Metadata: wat je berichten-app weet zonder je berichten te lezen

Wanneer mensen denken aan de privacy van hun berichten, denken ze aan de inhoud: de tekst, de foto's, de spraakberichten. End-to-end encryptie beschermt die inhoud effectief. Maar er is een ander type informatie dat bij elke bericht wordt gegenereerd en dat vaak even onthullend is als de inhoud zelf: metadata.

1. Wat is metadata?

Metadata is, simpel gezegd, gegevens over gegevens. Bij berichten is metadata alle informatie over een communicatie behalve de daadwerkelijke inhoud. Het is het equivalent van de buitenkant van een envelop: je kunt de brief niet lezen, maar je kunt zien wie hem heeft verstuurd, aan wie hij is gericht, wanneer hij is verstuurd en vanwaar.

In de context van digitale berichten omvat metadata onder andere: wie communiceert met wie, het tijdstip en de duur van communicatie, de frequentie van communicatie, de locatie van de communicanten (afgeleid van IP-adressen of GPS), het type apparaat dat wordt gebruikt, de grootte van berichten (wat het type inhoud kan onthullen) en groepslidmaatschappen.

2. Voorbeelden van berichtmetadata

Om te begrijpen hoe krachtig metadata is, bekijk de volgende voorbeelden. In elk geval ken je de inhoud van het bericht niet, maar de metadata vertelt je genoeg:

• Iemand belt om 2 uur 's nachts naar een alarmlijn voor suicidepreventie en het gesprek duurt 45 minuten. Je hoeft het gesprek niet te horen om te weten dat deze persoon in crisis is.
• Iemand stuurt regelmatig berichten naar een oncologisch centrum. Je hoeft de berichten niet te lezen om te weten dat ze waarschijnlijk met kanker te maken hebben.
• Een werknemer heeft dagelijks contact met een headhunter. Je hoeft hun berichten niet te lezen om te vermoeden dat ze een nieuwe baan zoeken.
• Een journalist communiceert frequent met een werknemer van een bedrijf dat kort daarna in een schandaal belandt. De metadata onthult de bron.
• Twee mensen sturen elkaar 's avonds laat berichten en delen regelmatig locaties. Hun relatie is af te leiden uit de metadata alleen.

3. Waarom metadata gevaarlijk is

Metadata is om meerdere redenen gevaarlijker dan veel mensen beseffen:

Het is systematisch analyseerbaar. Terwijl het lezen van individuele berichten arbeidsintensief is, kan metadata geautomatiseerd worden geanalyseerd op grote schaal. Algoritmen kunnen patronen detecteren, sociale netwerken in kaart brengen en afwijkingen identificeren in miljarden communicatierecords.

Het is moeilijk te vervalsen. Je kunt de inhoud van je berichten zorgvuldig kiezen, maar het genereren van valse metadata (neppe communicatietijden, locaties, contactpatronen) is praktisch onmogelijk bij normaal gebruik.

Het accumuleert. Een enkel stuk metadata is weinig onthullend. Maar metadata verzameld over weken, maanden en jaren creert een gedetailleerd profiel van je leven, relaties, gewoontes, gezondheid, politieke voorkeuren en dagelijks ritme.

Het overleeft berichtverwijdering. Zelfs als berichten worden verwijderd, blijft metadata vaak bewaard op servers. WhatsApp verwijdert je berichten na aflevering van de server, maar bewaart de metadata.

4. "We doden mensen op basis van metadata"

In 2014 maakte voormalig NSA-directeur Michael Hayden een opmerkelijke uitspraak: "We doden mensen op basis van metadata." Hij verwees naar het gebruik van communicatiepatronen om doelwitten voor droneaanvallen te identificeren, zonder de inhoud van gesprekken te kennen.

De onthullingen van Edward Snowden in 2013 lieten zien dat de NSA op grote schaal metadata verzamelde van telefoonverkeer en internetcommunicatie. Het PRISM-programma en het verzamelen van telefoonmetadata door de NSA bewezen dat overheden metadata beschouwen als een van de waardevolste vormen van informatie die beschikbaar is.

Dit is niet beperkt tot de Verenigde Staten. Overheden wereldwijd gebruiken metadata voor surveillance, van China's sociale kredietsysteem tot de Europese bewaarplicht voor telecommunicatiegegevens. Metadata is de grondstof van moderne surveillance.

5. Welke apps verzamelen welke metadata

• WhatsApp: Verzamelt uitgebreide metadata: contacten, communicatiepatronen, tijdstippen, locatie, apparaatgegevens. Deelt een deel hiervan met Meta.
• Telegram: Slaat alle berichten (behalve Geheime Chats) op de server op. Kent je contacten, groepslidmaatschappen en communicatiepatronen.
• Signal: Verzamelt minimale metadata. Bewaart alleen de datum van je laatste verbinding en de aanmaakdatum van je account. Gebruikt Sealed Sender om de afzender te verbergen.
• Hashe: Ontworpen om nul metadata te verzamelen. Geen telefoonnummer, geen contactenlijst op de server, Sealed Sender, vluchtige berichten. De server functioneert als doorgeefluik zonder kennis van communicatiepartners.

6. Hoe metadata patronen onthult

Onderzoekers van Stanford University voerden een studie uit waarbij ze de telefoonmetadata van 546 vrijwilligers analyseerden. Met uitsluitend metadata (geen gespreksinhoud) konden ze met hoge nauwkeurigheid bepalen:

• De gezondheidstoestand van deelnemers (op basis van contact met medische instellingen)
• Religieuze voorkeuren (op basis van contact met religieuze organisaties)
• Politieke orientatie (op basis van communicatiepatronen met politieke organisaties)
• Relationele status en relatieproblemen
• Financiele situatie (op basis van contact met incassobureaus of financiele adviseurs)

Een andere studie van MIT toonde aan dat slechts vier willekeurige datapunten van locatiemetadata voldoende zijn om 95% van de individuen uniek te identificeren in een dataset van anderhalf miljoen mensen. Anonimisering van metadata is in de praktijk bijna onmogelijk.

7. Hoe je je metadata kunt beschermen

Het beschermen van metadata is moeilijker dan het beschermen van berichtinhoud, omdat metadata inherent is aan het proces van communicatie. Toch zijn er stappen die je kunt nemen:

• Kies een app die minimale metadata verzamelt. Niet alle apps zijn gelijk. Signal en Hashe verzamelen fundamenteel minder metadata dan WhatsApp of Telegram.
• Gebruik een VPN. Een VPN verbergt je IP-adres, wat locatiemetadata beperkt.
• Vermijd apps die een telefoonnummer vereisen. Een telefoonnummer koppelt je digitale communicatie aan je echte identiteit.
• Gebruik verdwijnende berichten. Dit beperkt de hoeveelheid metadata die over tijd accumuleert.
• Controleer app-machtigingen. Beperk toegang tot je contacten, locatie en andere gegevens.

8. Sealed Sender als oplossing

Sealed Sender is een van de meest effectieve technieken tegen metadataverzameling. Het verbergt de identiteit van de afzender voor de server, waardoor het onmogelijk wordt om volledige communicatiepatronen te reconstrueren. Gecombineerd met anonieme registratie (geen telefoonnummer) en vluchtige berichten (geen communicatiegeschiedenis op de server), biedt het een niveau van metadatabescherming dat fundamenteel verschilt van wat de meeste apps bieden.

9. Conclusie

End-to-end encryptie is noodzakelijk, maar het beschermt alleen de inhoud van je berichten. Metadata, de informatie over wie met wie communiceert, wanneer, hoe vaak en vanwaar, kan evenveel onthullen als de berichten zelf. Overheden gebruiken metadata voor surveillance, adverteerders gebruiken het voor profilering en kwaadwillende actoren kunnen het gebruiken om je leven in kaart te brengen.

Een werkelijk privacyvriendelijke berichten-app moet beide beschermen: inhoud en metadata. Dit vereist niet alleen sterke encryptie, maar ook technieken als Sealed Sender, anonieme registratie, vluchtige berichten en minimale serveropslag. Encryptie zonder metadatabescherming is als een slot op je dagboek, terwijl de buitenkant vermeldt met wie je elke dag hebt gepraat.