'Wie niet betaalt is een product' is niet meer relevant
"Als je niet betaalt voor een dienst, ben JIJ het product" is inmiddels een dooddoener in iedere privacydiscussie, maar de uitspraak is al lang niet meer relevant. Sommige gratis diensten zijn namelijk wél veilig, en we betalen steeds vaker voor producten die vervolgens toch onze privacy schenden. Het is tijd om ander na te denken over producten, data, en privacy.

Ik zie veel privacyvoorvechters nog vaak een pavlovreactie geven als het gaat om WhatsApp: "Het is van Facebook, en daarom is het automatisch slecht." De oppervlakkige logica is dat Facebook gegevens analyseert, en het moederbedrijf van WhatsApp is, en daarom dus automatisch alle WhatsApp-berichten analyseert. Of in ieder geval de metadata, want diezelfde privacyfans weten ook wel dat WhatsApp door zijn eind-tot-eind-versleuteling hartstikke veilig is.


Oud denken

Het oude adagium "Als je niet betaalt bent je zelf het product" gaat in sommige gevallen nog wel op, maar niet meer automatisch. Het wordt echter nog wel te vaak zo gebruikt.


Gratis alternatieven

Het is opvallend dat de mensen die dat zeggen vaak in één adem Signal als alternatief noemen voor WhatsApp, of Tor als veilige manier om te browsen, of PGP om emails te versleutelen. Signal, Tor en PGP zijn de belangrijkste privacytools van dit moment, en alledrie zijn ze gratis.

Waarom zouden we die wel vertrouwen, en Facebook niet? Deels is dat het open source-karakter van de software en de audits die worden toegepast, maar hoeveel gebruikers checken die broncode ook, of lezen de audits?


Verdienmodel

Er is een belangrijkere reden dat we Signal/Tor/PGP wél vertrouwen en WhatsApp niet, maar dat is geen rationale reden:

We begrijpen het verdienmodel.

Signal wordt bekostigd door donaties. PGP heeft geen organisatie achter zich maar kan door iedereen gecontroleerd worden. Tor heeft de backing van privacyorganisaties en vraagt donaties. WhatsApp en Facebook zijn echter commercieel, dus moet het geld ergens vandaag komen. Maar dat betekent niet altijd dat dat dan maar persoonlijke gegevens zijn.


Betalen ≠ anonimiteit

Het is ook niet meer waar dat betalen voor producten anonimiteit garandeert, in ieder geval niet bij techproducten. Grote bedrijven als Google en Facebook, groot geworden met webdiensten, zetten steeds meer in op hardware. Neem bijvoorbeeld de ambities van Google dat eigen telefoons wil maken, en een slimme speaker bouwt, of Facebook dat stevig inzet op (dure) virtual reality-apparaten.

Je betaalt voor een Oculus Rift honderden euro's. De Gear VR, mede ontwikkeld door Oculus, kost ook nog steeds een paar honderd piek. En het is niet eens alleen de hardware die geld kost, want VR-ontwikkeling is duur en je betaalt voor vrijwel alle games minstens een paar euro.


Middenweg

Google, Facebook, en veel van hun producten zijn dus niet meer gratis, al is 'betaald' misschien ook niet de juiste term. In veel gevallen zit het verdienmodel er tussenin: je betaalt wel, maar kunt de 'dienst' zoals de slimme assistent nog steeds gratis gebruiken - in ruil voor analyse van je gegevens. Maar waar betaal je dan eigenlijk voor? Bij het kopen van een Google Home maak je geen onderscheid tussen de hard- en software, dus feitelijk betaal je veel geld voor een product dat je vervolgens nog steeds afluistert.

Vroeger was de scheidslijn misschien heel duidelijk: Google maakte geen hard-, maar software, en om dat te bekostigen moest je persoonlijke gegevens inleveren. Nu is dat anders: Google verdient geld met data-analyse, maar maakt ook hardware waar je gewoon voor betaalt.


Tijd voor nieuw denken

Daarom is het tijd om anders te gaan kijken naar de verdienmodellen van 'gratis' producten, en te stoppen met alles wat gratis is automatisch weg te zetten als privacyonvriendelijk. Laten we 2 belangrijke regels instellen:



En, in iets mindere mate:



In plaats daarvan moeten we naar een andere denkwijze:

Kijk naar het realistische verdienmodel van een bedrijf/dienst, en ben daar kritisch op.


WhatsApps verdienmodel

WhatsApp is het perfecte voorbeeld van een product dat we ten onrechte snel afschrijven. Als je kijkt naar WhatsApps verdienmodel zie je een geschiedenis van veel gedraai, met een slecht geïmplementeerd abo-model een aanschafkosten, en zelfs nu er wordt ingezet op geld verdienen aan bedrijven blijft WhatsApp trouw aan het oude credo dat het geen advertenties toont.

Ondertussen is WhatsApp één van de grootste chat-apps die aantoonbaar goede encryptie heeft geïmplementeerd voor meer dan een miljard gebruikers, en zoekt het actief naar een verdienmodel dat niet met gebruikersgegevens te maken heeft.


Vertouwen of niet?

Moeten we WhatsApp dan vertrouwen? Nee, absoluut niet. We mogen terecht kritisch zijn op het feit dat de broncode niet openbaar is en dat de app nog steeds (te) veel metadata opslaat. Maar de pavlovreactie dat WhatsApp onveilig is omdát het van Facebook is, is te kort door de bocht, oneerlijk tegenover dergelijke apps, en belangrijkst van al: het maakt minder technisch onderlegde gebruikers bang om een app te gebruiken waar ze relatief erg veilig door zijn.