TikTok huurt Brits veiligheidsbedrijf in om Europees wantrouwen weg te nemen
In een poging het wantrouwen door de politiek tegen te gaan, gaat TikTok samenwerken met beveiligingsbedrijf NCC Group, de eigenaar van het Nederlandse Fox-IT. Het bedrijf gaat toezicht houden op de data van Europese gebruikers van de populaire app uit China.
De gegevens zullen in datacenters in Ierland en Noorwegen worden bewaard. Doel van de maatregel van TikTok is om het vertrouwen van met name de politiek in Europa terug te winnen.
De vrees is dat de Chinese overheid via TikTok toegang kan krijgen tot gebruikersdata óf beïnvloedingscampagnes kan uitvoeren. Deze beschuldigingen heeft het bedrijf altijd tegengesproken. Recentelijk onderzoek van NOS Stories in samen met beveiligingsonderzoekers bracht geen aanwijzingen aan het licht dat de hoeveelheid data die wordt verzameld verdergaat dan wat andere apps doen of dat gebruikers worden bespioneerd.
Ambtenarenverbod
In Europa daalde het vertrouwen in TikTok begin dit jaar tot een dieptepunt, met onder meer een verbod van de app voor ambtenaren van de Europese Commissie. Daarna volgde een verbod in diverse landen, waaronder voor ambtenaren van de Nederlandse Rijksoverheid. Geen enkele andere bekende socialemedia- of video-app heeft te maken met dezelfde soort maatregelen.
Dat er veel op het spel staat, benadrukte het bedrijf zelf ook in een briefing die vanmiddag werd gehouden voor journalisten. "Dit is voor ons bedrijf een gebied dat zeer significant en voor de lange termijn aandacht en investeringen vraagt", zegt Theo Bertram, vicepresident publiek beleid in Europa.
Het plan heeft de naam 'Project Clover' gekregen, een verwijzing naar het klavertje, het symbool van Ierland, waar het hoofdkantoor van TikTok in Europa is gevestigd. Het project is een 'broertje' van een nog groter plan van TikTok voor de Amerikaanse markt. Het betreft daar een vergaande samenwerking met Oracle; alle data staan op servers van het bedrijf, dat ook toezicht houdt op eventuele beïnvloedingscampagnes.
Alle Europese data komen uiteindelijk te staan in drie datacenters, twee in Ierland en een in Noorwegen. Het proces om die gegevens te verhuizen is inmiddels begonnen, zegt TikTok. Het hele proces duurt nog tot eind volgend jaar. Tegen die tijd zijn alle drie datacenters online. In de tussentijd zijn alle data opgeslagen in afgescheiden omgevingen in de VS.
Data monitoren
De NCC Group gaat de data 24 uur per dag monitoren, zegt Stephen Bailey, hoofd privacy bij het bedrijf. "We gaan op zoek naar verdacht of malafide verkeer, inclusief het identificeren van zwakke plekken in de beveiliging." Vervolgens zal het bedrijf adviseren hoe dit opgelost moet worden. Ook gaat NCC "gedetailleerde" onderzoeken doen naar de broncode, om er zeker van te zijn dat alleen goedgekeurde software wordt geïnstalleerd.
Daarnaast onderzoekt het beveiligingsbedrijf het platform zelf, via de apps die TikTok aanbiedt voor iOS en Android. Het doel is zwakke plekken in de beveiliging te vinden of verkeerde configuraties die tot problemen kunnen leiden. Bertram van TikTok sprak de verwachting uit dat NCC Group zaken zal vinden. Hij wees er verder op dat het contractueel is vastgelegd dat de NCC Group, zonder tussenkomst van TikTok, met overheden mag overleggen over veiligheidszaken.
Morgen zijn er vertegenwoordigers van TikTok in de Tweede Kamer. "Ons doel is om zo behulpzaam te zijn als we kunnen, om hen te helpen het platform te begrijpen en om uit te leggen hoe we de data van onze gebruikers beschermen", antwoordde Bertram op de vraag wat de boodschap morgen is. Hij sprak verder de hoop uit dat het feit dat NCC de beveiliging doet "de overheid zekerheid geeft".
In hoeverre NCC's Nederlandse dochteronderneming Fox-IT nog betrokken is bij het werk dat het beveiligingsbedrijf voor TikTok doet, is onduidelijk. Een woordvoerder kon niet direct reageren.