Vrijwel iedereen in Nederland gebruikt WhatsApp. We hebben er contact met partners, collega’s, vrienden en buren (kan ik van iemand een ladder lenen?). De laatste tijd hoor je steeds meer over hoe slecht WhatsApp voor je privacy zou zijn. Er wordt van alles geclaimd, maar wat daarvan is er nou écht waar?
De zorgen
WhatsApp is een onderneming van Meta, voorheen bekend als Facebook. De Amerikaanse onderneming staat met recht alom bekend als één van ‘s werelds grootste boosdoeners wanneer het aankomt op online privacy. We worden om de oren geslagen met de claim dat het bedrijf je gegevens zou verkopen, maar met die verwoording ben ik het niet eens. Dit creëert namelijk het beeld dat het jouw persoonsgegevens zou willen verkopen aan derden. Meta doet dit niet, de gegevens zijn veel te waardevol.
Hoe die privacyschending dan wel werkt? Trackers van Meta zitten op meer dan 17% van alle websites. Websites bouwen de zogenaamde Meta Pixel in op hun site. De tool geeft websitebeheerders inzicht in de effectiviteit van marketingcampagnes en de interactie van bezoekers met hun website. Via cookies worden zogenaamde standard events gelogd - als je een product op een website bekijkt, bijvoorbeeld, wordt jouw interesse in dit product geregistreerd. Het andere onderdeel van de geldmachine die Meta is, bestaat uit de tijd die je besteed op de verslavende apps van het bedrijf. Instagram en Facebook zijn het populairst. Hier, maar ook op sites van derden worden advertenties weergegeven. Je raad het al: Meta weet exact wat je interessant vindt.
Als onderdeel van Meta is de app onvermijdelijk het slachtoffer van een enorme lading achterdocht. Slechts een deel hiervan is terecht. Bepaalde gegevens zijn bij het gebruik van WhatsApp namelijk afgeschermd van derden, maar een ander deel wordt onderdeel van de datamachine van Meta.
Gedeeltelijke bescherming
Voor de berichten die je stuurt wordt er in WhatsApp gebruik gemaakt van end-to-end versleuteling (E2E). Dat houdt in dat voor elke chat een cryptografische sleutel wordt aangemaakt, lokaal op het apparaat van elke deelnemer van de chat. Berichten die je uitwisselt kunnen daarom in principe alleen door jouzelf en de ontvanger(s) gelezen worden. Dit geldt voor tekstberichten, maar ook het verzenden van foto’s, je locatie, WhatsApp-bellen, eigenlijk alle correspondentie die via het platform plaatsvindt.
Er zijn echter een aantal problemen met de app. De belangrijkste is metadata. Metadata is te definiëren als gegevens over gegevens. Deze zijn bij WhatsApp niet E2E-encrypted en daarom beschikbaar voor de hongerige datamachine van Meta. Meta leert door je gebruik van WhatsApp met wie je chat, op welke tijden en hoe lang en wat voor soort berichten je stuurt. Daarnaast is je lijst met contacten niet privé, evenals groepsnamen en -omschrijvingen en profielfoto’s. De inhoud van de berichten valt hier dus gelukkig buiten, maar Meta kan zo wel een heel mooi beeld vormen van je social graph. Deze gegevens zijn heel waardevol voor de reclametargeting die ik eerder omschreef. Met wie zit je in de groep genaamd ‘gezin’? Met wie wissel je berichten uit als je op je werk bent?
Een ander potentieel probleem is het backupsysteem van WhatsApp. WhatsApp biedt de mogelijkheid om van de chats die je op je apparaat hebt staan een reservekopie te maken in de cloud - in dit geval iCloud als je een iPhone hebt en Google Drive als je een Android-telefoon gebruikt. Standaard is de backup niet end-to-end versleuteld, wat betekent dat Google ofwel Apple in principe al je appjes kan inzien, en mogelijk gebruiken voor marketingdoeleinden. Of ze dit doen is een tweede, maar je wordt dus onderworpen aan het privacybeleid van nóg een techgigant. WhatsApp heeft gelukkig tegenwoordig de optie end-to-endversleuteling aan te zetten voor backups. Je kiest dan een wachtwoord voor de backups, en Apple of Google verliest zijn toegang tot je berichten. Maar jij kunt deze versleuteling dan wel inschakelen (doe dit vooral!), de mensen waarmee je chat hebben dat waarschijnlijk niet gedaan.
Eigenlijk hebben we als Nederlanders geluk
WhatsApp is dus niet de meest betrouwbare bewaker van persoonsgegevens denkbaar. Meta komt in detail te weten hoe je sociaal leven gestructureerd is. De inhoud van berichten worden gelukkig niet door Meta gebruikt voor marketingdoeleinden, en dat is al heel wat.
In heel veel landen is Facebook Messenger namelijk het populairste platform, of WeChat in China, Snapchat (onder jongeren in Nederland zeer populair), Telegram of zelfs SMS. Deze opties bieden geen E2E-encryptie voor je berichtinhoud. Het verschilt per platform, maar je gespreksonderwerpen kunnen gebruikt worden om je relevante advertenties te laten zien en een uitgebreid profiel van je op te bouwen. De data van Nederlanders is dus over het algemeen wat beter beschermd dan in sommige andere landen het geval is.
Alternatieven, en het probleem daarmee
Vaak worden Telegram en Signal als betere alternatieven genoemd. Telegram is een mooie, snelle chatapp vol met features, maar end-to-endversleuteling staat standaard uit. Voor groepschats is het zelfs onmogelijk. Mensen die beweren dat de app meer privacy biedt dan WhatsApp, hebben zicht simpelweg niet goed ingelezen.
Signal komt veel dichterbij perfectie. Het team achter Signal was ook verantwoordelijk voor het opzetten van de E2E-versleuteling van WhatsApp, maar Signal heeft toegang tot veel minder van je metadata.
Naast Signal zijn er nog wel een aantal mooie opties, maar het grote probleem daarmee is dat niemand ze gebruikt. Je kunt Signal wel downloaden; misschien ken je één of twee mensen die er ook op aanwezig zijn. Maar het is enorm lastig om de hele populatie over te halen te verkassen naar een nieuwe chatapp. Vooralsnog, ben ik bang, blijven Nederlanders bij WhatsApp. Aangezien hele hordes mensen lastig te overtuigen zijn van de noodzaak om beter over hun gegevens te waken, hebben we in Nederland maar geluk dat WhatsApp de meest gebruikte chatapp is. Want het kan makkelijk nóg slechter.