Een flink aantal overheden heeft hun medewerkers verboden TikTok te gebruiken op de werktelefoon, terwijl bedrijven het gebruik van deze app nauwelijks aan banden hebben gelegd. Dat roept de vraag op: welke apps zou je willen, of moeten, weren op zakelijke mobiele devices?
Met meer dan 1 miljard actieve gebruikers – waarvan ruim 5 miljoen in Nederland – is TikTok één van ’s werelds populairste mobiele apps. De app waarmee gebruikers filmpjes kunnen bekijken en delen is echter ook één van de meest omstreden apps op deze aarde.
De kritiek op TikTok luidt vooral dat de Chinese overheid zou kunnen meekijken met wat TikTok-gebruikers hier doen, aangezien bepaalde Chinese wetgeving het mogelijk maakt voor Chinese veiligheidsdiensten om TikTok-informatie in te kijken. Vanwege de enorme populariteit van de app in de Westerse wereld zou het voor de Chinese overheid makkelijk kunnen zijn om toegang te krijgen tot persoonlijke gegevens, zoals locatie, beeldmateriaal en biometrische gegevens.
Belangrijk om te melden: TikTok heeft altijd in alle toonaarden ontkend. Het bedrijf stelt zelfs nooit data te zullen afstaan aan de Chinese overheid.
Vanwege de risico’s op spionage en privacyschendingen is de app inmiddels door een aantal (internationale) overheden ‘verboden’, zoals de Europese Commissie, de Europese Raad, België, Nieuw-Zeeland, Verenigde Staten, Canada, India en Groot-Brittannië. Het verbod houdt in dat de app niet meer op zakelijke apparaten van de ambtenaren in kwestie mag worden gebruikt.
Het Nederlandse kabinet adviseert rijksambtenaren sinds kort ook om geen apps uit landen met een ‘offensief cyberprogramma tegen Nederland’, zoals China, Rusland en Iran, te gebruiken op hun zakelijke telefoons. Daarbij wordt TikTok bij naam en toenaam genoemd. Een volledig verbod volgt waarschijnlijk over een tijdje.
Of TikTok daadwerkelijk informatie doorspeelt aan de Chinese overheid, weten we niet. Vaststaand feit is in ieder geval dat TikTok stelselmatig grote hoeveelheden (persoonlijke) informatie verzamelt. En het kan een risico vormen voor bedrijven als die informatie in verkeerde handen valt.
Los van TikTok: spionage vanuit China is een reëel bedrijfsrisico. Zo werd ASML eerder dit jaar slachtoffer van datadiefstal door een ex-werknemer in China. Volgens de MIVD zijn Nederlandse bedrijven, kennisinstellingen en wetenschappers zelfs ‘op grote schaal’ slachtoffer van Chinese spionage. Onder andere de Nederlandse geheime diensten en de FBI beschouwen Chinese spionage als de grootste economische dreiging op lange termijn.
Geen enkele andere app ligt momenteel zo onder het vergrootglas als TikTok. De waarschuwing vanuit het kabinet betreft echter ook alle andere apps die afkomstig zijn uit ‘vijandelijke’ staten. Vier jaar geleden ging de app Face App viraal. Ook toen werd voor gebruik gewaarschuwd: je geüploade foto’s zouden in verkeerde (namelijk Russische) handen vallen.
Vanuit security-opzicht is het sowieso wijs is om scherp te zijn op het gebruik van bepaalde typen (mobiele) applicaties. Voor jezelf, en – als dat je rol is – mogelijk ook voor de zakelijke devices van collega’s. Denk bijvoorbeeld aan apps:
De beperking van het gebruik van TikTok is niet massaal overgenomen door bedrijven, bleek uit een rondgang van de NOS. De NOS tekende wel enkele uitzonderingen op. Gasunie zei bijvoorbeeld mee te gaan met een verbod als dat er vanuit het Rijk komt. Bij de politie gelden al heel veel restricties op telefoons van de zaak, veel meer dan alleen voor TikTok. De gemeente Eindhoven heeft het installeren van de app technisch onmogelijk gemaakt. En sommige werkgevers verboden TikTok niet, maar hebben persoonlijke apps op telefoons in een afgeschermd gedeelte (een zogeheten secure container) gezet.
In de media uitten verschillende experts wel hun zorgen: hebben bedrijven de risico’s van apps als TikTok wel voldoende op het netvlies? Stuk voor stuk vonden zij dat bedrijven er verstandig aan doen om TikTok te verbieden en onmogelijk te maken op de telefoons van medewerkers. Het bredere advies: onderzoek als bedrijf goed wat je beleid moet zijn omtrent het gebruik van persoonlijke apps op mobiele telefoons. Door de recente ontwikkelingen zou dit topprioriteit moeten zijn.
De Nederlandse Rijksoverheid heeft bijvoorbeeld besloten dat op korte termijn alle apparaten die worden uitgereikt aan ambtenaren van het Rijk dusdanig zijn ingericht dat er alleen vooraf toegestane apps op kunnen worden gebruikt.
Ons advies luidt: zorg voor een strikte policy rondom mobile device management (MDM) bij het uitgeven van mobiele telefoons. Daarbij moet de IT-afdeling precies weten wat MDM is, wat er in de policy moet staan én hoe dat vertaald moet worden naar configuraties. Daarbij moeten medewerkers worden geïnformeerd: welke apps zijn wel toegestaan en welke niet? Alleen zo kan navolging van het beleid worden afgedwongen.
Geloof ons: het is beslist niet overdreven wanneer hier op C-level over wordt gesproken. Los van de gebruikelijke security-risico’s gaat het hier namelijk ook om bijvoorbeeld het risico om gevoelige bedrijfsinformatie kwijt te raken, zoals patenten of blueprints.
Dus is het tijd om apps als TikTok van zakelijke devices te weren? Dat is een beleidskeuze die iedere organisatie zelf zal moeten maken maar de risico's zijn duidelijk. Waar gewenst denken we graag met je mee. Het configureren en toepassen van je beleid is gelukkig heel eenvoudig te regelen. Volgende week vertellen we je daar meer over. Wil je direct meer weten over MDM of eens in gesprek over de security-uitdagingen binnen jouw organisatie?
Plan een vrijblijvend adviesgesprek met één van onze specialisten, ze denken graag met je mee. Hebben we je aan het denken gezet? Check eens de pagina over IT beheer, daar vind je meer over beheer, beveiliging en de digitale werkplek.