End-to-end-encryptie & privacy bij WhatsApp: waarom je toch moet oppassen

Deze blogpost verscheen oorspronkelijk 11 mei 2016 op Frankwatching.


Begin april introduceerde WhatsApp in één klap voor meer dan 1 miljard gebruikers end-to-end-encryptie. Enkele weken daarvoor verscheen een artikel in de zondageditie van De Financiële Telegraaf over WhatsApp en nieuwe boeterisico’s voor bedrijven (in verband met de Wet meldplicht datalekken). Wat is de precieze invloed van WhatsApps end-to-end-encryptie voor privacy en lopen bedrijven daardoor minder risico op een boete? Wat is de status quo?

WhatsApp en privacy

WhatsApp is niet meer weg te denken. 90 procent van de Nederlanders heeft de app op de telefoon. WhatsApp kampte de afgelopen jaren met een hoop privacy-kopzorgen. Het medium werd vaak bekritiseerd en weggezet als ‘privacy-nachtmerrie’ en pertinent ‘onveilig’. De overname door Facebook in 2014 met haar servers in de VS, maakte menig expert niet geruster.

Recent raadde de Autoriteit Persoonsgegevens het gebruik van WhatsApp door artsen nog af. Er werden Kamervragen gesteld over het gebruik van WhatsApp in de zorg. WhatsApp zou niet voldoen aan de beveiligingseisen voor de verwerking van gevoelige persoonsgegevens. Dit komt onder meer doordat media automatisch op de telefoon wordt opgeslagen. Vervolgens hebben andere applicaties en automatische cloudopslag toegang tot die media. Ook is onzorgvuldig gebruik van telefoons niet uit te sluiten. De eerste startups staan al paraat om deze leemte op te vullen. Wie komt als eerst met de ultieme ‘privacyproof’ oplossing?

End-to-end-encryptie

WhatsApp geeft niet op en lijkt zich de privacyzorgen steeds meer aan te trekken. In de voorwaarden van WhatsApp druipt het er van af: ‘WhatsApp respecteert uw privacy’. De nieuwste ontwikkeling daarin is end-to-end-encryptie. Dit betekent dat berichten, video’s en telefoongesprekken nu volledig versleuteld zijn. Iedereen kan dat zelf checken door de QR-code van de chat te vergelijken met die van de gebruiker aan wie de chat gericht is. Is die QR-code gelijk, dan is er geen sprake van een tussenpersoon die het gesprek onderschept.

Geen directe overwinning

Deze versleutelde communicatie is alleen voor de verzender en ontvanger inzichtelijk. Critici waarschuwen alleen terecht dat end-to-end encryptie niet per definitie betekent dat derden de gesprekken niet kunnen lezen. In het geval van een onversleutelde iCloud-back-up of als iemand toegang tot het toestel heeft, zijn de berichten nog steeds toegankelijk. Daarnaast is het gebruikte SSL3-protocol volgens technici nog steeds kwetsbaar.

Daarmee lijkt end-to-end-encryptie nog geen directe overwinning voor WhatsApp. Maar het is wel een stap in de goede richting. WhatsApp lijkt de woorden in haar statements en voorwaarden nu echt om te hebben gezet in daden. Dat zie je nu bij veel grote bedrijven. Privacy is een strategisch communicatiemiddel, met Apple en Google voorop in hun kruistocht tegen de FBI. Bedrijven onderscheiden zich tegenwoordig met hun privacybeleid. Het lijkt dan ook het MVO (maatschappelijk verantwoord ondernemen) van de toekomst.

Minder risico op een boete?

De versleuteling van de communicatie via WhatsApp is natuurlijk goed nieuws voor de gebruikers. Maar zijn bedrijven daarmee ook gered? Nee. Versleutelde gegevens zijn nog steeds persoonsgegevens als iemand de sleutel heeft. En die hebben de verzender en ontvanger in ieder geval allebei. Bedrijven hebben dus nog steeds te maken met de Wet bescherming persoonsgegevens (Wbp) en de daarin geïmplementeerde meldplicht datalekken. De Wbp zegt dat bedrijven klanten moeten informeren wat er met hun persoonsgegevens gebeurt en voor welke doeleinden die gegevens worden gebruikt.

Een bedrijf zal persoonsgegevens van klanten niet alleen ontvangen, maar ook versturen via WhatsApp. Wat doet het bedrijf met al die gegevens? Worden chatlogs bewaard in de WhatsApp-omgeving en zo ja, hoe lang? Of worden de gegevens gekopieerd in een beveiligd CRM-systeem en zijn andere applicaties uitgesloten? Welke medewerkers hebben de noodzakelijke toegang tot die gegevens?

Het risico blijft

Het is goed voorstelbaar dat bedrijven het meeste risico lopen als de service (ook) op mobiele apparaten wordt gebruikt. Hoeveel mensen hebben een kinderlijk eenvoudige viercijferige code op hun smartphone? Data kan nog steeds lekken, dus het boeterisico blijft op de loer liggen.

Compliancy en de Algemene Verordening Gegevensbescherming

Uit het artikel ‘Appservice is boeterisico’ bleek ook dat bedrijven WhatsApp zeker niet links hoeven te laten liggen. Het gaat er om hoe bedrijven WhatsApp inzetten en welke waarborgen bedrijven treffen. Zo werden wij na het verschijnen van dat artikel onder meer door een luchtvaartmaatschappij en een bank benaderd met de vraag hoe zij WhatsApp wel rechtmatig konden inzetten voor hun business. Is een disclaimer voldoende? Hoewel het een belangrijk onderdeel is van ‘compliant’ zijn (oftewel, voldoen aan de regelgeving), is een disclaimer zeker niet de enige remedie.

Op de weg naar compliancy is het belangrijk alvast in te spelen op de nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). De AVG is op 6 april dit jaar eindelijk goedgekeurd door het Europees Parlement en regelt tot in detail hoe men met data moet omgaan. Transparantie en keuzevrijheid richting de consument zijn de uitgangspunten van de wetgeving. Zo moeten bedrijven onder de nieuwe regels bijvoorbeeld een eigen ‘privacy-administratie’ bijhouden en een data protection officer aanstellen als data de core business van het bedrijf is.

Aan de slag met je to-do lijst voor privacy

Het is inmiddels een inkopper, maar het begint bij elk bedrijf met het creëren van awareness en het plan-do-check-act-principe. Awareness ontbreekt helaas bij de meeste Nederlandse bedrijven. Op de weg naar compliancy moeten nog een hoop hordes worden genomen. Dit kost veel tijd, energie en dus ook geld.

De schadelijke gevolgen zijn echter nog veel groter als jouw bedrijf aan de publieke schandpaal wordt genageld, omdat blijkt dat je niet de vereiste waarborgen had getroffen. Dan hebben we het nog niet over de nieuwe boetes die met de inwerkingtreding van de AVG (april 2018) gaan gelden: 10 miljoen of 2 procent van de wereldwijde jaaromzet, dan wel 20 miljoen of 4 procent van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding.

Actiepunten

Bij WhatsApp als klantenservice kun je in ieder geval de volgende actiepunten noteren:

  1. Stel vast welke data je verstrekt en van de klant wil ontvangen
  2. Stel vast hoe de gegevensstroom via WhatsApp door jouw bedrijf loopt
  3. Stel vast hoe (lang) en voor wie deze data toegankelijk moet zijn
  4. Informeer de klant vooraf over het doel van de gegevensverwerking
  5. Bied jouw klant evenwichtige mogelijkheden zijn gegevens in te zien, te veranderen en te verwijderen
  6. Vraag waar nodig expliciete toestemming van je klant
  7. Vraag niet om meer gegevens dan strikt noodzakelijk voor je dienstverlening
  8. Voed jouw beleid en protocollen met alle interne en externe afspraken, waaronder jouw privacystatement en informatiebeveiligingsbeleid

Wat vind jij van de end-to-end-encryptie: stap in de goede richting of alleen een doekje tegen het bloeden? Laat het me weten via rsa@kneppelhout.nl

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.