VNG ontraadt gebruik apps uit landen met offensief cyberprogramma

De AIVD waarschuwde eerder al dat het gebruik van apps uit dergelijke landen verhoogde spionagerisico's met zich mee kan nemen. Dergelijke apps hebben vaak verregaande toegang tot de gegevens op de telefoon in kwestie, waar ook toestemming voor gevraagd wordt via de gebruikersvoorwaarden. Het gaat dan om persoonsgegevens als contactgegevens en foto's, maar ook om informatie over het apparaat in kwestie en de netwerken die gebruikt worden. In sommige gevallen worden zelfs de toetsaanslagen van gebruikers onderschept.

Het kabinet riep zijn ambtenaren daarom afgelopen maart op om apps uit dit soort landen van de werktelefoon te verwijderen. Uit een inventarisatie van AG Connect, Binnenlands Bestuur en iBestuur bleek in april echter dat diverse lokale overheden nog wel actief zijn op TikTok, één van de apps waarvan gebruik ontraden wordt. Gemeenten als Harderwijk, De Bilt, Breda, Zandvoort en Nijmegen bleken nog actief, net als de provincie Limburg en de waterschappen De Dommel, Rivierenland, Hollandse Delta & Zuiderzeeland.

VNG gaat nu dus mee in de lijn van het Rijk, door dit gebruik van dit soort apps op werktelefoons te ontraden. Ook ontraadt VNG het gebruik van dergelijke apps als communicatiekanaal voor inwoners. "Uit het advies van de AIVD blijkt immers dat er een risico is op spionage, dat niet opweegt tegen voordelen van het gebruik van dergelijke apps. Daarom worden gemeenten geadviseerd om de lijn van het Rijk te volgen om apps afkomstig van landen met een offensief cyberprogramma tegen Nederland en/of Nederlandse belangen te weren van werktelefoons en niet in te zetten als communicatiekanaal voor inwoners", aldus VNG. 

Om welke apps gaat het?

Concreet gaat het om apps uit landen met een offensief cyberprogramma, zoals Rusland, China, Iran en Noord-Korea. VNG noemt in zijn advies (pdf) echter alleen een lijst met veelgebruikte apps uit China. Het gaat dan bijvoorbeeld om het populaire TikTok, WeChat, TurboVPN, UC Browser en SHEIN. 

Gemeenten wordt aangeraden om regelmatig te controleren of medewerkers inderdaad aan het advies voldoen. Ook kan overwogen worden om naar managed apparaten toe te werken, waarbij de werkapparaten van ambtenaren zo zijn ingericht dat er alleen vooraf toegestane apps, software en/of functionaliteiten kunnen worden geïnstalleerd en gebruikt. Het Rijk heeft al besloten om op korte termijn naar een dergelijke situatie toe te werken. 

Werknemers van gemeenten kunnen de apps wel op hun privétoestellen blijven gebruiken. VNG adviseert echter om hen erop te wijzen dat het gebruik van apps uit onveilige landen risico's met zich meeneemt. "Als zij het advies negeren voor wat betreft het gebruik op hun privé toestel, is het des te belangrijker is dat dit toestel niet wordt gebruikt voor zakelijke doeleinden. Daarover kunnen afspraken met medewerkers worden gemaakt."