Staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) geeft antwoord op vragen over het weren van applicaties (apps) op mobiele telefoons van rijksambtenaren. Het Tweede Kamerlid Dekker-Abdulaziz (D66) heeft de vragen gesteld. De staatssecretaris biedt ook het advies van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over het gebruik van apps aan.
Op 2 februari 2023 zijn er schriftelijke vragen gesteld, met kenmerk 2023Z01674, door het lid Dekker-Abdulaziz (D66) over de mogelijkheid om de Chinese applicatie TikTok te weren op mobiele devices van medewerkers van de Rijksoverheid. In het debat Inzet algoritmes en data-ethiek binnen de Rijksoverheid op 15 februari jl. heb ik toegezegd nader onderzoek te doen. Er is in dat debat ook door enkele partijen gevraagd of Nederland niet net als de Verenigde Staten een verbod voor gebruik door ambtenaren moet instellen vanwege het potentieel hoge veiligheidsrisico. Sinds het debat hebben de Europese Commissie, Raad van de Europese Unie, en het Europees Parlement het gebruik van TikTok opgeschort. In deze brief zal ik ingaan op het uitgevoerde onderzoek, en aangeven welk beleid ik hierop ga volgen. Ook zijn de antwoorden op de schriftelijke vragen bijgevoegd, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties.
Op basis van de vragen van de Kamer is aan de AIVD gevraagd een advies te geven. De conclusie daarvan is dat het gebruik en de aanwezigheid van mobiele telefoons en de daarop geïnstalleerde applicaties te allen tijde een inherent spionagerisico vormen. Het is daarom raadzaam altijd een grondige afweging plaats te laten vinden tussen de noodzaak van het installeren van een bepaalde applicatie enerzijds en het daarbij behorende risico anderzijds. Gebruik van apps van bedrijven uit landen met een offensief cyberprogramma door ambtenaren in dienst van de rijksoverheid (1) verhoogt dit risico. Voorbeelden van landen met een dergelijk offensief cyberprogramma zijn Rusland, China, Iran en Noord-Korea. Het overgaan op apparaten die door de werkgever beheerd worden is een meer structurele oplossing voor dit risico. De beschouwing van de AIVD, die de basis was voor verder interdepartementaal onderzoek, is ter informatie toegevoegd als bijlage bij deze brief.
In algemene zin hebben applicaties vaak toegang tot alle gegevens van de mobiele telefoon. Apps vragen hier veelal via de gebruikersvoorwaarden vooraf toestemming voor. De gebruiker kan ook zelf informatie toevoegen. Er kan daarbij gedacht worden aan persoonsgegevens van de gebruiker zoals contactgegevens, bestanden zoals foto’s, of contacten van de gebruiker. Maar ook aan gegevens over het specifieke apparaat en de netwerken die gebruikt worden. In specifieke gevallen worden toetsaanslagen van gebruikers onderschept. Er is in mijn onderzoek ook nauw contact geweest met een aantal partnerlanden in de EU en de Europese Commissie, over hun inschattingen en hun beleidskeuzes voor wat betreft apps op mobiele apparaten in gebruik door hun overheidsambtenaren. Hieruit komt het beeld naar voren dat landen verschillende keuzes maken, maar dat veel landen maatregelen hebben genomen ter beveiliging van telefoons van hun ambtenaren. Enkele landen hebben gekozen voor een specifiek verbod op TikTok, een aantal landen ontraadt of verbiedt in meer generieke zin het gebruik van apps van bedrijven uit bepaalde landen vanwege de inherente risico’s. Een aantal landen heeft aangegeven dat zij ervoor gekozen hebben hun mobiele apparaten zo in te richten, dat enkel vooraf toegestane apps geïnstalleerd en gebruikt kunnen worden. We volgen ook de ontwikkelingen buiten de Europese Unie. Daarbij hebben we kennis genomen van het verbod dat het Verenigd Koninkrijk als voorzorgsmaatregel heeft ingesteld voor TikTok op overheidsapparatuur, toewerkend naar een versterking van het beleid rondom apps van derde partijen. Ook worden de maatregelen en stappen die de Verenigde Staten zetten gevolgd, waar bijgevoegde vragen ook al aan refereren.
In het licht van de hierboven genoemde risico’s en de beschouwing van de AIVD acht ik het nodig om aanvullende stappen op het gebied van veiligheid van mobiele apparaten bij de Rijksoverheid te zetten. De eerste stap is het per direct aan ambtenaren in dienst van de Rijksoverheid ontraden om apps geïnstalleerd te hebben en te gebruiken op hun mobiele werkapparatuur van bedrijven uit landen met een offensief cyberprogramma tegen Nederland en/of Nederlandse belangen. Om ambtenaren in dienst van de rijksoverheid hierover goed te informeren zal op korte termijn communicatie worden ontwikkeld.
Tegelijk zal op korte termijn worden toegewerkt naar een situatie waarbij mobiele apparaten, uitgereikt aan ambtenaren in dienst van de rijksoverheid, zo zijn ingericht dat er alleen vooraf toegestane apps, software en/of functionaliteiten kunnen worden geïnstalleerd en gebruikt. Het worden dan in zijn geheel zogeheten 'managed apparaten’, waarvoor is bepaald welke apps daarop kunnen worden geïnstalleerd en gebruikt door de gebruiker. Apps van bedrijven uit landen met een offensief cyberprogramma tegen Nederland en/of Nederlandse belangen zullen dan niet toegestaan worden. Ik wil dit beleid zo snel als mogelijk ingericht hebben, in samenwerking met de ‘shared service organisaties’ (SSO’s) die deze mobiele apparaten beheren.
Daarbij bezie ik ook het bring your own device beleid dat door onderdelen van de rijksoverheid wordt gehanteerd. Uitzondering op de bovenstaande maatregelen geldt wanneer een dergelijke applicatie nodig is of kan zijn voor het uitoefenen van een primaire taak van een rijksorganisatie. Hierbij kan worden gedacht aan inspectie en toezicht, opsporingsonderzoek of inlichtingenbelang. Deze uitzondering zal in samenwerking met de departementen de komende periode verder worden uitgewerkt. Appgebruik in de samenleving Deze brief heeft zich tot nu gericht op risico’s voor de rijksoverheid. Apps worden ook door andere overheden en vooral ook door burgers, waaronder kinderen, gebruikt. Het is belangrijk om het bewustzijn over gegevensverwerking door dit soort apps te verhogen. Daarom gaat het kabinet hier de komende periode op inzetten. Voor de zomer komen wij hier bij uw Kamer op terug.
De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Digitalisering en Koninkrijksrelaties Alexandra C. van Huffelen.
1 Dit zijn alle ambtenaren in dienst bij de departementen en daaronder vallende agentschappen en andere uitvoeringsorganisaties.
