Afgelopen week ontstond ophef rond een besloten Signal-groep waarin Amerikaanse functionarissen militaire acties tegen Houthi-doelen in Jemen bespraken. De reden: onder de deelnemers bevond zich een journalist van The Atlantic, die blijkbaar zonder medeweten van alle deelnemers toegang had tot de gesprekken. Bovendien bleek dat de groepsinstellingen zo waren geconfigureerd dat alle berichten automatisch na vier weken werden verwijderd.

Hoewel de gesprekken plaatsvonden via een platform met end-to-end encryptie, legt dit incident een aantal structurele problemen bloot rond het gebruik van publieke apps zoals Signal in een overheidscontext. Het toont hoe gemak, technische versleuteling en informele communicatiecultuur kunnen botsen met fundamentele eisen rond informatiebeveiliging, transparantie en archivering.

End-to-end encryptie is niet genoeg

Signal staat bekend om zijn sterke end-to-end encryptie, wat betekent dat berichten alleen leesbaar zijn voor de afzender en ontvanger. Maar beveiliging en vertrouwelijkheid gaan veel verder dan alleen versleuteling tijdens verzending.

Voor vertrouwelijke of geheime communicatie in overheidscontexten is ook nodig:

• Beheersbare toegang (wie mag wat lezen);

• Zicht op deelnemers (wie zit er in de groep?);

• Logging (wie heeft wat wanneer gezegd?);

• Toezicht en verantwoording (kan dit worden gereconstrueerd?).

In een Signal-groep kunnen deelnemers relatief eenvoudig worden toegevoegd zonder dat alle anderen daarvan op de hoogte zijn. Dat gebeurde ook in dit geval. Het feit dat een journalist ongemerkt deel kon nemen aan een gesprek over militaire inzet is op zichzelf al een serieuze veiligheidsfout.

Tijdelijk bewaren = structureel risico

Wat dit incident nog ernstiger maakt, is dat de groepsinstellingen waren ingesteld op automatische verwijdering van berichten na vier weken. Dat betekent dat alle communicatie – inclusief mogelijk vertrouwelijke of beleidsrelevante informatie – automatisch verdwijnt, zonder centrale controle of archivering.

Dat is in strijd met fundamentele principes van overheidsarchivering en governance. In vrijwel alle moderne overheidsomgevingen gelden regels als:

• Informatie met beleidsmatige of bestuurlijke relevantie moet worden gearchiveerd;

• Besluitvorming moet herleidbaar zijn;

• Ambtelijke communicatie moet toegankelijk zijn voor toezicht en verantwoording.

Het opzettelijk instellen van automatische verwijdering — zeker zonder alternatieve opslag of archiefvoorziening — is dan ook een directe overtreding van deze principes. Het ondermijnt het vermogen van een organisatie (en de samenleving) om beslissingen later te reconstrueren, toetsen of controleren.

“We zetten het achteraf wel ergens neer” is onvoldoende

Sommige gebruikers verdedigen het gebruik van apps als Signal met het argument dat belangrijke besluiten later toch wel worden vastgelegd in formele systemen, zoals een documentbeheersysteem of archief. Maar dat is een versimpeling van de werkelijkheid. In de praktijk:

• worden veel cruciale afwegingen, afspraken en context gedeeld via berichten — vaak belangrijker dan het uiteindelijke besluit zelf;

• is het moeilijk te reconstrueren wat er precies is besproken als berichten zijn verwijderd;

• is het niet realistisch te verwachten dat alle gebruikers uit zichzelf archivering verzorgen, zeker in informele groepschats.

Bovendien geldt voor vertrouwelijke en geclassificeerde informatie een absoluut verbod op het gebruik van onbeheerde publieke platformen, ongeacht of archivering achteraf plaatsvindt. Dat is niet alleen een technische richtlijn, maar een juridische vereiste.

Gebruik wat er al is: interne, veilige systemen

Overheden beschikken over systemen die wél geschikt zijn voor vertrouwelijke communicatie. Deze bieden:

• Sterke authenticatie en toegang op basis van functie of bevoegdheid;

• Integratie met archiefsystemen;

• Beheerde omgeving met logging en toezicht;

• Mogelijkheden voor veilige samenwerking zonder dat berichten automatisch verdwijnen.

Er is dus geen praktische noodzaak om Signal te gebruiken voor overheidszaken. Het gebruik ervan wijst eerder op gemakzucht of een gebrekkige interne cultuur rond informatieveiligheid.

Vertrouwelijkheid vraagt om meer dan versleuteling

Wat dit incident duidelijk maakt, is dat vertrouwelijkheid, governance en archivering geen bijkomstigheden zijn. Ze horen tot de kern van professioneel overheidsfunctioneren. Vertrouwelijkheid vraagt niet alleen om technische beveiliging, maar ook om:

• Heldere afspraken;

• Actieve beheersing van communicatiekanalen;

• Toezicht op archivering;

• En vooral: bewustzijn bij gebruikers.

Een publieke app met encryptie biedt geen oplossing als er geen grip is op wie er meeleest, wie informatie bewaart, of hoe die informatie later kan worden verantwoord.

Conclusie: veiligheid en transparantie vereisen discipline

Het incident met Signal onderstreept de noodzaak om strengere grenzen te trekken rondom het gebruik van publieke apps voor overheidscommunicatie. Dat berichten versleuteld zijn, betekent niet dat ze veilig zijn. En dat iets ‘praktisch’ is, maakt het nog niet verantwoord.

• Vertrouwelijke informatie hoort niet thuis op Signal, Whatsapp of andere publieke berichtenapps.

• Groepsinstellingen die berichten automatisch verwijderen ondermijnen archiveringsplicht.

• Oncontroleerbare deelname aan gesprekken is onaanvaardbaar in contexten waar integriteit, geheimhouding en publieke verantwoording cruciaal zijn.

Publieke berichtenapps kunnen prima dienen voor persoonlijke of informele contacten, maar zijn fundamenteel ongeschikt voor staatszaken. Zeker wanneer het gaat over militaire operaties, internationale betrekkingen of nationale veiligheid, moeten we geen genoegen nemen met “veilig genoeg”. Alleen formeel goedgekeurde systemen met volledige controle en verantwoording zijn acceptabel.