Welke berichten-apps verwijderen je berichten werkelijk?

Steeds meer berichten-apps bieden een functie voor "verdwijnende berichten" of "vluchtige berichten". Het idee is aantrekkelijk: stuur een bericht, en na een bepaalde tijd verdwijnt het automatisch. Geen spoor, geen bewijs, geen risico. Maar de werkelijkheid is ingewikkelder dan de marketing doet vermoeden.

In dit artikel onderzoeken we welke apps je berichten werkelijk verwijderen, welke ze stilletjes bewaren en waar de valkuilen liggen.

1. De belofte van verdwijnende berichten

Verdwijnende berichten zijn ontworpen om digitale gesprekken meer te laten lijken op gesproken woord: eenmaal gezegd, verdwenen. Dit is waardevol in meerdere scenario's. Journalisten die met bronnen communiceren willen geen permanent bewijs achterlaten. Activisten in landen met repressieve overheden willen geen gespreksgeschiedenis die tegen hen kan worden gebruikt. En gewone gebruikers willen simpelweg niet dat elke vluchtige opmerking voor altijd wordt bewaard.

Maar "verdwijnen" betekent in de praktijk verschillende dingen bij verschillende apps. Sommige verwijderen het bericht alleen van je scherm maar bewaren het op hun servers. Andere verwijderen het van de server maar laten het achter in cloudback-ups. En sommige apps verwijderen alleen de verwijzing naar het bericht, niet de daadwerkelijke gegevens.

2. Hoe verwijdering zou moeten werken

Voor een bericht om werkelijk te verdwijnen, moet het op drie plaatsen worden verwijderd:

1. Het apparaat van de verzender: Het bericht moet van het lokale geheugen worden gewist.
2. De server: Elk exemplaar van het bericht op de server van de berichtendienst moet worden verwijderd.
3. Het apparaat van de ontvanger: Na het lezen (of na een ingestelde timer) moet het bericht ook daar worden gewist.

Daarnaast moeten eventuele back-ups (cloud of lokaal) het bericht ook niet bevatten. Als een bericht op je scherm verdwijnt maar in een iCloud- of Google Drive-back-up blijft staan, is het niet werkelijk verwijderd.

Een werkelijk vluchtig systeem moet dus rekening houden met verwijdering op het apparaat, op de server en in back-ups. Laten we bekijken hoe de populairste apps hiermee omgaan.

3. WhatsApp: verdwijnen, maar niet van de server

WhatsApp biedt sinds 2020 verdwijnende berichten, met timers van 24 uur, 7 dagen of 90 dagen. Wanneer je deze functie activeert, worden berichten na de ingestelde periode verwijderd van beide apparaten.

Er zijn echter belangrijke kanttekeningen. Ten eerste worden berichten tot het moment van verdwijning normaal opgeslagen op de servers van WhatsApp (totdat ze zijn afgeleverd) en in lokale back-ups. Als de ontvanger een automatische cloudback-up heeft ingeschakeld (wat standaard het geval is), kan het bericht in de back-up terechtkomen voordat het "verdwijnt". Ten tweede kan de ontvanger altijd een schermafbeelding maken, het bericht doorsturen of het citeren voordat het verdwijnt. WhatsApp voorkomt dit niet.

Bovendien bewaart WhatsApp uitgebreide metadata over elk bericht, ongeacht of de inhoud verdwijnt. Meta weet nog steeds dat je op een bepaald tijdstip een bericht naar een bepaald contactpersoon hebt gestuurd.

4. Telegram: alleen in Geheime Chats

Telegram biedt een zelfvernietigingstimer, maar alleen in Geheime Chats. Dit is cruciaal om te begrijpen: gewone Telegram-chats worden permanent en onversleuteld (vanuit het perspectief van de server) opgeslagen op de servers van Telegram. Er is geen verdwijnoptie voor reguliere chats.

In Geheime Chats kun je een timer instellen van 1 seconde tot 1 week. Na de ingestelde tijd verdwijnt het bericht van beide apparaten. Geheime Chats zijn end-to-end versleuteld en worden niet opgeslagen op de server. Dit werkt redelijk goed, maar het feit dat Geheime Chats handmatig moeten worden gestart (en niet beschikbaar zijn voor groepen) betekent dat de overgrote meerderheid van Telegram-gesprekken permanent op de server blijft staan.

5. Signal: de betere aanpak

Signal biedt verdwijnende berichten met instelbare timers. Alle Signal-berichten zijn standaard end-to-end versleuteld, en de verdwijnfunctie werkt voor zowel individuele als groepsgesprekken. Na de ingestelde tijd worden berichten van beide apparaten verwijderd.

Signal heeft ook een belangrijk voordeel: de app slaat zo min mogelijk op de server op. Berichten worden na aflevering van de server verwijderd. Signal biedt geen cloudback-upfunctie, wat betekent dat er geen risico is dat berichten in een onversleutelde back-up terechtkomen.

De beperking is dat Signal de verdwijnfunctie niet standaard inschakelt. Gebruikers moeten dit per gesprek of als standaard instellen. Bovendien kan de ontvanger nog steeds schermafbeeldingen maken.

6. Snapchat: de illusie van vluchtigheid

Snapchat heeft het concept van verdwijnende berichten populair gemaakt met foto's en video's die na het bekijken verdwijnen. Maar Snapchat is verre van een privacytool. Ten eerste is Snapchat niet end-to-end versleuteld voor de meeste communicatie. Ten tweede slaat Snapchat berichten op hun servers op totdat ze door alle ontvangers zijn geopend, met een maximum van 30 dagen.

Snapchat heeft ook herhaaldelijk informatie aan overheden verstrekt op basis van gerechtelijke bevelen. Het bedrijf kan en doet dit omdat het technisch toegang heeft tot onversleutelde berichten op hun servers. Daarnaast meldt Snapchat weliswaar wanneer iemand een schermafbeelding maakt, maar voorkomt het dit niet. En met schermopname-apps of een tweede telefoon is zelfs de melding te omzeilen.

7. Het cloudback-upprobleem

Cloudback-ups zijn de achilleshiel van verdwijnende berichten. Zelfs als een app berichten na een timer verwijdert, kunnen ze al in een iCloud- of Google Drive-back-up zijn opgeslagen. Deze back-ups zijn vaak niet end-to-end versleuteld, wat betekent dat Apple, Google of een overheid met een gerechtelijk bevel toegang kan krijgen tot je "verdwenen" berichten.

WhatsApp biedt sinds 2021 versleutelde back-ups aan, maar deze zijn niet standaard ingeschakeld. De meeste gebruikers maken hier geen gebruik van, wat betekent dat hun verdwijnende berichten gewoon in een onversleutelde back-up op Google Drive of iCloud terechtkomen.

Dit probleem wordt verergerd doordat veel gebruikers zich niet bewust zijn van hun back-upinstellingen. Ze vertrouwen op de verdwijnfunctie van de app zonder te beseffen dat een apart systeem (de cloudback-up) alles bewaart.

8. Hashe: vluchtig als uitgangspunt

Hashe pakt het fundamenteel anders aan. In plaats van vluchtige berichten als optionele functie te bieden, is vluchtigheid het standaardgedrag. Elk bericht is ontworpen om te verdwijnen.

Zo werkt het in Hashe: wanneer je een bericht verstuurt, wordt het end-to-end versleuteld met het Signal Protocol en naar de server gestuurd. De server kan het bericht niet lezen (het is versleuteld) en weet niet eens wie het verstuurt (dankzij Sealed Sender). Zodra de ontvanger het bericht ontvangt en de ontvangst bevestigt, wordt het onmiddellijk van de server verwijderd. Er is geen optie om dit uit te schakelen. De server bewaart nooit berichten langer dan strikt noodzakelijk voor aflevering, met een absoluut maximum van 24 uur.

Hashe biedt geen cloudback-upfunctie. Gegevens worden uitsluitend lokaal opgeslagen in versleutelde opslag op het apparaat. Er is niets om te lekken, niets om op te vragen en niets om te herstellen. Wanneer je je account verwijdert of de noodknop gebruikt, worden alle gegevens onmiddellijk en onomkeerbaar gewist.

9. Checklist: wordt echt verwijderd?

Wanneer je beoordeelt of een app je berichten werkelijk verwijdert, stel dan de volgende vragen:

• Zijn berichten end-to-end versleuteld? Zonder E2EE kan de server altijd kopijen bewaren.
• Wordt het bericht na aflevering van de server verwijderd? Of blijft het daar staan?
• Biedt de app cloudback-ups aan? Zo ja, zijn die versleuteld? Zijn ze standaard uitgeschakeld?
• Is de verdwijnfunctie standaard ingeschakeld? Of moet de gebruiker dit handmatig activeren?
• Wordt metadata bewaard? Zelfs als de berichtinhoud verdwijnt, kan metadata onthullen dat er een gesprek plaatsvond.
• Is de broncode open source? Kun je verifieren dat berichten werkelijk worden verwijderd, of moet je het bedrijf op hun woord geloven?

10. Conclusie

Verdwijnende berichten zijn een waardevolle privacyfunctie, maar de implementatie verschilt drastisch per app. WhatsApp verwijdert berichten van je scherm maar laat ze mogelijk achter in cloudback-ups. Telegram biedt echte verdwijning alleen in Geheime Chats. Snapchat biedt een illusie van vluchtigheid zonder echte encryptie. Signal doet het goed maar vereist dat je de functie handmatig inschakelt.

De meest betrouwbare aanpak is een systeem waarbij vluchtigheid geen optionele functie is, maar de architectuur zelf. Wanneer berichten na bevestigde aflevering automatisch van de server worden gewist, wanneer er geen cloudback-ups zijn en wanneer zelfs de metadata ontbreekt, dan heb je een systeem dat werkelijk niets bewaart. Dat is het verschil tussen een verwijderknop en een architectuur die verwijdering als uitgangspunt heeft.