WhatsApp krijgt een nieuwe privacy-overeenkomst. Is de dienst nog veilig voor persoonlijk gebruik en binnen een bedrijfscontext? Welke data geef je nu echt allemaal prijs?
WhatsApp vernieuwt zijn gebruiks- en privacy-overeenkomst met gebruikers wereldwijd. Sinds Facebook de populaire berichtendienst in 2014 inlijfde voor 19 miljard dollar is dat steevast reden tot bezorgdheid. Team Zuckerberg marcheert immers zelden in de juiste richting wanneer het op privacy aankomt.
In de VS schreeuwen nieuwssites en gebruikers moord en brand: de nieuwe overeenkomst zou gebruikers verplichten om data met Facebook te delen. Anders mogen ze inpakken en een andere berichtendienst zoeken. Bij ons waakt de GDPR over het gebruik van persoonsgegevens en is het in theorie niet vanzelfsprekend om zomaar data over diensten heen te delen. We duiken daarom in de nieuwe overeenkomst op zoek naar de impact voor Europese eindgebruikers.
Verschil tussen EU en VS
De GDPR is zoals verwacht de rode draad wanneer we de overeenkomst beoordelen. Ondanks dat WhatsApp zijn beleid wereldwijd aanpast, geniet de EU van een lichtjes aangepaste overeenkomst. Hoewel de essentie hetzelfde blijft, tonen de aanpassingen het relatieve succes van de GDPR in de bescherming van onze data. Het kernwoord is relatief, want zoals je hieronder zal zien mogen Facebook en WhatsApp best wat uitspoken met je gegevens.
De EU geniet van een lichtjes aangepaste overeenkomst.
Eerst en vooral merken we op dat de nieuwe overeenkomst eigenlijk niet zoveel verschilt met de vorige. De focus ligt op verdere verduidelijkingen rond de samenwerking van WhatsApp en Facebook met bedrijven. Het gaat daarbij niet om heimelijke data-uitwisselingen, maar richtlijnen rond praktische toepassingen wanneer je met een bedrijf via WhatsApp communiceert. Als bedrijf ontvang je zo immers data van de klant, die je vervolgens kan gebruiken om je dienstverlening te verbeteren of marketingcampagnes te finetunen. Het gaat hier erg duidelijk om transparante communicatie tussen bedrijven en hun klanten waar de klant zelf voor kiest. Die relatie werd ook in een vorige update al meer op punt gesteld.
Metadata en Facebook
De grote paniek in de VS komt van de diepere integraties tussen WhatsApp en de andere eigendommen van Facebook. Die is meteen duidelijk wanneer we naar de Amerikaanse melding over vernieuwde voorwaarden kijken. Daarin vat WhatsApp drie pijlers van vernieuwing samen. De derde leest: “Hoe we samenwerken met Facebook om integraties te bieden over de producten van Facebook Company.” In de Europese melding zien we slechts twee puntjes: “De WhatsApp-dienst en hoe we uw gegevens verwerken”, en “Hoe bedrijven door Facebook gehoste diensten kunnen gebruiken om hun WhatsApp-chats op te slaan en te beheren.”
Dat die derde melding ontbreekt, is niet toevallig. Buiten de EU gaat Facebook actief data van WhatsApp gebruiken om niet aan WhatsApp gerelateerde diensten te verbeteren. Dat betekent dat een WhatsApp-gebruiker een Facebook-ervaring op maat zal krijgen op basis van data die Facebook via WhatsApp verkrijgt.
Het gaat daarbij exclusief om metagegevens, maar die verhullen al veel. Denk aan data over met wie je chat, hoe vaak, wanneer je het laatst online was, hoe snel je reageert en in welke regio je woont of op reis bent.
Hoera voor de GDPR
Ook in Europa verzamelt WhatsApp die gegevens, maar die worden expliciet niet gebruikt om diensten buiten WhatsApp te verbeteren of aan te passen. De GDPR-regelgeving in de EU verbiedt Facebook om de data van WhatsApp voor die doeleinden in te zetten buiten WhatsApp zelf.
Dat zeggen Facebook en WhatsApp ook letterlijk: “We delen geen data om Facebook-producten of Facebook te verbeteren of meer relevante Facebook-advertentie-ervaringen te bieden.” WhatsApp is transparant over de oorzaak. “Dat is het resultaat van gesprekken met de Ierse Data Protection Commission en andere databeschermingsautoriteiten in Europa.” Moederbedrijf Facebook geeft wel aan op zoek te zijn naar een mechanisme om een dergelijke samenwerking wel mogelijk te maken, maar zoiets bestaat vandaag nog niet. Moest er toch iets uit te bus komen, dan zal je daar bovendien tijdig een update van krijgen.
Verdere pluspunten in de EU
De GDPR drukt verder een duidelijke stempel op de bewoordingen, de manier waarop WhatsApp communiceert en een handvol nuances in de privacy-overeenkomst. In de VS is de hele overeenkomst bijvoorbeeld te nemen of te laten: staat het je niet aan, dan mag je beschikken. In Europa wijst WhatsApp erop dat je bepaalde zaken kan weigeren maar in dat geval een meer beperkte dienstverlening krijgt. Verbied je WhatsApp bijvoorbeeld om naar je locatie te kijken, dan kan je de chat-app blijven gebruiken maar wordt het onmogelijk om je locatie met vrienden of collega’s te delen.
De hele overeenkomst ziet er ook een stuk netter uit in de Europese versie. Voor ons is ze dynamisch onderverdeeld in uitklapbare hoofdstukken terwijl de rest van de wereld een grote muur aan tekst krijgt. Tot slot krijg je in Europa de optie om de nieuwe privacy-overeenkomst minstens tijdelijk naast je neer te leggen, terwijl gebruikers aan de andere kant van de oceaan enkel kunnen instemmen met de nieuwe bepalingen.
Weinig nieuws onder de Europese zon
Er verandert voor ons dus erg weinig met deze recentste overeenkomst. WhatsApp verzamelde al langer metadata en blijft dat ook doen. De dienst weet dus met wie je praat en wanneer, maar mag die data niet gebruiken om Facebook te verbeteren. Hetzelfde geldt voor de contacten die je via WhatsApp importeert, daar verandert niets. We zien wel duidelijk dat Facebook WhatsApp erg graag dichter wil integreren. In de VS lukt dat, in de EU steekt de GDPR daar voorlopig een stokje voor.
Facebook wil verder een verdienmodel opbouwen rond WhatsApp gericht op bedrijven en ook dat is duidelijk uit de overeenkomst. Chat je met een kledingwinkel of een luchtvaartmaatschappij, dan kan die organisatie aan de slag gaan met je berichten richting hen. Dat lijkt ons logisch maar wordt voor de goede orde verduidelijkt in de bepalingen.
Encryptie
We verduidelijken verder nog graag dat noch WhatsApp, noch Facebook de berichten die je naar vrienden, collega’s en familie verstuurt kan lezen. Die zijn end-to-end versleuteld volgens het opensource Signal-protocol en daar verandert niets aan. WhatsApp leest niet mee met wat je stuurt, is dat niet van plan en kan het zelfs technisch niet. Berichten worden evenmin opgeslagen op de servers van de dienst zelf. In de overeenkomst lezen we letterlijk dat de encryptie er speciaal op gericht is om het ook voor de dienstverlener zelf onmogelijk te maken mee te lezen.
Berichten zijn end-to-end versleuteld en Whatsapp noch Facebook lezen niet mee.
We zien wel dat er enige verwarring is ontstaan rond bepalingen in verband met de back-ups van chats. In de overeenkomst verduidelijkt Facebook dat je via een extern platform een back-up kan maken van je chatgeschiedenis. Die is niet versleuteld. Maak je op een Android-telefoon een back-up, dan staat die op Google Drive. Ook daar staan je gegevens in principe veilig, al vallen ze vanaf dan onder de bevoegdheid en de regels van Google. Wie voor maximale veiligheid wil gaan, maakt dus best geen back-up. Al is het risico verwaarloosbaar.
De kern van de zaak
Hieronder hebben we de belangrijkste zaken samengevat:
- WhatsApp verzamelt (nog steeds) metadata over je gebruik. Daaronder valt hoe vaak je online bent, je IP-adres, met wie je chat en hoe vaak.
- WhatsApp gebruikt die gegevens voor de verbetering van de eigen dienstverlening.
- Metagegevens worden niet gedeeld met Facebook.
- Berichten zijn en blijven end-to-end versleuteld volgens een uitstekend opensource-protocol. Op de bedoelde contactpersonen na kan niemand meelezen met wat je schrijf, niet WhatsApp zelf en al zeker niet Facebook.
- De extra beperkingen zijn uniek voor de EU met dank aan de GDPR.
Was je comfortabel met het gebruik van WhatsApp, dan mag je ook nu gerust instemmen met de overeenkomst. Ook voor bedrijven blijft de dienst een veilige communicatietool dankzij de versleuteling. Op dat vlak verandert er niets. De communicatie tussen bedrijven als identiteit en klanten zelf berust voortaan wel op aangepaste bepalingen die eigenlijk weinig meer zijn dan een afspiegeling van de realiteit.
Ken je Signal al?
Tot slot merken we nog op dat er alternatieven bestaan. Het beste daarvan is wat ons betreft Signal. De Signal-app is gebouwd op het protocol dat ook WhatsApp gebruikt, maar is niet in handen van een groot bedrijf. Signal werkt onder andere op donaties en kreeg een bom geld van de oprichters van WhatsApp na de verkoop van die dienst aan Facebook. De toepassing doet alles wat WhatsApp doet en meer, met dezelfde garanties voor end-to-end-versleuteling. Het belangrijkste is echter dat Signal niet zoals Facebook aan de slag wilt gaan met zoveel van je persoonsdata als de wetgeving toelaat.