Privéberichten via WhatsApp

15-11-2016

‘Mag ik WhatsApp nu wel of niet gebruiken in mijn werk? Het is nu toch allemaal encrypted? Zelfs de FBI kan het niet kraken’, vroeg een zorgverlener uit de geestelijke gezondheidszorg aan mij. Ik zal bekennen dat ik het antwoord niet gelijk paraat had.

WhatsApp mocht je nooit gebruiken want het was niet veilig maar nu het berichtenverkeer volledig versleuteld is, waarom dan niet? Ik heb het uitgezocht.

Op zijn site claimt WhatsApp volledige end-to-end encryptie toe te passen. Alleen de zender en de ontvanger hebben de sleutels en niemand anders kan de berichten lezen. WhatsApp gebruikt hiervoor de encryptie van de open source applicatie Signal, met het double-ratchet protocol (AXOLOTL), dat in WhatsApp is ingebouwd door Open Whisper Systems' Moxie Marlinspike. In beveiligingskringen wordt dit gezien als ijzersterk.
Daarmee zou WhatsApp een prima berichten-app zijn om te gebruiken in de zorg waarin alle informatie privacygevoelig is. Maar er zijn wat argumenten om het toch sterk af te raden.

Tegenargumenten

In de eerste plaats is WhatsApp een Amerikaans bedrijf. Wat een bedrijf op zijn website zegt over de beveiliging kan marketing zijn en hoeft niet helemaal te kloppen. En de Amerikaanse overheid heeft een ander idee over privacy dan wij Europeanen.

In de tweede plaats is wel een open-sourceprotocol toegepast, maar omdat WhatsApp zelf geen open source is, is op geen enkele manier te controleren of WhatsApp niet stiekem een achterdeurtje heeft ingebouwd. Dat betekent dat zorgverleners niet kunnen aantonen, praktisch noch juridisch, dat ze er alles aan hebben gedaan om de privéberichten van zijn of haar patiënten te beschermen. En dan sta je juridisch zwak als er toch gedoe van komt. Met dit argument raadt ook de KNMG aan de beveiliging niet te vertrouwen.

In de derde plaats deelt WhatsApp gegevens met zijn moedermaatschappij FaceBook. FaceBook kan de gegevens – big data– analyseren en gebruiken voor marketingdoeleinden, zoals gerichte advertenties. Je kunt dit in de app uitzetten, maar er wordt alom aan getwijfeld of uitzetten wel echt werkt. Nu is het door de encryptie niet waarschijnlijk dat de inhoud van de berichten gedeeld wordt. Wel is duidelijk dat de meta data doorgegeven worden: telefoonnummers, wie met wie appt, hoe vaak dat gebeurt, locatiegegevens et cetera. En zeker in de geestelijke gezondheidszorg is het simpele feit dat een bedrijf weet dat iemand regelmatig met een zorgverlener appt al een schending van de privacy.

Overigens heeft WhatsApp aangekondigd het delen van gegevens met FaceBook in Europa voorlopig uit te zetten, waarmee het bedrijf aantoont dat het weet waar je woont.

Afspraken maken

Kortom zorgverleners, WhatsApp gebruiken voor het werk is nog steeds geen goed idee. Ik raad alle zorgverleners en hun patiënten aan om eens met elkaar af te spreken welk berichtenprogramma, dat controleerbaar (open source) en veilig is, voortaan te gaan gebruiken. Ik wil best helpen dat te organiseren, maar dan ook allemaal braaf meedoen! 

Berend de Vries

Een PDF versie van dit artikel vindt u hier.