'Ik heb toch niets te verbergen.' Zodra het gesprek op chatcontrole komt, is dat het antwoord dat je het vaakst hoort. En het is precies de verkeerde reactie. Niet omdat jij stiekem wél iets verbergt, maar omdat die zin een privépersoon verwart met een ondernemer.
Als ondernemer bewaar je nauwelijks geheimen van jezelf. Je bewaart de offerte waarmee je een aanbesteding wint, de klantenlijst waar een concurrent een moord voor zou doen, een polisnummer, een diagnose, een loonstrook. Dat is data die je voor een ander onder je hoede hebt. Of jij iets te verbergen hebt, is niet de vraag. De vraag is wie er bij die andermans-data kan.
Dus laat ik het scherp stellen: 'ik heb niets te verbergen' is geen risicoanalyse. Voor een bedrijf is de enige vraag die telt welke van je communicatiekanalen echt end-to-end versleuteld zijn, en wie er dus bij de inhoud kan. Chatcontrole maakt die vraag urgent, maar het antwoord had je sowieso al moeten kennen.
Wat chatcontrole nu wel en niet doet
Even de feiten, want daar ontstaat de meeste verwarring. Toen het Europees Parlement de vrijwillige variant op 9 juli opnieuw van kracht liet worden, veranderde er formeel niets aan jouw verplichtingen. Chatcontrole 1.0 legt geen enkel bedrijf een scanplicht op. Wat het doet, is grote Amerikaanse aanbieders toestaan de berichten en e-mails die door hún systemen lopen weer te doorzoeken op bekend misbruikmateriaal, zonder dat een rechter daar toestemming voor gaf.
En dat raakt precies het misverstand. WhatsApp en Signal blijven buiten schot: die zijn end-to-end versleuteld, dus de aanbieder kan de inhoud serverzijdig niet lezen, ook niet als hij zou willen. Wat wél weer scanbaar is, zijn de kanalen die nooit end-to-end waren: webmail als Gmail en iCloud, en directe berichten op Instagram, Discord, Snapchat en Skype. Voor veel bedrijven loopt daar dagelijks vertrouwelijk verkeer doorheen, in de veronderstelling dat 'op een appje' hetzelfde is als 'privé'.
Het verschil zit hem dus niet in de app, maar in het regime eronder. Twee bedrijven die allebei 'op WhatsApp' zeggen te werken, kunnen een heel andere blootstelling hebben zodra de helft van hun verkeer eigenlijk via webmail en gedeelde mappen loopt.
'Niets te verbergen' verwart jou met de burger
Terug naar die zin, want hij zit dieper dan één debat. 'Niets te verbergen' is een uitspraak over jou als burger: heb jij iets misdaan? Maar een bedrijf is geen burger. Het is een verwerker. De gegevens die langs je kanalen gaan, zijn grotendeels niet van jou. Ze zijn van je klanten, je patiënten, je cliënten, je personeel.
Daar zit een juridische kant aan: onder de AVG ben je verantwoordelijk voor de persoonsgegevens die je verwerkt, ook als ze via een berichten-app of een gedeelde inbox lopen. En er zit een simpeler, hardere kant aan. Wat je eenmaal in een extern systeem typt, krijg je niet meer terug. Een gescand bericht dat ergens een treffer oplevert, is geen concept dat je nog kunt intrekken. Het is verzonden, gekopieerd, beoordeeld door een systeem waar jij geen zicht op hebt.
'Ik heb niets te verbergen' beantwoordt geen van beide. Het is geen weging van wat je op het spel zet. Het is een manier om de weging over te slaan.
De echte breuk komt met de scanplicht
En dan de reden dat dit meer is dan een storm in een privacy-glas water. De variant die nu terugkeerde, is de milde. De variant die eraan komt, is dat niet.
De verplichte variant, chatcontrole 2.0, wil berichtendiensten dwingen om op elke smartphone berichten te scannen voordat ze versleuteld worden, ook bij end-to-end versleutelde diensten. Dat heet client-side scanning, en het is geen detail. Het verplaatst de controle naar de enige plek waar versleuteling je niet meer beschermt: je eigen toestel, vóór het slot dichtgaat.
Dat is het punt waarop 'WhatsApp is toch versleuteld' niet meer opgaat. De encryptie blijft technisch intact, maar er zit dan een scanner vóór. Veertien vooraanstaande cryptografen, onder wie Ron Rivest en Bruce Schneier, concludeerden al in 2021 dat zo'n aanpak de beveiliging voor de hele samenleving ondermijnt terwijl de winst voor opsporing op zijn best twijfelachtig is. Hun kernbezwaar is niet ideologisch maar bouwkundig: een scanner die op honderden miljoenen toestellen staat, is een generieke doorzoekcapaciteit. Wát hij zoekt, is een politieke keuze, en die keuze kun je later bijstellen zonder één regel code te veranderen.
De bedrijven die het zouden moeten bouwen, zeggen het onomwonden. Signal-topvrouw Meredith Whittaker heeft laten weten dat de app uit de Europese markt vertrekt als verplicht scannen wet wordt, omdat een berichtendienst die je toestel doorzoekt geen vertrouwelijke berichtendienst meer is. De onderhandelingen over 2.0 worden in september 2026 hervat. Dat is de klok waar je bedrijf op zou moeten letten, niet de stemming van vorige week.
Om eerlijk te zijn
Nu de eerlijkheid, want dit debat verdient geen karikatuur. Het doel achter chatcontrole is niet verzonnen. Materiaal van kindermisbruik online opsporen is een zwaarwegend, legitiem belang, en de mensen die deze wet willen, willen kinderen beschermen, niet jouw offertes lezen. Wie chatcontrole wegzet als puur een surveillancecomplot, doet dat belang tekort.
En het tweede eerlijke tegenargument: chatcontrole 1.0 breekt de encryptie van WhatsApp en Signal niet. Wie nu roept dat je zakelijke appjes zijn gekraakt, overdrijft. Op dit moment is er operationeel niets dat je moet aanpassen.
Allebei waar. En toch verandert het mijn punt niet, het scherpt het aan. Juist omdat 1.0 niets van je vraagt, is het gevaarlijk als kompas. Het sust: er gebeurt niets, dus ik hoef niets te wegen. Maar de weging die je nu overslaat, is precies dezelfde die je bij 2.0 nodig hebt. En een scanner die eenmaal op elk toestel staat, draai je niet terug op het moment dat een volgende meerderheid de scope oprekt. De tijd om te weten welke kanalen je vertrouwt, is voordat de keuze voor je gemaakt wordt, niet erna.
Niet welke app, maar wie erbij kan
Dat maakt dit geen privacyverhaaltje voor de liefhebber, maar een gewone bedrijfsvraag. Niet 'welke app gebruik ik', maar 'wie kan er bij wat ik voor een ander bewaar'. En die vraag is te beantwoorden. Je kunt in kaart brengen welk verkeer echt end-to-end versleuteld is en welk verkeer via een aanbieder loopt die erbij kan. Je kunt vertrouwelijke stromen bewust bij een Europese of self-hosted dienst onderbrengen, wetend dat ook dat geen garantie voor veilig is maar een verantwoordelijkheid. En je kunt breder in kaart brengen waar je vastzit bij je leveranciers en die afhankelijkheid stap voor stap afbouwen.
Wat je niet kunt, is de vraag ontlopen met 'ik heb niets te verbergen'. Want dat is het antwoord op een vraag die niemand stelde. De vraag is niet of jij iets verbergt. De vraag is wie je vertrouwt met de geheimen die niet van jou zijn. Soevereiniteit is niets ingewikkelders dan dat: zelf bepalen wie erbij mag, voordat een ander dat voor je bepaalt.
Veelgestelde vragen
Wie kan er bij jouw data?
Ik denk met je mee welke van je systemen en kanalen echt in eigen beheer horen, en ontwerp en bouw ze end-to-end, self-hosted waar dat kan, zodat jij bepaalt wie erbij mag.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
