WhatsApp en privacy: wat het slot wel en niet beschermt
Voor wie is dit? Voor iedereen die WhatsApp gebruikt en wil begrijpen wat de versleuteling wel en niet beschermt. Je hoeft WhatsApp niet te verlaten om dit nuttig te vinden — maar je hebt wel iets aan het eerlijke verhaal.
WhatsApp en privacy: wat het slot wel en niet beschermt
Voor wie is dit? Voor iedereen die WhatsApp gebruikt en wil begrijpen wat de versleuteling wel en niet beschermt. Je hoeft WhatsApp niet te verlaten om dit nuttig te vinden — maar je hebt wel iets aan het eerlijke verhaal.
WhatsApp gebruikt echte end-to-end versleuteling. Dat is geen marketingverhaal — het protocol is open, gepubliceerd, en door onafhankelijke cryptografen gecontroleerd. De berichtinhoud wordt op jouw toestel versleuteld en alleen op het toestel van de ontvanger ontsleuteld. WhatsApp-servers zien de inhoud niet.
Dat is het goede nieuws.
Het slechte nieuws is dat de inhoud van berichten slechts een klein deel is van wat je over iemand kunt weten. En de rest — de metadata — is volledig zichtbaar voor WhatsApp en Meta.
Wat je wint, en wat het kost
Als je eerlijk naar WhatsApp kijkt, win je meestal:
- een beter begrip van wat de versleuteling wél beschermt
- duidelijker zicht op waar het echte privacyprobleem zit: metadata, back-ups en accountkoppeling
- een betere basis om te beslissen of beter instellen genoeg is of dat overstappen logischer wordt
Maar het kost ook iets:
- je moet accepteren dat “er zit een slot op” niet hetzelfde is als echte privacy
- sommige verbeteringen vragen extra stappen, zoals versleutelde back-ups inschakelen
- de eerlijkste conclusie kan zijn dat WhatsApp voor jouw situatie niet ver genoeg gaat
Voor de meeste lezers is dit nuttige basiskennis. Overkill wordt het alleen wanneer je WhatsApp als hoog-risico communicatietool gaat behandelen terwijl je situatie dat niet vraagt; dan worden Signal, SimpleX, Session of SecureDrop contextspecifieke vervolgstappen, geen standaardadvies.
Hoe de versleuteling werkt
WhatsApp gebruikt het Signal Protocol — hetzelfde protocol dat de app Signal zelf gebruikt. Elk gesprek heeft unieke versleutelingssleutels. De sleutels worden op je toestel aangemaakt en verlaten het nooit. WhatsApp-servers sturen berichten door maar kunnen ze niet lezen.
Dit geldt voor:
- Persoonlijke gesprekken (1 op 1)
- Groepsgesprekken
- Spraak- en videogesprekken
- Foto’s, video’s en spraakberichten
De versleuteling is technisch sterk. Dat staat niet ter discussie.
Wat de versleuteling niet beschermt
End-to-end versleuteling beschermt de inhoud van berichten. Alles eromheen — de metadata — is zichtbaar voor WhatsApp.
Wat WhatsApp wel ziet:
- Met wie je communiceert (telefoonnummers van al je contacten)
- Wanneer je berichten verstuurt en ontvangt (exacte tijdstippen)
- Hoe vaak je met bepaalde mensen communiceert
- In welke groepen je zit
- Wanneer je online bent
- Je IP-adres — en daarmee je globale locatie
- Je toestel, besturingssysteem en app-versie
- Hoe lang je gesprekken duurt
Dit heet metadata: gegevens over communicatie in plaats van de inhoud ervan. Het lijkt onschuldig, maar is dat niet.
Uit metadata kun je afleiden: met wie iemand een relatie heeft, welke dokter ze bellen, of ze lid zijn van een vakbond, wanneer ze slapen, of ze thuis zijn of op reis. Inlichtingendiensten hebben jarenlang publiek verdedigd dat ze “alleen metadata” verzamelen — precies omdat dat al zoveel vertelt.
WhatsApp deelt deze metadata met Meta. Facebook, Instagram en WhatsApp zijn hetzelfde bedrijf, en de gegevens vloeien samen.
Je back-up is waarschijnlijk niet versleuteld
Hier gaat het bij de meeste gebruikers mis.
WhatsApp slaat een back-up op in Google Drive (Android) of iCloud (iOS). Standaard is die back-up niet end-to-end versleuteld. Het is een gewone bestandsback-up die door Google of Apple beveiligd wordt — maar niet door jou.
Dat betekent: als je Google-account gehackt wordt, liggen je berichten op straat. Als Google een rechtelijk bevel krijgt, kunnen ze de back-up overhandigen. De WhatsApp-versleuteling helpt hier niet — die beschermt alleen de berichten onderweg, niet de kopie die in de cloud staat.
Hoe je versleutelde back-ups inschakelt
WhatsApp biedt end-to-end versleutelde back-ups aan als optie — maar het staat standaard uit.
Android: Instellingen → Chats → Chat-back-up → End-to-end versleutelde back-up
iOS: Instellingen → Chats → Chat-back-up → End-to-end versleutelde back-up
Je stelt een wachtwoord in of gebruikt een passkey (vingerafdruk, gezicht, of schermvergrendeling — beschikbaar sinds eind 2025). Het wachtwoord is alleen van jou — WhatsApp kent het niet. Als je een wachtwoord gebruikt en dat kwijtraakt, ben je je back-up kwijt. Met een passkey is herstel gekoppeld aan je toestel.
Schakel dit in als je de back-upfunctie wil blijven gebruiken.
Berichten met bedrijven: geen versleuteling
Gebruik je WhatsApp om contact te hebben met een webshop, je bank, of een bezorgdienst? Dan geldt de end-to-end versleuteling waarschijnlijk niet.
Bedrijven gebruiken de WhatsApp Business API — een koppeling via Meta’s servers. Berichten worden onderweg versleuteld, maar ontsleuteld door Meta’s Cloud API voordat ze bij het bedrijf aankomen. Zowel Meta als het bedrijf zelf kunnen die berichten lezen.
Dit staat in de kleine lettertjes. WhatsApp toont bij dit soort gesprekken een melding dat berichten “door het bedrijf en zijn leveranciers” beheerd kunnen worden.
Gebruik WhatsApp voor zakelijke communicatie dus met dat in het achterhoofd.
Je telefoonnummer is je identiteit
Er is geen anoniem WhatsApp-account. Je telefoonnummer is je identiteit — het staat gekoppeld aan elk bericht dat je verstuurt en elk gesprek dat je voert.
WhatsApp werkt nog steeds met een telefoonnummer als basis voor registratie. Daardoor kun je anderen niet zomaar bereiken zonder dat nummer te delen. De privacy-impact blijft dus beperkt: je nummer is minder zichtbaar voor andere gebruikers dan in een volledig nummerloos systeem, maar WhatsApp en Meta kennen het nog steeds.
Europese gebruikers: extra bescherming via GDPR
Wie in de EU woont, heeft meer rechten dan gebruikers buiten Europa.
Voor EU/EEA-gebruikers gelden extra regels. Meta heeft WhatsApp gekoppeld aan Accounts Center — het centrale systeem waarmee je WhatsApp optioneel kunt koppelen aan Facebook en Instagram. Die koppeling staat niet automatisch aan; je moet die zelf actief toevoegen als je dat wilt.
Dat beschermt meer dan buiten Europa, maar het is geen automatische bescherming meer: je moet actief weigeren als je die koppeling niet wilt. De metadata-verzameling binnen WhatsApp zelf gaat gewoon door, ongeacht je keuze.
WhatsApp vs. Signal: het echte verschil
Signal gebruikt hetzelfde versleutelingsprotocol als WhatsApp. Het verschil zit in de metadata.
Signal heeft een functie genaamd Sealed Sender: berichten worden zo verstuurd dat zelfs Signal’s eigen servers niet weten wie het bericht verstuurt. Ze zien alleen de ontvanger. De afzender is verborgen.
WhatsApp heeft dit niet. WhatsApp-servers zien altijd zowel de afzender als de ontvanger van elk bericht.
Daarnaast verzamelt Signal vrijwel geen gegevens. Het enige wat Signal over je weet: je telefoonnummer (voor registratie) en het tijdstip van je laatste verbinding. Geen contactlijsten, geen apparaatgegevens, geen gebruikspatronen.
Signal is een non-profitorganisatie. Het verdient niets aan gebruikersdata. Sinds 2024 biedt Signal ook gebruikersnamen aan: je kunt contact opnemen met anderen zonder je telefoonnummer te delen. WhatsApp is eigendom van Meta, een bedrijf waarvan het businessmodel draait op advertenties en het begrijpen van zijn gebruikers.
| Signal | ||
|---|---|---|
| Berichtinhoud | Versleuteld | Versleuteld |
| Wie met wie communiceert | Zichtbaar voor servers | Verborgen (Sealed Sender) |
| Tijdstippen | Zichtbaar | Beperkt zichtbaar |
| Contactgrafiek | Verzameld | Niet verzameld |
| IP-adres | Verzameld | Niet opgeslagen |
| Eigenaar | Meta (beursgenoteerd) | Signal Foundation (non-profit) |
WhatsApp op GrapheneOS: wat je zelf kunt beperken (voor GrapheneOS-gebruikers)
Dit gedeelte is alleen relevant als je GrapheneOS gebruikt. Gebruik je een standaard Android- of iOS-telefoon? Dan zijn de stappen hierboven voldoende.
Op een standaard Android-telefoon kun je app-rechten instellen — locatie weigeren, contacten weigeren. Dat helpt al. Maar GrapheneOS gaat verder dan standaard Android en geeft je toestemming per app op een niveau dat Google nooit heeft aangeboden.
Locatie — uitzetten heeft effect, maar niet volledig
Ga naar Instellingen → Apps → WhatsApp → Rechten → Locatie → Weigeren.
WhatsApp kan dan geen GPS-locatie meer opvragen. Dat voorkomt dat de app precies weet waar je bent.
Maar: WhatsApp weet nog steeds je IP-adres, en dat geeft je globale locatie weg op stad-/regio-niveau. Geen GPS-toegang betekent niet onzichtbaar. Als je IP-adres ook verborgen moet zijn, gebruik je een VPN die verbonden blijft terwijl WhatsApp actief is.
Contacten — de contactgrafiek beperken
Op stock Android kun je contacten-toegang alleen aan of uit zetten. GrapheneOS heeft Contact Scopes: je kiest per app precies welke contacten zichtbaar zijn.
Instellingen → Apps → WhatsApp → Rechten → Contacten → Contact Scopes inschakelen
Je selecteert dan handmatig welke namen WhatsApp mag zien. De rest van je adresboek is voor de app onzichtbaar — en wordt dus ook niet aan Meta’s servers doorgegeven.
Dat is de contactgrafiek-beperking die standaard Android niet heeft.
Netwerk — internet per app in- of uitschakelen
Dit bestaat niet op standaard Android. GrapheneOS voegt een netwerktoegang-toggle toe per app.
Instellingen → Apps → WhatsApp → Rechten → Netwerk
Je kunt WhatsApp volledig van het internet afsluiten wanneer je het niet gebruikt. Geen achtergrondverbindingen, geen polling naar Meta’s servers als je de app dicht hebt.
Praktisch gebruik: schakel netwerktoegang in als je actief WhatsApp gebruikt, uit als je klaar bent. Wat niet verbindt, kan ook niets doorsturen.
Sensoren — verborgen gegevens weigeren
GrapheneOS voegt een sensorenrecht toe dat standaard Android niet kent.
Instellingen → Apps → WhatsApp → Rechten → Sensoren
Dit blokkeert toegang tot de versnellingsmeter, gyroscoop en andere bewegingssensoren. Sommige apps gebruiken sensorpatronen als extra vingerafdruk om te herkennen hoe jij je telefoon vasthoudt. Met sensoren uitgeschakeld is dat niet mogelijk.
Microfoon en camera — standaard weigeren
Instellingen → Apps → WhatsApp → Rechten → Microfoon → Weigeren****Instellingen → Apps → WhatsApp → Rechten → Camera → Weigeren
WhatsApp vraagt opnieuw toestemming op het moment dat je een gesprek of videogesprek wil starten. Je verleent het dan tijdelijk en het vervalt daarna. Een app die je microfoon niet standaard mag gebruiken, kan hem ook niet onverwacht activeren.
Het blijvende gat: IP-adres
Alle bovenstaande maatregelen samen sluiten de zichtbaarste datapunten af. Wat overblijft: zolang je verbonden bent, weet Meta je IP-adres en daarmee je grove locatie, en ziet Meta wanneer de app actief is.
Dat los je op met een VPN die altijd aan staat — zie de VPN vergelijking.
Wat betekent dit voor jou?
WhatsApp is niet onveilig. De versleuteling werkt. Voor dagelijkse gesprekken waarbij de inhoud het enige is dat je wil beschermen, doet WhatsApp dat.
Maar als je wil dat niemand weet met wie je communiceert, hoe vaak, en wanneer — dan is WhatsApp niet het juiste gereedschap. Meta weet dat. Dat is het verdienmodel.
Voor die situaties is Signal de logische keuze. Zelfde versleuteling, veel minder metadata, geen advertentiebedrijf op de achtergrond.
Voor advocaten en notarissen geldt extra: metadata-patronen (wie je belt, wanneer, hoe vaak) kunnen de cliënt-advocaatrelatie blootleggen — ook als de inhoud versleuteld blijft. Dat is niet alleen een privacykwestie, maar kan juridische aansprakelijkheid opleveren. Signal is hier de logische vervanger; voor situaties waarbij ook je telefoonnummer niet zichtbaar mag zijn, zie SimpleX Chat. Zie ook: Profiel: vertrouwelijke beroepen.
De eerste stap is weten wat je beschermt en wat niet. Daarna maak je een bewuste keuze.
Volgende stap
Alternatieven
- Signal instellen gids — het privacyvriendelijkste dagelijkse alternatief
- SimpleX Chat gids — als je ook je telefoonnummer niet wilt delen
Profielen
- Profiel: gezin en kinderen — digitale veiligheid voor het gezin
- Profiel: vertrouwelijke beroepen — extra risico’s voor advocaten en notarissen
Reviews
- Signal en Molly review — achtergrond en profielkeuze
- Matrix en Element review — gedecentraliseerd alternatief voor teams