Het is een jaar geleden sinds het Europese cybersecuritybedrijf NCC Group de rol van onafhankelijke toezichthouder op zich nam voor ons Europese dataveiligheidsinitiatief Project Clover. We investeren de komende tien jaar meer dan 12 miljard euro in dit toonaangevende en industrie-leidende project om Europe gebruikersdata veilig en in Europa te houden.
De rol van NCC Group is om onafhankelijk toezicht te houden, en onze gegevensbeveiliging en -bescherming te controleren en verifiëren. Ook monitoren zij gegevensstromen, bieden ze onafhankelijke verificatie en rapporteren ze eventuele afwijkingen. Hiermee bieden we een mate van transparantie en toezicht die ongeëvenaard is onder online platforms.
Aanvullende bescherming voor de gegevens van onze Europese gebruikers
TikTok had al vóór Project Clover strikte beveiligingsprotocollen ingevoerd. Werknemers kregen alleen toegang tot de gegevens die ze nodig hadden om hun werk te doen, onder strikte voorwaarden en voor een beperkte tijd. Als onderdeel van Project Clover heeft TikTok extra beschermingsmaatregelen geïntroduceerd voor de gegevens van Europese gebruikers, waaronder beveiligingspoorten die technische protocollen afdwingen. Zo krijgen alleen goedgekeurde medewerkers controleerbare toegang tot bepaalde datatypen.
Sinds de zomer van vorig jaar zijn er beveiligingsmechanismen geïmplementeerd die ervoor zorgen dat beperkte gegevens - zoals e-mailadressen en IP-adressen - opgeslagen in onze Europese gegevensenclave niet toegankelijk zijn voor medewerkers in China. NCC Group is nauw betrokken geweest bij de ontwikkeling van deze beveiligingspoorten, onder andere door de datasetregels te beoordelen en de code voor de poorten te inspecteren. Ze zijn begonnen met het monitoren van de gegevensstromen via de beveiligingspoorten en gaan binnenkort over tot constante monitoring hiervan. NCC Group blijft ook toekomstige updates streng controleren.
Beveiligingstests
NCC Group heeft initiële kwetsbaarheidstests uitgevoerd op ontwikkelende beveiligingsarchitectuur van Project Clover. Met deze tests worden potentiële problemen geïdentificeerd en opgelost op basis van de aanbevelingen van NCC Group. Tijdens de laatste rapportageperiode zijn er geen incidenten of kritieke kwetsbaarheden door NCC Group vastgesteld. Een samenvatting van hun bevindingen is te vinden in ons driemaandelijkse Community Enforcement Guidelines Report.
Europese gegevensenclave
We zijn inmiddels begonnen met het standaard opslaan van gegevens van Europese gebruikers in een speciaal beveiligde omgeving, bekend als de Europese enclave. Deze wordt momenteel gehost op servers in Amerikaanse, Ierse en Noorse datacenters. NCC Group heeft fysieke inspecties afgerond van onze Project Clover-datacenters in de VS en Ierland. Op termijn zal alle Europese data worden gehost in op servers in Ierland en Noorwegen.
Privacy-verhogende technologieën
TikTok werkt ook samen met NCC Group om privacy-verhogende technologieën (PET's) in de procedures te bouwen. Dit omvat pseudonimisering van gegevens die wereldwijd worden uitgewisseld, zodat een individu niet kan worden geïdentificeerd op basis van hun gegevens. Ook het samenvoegen van individuele datapunten tot grote datasets en het toepassen van differential privacy zijn erop gericht om te voorkomen dat informatie aan specifieke individuen kan worden gekoppeld. NCC Group valideert constant de effectiviteit van de PET’s naarmate deze verder worden geïmplementeerd.
Stephen Bailey, Global Director of Privacy bij NCC Group: “Bij Project Clover hebben we een fenomenaal netwerk van collega's uit onze teams voor cybersecurity, gegevensbescherming en fysieke beveiliging uit heel Europa, die allemaal samenwerken aan dit grootschalige en complexe programma. De enorme omvang en reikwijdte van dit programma, en de mate van inzicht die we hebben in TikTok's systemen, zijn echt ongekend. We kijken ernaar uit om onze bijdrage te blijven leveren aan het verhogen van de databeveiligingsnormen die TikTok stelt."
Vragen naar aanleiding van dit artikel? Neem dan contact op met Alexander Jansen, communicatiemanager Nederland via nlcomms@tiktok.com.