1. Waarom worden apps als AliExpress nu ineens verboden voor ambtenaren?
Dat verbod is niet nieuw, maar werd in maart al aangekondigd door staatssecretaris Van Huffelen (Digitalisering). Toen werd alleen TikTok genoemd, nu blijkt volgens de NOS dat ook marktplaatsapp AliExpress, berichtendienst WeChat en sociaal platform VKontacte op de lijst staan. Apps uit landen – vooral China en Rusland, maar ook Noord-Korea en Iran – die zich in Nederland veelvuldig schuldig maken aan spionage. De motivering om ze te verbieden volgt uit een risico-analyse van veiligheidsdienst AIVD. Die dienst redeneert als volgt: de genoemde apps slaan, net zoals westerse apps overigens, allerlei privédata op. De overheden van China en Rusland kunnen daar wettelijk gezien bij en omdat die gegevens ook nog eens nuttig kunnen zijn om te spioneren – ze onthullen wie waar werkt in Nederland – is het risico te groot om de apps toe te staan.
2. Is er hard bewijs voor die redenering?
Het korte antwoord: nee. De staatssecretaris zelf heeft het daarom ook over een ‘beperkt effect’. Het is eerder een optelsom van risico’s. ‘Een signaal voor de bühne’, zegt Liesbeth Holterman, strategisch adviseur van Cyberveilig Nederland. ‘De kans dat China data uit AliExpress gebruikt om bij de Nederlandse overheid te spioneren, lijkt me vrij onwaarschijnlijk.’
3. Wat maakt de apps zo’n aantrekkelijk doelwit voor geheime diensten?
Het zijn niet zozeer de apps zelf zoals TikTok die een direct spionagegevaar vormen, maar de data die zij opslaan. Inlichtingendiensten zoeken permanent naar grote datastromen. Ze zijn vooral geïnteresseerd in de metadata: wie belt met wie, vanaf welke locatie en hoe vaak. Die gegevens kunnen ze weer gebruiken om gericht iemand te hacken of om toegang te forceren. Holterman: ‘In dat opzicht zijn Facebook en Instagram, zeer populair in Nederland, veel logischer doelwitten voor inlichtingendiensten.’ Daarnaast zijn er betere manieren voor geheime diensten om aan data te komen.
4. Hoe komen inlichtingendiensten aan persoonsgegevens?
Door het toenemend gebruik van technologie, het delen en doorgeven van data en de alomtegenwoordigheid van sociale media, is het voor geheime diensten een koud kunstje om aan persoonsgegeven te komen. Grote sociale mediabedrijven als Twitter en LinkedIn hebben te maken gehad met datalekken. Op het darkweb worden gigantische bestanden met privégegevens aangeboden, die ook de Nederlandse AIVD in handen krijgt. Criminele hackers die bedrijven afpersen, publiceren daarnaast aan de lopende band interne data om de druk op die bedrijven verder op te voeren. Ook daarin zijn allerlei gevoelige persoonsgegevens te vinden. Momenteel is de veelgebruikte softwareleverancier MOVEit Transfer gehackt door een Russische ransomwaregroep. De criminelen hebben data gestolen, waarin onder meer meer de gegevens zitten van softwareleverancier Wolters Kluwer, reisorganisatie BCD Travel, vakantiepark Landal, oliebedrijf Shell en netbeheerder Tennet. ‘Iedereen in Nederland moet ervan uitgaan dat zijn of haar gegevens zijn gelekt of dat dat nog gaat gebeuren’, waarschuwde de Autoriteit Persoonsgegevens afgelopen juni.
5. Als alle geheime diensten toegang zoeken tot persoonsgegevens, waarom wijst Nederland dan vooral naar China en Rusland?
Ook dat is een risico-afweging. Het is bekend dat vooral China gigantische middelen inzet om te spioneren in het Westen. Naar schatting 300 duizend Chinese overheidshackers zoeken in het buitenland naar intellectueel eigendom. China schuwt daarvoor geen middel. De AIVD en MIVD waarschuwden in 2022 nog dat China bezig was met ‘grootschalige vergaring van persoonsgegevens’ in Nederland. Die data haalt de Chinese staat uit sociale mediaprofielen maar hackers uit het land dringen ook binnen bij hotelketens, telecombedrijven en zelfs medische instellingen.
6. Waarom dan toch een verbod voor AliExpress?
Het verbod is makkelijk uit te vaardigen: ambtenaren hebben de apps niet nodig voor hun werk. Het gebruik ervan zal zeer beperkt zijn. Holterman: ‘Het is verstandiger om een lege telefoon mee te nemen naar China, dan de app van AliExpress te verbieden in Nederland.’ Het gaat waarschijnlijk om het signaal: wees voorzichtig met privédata en de telefoon. Holterman: ‘Het is een uitstekend middel om het bewustzijn onder ambtenaren te vergroten: andere staten hebben interesse in de intenties van de Nederlandse overheid.’
7. Hoe gemakkelijk is het verbod te handhaven?
De Rijksoverheid wil uiteindelijk toe naar zogeheten ‘managed devices’, wat betekent dat werktelefoons worden beheerd. Ambtenaren kunnen dan alleen nog apps installeren die zijn toegestaan. Dat is vergelijkbaar met hoe er nu bij de Rijksoverheid met zakelijke laptops wordt omgegaan.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2023 DPG Media B.V. - alle rechten voorbehouden