WhatsApp vs. Signal, hoe veilig zijn je chats nou echt?

Zowel WhatsApp als Signal gebruiken hetzelfde encryptieprotocol, het Signal Protocol, waarmee je berichten worden versleuteld. Dat betekent dat alleen jij en de ontvanger kunnen lezen wat er staat, niet de app zelf en ook niet iemand die onderweg probeert mee te gluren. Prima geregeld, zou je denken, maar encryptie is niet het hele verhaal. Volgens een studie van (Goldfeder, Felten, Shmatikov, 2016) beschermt encryptie de inhoud van je berichten, maar niet de zogenaamde metadata. En juist die data kunnen veel zeggen, zoals met wie je contact hebt, hoe vaak, hoe laat en vanaf welke locatie. Op zichzelf klinkt dat misschien abstract, maar met een beetje context kun je daar verrassend veel uit afleiden, van je dagindeling tot je relaties en zelfs je politieke voorkeur.

Hier maakt Signal echt het verschil. Zij doen er alles aan om ook je metadata te beschermen. Zo gebruiken ze een systeem genaamd Sealed Sender, waardoor zelfs zij zelf niet weten wie je bent of aan wie je iets stuurt. Ze verzamelen geen contactgegevens, slaan geen berichten op en houden ook geen logs bij. WhatsApp, onderdeel van Meta, doet dat wel. De inhoud van je berichten blijft geheim, maar je telefoonnummer, apparaatgegevens, locatie en contacten kunnen wél worden gebruikt, bijvoorbeeld om advertenties op Facebook en Instagram beter af te stemmen.

Dat verschil komt neer op het bedrijfsmodel. Signal is een non-profitorganisatie die draait op donaties en geen belang heeft bij jouw gegevens. WhatsApp is onderdeel van een beursgenoteerde techgigant die verdient aan advertenties. Volgens een studie van (Aggarwal, Henecka, 2021), gepubliceerd in Proceedings on Privacy Enhancing Technologies, vertrouwen mensen apps zonder winstoogmerk structureel meer. Gebruikers voelen zich simpelweg veiliger als ze weten dat hun data niet als verdienmodel dienen.

Ook op het gebied van transparantie scoort Signal hoger. De app is volledig open source, wat betekent dat de broncode openbaar is en kan worden gecontroleerd door externe beveiligingsexperts en ethische hackers. Fouten worden sneller ontdekt en opgelost. WhatsApp is grotendeels gesloten bron, dus je moet maar vertrouwen dat Meta zich aan hun eigen regels houdt. En eerlijk is eerlijk, dat vertrouwen is door de jaren heen niet altijd even stabiel gebleven.

Er zijn ook voorbeelden van waar het fout ging. Denk aan het Pegasus-schandaal uit 2019, waarbij via een kwetsbaarheid in WhatsApp spionagesoftware op telefoons werd geïnstalleerd zonder dat gebruikers iets hoefden aan te klikken. Journalisten en activisten werden onbewust gevolgd. Signal heeft zulke schandalen niet meegemaakt, maar dat betekent niet dat het ondoordringbaar is. Een studie van (Shahid, Sinha, 2023) liet zien dat je via geavanceerde netwerkanalyse alsnog bepaalde gebruikspatronen kunt achterhalen, zelfs als de inhoud zelf goed is versleuteld. Technisch ingewikkeld, maar niet onmogelijk.

Toch is privacy niet alleen een kwestie van technologie. Het draait ook om gedrag, gewoonte en groepsdruk. WhatsApp is met meer dan twee miljard gebruikers de standaard. Groepsapps voor werk, school, sport en familie, iedereen zit erin. Signal voelt rustiger aan, heeft minder gebruikers en dus ook minder sociale druk om actief te blijven. Hoewel de app inmiddels functies ondersteunt als videobellen, gifs en groepschats, mist het voor veel mensen het vertrouwde WhatsApp-gevoel.

Volgens onderzoek van (Acquisti, Brandimarte en Loewenstein,2015) bekend van de zogenaamde ‘privacy paradox’, zeggen mensen privacy belangrijk te vinden, maar maken ze daar in de praktijk weinig werk van. Gebruiksgemak en sociale gewoontes winnen het vaak van principes. Je kunt Signal nog zo veilig vinden, maar als je vrienden, collega’s of je voetbalteam er niet op zitten, dan blijf je toch vaak gewoon op WhatsApp hangen.

Wetgeving speelt ook een rol. Overheden kunnen via juridische verzoeken toegang eisen tot gebruikersdata. Signal heeft dan weinig af te staan, omdat ze praktisch niks bewaren. WhatsApp daarentegen heeft in landen als India en het Verenigd Koninkrijk metadata gedeeld met autoriteiten. Volgens een paper van (Satariano en Greenberg,2020) zijn juist commerciële platforms vaker het doelwit van juridische druk, simpelweg omdat er bij hen meer data te halen valt.

En dan is er nog het punt van vertrouwen op reputatie. Signal wordt gesteund door privacy-voorvechters als Edward Snowden en geniet vertrouwen binnen de community van cybersecurity-experts. WhatsApp heeft te maken met het imago van Meta. Iedere keer dat er weer iets verandert in de privacyvoorwaarden, ontstaat er ophef en stappen mensen tijdelijk over naar alternatieven zoals Signal of Telegram. Maar na een paar weken keert het gros gewoon terug, omdat tja, het is toch wel lekker makkelijk.

Beide apps beschermen je berichten goed, maar de aanpak verschilt enorm. WhatsApp biedt goede encryptie, maar gebruikt wel metadata voor commerciële doelen. Signal pakt het strikter aan, verzamelt vrijwel niks en is technisch transparanter. Maar overstappen vraagt meer dan een veilige app alleen. Je hebt ook een netwerk nodig dat mee verhuist. Privacy is dus niet alleen een keuze in instellingen, maar ook een sociale uitdaging. Als je echt wilt dat je data van jou blijven, is Signal voorlopig de betere optie, maar of je die overstap ook echt maakt, hangt vooral af van de mensen om je heen.