Vragen Van Raan over het bericht dat het Chinese TikTok bij het gebruik van de in-app browser alle toetsaanslagen vastlegt en daarmee wachtwoorden en creditcardgegevens kan verzamelen
Indiendatum: 7 sep. 2022
Vragen van het lid van Raan aan de minister voor Rechtsbescherming en de staatssecretaris van Koninkrijksrelaties en Digitalisering over het bericht dat het Chinese TikTok bij het gebruik van de in-app browser alle toetsaanslagen vastlegt en daarmee wachtwoorden en creditcardgegevens kan verzamelen
1. Kent u het blog ‘iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser’ van Felix Krause?[1]
2. Klopt het dat TikTok bij het gebruik van de in-app browser alle toetsaanslagen vastlegt? Klopt het dat daarmee bijvoorbeeld ook wachtwoorden en creditcardgegevens kunnen worden verzameld?
3. Klopt het dat de enige garantie dat dit nu niet gebeurd is dat TikTok zelf beweert dat ze deze functie niet gebruiken? Is er een manier om die uitspraak van TikTok te verifiëren?
4. Bent u bereid om, op de kortst mogelijke termijn, TikTok om opheldering te vragen?
5. Deelt u de mening dat deze functie – ook wanneer TikTok hem niet zou gebruiken – absoluut onacceptabel is en TikTok op de kortst mogelijke termijn geblokkeerd moet worden? In ieder geval tot deze functionaliteit geschrapt is?
6. Op welke manier maakt de overheid (in de breedste zin van het woord) gebruik van TikTok? Welke (gevoelige) overheidsinformatie kan door TikTok op deze manier verzameld zijn?
7. Op welke wijze gaat u ervoor zorgen dat alle gegevens die op deze (onrechtmatige) manier verzameld zijn door TikTok worden verwijderd? Ziet u ook in dat u daar nauwelijks de mogelijkheid toe heeft?
8. Deelt u daarom de mening dat het toezicht op (grote) techbedrijven en hun digitale producten veel beter moet en veel meer aan de voorkant zou moeten plaatsvinden omdat de geleden schade achteraf vaak niet ongedaan te maken is? Zo nee, waarom niet? Zo ja, hoe gaat u dat realiseren?
Indiendatum:
7 sep. 2022
Antwoorddatum: 8 nov. 2022
Vraag 1
Kent u het blog ‘iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser’ van Felix Krause?
Antwoord op vraag 1
Ja, daarmee ben ik bekend.
Vraag 2
Klopt het dat TikTok bij het gebruik van de in-app browser alle toetsaanslagen vastlegt? Klopt het dat daarmee bijvoorbeeld ook wachtwoorden en creditcardgegevens kunnen worden verzameld?
Antwoord op vraag 2
Volgens het aangehaalde onderzoek van Felix Krause laat de app van TikTok het toe dat toetsaanslagen, waaronder ook wachtwoorden en creditcardgegevens, in de in-app-browser worden vastgelegd. TikTok zegt volgens het betreffende blog van deze mogelijkheid geen gebruik te maken, en de gegevens slechts te verwerken voor probleemoplossing en prestatiebewaking van de ervaring - zoals het controleren hoe snel een pagina wordt geladen of controleren of deze crasht.
Het onderzoek van Krause geeft geen uitsluitsel of toetsaanslagen ook daadwerkelijk worden vastgelegd en worden gebruikt voor andere doeleinden dan voor probleemoplossing en prestatiebewaking. Of het klopt dat bijvoorbeeld ook wachtwoorden en creditcardgegevens kunnen worden verzameld, is mij niet bekend. Als dat wel gebeurt, is dat natuurlijk uiterst zorgelijk. Binnenkort spreekt de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties in het kader van een serie gesprekken die zij voert met verschillende grote techbedrijven met TikTok. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven. Bij de verwerking van persoonsgegevens dient het uitgangspunt van data-minimalisatie (zo min mogelijk gebruik maken van persoonsgegevens) te worden toegepast.
Vraag 3
Klopt het dat de enige garantie dat dit nu niet gebeurt is dat TikTok zelf beweert dat ze deze functie niet gebruiken? Is er een manier om die uitspraak van TikTok te verifiëren?
Antwoord op vraag 3
Het uitgangspunt van de Algemene verordening gegevensverwerking (AVG) is dat de verwerkingsverantwoordelijke zelf, in dit geval TikTok, dient te waarborgen dat verplichtingen uit de AVG worden nageleefd. Daartoe behoort dat gebruikers controle over hun persoonsgegevens dienen te hebben en dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant is. Concreet betekent dit dat betrokkenen op de hoogte dienen te worden gesteld op het moment dat hun persoonsgegevens worden verzameld, en onder meer welke gegevens worden verzameld, voor welk doel en met wie deze worden gedeeld. Tevens dienen ze te worden gewezen op hun rechten, zoals het recht op inzage.
Wanneer betrokkenen inzicht willen in welke gegevens van hen door TikTok worden verwerkt, dan is TikTok op hun verzoek verplicht inzage te geven in hun persoonsgegevens. Mocht een verzoek om inzage niet het gewenste resultaat hebben, dan kunnen betrokkenen daarover een klacht indienen. In eerste instantie is het raadzaam om deze klacht bij de Functionaris Gegevensbescherming (FG) van TikTok neer te leggen. Als dat niet het gewenste effect sorteert, dan kan een klacht worden ingediend bij de toezichthouder die toeziet op de naleving van de AVG, de Autoriteit Persoonsgegevens (AP).
Zoals hierboven beschreven, kan de vraag welke gegevens daadwerkelijk door TikTok worden gebruikt, beantwoord worden wanneer gebruikers zelf een verzoek doen tot de inzage van de verwerking van hun persoonsgegevens of wanneer de AP onderzoek doet (bijv. n.a.v. een klacht over beperkte inzage). Dit neemt niet weg dat het kabinet van alle bedrijven in Nederland, dus ook TikTok, verwacht dat zij zich aan de geldende wet- en regelgeving houden en daarmee dus ook aan de AVG.
Vraag 4
Bent u bereid om, op de kortst mogelijke termijn, TikTok om opheldering te vragen?
Antwoord op vraag 4
Het houden van toezicht op en het handhaven van de rechtmatigheid van gegevensverwerkingen in de private sector is geen taak van het kabinet, maar van de toezichthouder. Deze is onafhankelijk en heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. De onafhankelijkheid brengt mee dat het aan de toezichthouder dient wordt gelaten om te bepalen in welke gevallen een onderzoek noodzakelijk en wenselijk is.
Dat neemt niet weg dat de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, zoals hierboven aangegeven, binnenkort een gesprek heeft met TikTok. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover.
Vraag 5
Deelt u de mening dat deze functie – ook wanneer TikTok hem niet zou gebruiken – absoluut onacceptabel is en TikTok op de kortst mogelijke termijn geblokkeerd moet worden, in ieder geval tot deze functionaliteit geschrapt is?
Antwoord op vraag 5
Ik deel de mening dat het gezien de veiligheidsrisico’s absoluut onacceptabel zou zijn wanneer TikTok gegevens ten aanzien van toetsenbordinvoer op onrechtmatige wijze zou verwerken. Daarvan kan bijvoorbeeld sprake zijn als voor een volgens de AVG voor gegevensverwerking vereisteverwerkingsgrondslag, bijvoorbeeld toestemming van de betrokkene, ontbreekt. Ook moet worden voldaan aan de beginselen van behoorlijke gegevensverwerking, waaronder het beginsel van dataminimalisatie. Dit beginsel houdt in dat slechts de gegevens mogen worden verwerkt die noodzakelijk zijn voor het doeleinde waarvoor de verwerking van persoonsgegevens plaatsvindt. Het is aan de onafhankelijke toezichthouder om toe te zien op de rechtmatigheid van gegevensverwerking en deze te handhaven.
Vraag 6
Op welke manier maakt de overheid (in de breedste zin van het woord) gebruik van TikTok? Welke (gevoelige) overheidsinformatie kan door TikTok op deze manier verzameld zijn?
Antwoord op vraag 6
De Baseline Informatiebeveiliging Overheden (BIO) en van toepassing zijnde privacywetgeving regelt dat iedere organisatie zelf verantwoordelijk is voor het beoordelen van privacy- en veiligheidsrisico’s voor het in gebruik nemen van ICT-producten en diensten, zoals TikTok. Er is geen centraal overzicht beschikbaar van het gebruik van TikTok door de overheid. De BIO schrijft ook voor hoe met (gevoelige) overheidsinformatie moet worden omgegaan. In generieke zin moet worden geborgd dat dergelijke informatie niet door niet-geautoriseerde partijen en personen kan worden ingezien.
Daarnaast adviseert de Dienst Publiek en Communicatie (DPC) van het ministerie van Algemene Zaken (AZ) de inzet van TikTok voor de Rijksoverheid op te schorten tot TikTok haar gegevensbeschermingsbeleid heeft aangepast.
Vraag 7
Op welke wijze gaat u ervoor zorgen dat alle gegevens die op deze (onrechtmatige) manier verzameld zijn door TikTok worden verwijderd? Ziet u ook in dat u daar nauwelijks de mogelijkheid toe heeft?
Antwoord op vraag 7
Het is juist dat het niet aan het kabinet is om persoonsgegevens die op een onrechtmatige manier zijn verzameld, te laten verwijderen. De onafhankelijke toezichthouder ziet toe op het handhaven van de rechtmatigheid van gegevensverwerking onder de AVG.
Betrokkenen hebben het recht om te verzoeken om bepaalde persoonsgegevens te laten verwijderen, op grond van artikel 17 van de AVG . Als de verwerkingsverantwoordelijke daartoe in voorkomende gevallen niet overgaat, is het raadzaam om, zoals in antwoord 3 staat, een klacht eerst bij de FG van TikTok neer te leggen en als dit niet het gewenste effect heeft, bij de AP.
Vraag 8
Deelt u daarom de mening dat het toezicht op (grote) techbedrijven en hun digitale producten veel beter moet en veel meer aan de voorkant zou moeten plaatsvinden omdat de geleden schade achteraf vaak niet ongedaan te maken is? Zo nee, waarom niet? Zo ja, hoe gaat u dat realiseren?
Antwoord op vraag 8
Zoals gezegd is de verwerkingsverantwoordelijke (in casu TikTok) ervoor verantwoordelijk dat de bescherming van persoonsgegevens aan de standaarden voldoet. De AVG voorziet - naast extern toezicht - daartoe ook in intern toezicht en het kunnen afleggen van verantwoording daarover. Daarmee is de AVG er mede op gericht om, door een adequate risicobeheersing (aan de voorkant), zo veel mogelijk te voorkomen dat gegevens op een onrechtmatige manier worden verwerkt. Een verwerkingsverantwoordelijke heeft op grond van de AVG bijvoorbeeld de plicht om voorafgaand aan verwerkingen van persoonsgegevens die waarschijnlijk hoog risico zijn, een Data Protection Impact Assessment (DPIA), ofwel een gegevensbeschermingseffectenbeoordeling, uit te voeren, zodat een organisatie passende maatregelen kan nemen. Wanneer een DPIA uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats te vinden. Ook hebben organisaties, zoals (grote) technologie bedrijven - die belast zijn met de verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige en regelmatige observatie op grote schaal van betrokkenen vereisen - de verplichting om een FG aan te stellen die onder meer als taak heeft om toe te zien op de naleving van de verordening en te werken aan een cultuur van gegevensbescherming.
In het coalitieakkoord is al aangegeven dat we toezicht willen versterken. Om deze reden heeft de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties in haar werkagenda een heel aantal acties opgenomen. Een voorbeeld hiervan is de oprichting van de toezichthouder op algoritmes. Hierbij kijken we in samenwerking met betrokken departementen en toezichthouders of we toezicht meer vooraf kunnen laten plaatsvinden, bijvoorbeeld met behulp van certificering. Ook zullen zeer grote platforms zoals TikTok met inwerkingtreding van de DSA verplicht worden om risico’s van hun systemen voor kinderrechten in kaart te brengen en worden bedrijven via de AI-act verplicht om risico’s van AI systemen voor mensenrechten in kaart te brengen. Deze risicoanalyses bieden concrete handvatten om proactief toezicht te houden op mogelijk risico’s.
Interessant voor jou
Vragen Van Esch over gezondheidsrisico’s door PFAS in de omgeving van Chemours
Lees verderVragen Wassenberg en Haverkort over de campagne ‘koop geen kortsnuit’
Lees verder