App-apps

Het werkwoord whatsappen staat al sinds 2012 in de Dikke van Dale. Een jaar later werd daar het productneutrale appen aan toegevoegd. Ik had eerlijk gezegd geen idee dat we dat al zo lang doen. Sterker nog, een woord moet eerst zijn sporen verdiend hebben, wil het de Dikke halen. WhatsApp werd al in 2009 gelanceerd. In 2014 werd de app door Facebook ingelijfd.

Vooruit, nog een jaartal. Sinds 2016 kent WhatsApp end-to-end-encryptie. Dat betekent dat al jouw gesprekken – zowel in chats als wanneer je via de app belt – niet kunnen worden afgeluisterd. Jij bent het ene ‘end’ en je gesprekspartner is het andere ‘end’. Voor iedere gesprekspartner maakt je telefoon een unieke encryptiesleutel. Alleen wie over de sleutel beschikt, kan de berichten lezen. En dat zijn dus alleen jij en je gesprekspartner. Dat betekent dat niemand over je schouder kan meekijken, ook Facebook niet. Lekker privé dus.

Hoor je iets ritselen? Dat is het spreekwoordelijke addertje onder het gras. Als je met iemand chat, dan zijn er twee soorten gegevens: het eigenlijke bericht dat je typt, en de metadata. ‘Meta’ betekent zoveel als ‘over’; metadata zijn dus data over data, of in het geval van WhatsApp data over jouw conversaties: wie praat met wie. Maar ook hoe lang dat duurt, op welk type apparaat je zit, gegevens over je internetverbinding, locatie, welke apps je nog meer geïnstalleerd hebt, contactpersonen en nog wel meer. Eerder dit jaar is de gebruikersovereenkomst voor WhatsApp aangepast. Voortaan mogen al deze metagegevens vrijelijk met andere Facebook-bedrijven worden gedeeld. Ook jij hebt deze voorwaarden geaccepteerd. Of je hebt de app weggedaan. Andere opties waren er niet. Maar de EU schiet je te hulp: onze privacywetgeving staat dergelijke datadeling niet toe, en WhatsApp haastte zich dan ook om duidelijk te maken dat deze aanpassing niet voor ons geldt. Gemakshalve heb je haar wél alvast geaccepteerd, voor als iemand een slimme maas in de wet vindt of zo.

Er zijn alternatieven voor WhatsApp. Apps, die een soortgelijke look and feel hebben: ze zien er min of meer hetzelfde uit als WhatsApp en werken op vergelijkbare wijze. Sommige van die alternatieven zijn echter een stuk privacyvriendelijker dan de moeder aller chatapps. De bekendste daarvan is Signal. Die gebruikt dezelfde end-to-end-encryptie als WhatsApp (want WhatsApp gebruikt het door Signal ontwikkelde protocol). Het grote verschil is dat Signal geen commerciële basis heeft, maar met donaties wordt gefinancierd. Bovendien is het open source software: iedereen, die dat wil, kan in de broncode op zoek gaan naar verborgen functionaliteiten. Vooraanstaande cryptografen en privacyvoorvechters geven de voorkeur aan Signal.

Een ander alternatief is Threema. Deze open source app laat zich voorstaan op zijn AVG-compliance, anonimiteit (zelfs koppelen met telefoonnummer of e-mailadres is optioneel) en het niet verzamelen van gebruikersgegevens. Voor de Threema-app moet je wel betalen (eenmalig € 3,99 voor consumenten). Threema is een Zwitsers bedrijf dat zijn eigen servers gebruikt voor het berichtenverkeer. Daarmee heeft het een streepje voor op Signal, omdat die Amerikaanse app, die op Amerikaanse clouddiensten draait, onder Amerikaanse wetgeving met betrekking tot toegang door opsporings- en veiligheidsdiensten valt (Patriot Act, Freedom Act).

Er is ook een app die je wat mij betreft niet moet gebruiken: Telegram. Bij deze app staat end-to-end-encryptie standaard uit – je moet het dus zelf aanzetten als je het wilt gebruiken, en dat past niet goed bij principes als security by default en privacy by default – beveiliging en privacy horen standaard te zijn. En als je het dan hebt aangezet, dan moet je vraagtekens zetten bij de kwaliteit van de encryptie. Het gebruikte protocol is zelf ontwikkeld en niet open source, waardoor het niet onafhankelijk kan worden getoetst. Ook is het verdienmodel onduidelijk: de Russische oprichter beweert dat hij de app met zijn spaargeld financiert en voor dit jaar heeft hij vage plannen om er inkomsten mee te genereren. Momenteel is het bedrijf in Dubai gevestigd, maar het laat een spoor van landen achter zich waar de wetgeving zich tegen hen keerde.

Voor zakelijk en bedrijfsintern gebruik zijn er nog andere alternatieven, maar dat is meer iets voor beleids- en adviesnota’s dan voor een blog.

En nu? Allemaal weg van WhatsApp? Dat kun je wel willen, maar het gigantische marktaandeel van WhatsApp helpt daar niet echt bij. Zo’n beetje iedereen zit op WhatsApp, en als jij aankondigt dat je overstapt naar Signal, dan zou je wel eens heel snel in een digitaal isolement terecht kunnen komen. Het ecosysteem houdt zichzelf in stand: omdat iedereen er gebruik van maakt, durft niemand weg te gaan. Hoe doorbreken we deze impasse? Misschien door eerst maar eens een tijdje beide apps de gebruiken. Met iedereen, die Signal hééft, chat je alleen via Signal. Als maar genoeg mensen dat doen, dan komt er wellicht een keer een omslagpunt.

 

En in de grote boze buitenwereld …

• wordt WhatsApp ook gebruikt voor de verspreiding van malware.
• overtreden Europese bedrijven vaak de AVG door het gebruik van Amerikaanse clouddiensten.
• volgt de Android Advertising Identifier alles wat je doet.
• werpt Apple een barrière op voor apps die toegang willen tot de advertising identifier op iOS-apparaten.
• scoort de gemeente Utrecht een dikke onvoldoende op informatiebeveiliging (vooral de bescherming tegen insider threats laat te wensen over).
• is in heel Nederland veel mis op het gebied van informatiebeveiliging.
• schakelen gegevensdieven nu ook de klanten van hun slachtoffer in om ervoor te zorgen dat hun afpersing slaagt.
• moet een organisatie altijd even checken of het e-mailadres, dat ze als contactadres adverteert, ook echt van haar is.
• leverde een kwetsbaarheid in Zoom de Nederlandse ontdekkers twee ton op.
• zijn de gegevens van honderden miljoenen Facebookgebruikers (inclusief telefoonnummer) gelekt.
• check je hier of Facebook ook jouw telefoonnummer heeft gelekt.
• controleren nogal wat werkgevers hun thuiswerkende personeel.
• moeten die werkgevers zich daarbij wel aan de regeltjes houden.
• worden politieagenten online bedreigd.
• lag de EU digitaal onder vuur.
• verklein je met deze tips je digitale voetafdruk.