Antwoord schriftelijke vragen : Antwoord op vragen van de leden Brekelmans, Rudmer Heerema en Rajkowski over de verplichte MY2022 app bij de Olympische Spelen

Antwoord van Minister Hoekstra (Buitenlandse Zaken), mede namens de Minister voor
Langdurige Zorg en Sport (ontvangen 28 februari 2022).

Vraag 1

Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden
gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?

Antwoord 1

De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft
in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals
reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.

Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke
verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen-
en Veiligheidsdiensten.

Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie
van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het
dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen
worden om veiligheids- en privacyrisico’s te beperken.

Vraag 2

Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd
zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere
malafide gebruikers?

Antwoord 2

CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de
communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd.
Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende
domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een
deel van de communicatie wordt überhaupt niet versleuteld.

Vraag 3

Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld
met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?

Antwoord 3

CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld.
Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen,
een navigatieservice en iFlytek.

Vraag 4

Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien
zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld
is?

Antwoord 4

De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers.
De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd
«illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst
actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts
weinig gebruik maken van deze chatfunctie.

Vraag 5

Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten
dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy
standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er
dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht
wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan
te leveren? Zo nee, waarom niet?

Antwoord 5

De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid-
en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin
de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder
meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs
niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het
gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel
van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze
verplichting te voldoen zonder gebruik van de app.

Vraag 6

Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze
voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen
om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel
en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal
niveau aankaarten bij het IOC?

Antwoord 6

De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en
een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.),
vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft
dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel
of mentale aspecten.

Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook
een eigenstandige rol te spelen.

Vraag 7

Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen
van de MY2022 app te communiceren aan de gebruikers hiervan?

Antwoord 7

Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk
gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022
app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten
voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden
dat de oorspronkelijke kwetsbaarheid is opgelost.

Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale
risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt
kunnen worden.

Vraag 8

Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort
onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen
in China en elders?

Antwoord 8

Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie
in de contacten met het land waar het evenement wordt gehouden.

De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders
die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het
Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar
is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen
kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings
zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.

Vraag 9

Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters,
waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd
moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties?
Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit
gebied?

Antwoord 9

Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen
over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur
in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben
te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten
geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen
gaan.

Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te
spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische
Spelen worden gehouden.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Sjoerdsma
en Van der Laan (beiden D66), ingezonden 31 januari 2022 (vraagnummer 2022Z01519).