TikTok verzamelt weliswaar veel informatie van zijn gebruikers, maar er zijn geen aanwijzingen dat de app daarmee verder gaat dan andere sociale media of zelfs zijn gebruikers bespioneert. Dat blijkt uit onderzoek van NOS Stories in samenwerking met beveiligingsonderzoekers.

De suggestie dat dat wel zo is, werd bijvoorbeeld gedaan door VVD-Kamerlid Queeny Rajkowski: “Realiseer je dat ze in je hele telefoon kunnen kijken en alles kunnen zien. Dan wordt het wel eng”, zei ze tegen het AD. De vrees is dat die informatie wordt gebruikt door de Chinese overheid.

Ook de AIVD suggereerde dat: “Applicaties hebben vaak toegang tot alle gegevens van de mobiele telefoon”, schreef de dienst in een memo over TikTok. Volgens de AIVD heeft China, waar moederbedrijf ByteDance is gevestigd, een “offensief cyberprogramma” richting Nederland.

Dat de app alle data zou kunnen verzamelen, klopt echter niet. Dat betekent niet dat gebruik van de app zonder risico’s is. “We kunnen niet zien wat TikTok met alle verzamelde data doet”, zegt beveiligingsonderzoeker Sanne Maasakkers van het Nationaal Cyber Security Centrum van de overheid.

Wat TikTok verzamelt

Apps hebben door beveiligingsmaatregelen van zowel Android als iOS geen toegang tot de gegevens van andere apps. TikTok doet geen pogingen om die gesloten omgeving, de “zandbak”, te omzeilen, blijkt uit een analyse van de Android-versie van de app.

Foto’s worden alleen verzameld als de gebruiker daar toestemming voor geeft en een foto wil uploaden. Overige documenten blijven onaangeraakt.

Ook op andere vlakken gedraagt de app zich niet ongebruikelijk. Zo verzamelt hij de locatie van gebruikers alleen tijdens gebruik van de app. Bovendien gaat het om de ruwe locatie, en niet om de precieze.

Bij het uploaden van iemands adresboek – als gebruikers willen weten wie van hun vrienden ook op TikTok zit – worden de gegevens zodanig verstuurd dat TikTok de telefoonnummers en e-mailadressen niet te zien krijgt, tenzij het contact van de gebruiker inderdaad op TikTok zit.

Genuanceerder

In een reactie reageert de AIVD iets genuanceerder dan in het eerdere memo. “Applicaties hebben in de regel toegang tot alle gegevens van de mobiele telefoon waarvoor de gebruiker bij installatie of configuratie toestemming heeft gegeven”, aldus de inlichtingendienst. “Uitzonderingen daargelaten, geldt dat wanneer een gebruiker een applicatie geen toestemming geeft, deze gegevens door het besturingssysteem worden afgeschermd.”

Toch zijn er wel degelijk zorgen, benadrukt de inlichtingendienst. Zonder TikTok bij naam te noemen, stelt de inlichtingendienst dat applicaties vaak “buitenproportioneel veel gegevens” van een apparaat opvragen. “Daardoor kan de ontwikkelaar al dan niet gevoelige informatie over gebruikers in kaart brengen, terwijl veel gebruikers zich daar niet van bewust zijn.”

Kamerlid Rajkowski laat weten: “De VVD is uit voorzorg gestopt met het gebruik van TikTok. De AIVD waarschuwt voor de mogelijke gevaren van deze Chinese app en ik zie geen reden om die waarschuwing naast me neer te leggen.”

Instagram en China

In 2020 onderzocht NOS Stories TikTok ook al, samen met onderzoeker Maasakkers. Toen vroeg TikTok meer gevoelige informatie op, zoals het serienummer van de telefoon en de naam van het wifi-netwerk. Dat gebeurt nu niet meer.

“Over het algemeen verzamelt de app niet veel meer dan andere applicaties, en voor zover ik kan zien komt de dataverzameling overeen met wat de norm is”, zegt onderzoeker Dario Durando, bij beveiligingsbedrijf Threatfabric gespecialiseerd in het analyseren van Android-apps.

Toch worden er nog steeds veel data verzameld, stelt Maasakkers. “De frequentie waarmee ze alles verzamelen is niet veranderd. Meerdere keren per minuut gaat er informatie van jou naar de servers van TikTok.”

Dat is redelijk vergelijkbaar met zijn Amerikaanse concurrent Instagram, stelt Maasakers. Een belangrijke reden voor die enorme datastroom: advertenties. Beide apps kunnen je op die manier gepersonaliseerde advertenties laten zien. Bovendien kunnen ze je op je interesses toegesneden video’s tonen.

Een van de zorgen is dat al die data van gebruikers in China terechtkomen. Dat is lastig uit te sluiten. In een analyse van drie uur aan TikTok-verkeer zag de NOS de app verbinding maken met servers in Nederland, Zweden, Duitsland, de Verenigde Staten en Singapore; niet in China.

Er is echter geen technische belemmering om data vanaf een andere locatie meteen weer door te sturen naar China, al zijn er geen concrete aanwijzingen dat dat gebeurt.

Reactie

TikTok gaat in een reactie niet in op concrete vragen, maar verwijst naar een pagina met informatie over hoe het data verzamelt. Die wordt binnenkort in het Nederlands vertaald, belooft TikTok.