Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals Signal of Telegram. Dat lijkt me een evident beveiligingsrisico gezien de e2ee belofte van de dienst dan niet meer kan worden gegarandeerd. Waarom kiest Europa hiervoor?

Antwoord: nteroperabiliteit is een groot goed, en door gebrek aan interoperabiliteit kun je gesloten platforms creëren waarmee je de concurrentie verhindert. Dat is grofweg de motivatie achter het open moeten stellen van grote platforms en het beschikbaar maken van (gratis) API's om diensten te kunnen koppelen. Concreet staat dit in de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.

Een poortwachter is een internetdienst die een aanzienlijke impact heeft op de markt, voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en een "stevig verankerde en duurzame positie inneemt" op die markt. Al vorig jaar is bepaald dat WhatsApp als dienst hier aan voldoet. Ze leveren ook een “nummeronafhankelijke interpersoonlijke communicatiediensten”. Er is immers geen van buitenaf toegekend nummer noodzakelijk voor de communicatie. Bij WhatsApp werkt het wel op basis van je 06-nummer, maar je kunt wisselen van nummer zonder dat dat je contactenlijst aanpast. Sms is dus wél nummerafhankelijk want als ik een nieuw nummer neem, kunnen mensen die mijn oude nummer hebben me niet meer sms’en.

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt moet interoperabel zijn en dus een gratis API aanbieden waarmee je kunt communiceren met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten, zo las ik in het persbericht van Meta:

Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst.

Het persbericht gaat nader in op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?

De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.

