Datatilsynet undrer sig over TikTok-virak
Hos Datatilsynet er it-sikkerhedsspecialist Allan Frank forundret over, at nye anbefalinger fra Center for Cybersikkerhed om TikTok tilsyneladende udgør en overraskelse.
Anbefalingerne har i de senere dage fået massiv mediedækning og fik blandt andre Dansk Erhverv til at fraråde sine 18.000 medlemsvirksomheder at bruge TikTok.
”De problemstillinger, Dansk Erhverv udtaler sig om, er ikke anderledes end dem, vi allerede har påpeget i forhold til at bruge SoMe-platforme,” siger han med henvisning til et interview med Kforum i december om Viborg og Helsingør Kommuners planer om at lave kommunale TikTok-profiler. Siden har Viborg Kommune trukket stikket til sin profil.
Center for Cybersikkerheds anbefalinger gælder risikoen ved at have installeret TikTok på "tjenestelige enheder" i staten, såsom fuldmægtiges og ministres medarbejdertelefoner.
Onsdag blev anbefalingerne udvidet til, at kommuner og andre offentlige og private organisationer udfører en risikovurdering af at bruge appen TikTok.
Flere virksomheder har sat deres TikTok-konto på pause, mens andre fortsætter brugen eller afviser at kommentere.
Ingen nye sikkerhedsrisici ved TikTok
Når det gælder overvejelser om persondatasikkerhed, er der dog ikke noget, der aktuelt har ændret sig og skulle gøre en forskel i forhold til at have TikTok installeret på arbejdstelefoner eller at have kommunale eller virksomhedsprofiler, understreger Allan Frank.
”De problemstillinger, som nu dukker op, er reelt nogle, Datatilsynet har påpeget siden 2020 i forhold til SoMe-applikationer generelt,” siger han.
Er det fornuftigt, at Dansk Erhverv lægger op til, at virksomheder overvejer sikkerheden på egne mobiltelefoner – og bør den overvejelse også gælde deres kommercielle profiler?
”Ja, bedre sent end aldrig. Men det er ærgerligt, at der skal geopolitiske undertoner til for at drive processen, for de databeskyttelsesretlige årsager burde være nok til at have lavet disse vurderinger på forhånd,” siger Allan Frank og tilføjer:
”Jeg kender mindre til kinesisk overvågningslovgivning, så derfor mener jeg, at det kan være mere ugennemsigtigt at beskrive, hvilke scenarier der er i forhold til adgang til oplysninger på TikTok, men grundlæggende er det ligegyldigt for os, om det er amerikanerne, kineserne eller andre, som har mulighed for at tilgå persondata i strid med reglerne.”
Sikkerhedsovervejelser skal komme først
I anbefalingerne fra Center for Cybersikkerhed, som er lavet sammen med PET og Statens IT, står der blandt andet, at ”det medtænkes, hvem der udgiver appen, og hvilke funktioner på telefonen appen skal have adgang til.”
Nogle virksomheder har sat deres kommercielle TikTok-profiler på pause – vil du opfordre til at flere gør det?
”Jeg ved ikke, hvilke hensyn der har fået virksomheder til at sætte TikTok på pause, når de oprindeligt har valgt at være til stede," siger Allan Frank.
Han henviser til, at det er den dataansvarliges pligt at "foretage de databeskyttelsesmæssige vurderinger, inden man går i gang med at oprette en profil på et socialt medie" og tilføjer:
"Men generelt er det hensigtsmæssigt at udvise opmærksomhed og handle derefter, når et tilsyn eller en sikkerhedsmyndighed kommer med anbefalinger omkring databeskyttelse og IT-sikkerhed."
I sin seneste pressemeddelelse onsdag formiddag skriver Center for Cybersikkerhed, at advarslen om TikTok også gælder andre end statslige myndigheder:
”For øvrige offentlige og private organisationer anbefaler CFCS, at eventuel anvendelse af TikTok på baggrund af en risikovurdering gøres til en del af organisationens informationssikkerhedspolitik, som bør kommunikeres til organisationens medarbejdere.”
