de privacy van de klant is sowieso het meest belangrijk. Belangrijker dan alle vragen kunnen beantwoorden.”

KADER 1: “Weet wat je deelt”
De Autoriteit Persoonsgegevens wil zich desgevraagd niet inhoudelijk uitlaten over WhatsApp specifiek en de eventuele risico’s. In meer algemene zin daarentegen, raadt woordvoerder Merel Eilander bedrijven aan om vooraf goed na te denken over klantcontact via het genoemde medium. Want hoe stel je vast dat iemand daadwerkelijk is wij hij zegt dat hij is? En om wat voor type gegevens gaat het? “Iemands postcode is niet zo bijzonder, maar voor bijvoorbeeld medische gegevens gelden strengere wetten. Ook voor ras, politieke voorkeur of strafrechtelijke gegevens gelden hardere eisen”, vult ze aan. Zeker nu WhatsApp end-to-end-encryptie toepast lijkt de populaire app volgens haar ‘best een veilige lijn te zijn’, maar dat neemt niet weg dat de Autoriteit Persoonsgegevens erop hamert dat mensen weten welke gegevens zij met organisaties delen (“doe dit bij voorkeur via een DM, in plaats van in het openbaar”).
Een ander belangrijk aandachtspunt voor bedrijven die klanten via WhatsApp willen servicen, is de zorg voor een goede beveiliging. Eilander wijst erop dat er wettelijke bepalingen bestaan, zoals over de beveiliging van de data die een organisatie ontvangt en over de duur van het bewaren van gegevens. “Dat verschilt per geval. Hoe lang is het noodzakelijk om gegevens voor een bepaald doel te doel te bewaren? Na serviceverlening kan het bijvoorbeeld zijn dat klantgegevens weer moeten worden verwijderd.”
Sinds dit jaar is er ook een Meldplicht Datalekken. De Autoriteit Persoonsgegevens ontving tot op heden ruim 1.000 meldingen op dit vlak, onder meer over kwijtgeraakte usb-sticks met onversleutelde gegevens. In de Wet Bescherming Persoonsgegevens vind je alle ins & outs.

KADER 2: Artsen voelen Siilo aan de tand
Artsen in de provincie Utrecht zijn onlangs een proef gestart met Siilo, een WhatsApp-alternatief voor medisch personeel. Via de app, die (eveneens) werkt met end-to-end-encryptie, kunnen artsen met elkaar overleggen en op beveiligde wijze foto’s van patiënten uitwisselen. Voor het gebruik van Siilo is een pincode vereist en foto’s worden in een beveiligde, versleutelde mediakluis binnen de app opgeslagen, los van de normale foto’s op de smartphone.
“Als je WhatsApp binnen je praktijk gebruikt moet je stilstaan bij wat er gebeurt met de gegevens zodra ze ontvangen zijn. Het staat gewoon op je telefoon”, benadrukt Siilo-oprichter Joost Bruggeman. Omdat WhatsApp geen versleuteling voor gegevens op de telefoon zelf gebruikt, is naar zijn idee de kans groot dat de opgeslagen gegevens op een gegeven moment zullen lekken.
Aan de pilot met Siilo doen tweehonderd artsen mee.

Tekst: Francois Kroes