Je stuurt een klant een berichtje via WhatsApp om een afspraak te bevestigen. Handig, want de klant reageert meteen. Maar op datzelfde moment verwerkt Meta gegevens van jou én van je klant, deels op servers buiten de EU, zonder dat jij daarvoor een verwerkersovereenkomst hebt afgesloten of je klant daarover hebt geïnformeerd. Dat is niet alleen een technisch detail: het is een concrete overtreding van de AVG waar de Autoriteit Persoonsgegevens op kan handhaven.

Wat er juridisch al is misgegaan bij dat eerste appje

Zodra je WhatsApp zakelijk gebruikt, deel je persoonsgegevens met Meta. Dat klinkt dramatisch, maar het is gewoon wat er technisch gebeurt. Naam, telefoonnummer, berichtinhoud, contactmomenten, soms ook locatiedata: Meta heeft toegang tot meer dan alleen de tekst die jij verstuurt. En Meta verwerkt die gegevens mede voor eigen doeleinden, zoals het verbeteren van haar producten en het koppelen van data aan haar advertentienetwerk.

Voor jou als ondernemer betekent dit het volgende: je bent de verwerkingsverantwoordelijke voor de gegevens van jouw klanten. Jij bepaalt waarvoor die gegevens worden gebruikt. Maar zodra je WhatsApp inzet als communicatiemiddel, trek je Meta mee in die keten, als een partij die ook iets met die gegevens doet. En daar knelt het.

Het kernprobleem: WhatsApp en de AVG botsen structureel

De AVG vereist dat je voor elke externe partij die namens jou persoonsgegevens verwerkt, een verwerkersovereenkomst afsluit. Dat is een contract waarin je afspreekt wat die partij met de data mag doen, hoe lang ze die bewaren en wat er bij een datalek gebeurt.

Met Meta kun je zo’n overeenkomst niet afsluiten. Meta is geen verwerker in de zin van de AVG, het is een zelfstandige verwerkingsverantwoordelijke. Meta bepaalt zelf mede de doeleinden en middelen van de verwerking. Dat betekent dat de AVG-constructie van “jij stuurt, zij bewaren netjes voor jou” simpelweg niet opgaat. Je kunt Meta niet contractueel binden aan jouw privacybeleid.

Daar komt nog iets bij: WhatsApp slaat data op in de Verenigde Staten. Na het wegvallen van het Privacy Shield en de voortdurende rechtsonzekerheid rondom doorgifte naar de VS is dat een serieus juridisch risico. Meta gebruikt zogeheten Standard Contractual Clauses (SCC’s), maar toezichthouders in meerdere EU-landen hebben vraagtekens gezet bij de effectiviteit daarvan in de praktijk.

Symptoom 1: je privacyverklaring klopt niet

Als je WhatsApp zakelijk gebruikt, moet dat in je privacyverklaring staan. Niet als kleine noot, maar als serieuze vermelding. Je bent namelijk verplicht om betrokkenen te informeren over welke gegevens je verzamelt, met welke partijen je die deelt en of er doorgifte buiten de EU plaatsvindt.

Staat er in jouw privacyverklaring nu iets over WhatsApp? Wordt Meta genoemd als partij waarmee gegevens worden gedeeld? Staat er dat gegevens buiten de EU worden verwerkt en op welke juridische grondslag dat gebeurt? Bij de meeste ZZP’ers en kleine webshops is het antwoord op alle drie vragen: nee.

Dat is al een overtreding, ook al heb je verder niets fout gedaan. De meldingsplicht en transparantieverplichting zijn geen formaliteiten, het zijn harde AVG-eisen.

Symptoom 2: geen verwerkersovereenkomst, en die kun je ook niet afsluiten

Zoals hierboven uitgelegd: met Meta sluit je geen verwerkersovereenkomst af. Dat klinkt als een detail, maar het heeft praktische gevolgen voor jouw aansprakelijkheid. Als er een datalek plaatsvindt via WhatsApp, of als de Autoriteit Persoonsgegevens navraag doet, kun je niet aantonen dat je de verwerking contractueel hebt geborgd. Je staat dan met lege handen.

Voor een huisartsenpraktijk, een psycholoog, een advocaat of een accountant is dit extra problematisch, omdat zij bijzondere persoonsgegevens verwerken. Maar ook voor een gewone webshop of coach is het gebrek aan een verwerkersovereenkomst een zwak punt in je AVG-dossier.

Symptoom 3: klantgegevens op je telefoon zonder beleid

WhatsApp staat op je telefoon. Alle chatgeschiedenissen met klanten staan dus ook op je telefoon, en waarschijnlijk ook in een cloudback-up via iCloud of Google Drive. Heb je die back-up uitgeschakeld of versleuteld? Heb je een pincode of biometrische beveiliging op je toestel? En wat doe je met die chathistorie na drie jaar? Verwijder je die ooit?

De AVG vereist dat je persoonsgegevens niet langer bewaart dan noodzakelijk, en dat je passende technische maatregelen neemt om die data te beveiligen. Een onbeveiligde telefoon met jaren aan klantchats is geen passende maatregel.

De praktische weegschaal: wanneer is het risico acceptabel?

Hier is een eerlijk antwoord: voor sommige ondernemers is het risico kleiner dan voor anderen, en het heeft weinig zin om te doen alsof elk WhatsApp-berichtje even erg is.

Als je een timmerman bent die afspraken maakt via WhatsApp, naam en adres van een klant bewaart en af en toe een foto van het te verbouwen kozijn verstuurt, dan is het risico beheersbaar, mits je je privacyverklaring aanpast en je telefoon goed beveiligt.

Maar als je een diëtiste bent die via WhatsApp voedingsdagboeken bespreekt, of een coach die gevoelige persoonlijke situaties per app behandelt, of een webshop die orderdetails inclusief betaalinformatie via WhatsApp communiceert, dan is het risico veel groter. Bijzondere persoonsgegevens zoals gezondheidsdata mogen sowieso niet via WhatsApp worden uitgewisseld. Daar is de AVG heel duidelijk over.

Concrete noodgrepen als je WhatsApp voorlopig wilt blijven gebruiken

Kun of wil je niet direct overstappen? Dan zijn er maatregelen die je nu al kunt nemen om het risico te beperken.

  • Pas je privacyverklaring aan. Vermeld dat je WhatsApp gebruikt voor klantcontact, dat Meta daarbij gegevens verwerkt en dat er doorgifte naar de VS kan plaatsvinden. Verwijs naar het privacybeleid van Meta en de rechtsgrondslag (gerechtvaardigde belangen, of toestemming).
  • Documenteer toestemming. Als klanten via WhatsApp contact met je opnemen, is er een argument dat zij impliciet toestemming geven voor dat kanaal. Maar explicieter is beter: zet in je contactformulier dat klanten kunnen kiezen voor WhatsApp en wat dat betekent voor gegevensverwerking.
  • Beveilig je telefoon goed. Pincode, vingerafdruk of gezichtsherkenning is het absolute minimum. Zet automatisch schermvergrendeling na één minuut aan.
  • Zet cloudback-ups van WhatsApp uitof gebruik eind-tot-eind versleutelde back-ups als je platform dat ondersteunt.
  • Stel een bewaartermijn in. Verwijder chathistorie na bijvoorbeeld één jaar, of direct nadat de klantrelatie is beëindigd. Maak dit een vaste gewoonte, net als het opruimen van je factuuradministratie.

Wanneer overstappen de enige echte oplossing is

Voor sommige use-cases is WhatsApp voor klantcontact en AVG-compliance simpelweg niet te combineren. Als je bijzondere persoonsgegevens verwerkt, als je in de zorg, het onderwijs of de juridische sector werkt, of als je grote hoeveelheden klantdata via berichten uitwisselt, dan is overstappen de enige reële optie.

Wat zijn de alternatieven? Signal is end-to-end versleuteld en verzamelt minimale metadata. Voor eenvoudig één-op-één contact is het een prima keuze. E-mail met encryptie (via ProtonMail of met een S/MIME-certificaat) biedt een controleerbare, gedocumenteerde communicatielijn die je volledig in eigen beheer kunt houden. En als je echt een klantenserviceoplossing zoekt die schaalbaar en AVG-proof is, is de WhatsApp Business API via een gecertificeerde Business Solution Provider (BSP) een optie. BSP’s kunnen wél verwerkersovereenkomsten afsluiten, de data blijft binnen EU-datacenters en je hebt controle over retentie. Dit is een serieuze oplossing voor webshops en bedrijven met groter volume, maar vraagt wel investering en technische inrichting.

Vijf vragen om te weten of jouw gebruik een risico vormt

Beantwoord deze vragen eerlijk. Ze helpen je te bepalen hoe urgent actie is.

  • Staat WhatsApp en Meta expliciet in jouw huidige privacyverklaring vermeld als partij waarmee gegevens worden gedeeld?
  • Wissel je via WhatsApp gevoelige gegevens uit, zoals gezondheidsinfo, financiële details of persoonlijke situaties van klanten?
  • Is je telefoon beveiligd met minimaal een pincode en automatische schermvergrendeling?
  • Weet je waar je WhatsApp-back-ups naartoe gaan en zijn die versleuteld?
  • Heb je een beleid voor hoe lang je chatgesprekken met klanten bewaart, en pas je dat ook toe?

Als je op één of meer vragen “nee” antwoordt, is er werk aan de winkel. Niet om je bang te maken, maar omdat de AVG nu eenmaal geldt voor iedereen die persoonsgegevens verwerkt, ook als je dit met de beste bedoelingen doet via een app die miljarden mensen gebruiken.

WhatsApp voor klantcontact is praktisch, maar juridisch riskant zolang je er geen bewuste keuzes over maakt. De kern: je kunt geen verwerkersovereenkomst met Meta afsluiten, data wordt buiten de EU verwerkt, en dat staat zelden correct in privacyverklaringen. Gebruik je WhatsApp alleen voor oppervlakkige communicatie met zakelijke klanten, pas dan op zijn minst je privacyverklaring aan en beveilig je telefoon. Verwerk je gevoelige klantdata, dan is overstappen op een AVG-proof alternatief de enige verstandige keuze.