Is het veilig om WhatsApp te gebruiken?

Een nieuwe rechtszaak(nieuw venster) plaatst de beveiliging van WhatsApp weer in de schijnwerpers. Attaullah Baig, het voormalige hoofd beveiliging van de app, beweert dat Meta kritieke gebreken negeerde waardoor honderden werknemers toegang hebben tot gevoelige gebruikersgegevens en er niet in slaagde massale account-hacks te stoppen. Meta ontkent de beweringen, maar voor de 3 miljard gebruikers van WhatsApp(nieuw venster) is de vraag hetzelfde: Is het echt veilig om WhatsApp te gebruiken?

• Is WhatsApp veilig voor privéchats?
• Waarom wordt Meta aangeklaagd over privacyzorgen bij WhatsApp?
• Wat zijn de beveiligings- en privacyrisico’s van WhatsApp?
  • Malware en spyware
  • Zero-click exploits
  • SIM-swapping en oplichting met verificatiecodes
  • Blootgestelde metagegevens
  • Massale blootstelling van 3,5 miljard WhatsApp-telefoonnummers
  • Gerichte advertenties op alle Meta-platforms
  • Meta AI-training
• Hoe u veilig blijft op WhatsApp
• Kies een meer private instant messaging-app

Is WhatsApp veilig voor privéchats?

Ondanks de beweringen in de rechtszaak blijft de end-to-end versleuteling (E2EE) van WhatsApp intact. Niets suggereert dat het encryptieprotocol van WhatsApp is gebroken of dat Meta de inhoud van uw gesprekken kan lezen. Dat betekent dat uw sms’jes, foto’s en spraakoproepen nog steeds beschermd zijn tegen toegang van buitenaf, inclusief Meta zelf.

WhatsApp kan echter uw metagegevens lezen (met wie u praat, wanneer, enz.) en deelt die gegevens, afhankelijk van waar u woont, met Meta. De veiligheid hangt dus af van hoeveel informatie u privé wilt houden.

Waarom wordt Meta aangeklaagd over privacyzorgen bij WhatsApp?

Attaullah Baig, die tussen 2021 en 2025 leiding gaf aan het beveiligingsteam van WhatsApp, zegt dat de app lang niet zo privé is als Meta beweert. In zijn rechtszaak beweert hij dat ongeveer 1.500 werknemers toegang hebben tot gevoelige gebruikersinformatie, waaronder locatie, profielfoto’s, groepslidmaatschappen en contactlijsten.

Als deze beweringen waar zijn, zouden ze het standpunt van WhatsApp over end-to-end versleuteling(nieuw venster) verduidelijken: Uw berichten zijn privé, maar uw locatie, profielfoto’s, groepslidmaatschappen en contactlijsten zijn vogelvrij. Dat soort onbeperkte toegang zet de deur open voor bedreigingen van binnenuit en datalekken, waarbij gevoelige informatie kan worden gestolen en verkocht op het dark web.

Het voormalige hoofd beveiliging betoogt dat dit toegangsniveau mogelijk ook in strijd is met een bindend bevel van de Amerikaanse overheid dat Meta (toen Facebook) dwong om een recordboete van $5 miljard te betalen in 2020(nieuw venster) na het Cambridge Analytica-schandaal.

Hij beweert ook dat het bedrijf meer dan 100.000 dagelijkse accountovernames negeerde en zijn voorgestelde oplossingen afwees. Volgens de rechtszaak ontsloeg Meta Baig toen hij deze zorgen aankaartte bij het senior management, waaronder Mark Zuckerberg.

Meta heeft de beweringen van Baig ontkend en weet zijn ontslag aan slechte prestaties. De beschuldigingen hebben ook politieke aandacht getrokken, waarbij senatoren Zuckerberg onder druk zetten(nieuw venster) voor antwoorden over de beveiligingspraktijken van WhatsApp.

De rechtszaak van Baig komt slechts een paar dagen nadat een groep van zes huidige en voormalige Meta-werknemers(nieuw venster) beweerde dat het bedrijf bewijs in de doofpot stopte dat kinderen werden blootgesteld aan grooming, intimidatie en geweld op zijn virtual reality-platforms. Meta ontkende ook die beweringen.

Wat zijn de beveiligings- en privacyrisico’s van WhatsApp?

Nu de omgang van WhatsApp met gebruikersgegevens in de schijnwerpers staat, zijn hier de beveiligings- en privacyrisico’s waarmee u te maken kunt krijgen als u deze app gebruikt:

Malware en spyware

Kwaadaardige apps of koppelingen kunnen spyware op uw telefoon installeren, waardoor aanvallers berichten of codes kunnen onderscheppen. Een voorbeeld is PixPirate(nieuw venster), een Android-malware die voor het eerst werd gesignaleerd in Brazilië, waar het zich richtte op het directe betalingssysteem van het land, Pix. Het is sindsdien waargenomen in India, Mexico en Italië. Het doel is om inloggegevens voor bankieren te stelen, tweestapsverificatie (2FA) codes te onderscheppen, ongeautoriseerde Pix-overboekingen te initiëren vanaf het account van een slachtoffer, en pogingen om het te deïnstalleren of Google Play Protect uit te schakelen te blokkeren.

Aanvallers hebben WhatsApp gebruikt om PixPirate te verspreiden. Als de malware WhatsApp niet op het apparaat detecteert(nieuw venster), zal het dit downloaden om meer schadelijke koppelingen naar contacten te verzenden.

Zero-click exploits

In 2025 ontdekten onderzoekers een zero-click aanval waarmee hackers konden inbreken op iPhones en Macs via WhatsApp(nieuw venster) zonder dat gebruikers ergens op hoefden te klikken. De exploit combineerde twee fouten: één in hoe macOS en iOS afbeeldingen verwerkten, en een andere in de functie voor het koppelen van apparaten van WhatsApp.

Cybercriminelen konden spyware leveren aan Apple-gebruikers via WhatsApp-berichten en gegevens stelen van hun apparaten, inclusief berichten. Meta zei dat minder dan 200 gebruikers getroffen waren, en zowel Apple als WhatsApp hebben sindsdien de kwetsbaarheden gepatcht.

In hetzelfde jaar trof een afzonderlijke zero-click kwetsbaarheid Samsung-apparaten (CVE-2025-21042(nieuw venster)). Aanvallers konden Galaxy-telefoons in gevaar brengen door een kwaadaardig afbeeldingsbestand te verzenden, en er is geen interactie vereist. Deze exploit werd gebruikt in gerichte spywarecampagnes totdat Samsung het probleem patchte in zijn beveiligingsupdate van april 2025.

SIM-swapping en oplichting met verificatiecodes

Aanvallers kunnen uw mobiele provider misleiden om uw telefoonnummer over te dragen naar een nieuwe simkaart die zij beheren. Vervolgens kunnen ze u oplichten om de zescijferige code te delen die WhatsApp via sms verzendt bij het instellen van een nieuw apparaat. Als u deze overhandigt, kunnen kwaadwillenden uw account kapen, u buitensluiten, uw identiteit stelen en uw profiel gebruiken om uw contacten op te lichten. De politie in Southwark, Londen, rapporteerde een toename van deze aanvallen in 2021(nieuw venster) en waarschuwde mensen om hun WhatsApp-codes nooit te delen.

Blootgestelde metagegevens

Chats zijn misschien end-to-end versleuteld, maar WhatsApp (en moederbedrijf Meta) verzamelt nog steeds metagegevens — zoals met wie u praat, hoe vaak, uw apparaatdetails en locatie. Metagegevens kunnen niet worden gebruikt om u direct te identificeren, maar ze kunnen worden gekoppeld aan andere informatie om u opnieuw te identificeren(nieuw venster). En omdat Meta in de VS is gevestigd, kan het alles wat het over u weet delen met de Amerikaanse overheid zonder kennisgeving.

Massale blootstelling van 3,5 miljard WhatsApp-telefoonnummers

In 2025 ontdekte een groep onafhankelijke Oostenrijkse onderzoekers een privacyfout(nieuw venster) in WhatsApp waardoor ze 3,5 miljard telefoonnummers konden ophalen — samen met profielfoto’s, apparaatdetails, tijdstempels, “info”-tekst en bedrijfsinformatie — met behulp van een eenvoudig reproduceerbare telefoonnummer-enumeratiemethode. Dezelfde kwetsbaarheid werd voor het eerst gemeld in 2017, maar Meta heeft dit niet aangepakt. Belangrijk is dat er geen bevestigde WhatsApp-datalekken publiekelijk zijn gemeld waarbij gebruik is gemaakt van deze specifieke methode.

Hoewel uw telefoonnummer en metagegevens u niet direct identificeren, kunnen ze worden gekoppeld aan andere gegevens om te onthullen wie u bent. Misschien gebruikt u dezelfde profielfoto op sociale platforms, of bent u onderdeel geweest van eerdere datalekken waarbij uw e-mails, gebruikersnamen of locatie zijn blootgesteld — die allemaal kunnen worden teruggekoppeld naar uw WhatsApp-metagegevens.

De onderzoekers verkregen ook de openbare sleutels die worden gebruikt voor de end-to-end versleuteling van WhatsApp en vonden ernstige problemen, waaronder encryptiesleutels die honderden keren opnieuw werden gebruikt voor verschillende accounts, en eenmalige pre-keys die herhaaldelijk verschenen, ook al zijn ze ontworpen om voor elke sessie nieuw gegenereerd te worden.

Deze beveiligingsproblemen suggereren het gebruik van onofficiële of frauduleuze WhatsApp-clients met gebroken encryptie. Als u deze aangepaste apps gebruikt, kunnen uw berichten kwetsbaar zijn voor onderschepping, ontsleuteling of account-imitatie.

Meta zei dat het het enumeratieprobleem had opgelost, bagatelliseerde de gevoeligheid van de blootgestelde gegevens en ging niet in op de problemen met de openbare sleutel of het feit dat het bijna tien jaar eerder voor deze grote fout was gewaarschuwd.

Gerichte advertenties op alle Meta-platforms

WhatsApp zegt geen berichtinhoud voor advertenties(nieuw venster) te gebruiken, maar het gebruikt wel andere gegevens — zoals accountinfo (landcode, leeftijd), apparaatinfo (taal, locatie) en activiteit in Status en Kanalen (wat u bekijkt, volgt of aanklikt). Omdat WhatsApp onderdeel is van Meta, kunnen deze gegevens worden gedeeld via Facebook en Instagram, hoewel deze gegevensdeling in Europa beperkt is dankzij de AVG.

Sinds WhatsApp zijn privacybeleid wijzigde in 2021, deelt het ook betalings- en transactiegegevens die u mogelijk met bedrijven hebt gehad met Meta (toen Facebook). Als u WhatsApp verbindt met Meta’s Accountcentrum, worden uw advertentievoorkeuren samengevoegd, wat betekent dat acties in WhatsApp invloed kunnen hebben op advertenties die u elders ziet. En met nieuwe functies aangedreven door Meta AI roept het delen van gegevens over platforms heen nog meer zorgen op.

Meta AI-training

Meta AI is ingesloten in WhatsApp, Facebook en Instagram, wat zorgen aanwakkert over hoe gegevens worden verwerkt, gebruikt voor AI-training en gedeeld over deze platforms.

Op WhatsApp zegt Meta dat Meta AI geen toegang heeft tot uw privé, end-to-end versleutelde chats. De prompts en feedback die u echter deelt met Meta AI, kunnen worden opgeslagen en gebruikt om zijn modellen te verbeteren. WhatsApp biedt ook een functie voor gesprekssamenvatting die afhankelijk is van “privéverwerking”(nieuw venster), waarvan Meta beweert dat het voorkomt dat samenvattingen door het bedrijf of iemand anders worden gelezen.

Zelfs met deze garanties blijven er zorgen bestaan over hoeveel controle mensen werkelijk over hun gegevens hebben. Facebook-gebruikers hebben bijvoorbeeld gemeld dat Meta AI instellingen had ingeschakeld waardoor het ongepubliceerde foto’s van hun filmrol kon scannen zonder hun toestemming.

Hoe u veilig blijft op WhatsApp

Dit is wat u kunt doen om uw privacy en veiligheid te verbeteren bij het gebruik van WhatsApp:

• Gebruik altijd de officiële WhatsApp-apps uit de App Store of Google Play om ervoor te zorgen dat uw end-to-end versleuteling correct werkt.
• Schakel beveiligingsmeldingen in op uw telefoon om waarschuwingen te krijgen wanneer een contactpersoon WhatsApp opnieuw installeert, van telefoon verandert, of een gekoppeld apparaat toevoegt of verwijdert.
• Maak een passkey aan zodat u bij WhatsApp kunt inloggen met uw gezicht, vingerafdruk of schermvergrendeling. Dit voorkomt dat iemand anders inlogt, zelfs als ze uw sms-code bemachtigen.
• Voeg een e-mailadres toe om uw account te verifiëren of te herstellen als u bent buitengesloten. Zorg ervoor dat uw e-mail zelf beveiligd is met een sterk wachtwoord en tweestapsverificatie.
• Schakel end-to-end versleutelde back-ups in om uw chats in iCloud of Google Drive te beschermen, zodat zelfs Apple, Google of Meta ze niet kunnen lezen. WhatsApp laat u geen cloudopslagprovider kiezen. Anders kunt u chatback-ups beter volledig uitschakelen.
• Deel nooit uw zescijferige verificatiecode met iemand. WhatsApp en Meta zullen er nooit om vragen.
• Vraag uw mobiele provider om een pincode of wachtwoordzin toe te voegen voordat uw nummer naar een andere simkaart kan worden verplaatst. Dit maakt sim-swapping veel moeilijker.
• Download WhatsApp alleen via Google Play of de App Store en houd het — en uw mobiele en desktopbesturingssysteem — bijgewerkt naar de nieuwste versie.
• Klik nooit op koppelingen en installeer geen apps van onbekende of verdachte WhatsApp-contacten. Als u twijfelt over een contact, neem dan via een andere methode contact met hen op om hun identiteit te bevestigen.
• Scherm uw (nieuw venster)WhatsApp-privacyinstellingen(nieuw venster) af door te beperken wie u aan groepen kan toevoegen en uw profielfoto, laatst gezien en online status, info-sectie en koppelingen op uw profiel kan zien.
• U kunt Meta AI op WhatsApp niet volledig uitschakelen, maar u kunt wel stappen ondernemen om te voorkomen dat het te veel van uw activiteit leert — en uw berichten beschermen zodat ze niet in AI-trainingsgegevens belanden.

Kies een meer private instant messaging-app

Hoewel u stappen kunt ondernemen om uw beveiliging te verbeteren en te beperken wat andere WhatsApp-gebruikers kunnen zien, verandert dit niets aan het feit dat Meta nog steeds afhankelijk is van het verzamelen van gebruikersinformatie, zoals metagegevens, voor inkomsten. Als de recente beweringen van de klokkenluider kloppen, is die toegang mogelijk nog breder dan het bedrijf toegeeft. Gezien de geschiedenis van privacyschendingen door Meta, is enige scepsis gerechtvaardigd.

Als u zich zorgen maakt over dit niveau van controle, overweeg dan een meer privé alternatief voor WhatsApp dat veel minder gegevens verzamelt en niet gekoppeld is aan een Big Tech-bedrijf dat door toezichthouders is beboet voor zijn betaal-of-instemmen-advertentiemodel.