| Ingediend | 3 februari 2022 |
|---|---|
| Beantwoord | 28 februari 2022 (na 25 dagen) |
| Indieners | Ruben Brekelmans (VVD), Queeny Rajkowski (VVD), Rudmer Heerema (VVD) |
| Beantwoord door | Kuipers , Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA) |
| Onderwerpen | cultuur en recreatie economie ict recht sport staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z01864.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1914.html |
De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.
Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.
Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken.
CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.
CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.
De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.
De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.
De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.
Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen.
Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.
Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden.
Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.
De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.
Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.
Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.