NOS Nieuws••Aangepast
-
Nando Kasteleijn
redacteur Tech
-
Nando Kasteleijn
redacteur Tech
Er stond voor TikTok afgelopen week veel op het spel. Het bedrijf achter de populaire app wil met een samenwerking met een Europees beveiligingsbedrijf wijdverspreid wantrouwen wegnemen. ‘Project Clover’ moet ervoor zorgen dat data van Europese gebruikers niet in handen kunnen komen van de Chinese overheid. Maar de Tweede Kamer was woensdag kritisch. En ook drie experts, die op verzoek van de NOS de plannen analyseerden, zien nog veel haken en ogen.
Het project van de populaire video-app heeft grofweg twee belangrijke onderdelen. Allereerst moet alle data van Europese gebruikers eind volgend jaar zijn opgeslagen in Europa. Dat gaat gebeuren bij twee datacenters: een in Ierland en een in Noorwegen. Nu is de data nog verspreid over drie locaties: de VS, Maleisië en Singapore.
Met het tweede onderdeel hoopt TikTok vooral politici te overtuigen. Het bedrijf gaat samenwerken met het Britse beveiligingsbedrijf NCC Group. Samen met TikTok gaan ze het beheer voeren over alle data. Het beveiligingsbedrijf krijgt een soort toezichthoudende rol. Een woordvoerder van het Nederlandse ministerie van Binnenlandse Zaken, dat verantwoordelijk is voor het TikTok-verbod op werktelefoons van ambtenaren, zegt dat de plannen niks veranderen aan het verbod.
Achterdeurtjes
Onder de experts klinkt erkenning voor de moeite die TikTok doet. “Het ziet er op het eerste gezicht uit als een belangrijke verbetering”, zegt Erik van der Kouwe, universitair docent computerbeveiliging aan de Vrije Universiteit. Maar er zijn ook kanttekeningen.
Zo worden er vraagtekens gezet bij de onafhankelijkheid van de NCC Group. Volgens Pieter Wolters, universitair hoofddocent burgerlijk recht aan de Radboud Universiteit, is het goed dat het Britse bedrijf buiten TikTok om contact mag hebben met de overheid over TikTok. Dit is contractueel vastgelegd.
“Vraag blijft echter hoe onafhankelijk ze echt zijn”, tekent hij aan. “Ze werken uiteindelijk voor TikTok.”
De ceo van TikTok probeerde eerder dit jaar ook het vertrouwen van Amerikaanse politici te winnen. Dat ging moeizaam:
Daarnaast vraagt Van der Kouwe zich af hoe groot de rol van de NCC Group wordt. “Het lijkt erop dat het beheer nog steeds bij TikTok zelf ligt. Elke laag van het systeem is een risico en om het echt veilig te maken moet het eigenlijk in volledig beheer van een derde partij.”
Daarbij is het volgens Van der Kouwe vrij makkelijk om achterdeurtjes op te nemen in de broncode. “Die zelfs met inspectie van de broncode moeilijk te identificeren zijn, en zelfs wanneer ze wel gevonden worden als onschuldige fout gepresenteerd kunnen worden.”
Uitzonderingen relevant
In het plan krijgen Chinese medewerkers geen toegang meer tot wat TikTok ‘beschermde data’ noemt. Het gaat dan bijvoorbeeld om een e-mailadres, een telefoonnummer of financiële informatie van gebruikers.
Maar er zijn ook uitzonderingen: deze Chinese medewerkers kunnen straks nog steeds bij onder meer publieke data – denk aan likes – en data die niet direct herleidbaar is naar personen.
Volgens Chelsea Bruijn, juridisch adviseur IT en privacy bij The Data Lawyers, kan niet bij voorbaat worden gezegd dat deze gegevens niet herleidbaar zijn naar gebruikers. “Een symbolische werkwijze zal geen stand houden bij een onderzoek van een Europese privacytoezichthouder. De praktijk moet uitwijzen hoe TikTok hier daadwerkelijk mee omgaat.”
Afgelopen woensdag moest TikTok in de Tweede Kamer al toegeven dat Chinese medewerkers, weliswaar onder voorwaarden, toegang blijven hebben tot de publieke data.
In de technische briefing die TikTok dinsdag voor journalisten organiseerde, ging het niet over het algoritme dat de app gebruikt. Iets wat de experts ook benoemen. “Er is geen indicatie dat er naar NCC Group toe transparantie zal zijn over de door TikTok gebruikte algoritmen, en al helemaal niet richting het algemene publiek”, zegt Van der Kouwe.
Overigens houdt het Amerikaanse techbedrijf Oracle voor zowel de VS als de EU al wel toezicht op dat algoritme, benadrukte TikTok.