Ook bedrijven moeten bedenken of hun medewerkers wel TikTok op hun werktelefoon mogen zetten. Dat zegt Daan Keuper, onderzoeker bij cyberbeveiliger Computest.

De Europese Commissie besloot donderdag dat ambtenaren daar de app niet meer op hun werkapparaat mogen hebben, uit angst voor spionage. Die opdracht geldt voor ongeveer 30.000 mensen. De Verenigde Staten namen eerder dat besluit, en in Nederland wil een meerderheid van de Tweede Kamer ook een verbod voor TikTok op de werktelefoons van rijksambtenaren.

TikTok is eigendom van het Chinese bedrijf ByteDance. Dat voedt de angst voor spionage. “Of die angst gegrond is, is lastig te zeggen. Er zijn geen harde bewijzen voor, het is speculeren”, zegt Keuper. “Maar Chinese bedrijven moeten voldoen aan Chinese wetten en regels. De overheid daar kan vrij veel afdwingen. TikTok zegt dat het nooit meewerkt met vragen van overheden om inzage in de data te krijgen, maar de vraag is hoe hard dat is.”

TikTok houdt precies bij wat zijn gebruikers doen. De app ziet waar iemand is en welke browser en telefoon iemand heeft. Daarnaast heeft de app toegang tot de lijst met contactpersonen. Dat doen andere sociale media ook, zoals Facebook. “Het verschil is dat zij verder van de Amerikaanse overheid af staan dan in China mogelijk is. Facebook kan gemakkelijker nee zeggen. Voor het eerst hebben we te maken met een platform dat hier zo groot is en dat zich in China bevindt. En zulke informatie, de metadata van gebruikers, kan heel interessant voor China zijn”, aldus Keuper.

Keuper maakt zich niet zoveel zorgen dat de TikTok-app zelf toegang krijgt tot vertrouwelijke documenten op een telefoon. “Be├»nvloeding van mensen is wel een groot risico: TikTok bepaalt wat je ziet en kan zo je mening en je beeld van de wereld vormen. Waar denk ik het meeste risico zit, is dat TikTok zou kunnen zien waar bijvoorbeeld overheidsmedewerkers zich bevinden en met wie ze contact hebben. Of dat ze weten waar de topman van een bedrijf naartoe gaat.” Stel dat spionnen zoiets weten, zouden ze die kennis bijvoorbeeld kunnen gebruiken om phishingmails op te stellen.

Een totaal verbod is volgens Keuper niet verstandig of nodig, maar “het zou wel slim zijn om kritisch naar TikTok te kijken. Als je bedrijf gevoelig is voor spionage, moet je kritisch kijken welke apps je mensen laat gebruiken. Spionage is niet iets fictiefs, het gebeurt dagelijks.”