De Partij voor de Dieren (PvdD) vindt het volstrekt onacceptabel dat TikTok een functionaliteit heeft die iedere toetsaanslag vastlegt. De fractie wil dan ook dat het kabinet het Chinese sociale netwerk in ons land verbiedt, tenzij het bedrijf deze functionaliteit verwijdert. Verder pleit de partij ervoor om de controle op techbedrijven en hun producten te verbeteren.
Dat blijkt uit een reeks schriftelijke vragen die Lammert van Raan (PvdA) heeft gesteld aan de minister voor Rechtsbescherming Franc Weerwind en staatssecretaris van Digitalisering Alexandra van Huffelen.
TikTok: ‘Conclusies zijn onjuist en misleidend’
De vragen van de PvdD gaan over uitspraken van beveiligingsonderzoeker Felix Krause. Eind augustus meldde hij dat TikTok gebruikers stiekem in de gaten houdt. Zodra iemand op een URL tikt, injecteert de in-app webbrowser een JavaScript-code die bijhoudt wat gebruikers online doen. Tevens registreert deze code precies wat gebruikers typen op het virtuele toetsenbord van hun smartphone of tablet.
Maar wellicht is dit slechts het topje van de ijsberg. “Er is geen enkele manier voor ons om alles te weten te komen over het soort gegevens elke in-app browser verzamelt, of hoe de gegevens worden overgedragen of gebruikt”, aldus Krause. Hij waarschuwde dat het gebruik van in-app webbrowsers een risico vormt voor onze privacy. Alleen de iOS-app van TikTok registreert de toetsaanslagen van gebruikers.
Een woordvoerder van TikTok ontkende alle beschuldigingen en noemde de conclusies van de beveiligingsonderzoeker “onjuist en misleidend”. “In tegenstelling tot wat het rapport beweert, verzamelen we geen toetsaanslagen of tekstinvoer via deze code. Deze wordt uitsluitend gebruikt voor het debuggen, oplossen van problemen en het monitoren van de prestaties”, zo verklaarde de woordvoerder.
Uitspraken TikTok verifiëren
Voor Lammert van Raan was dit aanleiding om schriftelijke vragen te stellen aan minister Weerwind en staatssecretaris Van Huffelen. Hij vraagt of het klopt dat de in-app browser van TikTok alle toetsaanslagen vastlegt. “Klopt het dat daarmee bijvoorbeeld ook wachtwoorden en creditcardgegevens kunnen worden verzameld?”, zo wil het Tweede Kamerlid weten.
In een reactie zei TikTok dat het geen toetsaanslagen van gebruikers verwerkt om hen te bespioneren. Van Raan vraagt aan de minister en staatssecretaris of er een manier is om de uitspraken van TikTok te controleren, of dat we moeten vertrouwen op de toezegging van het bedrijf in deze kwestie.
De PvdD wil dat het kabinet “op de kortst mogelijke termijn” opheldering gaat vragen bij TikTok om erachter te komen hoe de vork in de steel zit.
Controle vooraf in plaats van achteraf
Van Raan laat er geen misverstand over bestaan: hij vindt het onacceptabel dat TikTok een soort van ingebouwde keylogger in zijn app heeft, zelfs als het bedrijf zegt deze niet te gebruiken. Hij wil dan ook dat de app op korte termijn moet worden geblokkeerd voor Nederlandse gebruikers, net zolang totdat TikTok deze functionaliteit uitschakelt. Het Kamerlid vraagt of de bewindslieden deze mening met hem delen.
Verder wil Van Raan weten of de overheid gebruikmaakt van TikTok en welke overheidsinformatie het platform op deze manier kan verzamelen. “Op welke wijze gaat u ervoor zorgen dat alle gegevens die op deze (onrechtmatige) manier verzameld zijn door TikTok worden verwijderd? Ziet u ook in dat u daar nauwelijks de mogelijkheden toe heeft?”, zo vraagt de PvdD’er zich af.
Tot slot pleit Van Raan ervoor om het toezicht op techbedrijven en hun digitale producten te verbeteren. De controle zou “aan de voorkant” moeten plaatsvinden: achteraf is het onmogelijk om de geleden schade ongedaan te maken. Hij wil weten hoe minister Weerwind en staatssecretaris Van Huffelen hierover denken en hoe ze denken dat te gaan realiseren.
Update (9 november 2022): minister voor Rechtsbescherming Franc Weerwind vindt het zorgelijk als TikTok onrechtmatig vertrouwelijke gegevens van gebruikers verzamelt en verwerkt. “Ik deel de mening dat het gezien de veiligheidsrisico’s absoluut onacceptabel zou zijn wanneer TikTok gegevens ten aanzien van toetsenbordinvoer op onrechtmatige wijze zou verwerken”, schrijft hij in een brief aan de Tweede Kamer.
Minister Weerwind benadrukt dat het niet de taak is van de overheid om te controleren of TikTok zich aan de Europese privacyregels houdt. Daarvoor is de Autoriteit Persoonsgegevens in het leven geroepen. “Deze is onafhankelijk en heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. De onafhankelijkheid brengt mee dat het aan de toezichthouder dient wordt gelaten om te bepalen in welke gevallen een onderzoek noodzakelijk en wenselijk is.”
Dat betekent niet dat het kabinet op haar handen zit. Staatssecretaris voor Digitalisering Alexandra van Huffelen gaat binnenkort in gesprek met TikTok en zal de privacyzorgen onder de aandacht brengen bij het bedrijf. Verder komt er een algoritmetoezichthouder om het bestaande toezicht te versterken. De Digital Service Act (DSA) verplicht bedrijven tot slot om risico’s van hun systemen voor kinderrechten en kunstmatige intelligentie (AI) in kaart te brengen. “Deze risicoanalyses bieden concrete handvatten om proactief toezicht te houden op mogelijk risico’s”, aldus de minister.
