Dat grote sociale mediaplatforms onze gegevens verzamelen is bekend, maar op de een of andere manier blijft WhatsApp vaak buiten schot. Met twee miljard gebruikers per maand is het de grootste berichtendienst ter wereld – het werd vooral populair nadat het in 2016 end-to-endversleuteling introduceerde. Mensen vertrouwen erop dat alle berichten die ze via WhatsApp sturen veilig zijn. Terecht, zou je zeggen. Maar het is niet het volledige verhaal.
End-to-endversleuteling zorgt ervoor dat niemand behalve de verzender en ontvanger toegang heeft tot het gesprek – zelfs WhatsApp zelf niet. Een messenger-app gebruiken die dit niet heeft is net zoiets als lange trektochten maken op je slippers: erg dom.
Videos by VICE
Dat betekent nog niet dat WhatsApp een fantastische app is. Als je wat verder kijkt dan deze encryptie, blijkt namelijk dat de prioriteit van het bedrijf helemaal niet ligt bij de privacy van gebruikers en gegevensbescherming. Ook de plannen om de app te koppelen aan andere diensten van Facebook, zoals Facebook Messenger en Instagram, zijn zorgwekkend. Er zijn meerdere redenen waarom je WhatsApp eigenlijk beter van je telefoon zou kunnen halen, en in te ruilen voor een betrouwbaarder alternatief.
1. WhatsApp wil toegang tot al je contactgegevens
WhatsApp wil heel graag toegang tot al je contactgegevens, en niet alleen van de mensen die de app ook zelf gebruiken. In de servicevoorwaarden staat dat je akkoord moet gaan dat je “regelmatig de telefoonnummers in het adresboek van uw mobiele telefoon, waaronder van zowel de gebruikers van onze diensten als uw andere contacten” verstrekt.
Technisch gezien zou je dat best kunnen weigeren, maar WhatsApp straft je daar vervolgens wel voor: ineens kun je de namen van je contacten niet meer zien – wat best irritant is als je iemand een bericht wilt sturen – en je kunt niet meer WhatsApp-bellen of groepen aanmaken.
Als je wel toestemming geeft, kan WhatsApp de namen zien van je gynaecoloog en je dealer. Er wordt nog altijd gediscussieerd in hoeverre dit überhaupt legaal is, vooral sinds de Algemene verordening gegevensbescherming (AVG) van de Europese Unie in werking trad, die het verboden maakt om persoonlijke gegevens zonder toestemming te verzamelen. Als er dus iemand in je contactenlijst staat die zelf geen WhatsApp heeft, wordt diens telefoonnummer alsnog gedeeld met WhatsApp – zonder daarvoor expliciet toestemming te vragen. Hiermee kan het platform ook zelf netwerken in kaart brengen van contacten, en hun onderlinge interacties.
Signal, een vergelijkbare app, hoeft daarentegen geen toegang tot je contactenlijst. Sterker nog: dit platform zet de telefoonnummers van je contacten om in andere karakters, ook wel ‘hashes’ genoemd. Signal kent dus alleen de hashes, maar niet de echte nummers – en het slaat geen informatie op op zijn servers.
WhatsApp lijkt niet zoveel belang te hebben in dat soort oplossingen. Moederbedrijf Facebook is erbij gebaat om zoveel mogelijk gegevens te verzamelen, aangezien het leeft van advertenties. En door akkoord te gaan met de gebruikersovereenkomsten, geven we WhatsApp toestemming om onze gegevens ook te delen met andere bedrijven van Facebook, en ons telefoonnummer te verbinden met onze accounts. En dan heeft Mark Zuckerberg ook nog plannen om WhatsApp, Instagram DM en Facebook Messenger samen te laten smelten tot een grote messenger-dienst.
2. WhatsApp houdt bij wat je uitspookt
WhatsApp weet dus niet wat voor je berichtjes je precies verstuurt – fijn. Maar voor de rest verzamelt het wel vrijwel alles daaromheen. “Hoe u interageert met anderen via onze diensten en de tijd, frequentie en duur van uw activiteiten en interacties,” staat op de site. WhatsApp houdt dus dan wel niet bij wat je allemaal bespreekt, maar ze kunnen wel weten waar, met wie en hoelang.
Tenzij je de standaardinstellingen aanpast, heeft WhatsApp – en eigenlijk iedereen met jouw telefoonnummer – toegang tot je profielfoto, gebruikersnaam, status en het tijdstip waarop je voor het laatst online was.
Dit soort informatie wordt vaak als ‘metadata’ afgedaan. Maar zoals Edward Snowden in zijn biografie schreef: “De waarheid is helaas dat de inhoud van onze communicatie zelden zoveel onthult als de elementen eromheen: de ongeschreven, onuitgesproken informatie die de bredere context en gedragspatronen kunnen laten zien.”
3. WhatsApp zou je informatie met de politie kunnen delen
WhatsApp is geen surveillance-tool van de politie en techbedrijven roepen grote problemen op zich af als ze te nauw samenwerken met de overheid. Toch is het onder bepaalde omstandigheden wel degelijk mogelijk dat dit soort partijen jouw gegevens in willen zien. “We zijn bereid om zorgvuldig alle verzoeken van politie en justitie op basis van de toepasselijke wet door te nemen, te valideren en daaraan tegemoet te komen,” staat op de pagina die WhatsApp speciaal heeft opgesteld voor politie en justitie. En daar is natuurlijk niks mis mee als er op deze manier ernstige misdaden kunnen worden opgelost.
Maar wat de politie kan en wil doen, hangt wel maar net af van de plek waar je woont en aan de politieke situatie. Niemand kan garanderen dat dit in de toekomst niet de foute kant opgaat, of dat de schat aan gegevens van WhatsApp niet wordt gehackt door een werknemer.
De enige gegevens die veilig zijn, zijn gegevens die nooit zijn verzameld. Apps als Signal en Threema, die een minimale hoeveelheid gegevens en contactinformatie verzamelen, zijn wat dat betreft de beste opties.
4. Medeoprichter Brian Acton is het bedrijf ontvlucht
Het is lastig om vertrouwen te hebben in de richting die WhatsApp onder Mark Zuckerberg is ingeslagen als medeoprichter Brian Acton dat ook niet had. Nadat hij het platform in 2014 voor 22 miljard dollar (ruim 18 miljard euro) verkocht aan Facebook, vertrok hij omdat hij het niet eens was met de manier waarop er met privacy werd omgegaan en geld werd gegenereerd.
Acton zei dat bestuursleden van Facebook ook bedrijven op WhatsApp wilden kunnen laten adverteren, en Acton moest onderzoeken hoe ze het gedrag van gebruikers inzichtelijk konden maken voor deze partijen. Oftewel: ze wilden gebruikersgegevens verkopen zoals Facebook en Instagram dat ook doen. Acton vertrok, weigerde een geheimhoudingsverklaring te ondertekenen en liep 850 miljoen dollar (725 miljoen euro) aan aandelen mis. In maart 2018 tweette hij: “Het is tijd. #deletefacebook.”
5. WhatsApp vraagt je om je end-to-endversleuteling te verbreken
Af en toe krijg je misschien al een venstertje te zien waarin je gevraagd wordt of je een backup van je chatgeschiedenis op Google Drive of iCloud wilt opslaan. Dat lijkt wel een goed idee, maar is ook een geniepige valkuil: hier komt namelijk geen end-to-endversleuteling bij kijken.
“De media en berichten in de back-up op Google Drive zijn niet beschermd met WhatsApp end-to-end versleuteling,” staat op de site van WhatsApp. En datzelfde geldt voor iCloud.
Hoe belangrijk vind je het om toegang te hebben tot je chatgeschiedenis? Backups brengen altijd het risico met zich mee dat iemand anders naar je oude berichten kan gluren. Berichten die na een tijdje automatisch verwijderd worden zijn hier de beste bescherming tegen, maar dat kan bij WhatsApp niet. Bij Wickr, Signal en Wire wel.
6. De code van WhatsApp is niet openbaar
WhatsApp wil niet prijsgeven hoe het precies is geprogrammeerd. Dat klinkt misschien lekker veilig, maar dat is het juist niet: software is het veiligst wanneer de code openbaar is. Bij “open source”-software kunnen onafhankelijke deskundigen zorgvuldig onderzoeken of er kwetsbaarheden in zitten.
Signal, Wire en Wickr zijn open source, en Threema binnenkort ook. WhatsApp gebruikt wel gedeeltelijk dezelfde versleuteltechnologie als Signal, dus dat deel kan nog wel onafhankelijk worden onderzocht.
Het zou heel makkelijk kunnen zijn – als iedereen het zou doen
Er is ook een groot argument om nog wél WhatsApp te gebruiken: iedereen doet het. Dus best begrijpelijk als je het niet meteen verwijdert, maar verandering moet wel ergens vandaan komen.
Betere alternatieven zijn Signal, Threema, Wickr en Wire. Telegram niet, trouwens. En mocht je een liefhebber zijn: hier kun je lezen waarom zelfs Signal niet volledig perfect is. Want tech kán ook simpelweg niet volledig veilig zijn.
Dit artikel verscheen oorspronkelijk bij VICE Duitsland.