Vorige week debatteerde de Tweede Kamer over een TikTok-verbod op werktelefoons van rijksambtenaren. De reden: coalitiepartijen vrezen dat data en persoonsgegevens bij de Chinese overheid terecht komen.
In de Verenigde Staten werd vorig jaar al ingestemd met een TikTok-verbod op werktelefoons van overheidsfunctionarissen en de Europese Commissie heeft besloten dat werknemers tot 15 maart hebben om de app van hun werktelefoon te verwijderen. Staatssecretaris Van Huffelen hoopt binnen een paar weken een besluit te nemen over het Nederlandse beleid.
Computest Security is gespecialiseerd in cyberveiligheid. In dit blog bespreken we de gevaren van TikTok en hoe jouw bedrijf om moet gaan met de risico’s van de app.
TikTok en spionage: een feit of fabel?
Het eerlijke antwoord is: we weten het niet precies. Wat we wel kunnen zeggen, is dat TikTok het eerste grote social media platform is dat uit China komt. En dat brengt een risico met zich mee. De Chinese overheid staat namelijk bekend om bedrijfsspionage. Dit gebeurt bijvoorbeeld om belangrijke Tech informatie uit het westen te kopiëren voor eigen gebruik.
Daarbij komt kijken dat Chinese social media platforms veel dichter bij de overheid staan dan westerse bedrijven. Volgens de Chinese wetgeving mag alle data die door China heengaat door de overheid worden ingezien én gebruikt. TikTok zegt niet mee te doen aan verzoeken vanuit de overheid om informatie te delen, maar de vraag is hoe realistisch dat is.
Wat kan TikTok doen met jouw data?
TikTok leest (nog) niet mee met jouw mailberichten, maar is bijvoorbeeld wel een meester in het engaged houden van gebruikers. Ze meten alles wat je doet in de app. Zo weten ze bijvoorbeeld waar je bent als je de app gebruikt, hoe lang je scrolt en hoe lang je naar een video kijkt. Daardoor kan TikTok een onwijs gedetailleerd profiel van haar gebruikers maken. Is dat spionage? Daar valt over te debatteren. Het maakt het platform in ieder geval uitermate geschikt voor beïnvloedingscampagnes. Als TikTok precies weet met welke problemen jij zit of welke vraagstukken je belangrijk vindt, kunnen ze je content voorschotelen om jouw mening te beïnvloeden. Dit vormt bijvoorbeeld een groot gevaar bij het beïnvloeden van verkiezingen en het volgen van locaties van (belangrijke) personen.
Hoe heeft TikTok gereageerd op deze ontwikkelingen?
De topman van TikTok wordt op het matje geroepen door het Amerikaanse Congres. Hij moet – net als andere grote Tech partijen – vragen beantwoorden hoe het platform omgaat met de privacy van de veelal jonge gebruikers. Om te voorkomen dat de Amerikaanse overheid de app volledig verbiedt, hebben zij afgesproken dat het Amerikaanse bedrijf Oracle wijzigingen in de code checkt en goedkeurt. Zo willen ze voorkomen dat er niet toch stiekem data via een achterdeur wordt weggesluisd.
Moeten bedrijven TikTok nu meteen verbieden?
Of je TikTok wilt verbieden op werktelefoons van medewerkers blijft natuurlijke een persoonlijke afweging. Als je bedrijf gevoelig is voor spionage uit China (denk bijvoorbeeld aan een bedrijf als ASML) dan kan TikTok een reëel risico vormen. Maar wat je je eigenlijk af moet vragen is welke apps je überhaupt wel en niet op werktelefoons wilt toestaan. Vorig jaar werd bijvoorbeeld bekend dat Israëlische militairen op een geheime basis in de gaten werden gehouden door het gebruik van fitnessapp Strava. Het spreekt voor zich dat deze app een groot risico met zich meebracht voor deze specifieke groep. Voor andere organisaties hoeft dit niet per se meteen een groot risico te zijn. Als jouw bedrijf veel bezig is met informatiebeveiliging dan kan het wel een idee zijn om een risico-inventarisatie te maken van veelvoorkomende apps. Denk daarbij bijvoorbeeld aan apps waarmee je to do lijstje of notities kan maken.
Voorlopig is het niet verplicht om TikTok (of andere apps) te laten verwijderen. Maar een kritische blik werpen op het gebruik van apps op werkapparatuur kan natuurlijk geen kwaad.