WhatsApp heeft deze week het berichtverkeer via haar instant messaging applicatie op mobiele telefoons van een miljard gebruikers voorzien van een sterke end-to-end encryptie. Gebruikers die de laatste versie van de applicatie op hun iPhone, Google device, Nokia of Blackberry gebruiken, verzenden hun berichten, bijlagen en gesprekken vanaf nu met de wetenschap dat alleen de beoogde ontvanger (dus ook WhatsApp zelf niet!) het bericht kan lezen.
WhatsApp is al sinds haar overname door Facebook in 2014 bezig met de beveiliging van haar instant messaging applicatie. Tot nu toe werkte de versleuteling van berichten enkel voor het Android besturingssysteem en alleen voor tekstberichten, dus niet voor foto’s, video’s of groepsgesprekken. De versleutelingstechnologie, die WhatsApp in de laatste update van de applicatie heeft geïmplementeerd, is ontwikkeld door Moxie Marlinspike, tevens een bekende bij de Amerikaanse Federal Bureau of Investigation (“FBI”). In het kader van het geschil rondom de versleuteling van Apple’s iMessage berichten kwam de versleuteling die WhatsApp hanteert ook al ter discussie. De versleuteling zou strafrechtelijk onderzoek in de weg staat.
WhatsApp informeert haar gebruikers in de gesprekken die via de applicatie plaatsvinden over de nieuwe versleuteling. Daarnaast geeft Whatsapp aan wanneer een bericht wordt verstuurd naar iemand die een oudere versie van de applicatie gebruikt, waarbij de communicatie nog niet ge-Marlinspiked is. Om te checken dat niemand berichten of oproepen onderschept kan de gebruiker een QR-code van de chat vergelijken met die van de persoon aan wie de chat gericht is. Komt die code overeen, dan is er geen sprake van een “man in the middle”.
Interessant is dat pas geleden de Autoriteit Persoonsgegevens (“AP”), zich nog kritisch heeft uitgelaten over het gebruik van de applicatie van WhatsApp door artsen voor het versturen van medische gegevens. De beveiliging van de dienst zou daarvoor niet passend zijn en de persoonsgegevens zouden gemakkelijk kunnen worden blootgesteld aan onrechtmatige verwerking. Dit kwam onder meer doordat foto’s en video’s automatisch in de foto-bibliotheek op de telefoon werden opgeslagen, vanaf waar andere applicaties toegang konden hebben tot de gegevens en/of de gegevens konden worden geüpload naar een gedeelde (familie) cloud. Daarnaast gaan sommige mensen simpelweg onzorgvuldig om met hun telefoon.
In de praktijk gebruiken steeds meer bedrijven de dienst van WhatsApp in hun bedrijfsvoering, niet alleen voor personeel om onderling informatie uit te wisselen zoals bij de casus van de artsen, maar ook bijvoorbeeld voor contact met klanten. Daarbij zal in de regel ook uitwisseling van – al dan niet gevoelige – persoonsgegevens plaatsvinden. Of de AP het gebruik van de WhatsApp applicatie in een zakelijke context (even los van de vraag of WhatsApp zelf dergelijk gebruik toestaat) nu nog steeds zal afraden vraag ik me af.
Met de nieuwe versleuteling in de applicatie van WhatsApp zal het eerste bezwaar tegen het gebruik van de dienst van WhatsApp voor het uitwisselen van (gevoelige) persoonsgegevens waarschijnlijk zijn weggenomen. Bovendien is bij het gebruik van de WhatsApp applicatie voor klantcontact de klant degene die zijn eigen persoonsgegevens toestuurt. In beginsel zal de klant dus zelf verantwoordelijk zijn voor het gebruik van dat communicatiemiddel en de beveiliging van de persoonsgegevens die daarmee verstuurd worden.
Ook het tweede bezwaar is een mouw aan te passen. Een bedrijf zou bijvoorbeeld de berichten van klanten kunnen ontvangen in een centraal communicatieportal. Er is dan geen sprake meer van (privé) telefoons waar de gegevens toegankelijk zijn voor andere applicaties die niet beoogd zijn om gebruik te maken van de gegevens. Ook is er dan geen probleem meer met rondslingerende of verloren telefoons. Een centraal communicatieportal kan bovendien worden voorzien van aanvullende beveiliging.
Daarbij dringt de vraag zich op in hoeverre het zakelijk gebruik van de dienst van WhatsApp afwijkt van bijvoorbeeld het gebruik van e-mail (waarvan berichten ook ontvangen worden op mobiele telefoons) voor hetzelfde doel. Hebben we hier wellicht een nieuwshype te pakken of zijn er daadwerkelijk gegronde redenen voor de paniek?
Met de juiste randvoorwaarden en zeker met de nieuwe beveiliging van de WhatsApp dienst moet het gebruik van de applicatie van WhatsApp in een zakelijke context – ook voor gevoelige gegevens – wat mij betreft mogelijk zijn.
Met dank aan: Vinne Schifferstein