Signal groeit, maar voor hoelang?

Als je moeder je gaat vragen of ze niet ook eens naar Signal moet, weet je dat het menens is. Signal zal voor veel tweakers een bekend fenomeen zijn, als veilige en privacyvriendelijke chatapp die in veel opzichten een prima alternatief is, ware het niet door het feit dat maar weinig van onze contacten er gebruik van maken. Inmiddels lijkt dat tij wel te keren. Signal lijkt aan een opmars bezig.

Die opmars wordt gestuwd door de recente ontwikkelingen in de VS; gebruikers van grote techdiensten zoeken naar alternatieven die privacyvriendelijker zijn en die uit Europa komen. Dat laatste is bij Signal niet het geval, maar met de veiligheid zit het een stuk beter. Dergelijke shifts weg van bigtechbedrijven zijn wel vaker te zien, bijvoorbeeld toen Facebook WhatsApp in 2014 overnam of toen de AVG opkwam. Toch is WhatsApp nog steeds het dominante chatplatform. Tweakers nam contact op en sprak − via een Signal-videochat − met Jun Harada, vicepresident van groei en partnerschappen bij de Signal Foundation.

Als ik je vraag wat Signal is, wat zeg je dan?

"Daarvoor moeten we eerst terug naar het begin. Signal is nu zo'n tien jaar oud, maar de geschiedenis gaat nog verder terug. Signal is eigenlijk twee technologieën in een organisatie. We zijn zowel een app als een protocol. De app is het product dat we allemaal kennen en gebruiken. Daarnaast maken we een eigen encryptieprotocol; dat zit meer aan de infrastructurele kant."

Dat protocol is het Signal Protocol, dat vroeger begon onder de naam axolotl. Harada noemt het 'het meest bestudeerde encryptieprotocol ter wereld'. "Het wordt nu gebruikt in WhatsApp, Skype, in Google via RCS. Het was baanbrekend toen het uitkwam."

De reden dat ik vraag hoe je Signal zou beschrijven, is omdat de meeste mensen jullie waarschijnlijk zien als een alternatief voor WhatsApp. Is dat een correcte vergelijking?

"Ik denk dat dat een redelijke vergelijking is, ja. We zijn een alternatief voor voornamelijk Amerikaanse bedrijven, die allemaal gebouwd zijn op dataverzameling: ofwel ze verzamelen het, ofwel ze verkopen het. We zwemmen in een oceaan van grote techbedrijven. Daarom moeten we ook wel blijven innoveren."

Moet je niet ook de grote golven volgen die techbedrijven ook maken? Als die een kant op bewegen, en Signal wil daar een alternatief voor zijn, dan zul je toch ook mee moeten bewegen?

"Het gaat niet zozeer om het volgen van bigtechbedrijven. We kijken naar wat gebruikers willen. Bijvoorbeeld: mensen zitten op smartphones. In de afgelopen twintig jaar kijken we naar wat mensen op dat gebied willen zien. Ze willen foto's kunnen maken en versturen, ze willen gesprekken kunnen voeren ... We moeten daarin volgen wat mensen willen. Misschien wel belangrijker: het moet gewoon werken. Al die alternatieve apps hebben bepaalde normen opgezet."

Het lijkt er op dit moment op dat steeds meer chatapps, met name WhatsApp, de platformkant op gaan. Daar zitten kanalen in, je kunt het met bedrijven gebruiken, de stories ... Volg je dat als Signal dan ook?

"Nee, ik denk niet dat het eerlijk is die vergelijking te maken. Bij Signal maken we een duidelijk onderscheid tussen socialemediaplatforms en berichtendiensten. We zijn heel beslist die laatste. We willen niet verward worden met een platform."

Waarom niet?

"We zijn zó gericht op het maken van een communicatieapp, daar ligt onze grootste focus. Als je die andere kant op gaat en een platform wil maken, dan verlies je die focus. Je neemt dan een heel ander profiel aan. Ons belangrijkste punt is privacy; we willen zorgen dat dat centraal staat. Kijk maar naar hoe WhatsApp dat doet; kanalen op WhatsApp zijn niet versleuteld, WhatsApp Business is niet versleuteld. Je denkt dan dat je op een privacygerichte app zit, maar dat is niet zo."

"Als je het heel zakelijk bekijkt, zou het een grote kans voor ons zijn. Maar wij zijn een non-profitorganisatie, dus voor ons is er geen reden een platform te worden."

Er lijkt op het moment een belangrijke shift te zijn die zich tegen bigtechbedrijven keert, die sterker is dan eerst. Zien jullie die paradigmabeweging ook?

"O ja! Die paradigmashift is waar wij leven! Dat is altijd al zo geweest. Twintig jaar geleden probeerden we het paradigma al te veranderen, zodat mensen ons zagen en dachten 'wauw, er is een heel andere app en die werkt goed!' We proberen mensen die keus te geven."

Betekent dat ook alle hens aan dek voor jullie?

"Het is al sinds 2012 twaalf uur per dag alle hens aan dek voor ons."

Maar verandert het je prioriteiten? Of je roadmap? Ga je anders nadenken over wat eraan zit te komen en welke functies je bouwt?

"Nee, sterker nog, het versterkt juist de focus die we nu al hebben. In 2021 zagen we ook al een flinke stijging in populariteit. Dat had er toen mee te maken dat WhatsApp zijn algemene voorwaarden veranderde, waardoor er over de hele wereld woede ontstond. We zien nu soortgelijke veranderingen. Wat je daar nu bovenop ziet komen, is dat er een grote verschuiving is in bewustzijn. Die zie je niet alleen bij een kleine groep privacyliefhebbers, maar bij jonge én oudere generaties. Deze chatapp, dit ding met encryptie dat ooit zo eng en verwarrend was, is dat niet meer. Gebruikers willen dat iets werkt. Dus nee, het verandert de roadmap niet, het maakt juist dat we meer gaan focussen op een app die gebruiksvriendelijk moet zijn."

Dus jullie gaan je met dit momentum niet ineens meer richten op bijvoorbeeld bedrijven of industrieën waar privacy en veiligheid belangrijk zijn, zoals de financiële of industriële sector?

"Nee. Je kunt het niet altijd perfect doen, we kunnen niet overal tegelijk zijn. We moeten daar scherpe keuzes in maken, zorgen dat iedere gebruiker denkt: oké, dit snap ik. Van de andere kant: ik had niet gedacht dat het leger Signal zou gebruiken, maar dat gebeurt wel."

Signal onderscheidde zich lange tijd van alternatieve apps zoals WhatsApp vanwege zijn encryptie. 'Gebruik ons, want bij ons zijn je gegevens veiliger', leek lang het voornaamste verkoopargument. Maar dat argument verloor bij het grote publiek aan kracht toen WhatsApp ook end-to-endversleuteling doorvoerde, nota bene op basis van het Signal Protocol. De inhoud van je berichten kwam daarna niet meer bij Facebook terecht, dus wat zou het uitmaken welke chatapp je gebruikt, leek toen de vraag. Het feit dat metadata, zoals met wie je wanneer chat, alsnog bij dataharker Facebook kwam, lijkt voor datzelfde grote publiek minder belangrijk te zijn.

Dat maakt het veel moeilijker voor Signal om zich te onderscheiden van andere chatapps. De app heeft bijvoorbeeld veel minder features en de features die het wel heeft, komen vaak laat. Het duurt ook lang voordat Signal features kan implementeren. Gebruikersnamen zijn een sprekend voorbeeld: het eerste werk aan gebruikersnamen als alternatief voor telefoonnummers begon in 2019, maar het duurde tot eind 2023 voor er een eerste bèta beschikbaar kwam en tot 2024 voor de feature er definitief was.

Zeg wat je wilt over Facebook, maar ze moven daar wel fast en breaken veel things. Waarom duurt dat bij jullie zoveel langer?

"Omdat je het perfect moet doen. Kijk, het liefst zou ik hier zitten en zeggen dat de maatschappij privacy net zo waardevol vindt als venture capitalists in Silicon Valley data waarderen. Data is zo waardevol, je hoeft maar een whitepaper te schrijven met het voorstel om data te gebruiken en de miljoenen lopen binnen. Het grote nadeel daarvan is dat Signal bestaat binnen een datacentrisch ecosysteem. We zijn een bedrijf dat privacy waardeert in een wereld die tegen die waarde is."

"Daarom moet je zulke dingen goed doen. Als je gebruikersnamen wilt implementeren zoals wij dat doen, dan duurt dat wel vijf jaar. Er is niemand anders die dat eerder doet op de manier waarop wij het doen. We hebben niet de luxe om move fast and break things als motto te nemen. Als we een bug tegenkomen, kunnen we niet zeggen: 'Sorry, we hebben per ongeluk je telefoonnummer gelekt'. Als militairen en activisten je technologie gebruiken, moet je het serieus aanpakken."

In tegenstelling tot veel alternatieve diensten, zitten jullie in een sociaal gebied. Zonder gebruikers geen populariteit. Hoe beïnvloedt dat netwerkeffect jullie werk?

"Je ziet het aan de marketing van Apple. Dat geeft ieder jaar miljoenen uit om klanten te vertellen hoe privé de iPhone wel niet is. Dat geeft maar aan dat bigtechbedrijven ons paradigma volgen. We moeten doen waar gebruikers en klanten behoefte aan hebben. Dat Apple dat doet, geeft aan waar de privacydiscussie staat. Dat is omdat hun klanten dat willen."

"Vanuit een praktisch oogpunt valt of staat ons werk wel bij het netwerkeffect. Je ziet nu wat er in Nederland gebeurt: er zijn grote golven gaande, we groeiden hier in de afgelopen weken soms wel 2000 procent. Soms zien we weleens de vraag voorbij komen of privacy niet dood is. Ik zie juist het tegenovergestelde."

Denk je dat er niet ook een privacy fatigue is? Dat grote techbedrijven inmiddels zo machtig zijn en tracking op internet zo alomaanwezig, dat je er toch niet tegenop kunt vechten?

"Nee, ik denk niet dat dat een ding is. Mensen voelen wel de constante aanval waarbij privacyschendingen tot standje 11 worden opgevoerd. Maar moeheid zie ik niet. Mensen moeten privacy gebruiken in hun eigen threatmodel."

Privacy is een sociaal construct en de zoektocht naar privacyvriendelijke tools is grotendeels aan paradigma's toe te schrijven. Maar ook wetgeving kan een drijfveer zijn. Zeven jaar geleden trad de AVG in werking. Dat had veel effect op hoe Nederlanders, Belgen en andere Europeanen naar privacy keken. Er kwam meer bewustzijn over de hele linie: sportverenigingen moesten nadenken over het bijhouden van hun ledenbestand, maar gebruikers gingen ook nadenken over hun afhankelijkheid van bigtechbedrijven.

De AVG leerde Europese beleidsmakers veel over het reguleren van techbedrijven. Die lessen worden nu toegepast in wetten als de Digitale Dienstenverordening en de Digitale Marktverordening, de DSA en de DMA. Die zijn vooral van toepassing op écht grote diensten, zoals die van Google en Facebook. Maar ook voor Signal zijn dergelijke wetten belangrijk. Signal Foundation-voorzitter Meredith Whittaker, ging de afgelopen maanden de boer op met haar verhaal over de privacyvriendelijkheid van Signal. Ze sprak in interviews ook uitgebreid over wetten als de DSA en DMA.

In welke mate spelen die verordeningen mee in jullie werk? Veranderen ze wat jullie doen en waar jullie aan werken?

"Ik denk het wel, maar mijn focus ligt niet op beleid, dat doet Meredith (Whittaker). Ik weet dat we altijd up-to-date zijn en constructief meepraten waar dat mogelijk is. Wat ik ook weet, is dat de Europese Unie een enorm machtsblok is. Dat kun je niet negeren. Je kunt er niet voor kiezen om niet te voldoen aan de eisen, dat zien we overal in Europa gebeuren. Je ziet wel dat Europees beleid regelmatig ingaat tegen onze principes. Ze zijn bijvoorbeeld tegen end-to-endversleuteling. Soms komt dat in verschillende vormen, zoals in het Verenigd Koninkrijk met de Online Safety Act. Een paar jaar geleden waren er de plannen voor het clientside scannen van apparaten. En in Amerika was er de grote telecomhack waarbij Chinese staatshackers via een achterdeur binnenkwamen die door de Amerikaanse overheid verplicht was gesteld. Dat is een ontnuchterend perspectief op beleid rondom versleuteling en achterdeurtjes."

De DMA verplicht bepaalde grote bedrijven, ook wel poortwachters, om hun systemen open te zetten voor concurrenten. Dat heet interoperabiliteit. Dat geldt alleen voor diensten die een groot aantal gebruikers hebben en een bepaalde omzet halen. Signal valt daar niet onder, maar grote concurrent WhatsApp wel. Dat betekent dat moederbedrijf Meta in de toekomst moet zorgen dat WhatsApp-berichten ook naar Signal-gebruikers kunnen worden verstuurd en vice versa. Dat was tien of vijftien jaar geleden nog wel te doen; toen waren er tientallen apps waarmee diensten via het XMPP-protocol konden samenwerken. Handig, maar ironisch genoeg is het juist de opkomst en vooral inburgering van end-to-endversleuteling die het interoperatibiliteit moeilijk maakt.

Die interoperabiliteit moet wel op verzoek; Signal moet dus vragen aan Meta om toegang tot WhatsApp. Daarbij kan WhatsApp eisen stellen, bijvoorbeeld over waar een vragend bedrijf in ieder geval aan moet voldoen. De meerwaarde op privacygebied zit bij Signal niet in de versleuteling, want die is bij WhatsApp hetzelfde. Het zit in andere dingen, zoals het delen van metadata en contactgegevens met moederbedrijf Facebook. Daar kan WhatsApp eisen over stellen. Vorig jaar lieten zowel Signal als Threema aan Heise weten geen interesse te hebben in samenwerking. Is er sindsdien iets veranderd?

'Interoperabiliteit is erg ingewikkeld'"Interoperabiliteit is heel ingewikkeld. De belangrijkste vraag is wie bepaalt waar de lat ligt. Als Signal en WhatsApp met elkaar moeten werken, wie bepaalt dan de standaard, wie bepaalt de lat? En vooral: wie verlaagt zijn eigen lat? Vanzelfsprekend vinden wij dat iedereen zijn lat moet verhogen, niet andersom, maar daar zijn op dit moment geen regels voor. Als iemand interoperabel wil worden met Signal, moeten ze aan onze standaarden voldoen. Daar zijn maar weinig bedrijven geïnteresseerd in. Interoperabiliteit is dus een leuk idee, maar onrealistisch."

_{Eindredactie: Monique van den Boomen. Coverfoto: Luke van Drie}