Is WhatsAppen ook een datalek?

Joris Adriaanse

Business Mobility Consultant

WhatsApp: iedereen heeft het en het is makkelijk en snel in gebruik. Zowel privé als zakelijk kun je er snel mee schakelen, bijvoorbeeld in de medische wereld. Even een foto van een patiënt maken en appen naar een collega-arts om zijn of haar advies te horen. Natuurlijk is dit veel sneller dan wachten tot de arts tijd heeft voor een consult, en het zal de behandeling vaak ten goede komen.

Binnen de IT zien we het ook vaak, klanten die voor een change met meerdere partijen een app-groepje starten. Daarin zie je servernamen en ip-adressen voorbij komen, maar soms ook gebruikersnamen en zelfs wachtwoorden. Zinnen als “Wat is het wachtwoord ook alweer van dat service account?” komen ontzettend vaak voor. Om enigszins focus te kunnen houden schrijf ik dit blog met betrekking tot de zorg, maar eigenlijk raakt dit alle bedrijven.

Mag dit zomaar?

De laatste dagen was Muhammad Darwish veel in het nieuws, de Syrische tandarts die via WhatsApp begeleid wordt door Amerikaanse artsen om zware operaties uit te voeren in een oorlogsgebied. De beste man maakt foto’s en filmpjes van patiënten op de operatietafel, verzendt deze, en krijgt instructies hoe verder te gaan. In een tijd van oorlog is dit een goede manier van werken.

Maar in Nederland is het geen oorlog, en hebben we een hoop regels en organisaties die zich bezig houden met de privacy. Artsenkoepel KNMG stelt dat een arts WhatsApp mag gebruiken, zolang uit de gegevens die worden gedeeld maar niet valt op te maken wie de patiënt in kwestie is. De Autoriteit Persoonsgegevens is echter stelliger: WhatsApp voldoet niet aan de norm om dergelijke gevoelige gegevens uit te wisselen.
“Ja maar hoezo niet dan? Het is toch ge-encrypt en dergelijke?” Dat klopt, maar encryptie is ook niet alles. De End-to-End encryptie van WhatsApp suggereert dat het nu heel veilig is, maar het verandert niets aan de metadata, de controleerbaarheid, de beveiliging op de telefoon en de juridische waarborgen. Metadata is informatie over data, bijvoorbeeld de GPS coördinaten waar de foto is genomen. Daarmee is de inhoud niet zichtbaar, maar kunnen de metadata erg waardevol zijn. De controleerbaarheid is een eis bij bijvoorbeeld NEN7510 in de zorg. Het is leuk dat WhatsApp een whitepaper heeft met hun encryptiebeleid, maar ze staan geen onafhankelijke partijen toe om dit te komen toetsen.

datalek voorbeeld whatsapp foto artsen

Maar wat is dan een goed alternatief?

De minister van Volksgezondheid, Welzijn en Sport – Mevrouw Schippers – heeft schriftelijk antwoord gegeven op WhatsApp en privacy gerelateerde vragen en zij is er duidelijk over:

Gelet op het oordeel van de AP (Autoriteit Persoonsgegevens) is het belangrijk dat veiligere alternatieven voor WhatsApp, specifiek voor medisch gebruik, worden ontwikkeld en onder de aandacht van zorgverleners worden gebracht. Het veelvuldig gebruik ervan in de praktijk duidt erop dat een berichtenservice zoals WhatsApp van grote waarde is in de medische wereld. Bovendien kan snelle uitwisseling van medische gegevens de medische behandeling ook veiliger maken. Mij is bekend dat er meerdere initiatieven zijn die mogelijk kunnen dienen als veiliger alternatief voor WhatsApp.

Specifiek voor medisch gebruik? Sorry mevrouw Schippers maar die mening deel ik niet. Natuurlijk is het in de medische wereld zo dat de patiëntgegevens en privacy erg belangrijk zijn. Maar allerlei sectoren hebben dezelfde uitdaging. Voor al die sectoren geld dat de berichtenservers in eigen beheer moeten kunnen zijn.

Bijvoorbeeld in het datacenter van een zorginstelling, want praktisch gezien kun je hier eenvoudiger garanties op geven dat zij voldoen aan wet- en regelgeving. In de zorg kun je dit dan goed implementeren conform de normeringen in NEN7510. Ook cloudoplossingen kunnen prima voldoen aan die norm, grote spelers in de markt zijn vaak standaard al voorzien van diverse hoge certificeringen. Met eigen, of afgenomen, berichtendiensten heb je deze dienst in eigen beheer. In het geval van een audit is dit geen probleem, je kunt je namelijk altijd laten controleren op de hele keten omtrent beveiliging omdat je dit in eigen beheer hebt.

social cast

Fondo helpt iedere branch!

Met Socialcast heeft u een breed sociaal platform, inclusief een veilige berichtendienst.
Of u nu gebruikt maak van de app, of de website, u bent altijd in contact met mensen die u wilt spreken op een veilige manier! Nodig mensen van buitenaf uit, deel bestanden via de veilige Airwatch Secure Content Locker, werk samen. Alles veilig vanuit uw datacenter of vanuit de cloud.