Instagram stopt met DM-encryptie: wat betekent dit voor jouw klantkanalen?

    - - / 23 april 2026

    Instagram stopt vanaf 8 mei 2026 met end-to-end encryptie (hierna: “E2EE”) in directe berichten (hierna: “DM’s”). Tot nu toe konden Instagram-gebruikers per gesprek kiezen voor E2EE door dit handmatig in te schakelen. Die optie verdwijnt nu volledig.

    Dit past in een bredere ontwikkeling. De tijdelijke EU-uitzondering (derogatie) die platforms toestond vrijwillig te scannen op illegale inhoud, is op 3 april 2026 verlopen. Toch blijven grote techbedrijven op eigen initiatief scannen, ondanks het ontbreken van een specifieke wettelijke basis. Dit roept vragen op over wat platforms met de inhoud van berichten mogen doen.

    Voor organisaties die Instagram inzetten voor klantcontact roept dit vragen op. In dit blog leggen we uit wat er verandert, wat dit juridisch betekent, en geven we praktische handvatten om je klantkanalen hierop aan te passen.

    Wat verandert er concreet bij Instagram?

    Tot nu toe konden Instagram-gebruikers per gesprek kiezen voor E2EE door dit handmatig in te schakelen (oftewel “opt-in”). E2EE was dus geen standaardinstelling, maar een bewuste keuze die je per chatgesprek moest maken. Per 8 mei 2026 verdwijnt deze opt-in volledig. Meta heeft de reden hiervoor niet openbaar gemaakt. Zonder E2EE kan Meta de inhoud van berichten op haar servers inzien. Dit maakt het technisch mogelijk om berichten te analyseren, bijvoorbeeld voor contentmoderatie, advertentiedoeleinden of het scannen op illegale inhoud.

    Maatschappelijke organisaties, waaronder het Steering Committee van de Global Encryption Coalition, hebben hun zorgen geuit dat gebruikers hierdoor een cruciale privacylaag verliezen.[1] Zij benadrukken dat E2EE een belangrijke waarborg is voor de privacy van gebruikers en dat het wegvallen ervan de deur openzet voor meer surveillance en dataverwerking door platforms.

    Wat is E2EE en waarom doet het ertoe?

    E2EE wordt over het algemeen beschouwd als een van de sterkste vormen van beveiliging voor digitale communicatie. Bij E2EE wordt de inhoud van een gesprek namelijk zó beveiligd dat alleen de deelnemers die het gesprek voeren erbij kunnen. Elk apparaat dat deelneemt aan een E2EE-chat beschikt over een unieke set beveiligingscodes die samen een soort ‘slot en sleutel’ vormen voor die specifieke chat. Wanneer je een bericht verstuurt, wordt het bericht op jouw apparaat versleuteld voordat het wordt verzonden. Alleen een apparaat met de juiste codes kan het bericht weer ontsleutelen en lezen.

    Toch betekent de aanwezigheid van E2EE niet automatisch dat communicatie volledig privé is. Zelfs waar E2EE wél aanwezig is, kan zogenaamde ‘client-side scanning’ de vertrouwelijkheid inperken. Bij client-side scanning wordt de inhoud van een bericht geanalyseerd op het apparaat van de gebruiker, nog vóórdat het wordt versleuteld en verzonden. Deze techniek wordt door sommige platforms ingezet om bijvoorbeeld te scannen op illegale content. Een derde partij, zoals de platformaanbieder, kan daardoor alsnog toegang krijgen tot de inhoud, ondanks E2EE.

    De juridische context

    Het scannen van communicatie-inhoud door een aanbieder is in strijd met de vertrouwelijkheidseisen van de ePrivacy-richtlijn, tenzij er een wettelijke uitzondering geldt. De Europese Unie nam in 2021 een tijdelijke derogatie aan die communicatiediensten zoals WhatsApp, Instagram-DM en Messenger in staat stelde om op vrijwillige basis berichten en foto’s te scannen op beelden van kindermisbruik. Die tijdelijke derogatie verliep op 3 april 2026. Een duidelijke opvolger is er niet, omdat het Europees Parlement en de lidstaten het niet eens konden worden over hoe ‘chatcontrole’ er dan uit zou moeten zien.[2]

    Tegelijkertijd hebben meerdere grote platforms aangekondigd door te gaan met vrijwillige detectie.[3]Dit leidt tot een spanningsveld: enerzijds de strikte vertrouwelijkheidseisen van de ePrivacy-richtlijn, anderzijds zorgplichten vanuit de Digital Services Act (hierna: “DSA”) om risico’s en illegale inhoud te beperken. Techbedrijven opereren nu in een juridisch grijs gebied: er is geen specifiek mandaat meer voor vrijwillige detectie, maar ook geen expliciet verbod. De DSA legt zorgvuldigheidsverplichtingen op die botsen met de vertrouwelijkheidseisen van de e-Privacyrichtlijn, wat een ‘conflict van plichten’ oplevert.

    Tegen deze achtergrond wordt Meta’s beslissing om E2EE in Instagram-DM’s te beëindigen extra relevant: de technische wijziging valt samen met juridische onzekerheid over wat platforms met berichten mogen doen.

    Wat betekent dit voor jouw organisatie?

    Wanneer je via Instagram met klanten communiceert, deel je persoonsgegevens met Meta. De rolverdeling is genuanceerd: Meta is zelfstandig verwerkingsverantwoordelijke voor platformfunctionaliteit en voor het scannen van content (op eigen initiatief of DSA-zorgplicht). Jouw organisatie blijft zelf verwerkingsverantwoordelijke voor de klantgegevens die via DM binnenkomen.

    Je sluit dus geen verwerkersovereenkomst en hebt geen instructierecht over de gegevens die je deelt met Meta. Dat betekent dat je transparant moet zijn richting klanten over de risico’s van contact via Instagram-DM.

    Is Instagram-DM nog geschikt voor klantcontact?

    Sociale media bieden laagdrempelig contact, maar dat ontslaat je niet van zorgvuldige omgang met persoonsgegevens. Nu E2EE wegvalt én er juridische onzekerheid bestaat over platformscans, is de kernvraag niet meer of het gebruik van Instagram-DM nog ‘technisch kan’, maar eerder: is het nog passend? Door die onzekerheid is het raadzaam om Instagram-DM te beschouwen als een kanaal met beperkte vertrouwelijkheid.

    Instagram-DM blijft bruikbaar voor laagdrempelig, niet-gevoelig contact. Denk aan:

    • Algemene vragen over producten en diensten

    • Doorverwijzing naar het juiste kanaal (met hooguit een naam of e-mailadres)

    • Korte statusvragen zonder gevoelige context

    Bepaalde gegevens kun je beter vermijden. Denk aan:

    • Bijzondere persoonsgegevens (gezondheid, religie, etc.)

    • BSN, betaalgegevens, inloggegevens

    • Kopieën van identiteitsdocumenten

    • Documenten met persoonsgegevens (zoals contracten of facturen)

    De rol van DM verschuift: niet meer het kanaal om vragen volledig af te handelen, maar een startpunt om klanten snel door te verwijzen naar een geschikter kanaal.

    Praktische tips

    Wil je Instagram-DM blijven gebruiken voor klantcontact, maar wel op een privacybewuste manier? Onderstaande tips helpen je om risico’s te beperken.

    1. Overweeg een standaardbericht waarmee je klanten, waar nodig, doorverwijst naar een geschikter kanaal, bijvoorbeeld: “Om je privacy te beschermen behandelen we geen persoonlijke gegevens via DM. Gebruik ons beveiligde formulier/portaal: [link].”

    2. Neem in je privacyverklaring specifiek op wat Instagram-contact betekent, bijvoorbeeld: “Instagram-DM gebruiken wij uitsluitend voor service/community doeleinden.” Inclusief rechtsgrondslag, overzicht van ontvangers en vermelding van doorgifte naar de VS (Meta is een Amerikaanse partij).

    3. Instrueer medewerkers om terughoudend te zijn met het vragen van klantgegevens via DM, en train ze om doorverwijsmomenten te herkennen.

    Conclusie

    Het beëindigen van E2EE in Instagram-DM’s is meer dan een technische wijziging. Het is een duidelijk signaal om kritisch te kijken naar je klantkanalen.

    Gezien deze ontwikkelingen adviseren wij om Instagram-DM te beschouwen als een kanaal met beperkte vertrouwelijkheid en je kanaalkeuze daarop af te stemmen. Dat betekent concreet: klanten waar nodig doorverwijzen naar veiligere communicatiekanalen en deze keuzes vastleggen in beleid, processen en de privacyverklaring. Zo kun je Instagram blijven inzetten waar het sterk in is: bereik, community en snelle, algemene service.

    De juridische situatie blijft onzeker: het verlopen van de derogatie creëert geen expliciet verbod, maar een grijs gebied waarin techbedrijven opereren in een conflict van plichten: de DSA vraagt om actie tegen illegale content, terwijl de e-Privacyrichtlijn vertrouwelijkheid beschermt. Wij volgen deze ontwikkelingen op de voet.

    Hulp nodig bij het beoordelen van je klantkanalen? Neem contact met ons op.

    Neem contact op

    [1]https://www.europarl.europa.eu/news/en/press-room/20260325IPR39207/child-sexual-abuse-online-voluntary-detection-measures-will-not-be-extended

    [2]https://cdt.org/wp-content/uploads/2026/04/GEC-SC-Statement-on-Metas-Removal-of-E2EE-on-Instagram.pdf

    [3] https://blog.google/company-news/inside-google/around-the-globe/google-europe/reaffirming-commitment-to-child-safety/
    Terug naar overzicht

    Jamie Burger

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram