WhatsApp heeft afgelopen week de berichten van een miljard gebruikers versleuteld en dat is goed nieuws, schrijft Vinne Schifferstein.
Vooral goed nieuws wie de app graag zakelijk gebruikt en vertrouwelijke gegevens deelt. Gebruikers die de laatste versie van de berichtenapp op hun iPhone, Google device, Nokia of Blackberry gebruiken, verzenden hun berichten, bijlagen en gesprekken met de wetenschap dat alleen de ontvanger naar keuze het bericht kan ontcijferen.
WhatsApp is al sinds 2014 bezig met de implementatie van de versleuteling van haar berichtenservice. Tot nu toe werkte de versleuteling slechts op sommige telefoons en in bepaalde situaties. De versleutelingstechnologie die WhatsApp gebruikt in haar laatste update van de app, is ontwikkeld door Moxie Marlinspike, wel bekend bij de Amerikaanse Federal Bureau of Investigation (FBI) .
WhatsApp informeert haar gebruikers over de versleuteling en ook als een bericht wordt verstuurd naar iemand die een oudere versie gebruikt van de app waarbij de versleuteling nog niet ge-Marlinspiked is.
De FBI heeft in haar onderzoek naar de versleuteling van Apple’s iMessage berichten, al laten doorschemeren niet blij te zijn met de positie die WhatsApp inneemt. Het onderzoeksbureau claimt dat de versleuteling strafrechtelijk onderzoek in de weg staat .
Versleuteling maakt Whatsapp zakelijk bruikbaar
Tegelijkertijd is de Nederlandse Autoriteit Persoonsgegevens altijd kritisch geweest op het gebruik van WhatsApp, omdat de app juist niet veilig genoeg zou zijn. Volgens de autoriteit zou Whatsapp niet de juiste waarborgen in acht neemt voor het versturen van persoonsgegevens via dit medium .
De Autoriteit raadde bijvoorbeeld tot nu toe artsen en verpleegkundigen af om medische gegevens van hun patiënten te delen via WhatsApp.
Er zijn echter geen redenen om te twijfelen aan de beveiliging van WhatsApp. Ten eerste heeft de Autoriteit al in 2013 onderzoek naar de berichtendienst gedaan. Het onderzoek is verouderd. Direct na het onderzoek heeft WhatsApp al passende maatregelen genomen. Bovendien lijkt met de huidige ontwikkelingen juist het tegendeel waar, de F.B.I. kan niet eens de berichtendienst tappen.
Het onderscheid dat de Autoriteit maakt tussen de verzending van 'gevoelige persoonsgegevens' en 'normale persoonsgegevens' via WhatsApp, is niet nodig .
De Wet Bescherming Persoonsgegevens (Wpb) vereist weliswaar dat persoonsgegevens worden beveiligd en dat beveiligingsmaatregelen zwaarder dienen te zijn naarmate verlies of onrechtmatig gebruik van de gegevens een grotere impact heeft op de persoon. Met die beveiliging zit het wel goed bij WhatsApp.
In het specifieke geval waar de Autoriteit in het verleden over viel (zie rapport), delen medisch vakgenoten gegevens over een derde – namelijk hun patiënt – met elkaar. De patiënt maakt dus niet zelf de keuze of en welke gegevens hij over zichzelf via de berichtenservice deelt.
Deze situatie is wezenlijk anders dan wanner een bedrijf ervoor kiest om WhatsApp in te zetten als klantenservicekanaal. Het bedrijf dat dit kanaal aanbiedt is geen verwerker van de gegevens en wordt daarom niet als verantwoordelijke gezien in de zin van de Wbp . Het zijn immers de klanten zelf die besluiten gegevens op een bepaalde wijze te verzenden. En dan is Whatsapp dankzij de nieuwe update veilig genoeg.