Een smartphone met een vergrendeld socialmediaprofiel op het scherm
Inzicht16 juli · 13:046 min leestijd

'Ik heb niets te verbergen' is geen risicoanalyse voor je bedrijfsdata

Zodra het over chatcontrole gaat, klinkt 'ik heb niets te verbergen'. Voor een bedrijf is dat geen risicoanalyse: de vraag is welke van je kanalen echt versleuteld zijn en wie er bij je klantdata kan.

'Ik heb toch niets te verbergen.' Zodra het gesprek op chatcontrole komt, is dat het antwoord dat je het vaakst hoort. En het is precies de verkeerde reactie. Niet omdat jij stiekem wél iets verbergt, maar omdat die zin een privépersoon verwart met een ondernemer.

Als ondernemer bewaar je nauwelijks geheimen van jezelf. Je bewaart de offerte waarmee je een aanbesteding wint, de klantenlijst waar een concurrent een moord voor zou doen, een polisnummer, een diagnose, een loonstrook. Dat is data die je voor een ander onder je hoede hebt. Of jij iets te verbergen hebt, is niet de vraag. De vraag is wie er bij die andermans-data kan.

Dus laat ik het scherp stellen: 'ik heb niets te verbergen' is geen risicoanalyse. Voor een bedrijf is de enige vraag die telt welke van je communicatiekanalen echt end-to-end versleuteld zijn, en wie er dus bij de inhoud kan. Chatcontrole maakt die vraag urgent, maar het antwoord had je sowieso al moeten kennen.

Wat chatcontrole nu wel en niet doet

Even de feiten, want daar ontstaat de meeste verwarring. Toen het Europees Parlement de vrijwillige variant op 9 juli opnieuw van kracht liet worden, veranderde er formeel niets aan jouw verplichtingen. Chatcontrole 1.0 legt geen enkel bedrijf een scanplicht op. Wat het doet, is grote Amerikaanse aanbieders toestaan de berichten en e-mails die door hún systemen lopen weer te doorzoeken op bekend misbruikmateriaal, zonder dat een rechter daar toestemming voor gaf.

En dat raakt precies het misverstand. WhatsApp en Signal blijven buiten schot: die zijn end-to-end versleuteld, dus de aanbieder kan de inhoud serverzijdig niet lezen, ook niet als hij zou willen. Wat wél weer scanbaar is, zijn de kanalen die nooit end-to-end waren: webmail als Gmail en iCloud, en directe berichten op Instagram, Discord, Snapchat en Skype. Voor veel bedrijven loopt daar dagelijks vertrouwelijk verkeer doorheen, in de veronderstelling dat 'op een appje' hetzelfde is als 'privé'.

Het verschil zit hem dus niet in de app, maar in het regime eronder. Twee bedrijven die allebei 'op WhatsApp' zeggen te werken, kunnen een heel andere blootstelling hebben zodra de helft van hun verkeer eigenlijk via webmail en gedeelde mappen loopt.

'Niets te verbergen' verwart jou met de burger

Terug naar die zin, want hij zit dieper dan één debat. 'Niets te verbergen' is een uitspraak over jou als burger: heb jij iets misdaan? Maar een bedrijf is geen burger. Het is een verwerker. De gegevens die langs je kanalen gaan, zijn grotendeels niet van jou. Ze zijn van je klanten, je patiënten, je cliënten, je personeel.

Daar zit een juridische kant aan: onder de AVG ben je verantwoordelijk voor de persoonsgegevens die je verwerkt, ook als ze via een berichten-app of een gedeelde inbox lopen. En er zit een simpeler, hardere kant aan. Wat je eenmaal in een extern systeem typt, krijg je niet meer terug. Een gescand bericht dat ergens een treffer oplevert, is geen concept dat je nog kunt intrekken. Het is verzonden, gekopieerd, beoordeeld door een systeem waar jij geen zicht op hebt.

'Ik heb niets te verbergen' beantwoordt geen van beide. Het is geen weging van wat je op het spel zet. Het is een manier om de weging over te slaan.

De echte breuk komt met de scanplicht

En dan de reden dat dit meer is dan een storm in een privacy-glas water. De variant die nu terugkeerde, is de milde. De variant die eraan komt, is dat niet.

De verplichte variant, chatcontrole 2.0, wil berichtendiensten dwingen om op elke smartphone berichten te scannen voordat ze versleuteld worden, ook bij end-to-end versleutelde diensten. Dat heet client-side scanning, en het is geen detail. Het verplaatst de controle naar de enige plek waar versleuteling je niet meer beschermt: je eigen toestel, vóór het slot dichtgaat.

Dat is het punt waarop 'WhatsApp is toch versleuteld' niet meer opgaat. De encryptie blijft technisch intact, maar er zit dan een scanner vóór. Veertien vooraanstaande cryptografen, onder wie Ron Rivest en Bruce Schneier, concludeerden al in 2021 dat zo'n aanpak de beveiliging voor de hele samenleving ondermijnt terwijl de winst voor opsporing op zijn best twijfelachtig is. Hun kernbezwaar is niet ideologisch maar bouwkundig: een scanner die op honderden miljoenen toestellen staat, is een generieke doorzoekcapaciteit. Wát hij zoekt, is een politieke keuze, en die keuze kun je later bijstellen zonder één regel code te veranderen.

De bedrijven die het zouden moeten bouwen, zeggen het onomwonden. Signal-topvrouw Meredith Whittaker heeft laten weten dat de app uit de Europese markt vertrekt als verplicht scannen wet wordt, omdat een berichtendienst die je toestel doorzoekt geen vertrouwelijke berichtendienst meer is. De onderhandelingen over 2.0 worden in september 2026 hervat. Dat is de klok waar je bedrijf op zou moeten letten, niet de stemming van vorige week.

Om eerlijk te zijn

Nu de eerlijkheid, want dit debat verdient geen karikatuur. Het doel achter chatcontrole is niet verzonnen. Materiaal van kindermisbruik online opsporen is een zwaarwegend, legitiem belang, en de mensen die deze wet willen, willen kinderen beschermen, niet jouw offertes lezen. Wie chatcontrole wegzet als puur een surveillancecomplot, doet dat belang tekort.

En het tweede eerlijke tegenargument: chatcontrole 1.0 breekt de encryptie van WhatsApp en Signal niet. Wie nu roept dat je zakelijke appjes zijn gekraakt, overdrijft. Op dit moment is er operationeel niets dat je moet aanpassen.

Allebei waar. En toch verandert het mijn punt niet, het scherpt het aan. Juist omdat 1.0 niets van je vraagt, is het gevaarlijk als kompas. Het sust: er gebeurt niets, dus ik hoef niets te wegen. Maar de weging die je nu overslaat, is precies dezelfde die je bij 2.0 nodig hebt. En een scanner die eenmaal op elk toestel staat, draai je niet terug op het moment dat een volgende meerderheid de scope oprekt. De tijd om te weten welke kanalen je vertrouwt, is voordat de keuze voor je gemaakt wordt, niet erna.

Niet welke app, maar wie erbij kan

Dat maakt dit geen privacyverhaaltje voor de liefhebber, maar een gewone bedrijfsvraag. Niet 'welke app gebruik ik', maar 'wie kan er bij wat ik voor een ander bewaar'. En die vraag is te beantwoorden. Je kunt in kaart brengen welk verkeer echt end-to-end versleuteld is en welk verkeer via een aanbieder loopt die erbij kan. Je kunt vertrouwelijke stromen bewust bij een Europese of self-hosted dienst onderbrengen, wetend dat ook dat geen garantie voor veilig is maar een verantwoordelijkheid. En je kunt breder in kaart brengen waar je vastzit bij je leveranciers en die afhankelijkheid stap voor stap afbouwen.

Wat je niet kunt, is de vraag ontlopen met 'ik heb niets te verbergen'. Want dat is het antwoord op een vraag die niemand stelde. De vraag is niet of jij iets verbergt. De vraag is wie je vertrouwt met de geheimen die niet van jou zijn. Soevereiniteit is niets ingewikkelders dan dat: zelf bepalen wie erbij mag, voordat een ander dat voor je bepaalt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Wie kan er bij jouw data?

Ik denk met je mee welke van je systemen en kanalen echt in eigen beheer horen, en ontwerp en bouw ze end-to-end, self-hosted waar dat kan, zodat jij bepaalt wie erbij mag.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement
Nieuws
4 min

24 jun 18:22

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement

De voorzitter van het Europees Parlement, Roberta Metsola, probeert de omstreden CSAM-scanwet alsnog door te drukken, ondanks dat het parlement zich er meermaals tegen keerde. Diplomaten noemen de stap ongekend. Wat betekent dat voor je versleutelde bedrijfscommunicatie?

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur
Gids
Uitgebreide gids11 min

15 jul 13:01

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur

Je softwareleverancier of hosting is gehackt en je klantdata is mogelijk gelekt. Dit is het incident-playbook: ben jij verantwoordelijke, is het meldplichtig bij de AP, wat vertel je je klanten, en hoe voorkom je dat je vastzit aan de gehackte partij.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

AI-klantcommunicatie op één plek: WhatsApp, mail en chat centraliseren en automatisch triëren
Gids
9 min

1 jul 13:02

AI-klantcommunicatie op één plek: WhatsApp, mail en chat centraliseren en automatisch triëren

Zo breng je WhatsApp Business, e-mail en live chat samen in één gedeelde inbox, laat je AI de urgentie inschatten en routeren, en beantwoord je standaardvragen automatisch zonder de persoonlijke toon te verliezen.

Inkoopfacturen digitaal verwerken: welke aanpak past bij jouw administratie
Inzicht
7 min

1 jul 11:02

Inkoopfacturen digitaal verwerken: welke aanpak past bij jouw administratie

De juiste manier om inkoopfacturen digitaal te verwerken hangt af van je factuurvolume en je boekhoudpakket, niet van de duurste tool. Twee vragen bepalen bijna je hele keuze, en de prijzen per route lopen ver uiteen. Met een heldere definitie, een stappenplan en de criteria die er echt toe doen.