WhatsApp en privacy: wat het slot wel en niet beschermt
WhatsApp versleutelt je berichten end-to-end. Dat is waar. Maar de versleuteling beschermt alleen de inhoud — niet wie je belt, wanneer, hoe vaak, en waar je bent.
WhatsApp en privacy: wat het slot wel en niet beschermt
WhatsApp gebruikt echte end-to-end versleuteling. Dat is geen marketingverhaal — het protocol is open, gepubliceerd, en door onafhankelijke cryptografen gecontroleerd. De berichtinhoud wordt op jouw toestel versleuteld en alleen op het toestel van de ontvanger ontsleuteld. WhatsApp-servers zien de inhoud niet.
Dat is het goede nieuws.
Het slechte nieuws is dat de inhoud van berichten slechts een klein deel is van wat je over iemand kunt weten. En de rest — de metadata — is volledig zichtbaar voor WhatsApp en Meta.
Hoe de versleuteling werkt
WhatsApp gebruikt het Signal Protocol — hetzelfde protocol dat de app Signal zelf gebruikt. Elk gesprek heeft unieke versleutelingssleutels. De sleutels worden op je toestel aangemaakt en verlaten het nooit. WhatsApp-servers sturen berichten door maar kunnen ze niet lezen.
Dit geldt voor:
- Persoonlijke gesprekken (1 op 1)
- Groepsgesprekken
- Spraak- en videogesprekken
- Foto’s, video’s en spraakberichten
De versleuteling is technisch sterk. Dat staat niet ter discussie.
Wat de versleuteling niet beschermt
End-to-end versleuteling beschermt de inhoud van berichten. Alles eromheen — de metadata — is zichtbaar voor WhatsApp.
Wat WhatsApp wel ziet:
- Met wie je communiceert (telefoonnummers van al je contacten)
- Wanneer je berichten verstuurt en ontvangt (exacte tijdstippen)
- Hoe vaak je met bepaalde mensen communiceert
- In welke groepen je zit
- Wanneer je online bent
- Je IP-adres — en daarmee je globale locatie
- Je toestel, besturingssysteem en app-versie
- Hoe lang je gesprekken duurt
Dit heet metadata: gegevens over communicatie in plaats van de inhoud ervan. Het lijkt onschuldig, maar is dat niet.
Uit metadata kun je afleiden: met wie iemand een relatie heeft, welke dokter ze bellen, of ze lid zijn van een vakbond, wanneer ze slapen, of ze thuis zijn of op reis. Inlichtingendiensten hebben jarenlang publiek verdedigd dat ze “alleen metadata” verzamelen — precies omdat dat al zoveel vertelt.
WhatsApp deelt deze metadata met Meta. Facebook, Instagram en WhatsApp zijn hetzelfde bedrijf, en de gegevens vloeien samen.
Je back-up is waarschijnlijk niet versleuteld
Hier gaat het bij de meeste gebruikers mis.
WhatsApp slaat een back-up op in Google Drive (Android) of iCloud (iOS). Standaard is die back-up niet end-to-end versleuteld. Het is een gewone bestandsback-up die door Google of Apple beveiligd wordt — maar niet door jou.
Dat betekent: als je Google-account gehackt wordt, liggen je berichten op straat. Als Google een rechtelijk bevel krijgt, kunnen ze de back-up overhandigen. De WhatsApp-versleuteling helpt hier niet — die beschermt alleen de berichten onderweg, niet de kopie die in de cloud staat.
Hoe je versleutelde back-ups inschakelt
WhatsApp biedt end-to-end versleutelde back-ups aan als optie — maar het staat standaard uit.
Android: Instellingen → Chats → Chat-back-up → End-to-end versleutelde back-up
iOS: Instellingen → Chats → Chat-back-up → End-to-end versleutelde back-up
Je stelt een wachtwoord in. Dat wachtwoord is alleen van jou — WhatsApp kent het niet en kan het niet herstellen. Als je het kwijtraakt, ben je je back-up kwijt.
Schakel dit in als je de back-upfunctie wil blijven gebruiken.
Berichten met bedrijven: geen versleuteling
Gebruik je WhatsApp om contact te hebben met een webshop, je bank, of een bezorgdienst? Dan geldt de end-to-end versleuteling waarschijnlijk niet.
Bedrijven gebruiken de WhatsApp Business API — een koppeling via Meta’s servers. Berichten worden onderweg versleuteld, maar ontsleuteld door Meta’s Cloud API voordat ze bij het bedrijf aankomen. Zowel Meta als het bedrijf zelf kunnen die berichten lezen.
Dit staat in de kleine lettertjes. WhatsApp toont bij dit soort gesprekken een melding dat berichten “door het bedrijf en zijn leveranciers” beheerd kunnen worden.
Gebruik WhatsApp voor zakelijke communicatie dus met dat in het achterhoofd.
Je telefoonnummer is je identiteit
Er is geen anoniem WhatsApp-account. Je telefoonnummer is je identiteit — het staat gekoppeld aan elk bericht dat je verstuurt en elk gesprek dat je voert.
WhatsApp werkt aan een gebruikersnaam-functie waarmee je naam zichtbaar is in gesprekken in plaats van je nummer. Maar het telefoonnummer blijft verplicht voor registratie. Dat verandert de privacy niet fundamenteel — het verbetert alleen de ervaring.
Europese gebruikers: extra bescherming via GDPR
Wie in de EU woont, heeft meer rechten dan gebruikers buiten Europa.
WhatsApp mag voor EU/EEA-gebruikers de verzamelde data niet gebruiken voor gepersonaliseerde advertenties op Facebook of Instagram. De Europese privacyregels (GDPR/AVG) verbieden dit zonder expliciete toestemming, en die toestemming vraagt WhatsApp niet.
Dat betekent niet dat er geen data verzameld wordt — de metadata-verzameling gaat gewoon door. Maar het gebruik ervan voor advertenties is in Europa niet toegestaan.
WhatsApp vs. Signal: het echte verschil
Signal gebruikt hetzelfde versleutelingsprotocol als WhatsApp. Het verschil zit in de metadata.
Signal heeft een functie genaamd Sealed Sender: berichten worden zo verstuurd dat zelfs Signal’s eigen servers niet weten wie het bericht verstuurt. Ze zien alleen de ontvanger. De afzender is verborgen.
WhatsApp heeft dit niet. WhatsApp-servers zien altijd zowel de afzender als de ontvanger van elk bericht.
Daarnaast verzamelt Signal vrijwel geen gegevens. Het enige wat Signal over je weet: je telefoonnummer (voor registratie) en het tijdstip van je laatste verbinding. Geen contactlijsten, geen apparaatgegevens, geen gebruikspatronen.
Signal is een non-profitorganisatie. Het verdient niets aan gebruikersdata. WhatsApp is eigendom van Meta, een bedrijf waarvan het businessmodel draait op advertenties en het begrijpen van zijn gebruikers.
| Signal | ||
|---|---|---|
| Berichtinhoud | Versleuteld | Versleuteld |
| Wie met wie communiceert | Zichtbaar voor servers | Verborgen (Sealed Sender) |
| Tijdstippen | Zichtbaar | Beperkt zichtbaar |
| Contactgrafiek | Verzameld | Niet verzameld |
| IP-adres | Verzameld | Niet opgeslagen |
| Eigenaar | Meta (beursgenoteerd) | Signal Foundation (non-profit) |
WhatsApp op GrapheneOS: wat je zelf kunt beperken
Op een standaard Android-telefoon kun je app-rechten instellen — locatie weigeren, contacten weigeren. Dat helpt al. Maar GrapheneOS gaat verder dan standaard Android en geeft je toestemming per app op een niveau dat Google nooit heeft aangeboden.
Locatie — uitzetten heeft effect, maar niet volledig
Ga naar Instellingen → Apps → WhatsApp → Rechten → Locatie → Weigeren.
WhatsApp kan dan geen GPS-locatie meer opvragen. Dat voorkomt dat de app precies weet waar je bent.
Maar: WhatsApp weet nog steeds je IP-adres, en dat geeft je globale locatie weg op stad-/regio-niveau. Geen GPS-toegang betekent niet onzichtbaar. Als je IP-adres ook verborgen moet zijn, gebruik je een VPN die verbonden blijft terwijl WhatsApp actief is.
Contacten — de contactgrafiek beperken
Op stock Android kun je contacten-toegang alleen aan of uit zetten. GrapheneOS heeft Contact Scopes: je kiest per app precies welke contacten zichtbaar zijn.
Instellingen → Apps → WhatsApp → Rechten → Contacten → Contact Scopes inschakelen
Je selecteert dan handmatig welke namen WhatsApp mag zien. De rest van je adresboek is voor de app onzichtbaar — en wordt dus ook niet aan Meta’s servers doorgegeven.
Dat is de contactgrafiek-beperking die standaard Android niet heeft.
Netwerk — internet per app in- of uitschakelen
Dit bestaat niet op standaard Android. GrapheneOS voegt een netwerktoegang-toggle toe per app.
Instellingen → Apps → WhatsApp → Rechten → Netwerk
Je kunt WhatsApp volledig van het internet afsluiten wanneer je het niet gebruikt. Geen achtergrondverbindingen, geen polling naar Meta’s servers als je de app dicht hebt.
Praktisch gebruik: schakel netwerktoegang in als je actief WhatsApp gebruikt, uit als je klaar bent. Wat niet verbindt, kan ook niets doorsturen.
Sensoren — verborgen gegevens weigeren
GrapheneOS voegt een sensorenrecht toe dat standaard Android niet kent.
Instellingen → Apps → WhatsApp → Rechten → Sensoren
Dit blokkeert toegang tot de versnellingsmeter, gyroscoop en andere bewegingssensoren. Sommige apps gebruiken sensorpatronen als extra vingerafdruk om te herkennen hoe jij je telefoon vasthoudt. Met sensoren uitgeschakeld is dat niet mogelijk.
Microfoon en camera — standaard weigeren
Instellingen → Apps → WhatsApp → Rechten → Microfoon → Weigeren Instellingen → Apps → WhatsApp → Rechten → Camera → Weigeren
WhatsApp vraagt opnieuw toestemming op het moment dat je een gesprek of videogesprek wil starten. Je verleent het dan tijdelijk en het vervalt daarna. Een app die je microfoon niet standaard mag gebruiken, kan hem ook niet onverwacht activeren.
Het blijvende gat: IP-adres
Alle bovenstaande maatregelen samen sluiten de zichtbaarste datapunten af. Wat overblijft: zolang je verbonden bent, weet Meta je IP-adres en daarmee je grove locatie, en ziet Meta wanneer de app actief is.
Dat los je op met een VPN die altijd aan staat — zie onze VPN-gids voor GrapheneOS.
Wat betekent dit voor jou?
WhatsApp is niet onveilig. De versleuteling werkt. Voor dagelijkse gesprekken waarbij de inhoud het enige is dat je wil beschermen, doet WhatsApp dat.
Maar als je wil dat niemand weet met wie je communiceert, hoe vaak, en wanneer — dan is WhatsApp niet het juiste gereedschap. Meta weet dat. Dat is het verdienmodel.
Voor die situaties is Signal de logische keuze. Zelfde versleuteling, veel minder metadata, geen advertentiebedrijf op de achtergrond.
De eerste stap is weten wat je beschermt en wat niet. Daarna maak je een bewuste keuze.
Zie ook:
- Signal en Molly review — het privacyvriendelijke alternatief
- Matrix en Element review — gedecentraliseerd alternatief voor teams en communities