Vragen van de leden Brekelmans, Rudmer Heerema en Rajkowski (allen VVD) aan de Ministers van Buitenlandse zaken en van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de verplichte MY2022 app bij de Olympische Spelen (ingezonden 3 februari 2022).

Antwoord van Minister Hoekstra (Buitenlandse Zaken), mede namens de Minister voor Langdurige Zorg en Sport (ontvangen 28 februari 2022).

Vraag 1

Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?

Antwoord 1

De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.

Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.

Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken.

Vraag 2

Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere malafide gebruikers?

Antwoord 2

CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.

Vraag 3

Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?

Antwoord 3

CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.

Vraag 4

Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld is?

Antwoord 4

De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.

Vraag 5

Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan te leveren? Zo nee, waarom niet?

Antwoord 5

De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.

Vraag 6

Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal niveau aankaarten bij het IOC?

Antwoord 6

De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.

Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen.

Vraag 7

Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen van de MY2022 app te communiceren aan de gebruikers hiervan?

Antwoord 7

Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.

Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden.

Vraag 8

Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen in China en elders?

Antwoord 8

Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.

De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.

Vraag 9

Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters, waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties? Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit gebied?

Antwoord 9

Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.

Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Sjoerdsma en Van der Laan (beiden D66), ingezonden 31 januari 2022 (vraagnummer 2022Z01519).

Naar boven