Beeld © Rafael Henrique / SIPA USA

Chinese Xiaomi-telefoons bespioneren hun gebruikers, maar Nederland doet ze niet in de ban

3 Connecties

Organisaties

Huawei Xiaomi

Locaties

Litouwen
59 Bijdragen

Telefoons van het Chinese merk Xiaomi bieden geweldige specificaties voor een schappelijke prijs. De keerzijde: de apparaten sturen op grote schaal privégegevens door naar servers in China, waar de Chinese overheid mee kan lezen. Litouwen roept op om de apparaten weg te gooien; in Nederland blijft het vooralsnog stil.

Dit stuk in 1 minuut
  • Wat is er aan de hand? 

Smartphones van het Chinese merk Xiaomi delen massaal data van gebruikers met de servers van het bedrijf; ook de data van Europese gebruikers. De Chinese overheid kan daar toegang toe hebben.

Litouwse onderzoekers vonden ook censuursoftware in een Xiaomi-model. Die is uitgeschakeld voor Europa, maar kan op afstand worden ingeschakeld. Nederlandse cybersecurity-experts pleiten voor grondig onderzoek naar deze telefoons, maar vrezen dat Nederland daarvan afziet – vanwege onze economische afhankelijkheid van China.

  • Hoe hebben we onderzoek gedaan?

We lazen dat de Litouwse overheid haar burgers waarschuwde voor Xiaomi-telefoons en werden nieuwsgierig. Worden die modellen ook in Nederland verkocht? En waarom klinkt zo’n waarschuwing hier niet? We spraken uitgebreid met cybersecurity-experts in binnen- en buitenland en met een Europarlementariër die zich specialiseert in deze problematiek en verdiepten ons in de artikelen en rapporten over de kwestie.

  • Tech-bedrijven uit de VS tappen onze data toch ook af, waarom is dit anders? 

In China zijn bedrijven wettelijk verplicht om gebruikersdata desgevraagd te delen met de overheid. Ook kent China een zwakkere scheiding tussen private en overheidspartijen. Binnen bedrijven is bijvoorbeeld vaak een partijcomité aanwezig, om te zorgen dat bedrijven de lijn van de Chinese Communistische Partij uitvoeren.

Ook in de Verenigde Staten kan de overheid bedrijven dwingen om data te delen. Maar daar gaat een systeem van checks en balances aan vooraf. Bart Groothuis, Europarlementariër voor de VVD en eerder hoofd van het Bureau Cyber Security van het ministerie van Defensie, zegt tegen Follow the Money: ‘In de Verenigde Staten betreft het in een democratische rechtsstaat ingebedde wetgeving, waarbij elk verzoek van een dienst via de rechter gaat. Bovendien hebben de VS geen offensief spionageprogramma lopen tegen Nederland. Landen als China, Rusland en Iran hebben dat wel.’

Lees verder

Na een lange werkdag in het voorjaar van 2020 stapt cybersecurity-expert Gabriel Cirlig zijn appartement in Londen binnen. Hij heeft een kleine, witte doos bij zich.

Onderweg naar huis had Cirlig een reclame gezien voor de Redmi Note 8, de nieuwste smartphone van het Chinese techbedrijf Xiaomi. Hij was vooral geïntrigeerd door de prijs-kwaliteitverhouding, vertelt hij tegen Follow the Money: die vertrouwde hij niet. Het is een mooie, snelle telefoon, met bovendien een goede camera, maar de nieuwprijs is slechts 150 Britse pond. Hoe kan zo’n goede telefoon zo weinig kosten?

Cirlig, die in 2018 op de Roemeense Forbes 30 under 30 stond vanwege zijn werk rond cybersecurity, besluit de Redmi Note 8 meteen op te pikken. Eenmaal thuis onderwerpt hij het apparaat aan dezelfde procedure als al zijn andere tech-aankopen: op de snijtafel ermee.

Of het nu gaat om laptops, smart-tv’s of auto’s: minutieus deconstrueert de Roemeen hun onderliggende soft- en hardware. Op deze manier ontdekte hij in 2018 bijvoorbeeld dat zijn auto hem bespioneerde.

Nu is de Xiaomi aan de beurt. Met een paar technische ingrepen lukt het Cirlig om inzicht te krijgen in de datastroom die zijn fonkelnieuwe aankoop de wereld instuurt. Van het resultaat slaat hij steil achterover: de telefoon verzamelt een gigantische hoeveelheid gegevens over het gedrag van zijn gebruiker en stuurt die door naar China. Wanneer Cirlig daarna onderzoek doet naar de software van een aantal andere Xiaomi-toestellen, blijkt dat die hetzelfde doen.

Het Litouwse ministerie van Defensie deelt mee dat toestellen van Xiaomi serieuze veiligheidsrisico’s bevatten en raadt burgers af Chinese telefoons te kopen

Het onderzoek van Cirlig ontketent een privacy-rel. Xiaomi – dat het datalek eerst nog ontkent – komt vervolgens met een enhanced incognito-modus die de privacy van gebruikers zou waarborgen. Cirlig stelt echter al snel vast dat dit een wassen neus is.

In september 2021 komt Xiaomi opnieuw negatief in het nieuws. Het Litouwse ministerie van Defensie deelt mee dat toestellen van de fabrikant serieuze veiligheidsrisico’s bevatten en roept burgers zelfs op helemaal geen smartphones van Chinese komaf meer te kopen. Wie al een Chinese smartphone heeft, kan die volgens onderminister van Defensie Margiris Abukevicius het beste weggooien.

Ook in Nederland liggen de toestellen van Xiaomi in de schappen. Onze regering ziet vooralsnog geen reden om die in de ban te doen. Experts pleiten tegenover Follow the Money intussen voor onafhankelijk, eigen onderzoek naar de potentiële risico’s van deze telefoons. Wat is er precies aan de hand?

De rijzende ster van Xiaomi

In een paar jaar tijd is Xiaomi uitgegroeid tot een dominante speler op de internationale smartphonemarkt. Hun assortiment is breed: Xiaomi maakt alles, van smart-tv’s en elektrische scooters tot airfryers en beveiligingscamera’s. ‘Als je wilt, kun je je hele leven met Xiaomi-producten inkleden,’ zegt Cirlig.

Vanaf 2019 gaat de opmars snel: dat jaar treft de VS onder de regering-Trump harde maatregelen tegen Xiaomi’s landgenoot Huawei. Het marktaandeel van Huawei zakt als een pudding in elkaar en Xiaomi springt in het gat.

Met succes: in juli 2021 behaalt het bedrijf voor het eerst de tweede plaats op de wereldwijde smartphonemarkt. Ze staan achter Samsung, maar boven Apple. Op de Europese markt wordt Xiaomi – dat zijn West-Europese hoofdkantoor in Nederland heeft gevestigd – een maand later zelfs koploper.

De telefoons van het merk onderscheiden zich door hun hoge kwaliteit en schappelijke prijs. Maar er zit een adder onder het gras. Uit het onderzoek van Cirlig blijkt dat Xiaomi-telefoons al het surfgedrag op de ingebouwde webbrowser in realtime doorsturen. Zodra je een pagina opent of een Google-zoekopdracht uitvoert, gaat er een berichtje naar de servers van Xiaomi – zelfs nadat je die zogenaamde incognito-, of privé-modus hebt aangezet.

Daar blijft het niet bij. De ingebouwde nieuws-app stuurt door welke artikelen je leest en van welke media ze afkomstig zijn. De ingebouwde mediaspeler stuurt de namen door van de nummers en video’s die je ermee afspeelt, online en offline.

‘De apparaten van Xiaomi weten alles van je,’ zegt de Roemeen. ‘Welke muziek je luistert, welke mapjes je aanmaakt, hoe je die noemt, hoe lang telefoongesprekken duren, wat je opzoekt in je browser... Ze sturen het allemaal door.’

In die datastroom zitten bovendien allerlei stukjes informatie waarmee Xiaomi je gegevens eenvoudig aan elkaar kan knopen. Wie een Xiaomi-telefoon heeft, heeft toegang tot Xiaomi’s eigen cloud-opslagdienst en app store: je hoeft je alleen maar te registreren met je e-mailadres of socialemedia-account. Maar ben je eenmaal ingelogd, dan stuurt de telefoon voortaan dat gebruikers-ID mee met je surfgedrag. Zo weet het bedrijf altijd welke data van welke gebruiker afkomstig zijn. Zelfs wanneer je uitlogt, blijft de telefoon deze identificatiecode meesturen.

Niet alleen de ingebouwde apps en webbrowser sturen gegevens door, ook het besturingssysteem van de telefoon deelt enthousiast data met het moederbedrijf. In een vorige maand verschenen rapport inventariseren onderzoekers van de universiteiten van Edinburgh en Dublin welke informatie diverse merken Android-telefoons versturen over hun gebruikers. Ook hier zijn de Xiaomi-telefoons het slechtste jongetje van de klas. Xiaomi, Huawei en Samsung sturen de meeste gegevens door, maar Xiaomi onderscheidt zich doordat het de ‘meest uitgebreide data’ over gebruikersinteractie met het toestel verzamelt.

Een ander gebruikers-ID instellen, het apparaat terugzetten naar de  fabrieksinstellingen of het besturingssysteem opnieuw installeren – niets helpt

Zo laten de Xiaomi-toestellen het moederbedrijf weten welke apps er op je telefoon staan, wanneer je die gebruikt, hoe lang ze op je scherm staan en wanneer je sms’jes verstuurt. Via de unieke identificatiecode die fysiek in het apparaat zit ingebakken, kan Xiaomi je volgens de onderzoekers altijd blijven volgen. Een ander gebruikers-ID instellen op je toestel, het ding terugzetten naar de  fabrieksinstellingen of het besturingssysteem opnieuw installeren – niets helpt.

‘Een klinkklare schending van de privacy’

Zelfs wanneer je via een ‘opt-out’ je telefoon opdraagt geen data van je te delen, blijft het toestel data doorsturen naar de servers van Xiaomi.

‘Een klinkklare schending van de Europese privacyregels,’ noemt privacy-advocaat en onderzoeker aan de Universiteit van Amsterdam Ot van Daalen dat. Van Daalen vertelt dat de data die Xiaomi via smartphones verzamelt zeer gevoelig kunnen zijn: ‘Denk aan apps die moslims helpen te bepalen wanneer zij moeten bidden, of gay dating apps. Dat is heel persoonlijke informatie. Zulke gegevens mag je helemaal niet verwerken, tenzij je daar een goede grond voor hebt. Die ontbreekt hier.’


Belgische Staatsveiligheidsdienst

"Elk Chinees bedrijf, en dus ook Xiaomi, moet gegevens delen met de overheid indien die daarom vraagt"

Volgens cyberexperts verzamelen partijen als Xiaomi en Huawei de data over hun gebruikers vooral vanuit commercieel oogpunt. Maar ook de Chinese overheid kan bij die data, inclusief die van niet-Chinese gebruikers, zodra die bij een Chinees bedrijf zijn opgeslagen. Sinds 2017 geldt in China een cyberveiligheidswet die daarin voorziet

‘Elk Chinees bedrijf, en dus ook Xiaomi, moet gegevens delen met de overheid indien die daarom vraagt,’ zegt de Belgische Staatsveiligheidsdienst tegen Follow the Money. ‘De mate van controle is niet steeds dezelfde, maar het potentieel is wel constant aanwezig.’ Tegen het Belgische blad De Tijd maakt ze dit nog concreter: ‘Bedrijven van het formaat van Huawei, Xiaomi, Oppo en OnePlus hebben een partijcomité van de Chinese Communistische Partij (CCP) binnen het bedrijf. De taak van zulke partijcellen is te zorgen dat de beleidslijnen van de CCP ook door het bedrijf worden gevolgd.’ 

De Belgische Staatsveiligheidsdienst waarschuwde al publiekelijk voor spionage via Chinese smartphones, waaronder die van Xiaomi. Naar aanleiding van Kamervragen van de Nieuw-Vlaamse Alliantie (N-VA) zei de dienst in juli van dit jaar onomwonden tegen De Tijd: ‘We willen wijzen op de potentiële spionagedreiging bij het gebruik van deze toestellen.’

Xiaomi verzamelt meer en gevoeliger data dan andere aanbieders. Dat kan niet alleen gevolgen hebben voor jezelf, waarschuwt Cirlig: ‘Mensen kijken vaak alleen naar hun eigen privacy. Het maakt ze vaak zogenaamd niet uit dat hun data gedeeld worden. Maar het gevaar zit hem niet eens in de persoonsgegevens van een individu, maar van alle mensen uit je buurt, je straat of je stad. Die gebundelde data kunnen worden gebruikt om de publieke opinie en zelfs verkiezingen in een land of regio te beïnvloeden.’

‘Ga er maar vanuit dat als een inlichtingendienst aan informatie wil komen, ze alle mogelijkheden benutten die ze hebben’

Cirlig wijst op de Russische inmenging in de Amerikaanse presidentsverkiezingen in 2016 en de waarschuwing van EU-buitenlandchef Josep Borell dat de EU niet bestand is tegen de hoeveelheid desinformatie uit China. Kortom: ‘Als mensen er waarde aan hechten dat ze kunnen blijven leven zoals ze nu doen en niet beperkt willen worden door invloed van een externe macht, moeten ze hier iets aan doen.’

In zijn jaarverslag van 2020 waarschuwt ook de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) voor de ‘wereldwijde, grootschalige vergaring van persoonsgegevens door Chinese actoren’. Daaronder vallen volgens de AIVD reis-, visa-, paspoort-, vlucht-, telefoon-, en medische gegevens. China gebruikt die informatie volgens de dienst onder andere om ‘profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken’. Aangezien die activiteiten zich uitstrekken tot ‘Nederlandse doelwitten’, spreekt de AIVD van een ‘bedreiging voor de Nederlandse veiligheid.’

Volgens IT-beveiligingsspecialist Matthijs Koot maken inlichtingendiensten vaker gebruik van data die door private organisaties worden verwerkt. ‘Ga er maar vanuit dat als een inlichtingendienst aan informatie wil komen, ze alle mogelijkheden benutten die ze hebben.’ Op de vraag of de Chinese diaspora of afvalligen zo in de gaten kunnen worden gehouden, antwoordt hij: ‘Zeker weten doe je het niet. Maar bij autoritaire regimes moet je er eigenlijk van uitgaan dat dit soort mogelijkheden voor dit soort zaken kunnen worden ingezet.’

Censuur

De Litouwse veiligheidsdienst vond nog een ander probleem bij de Xiaomi-telefoon die het onderzocht: software die aan de hand van trefwoorden informatie censureert. De dienst ontdekte dat systeem-apps van Xiaomi regelmatig en automatisch het bestand ‘MiAdBlacklistConfig’ van een server in Singapore downloaden. Op 27 september 2021 bevatte dat bestand 1376 trefwoorden (drie keer zoveel als april 2021: toen stonden er 449 in), waaronder ‘World Uyghur Youth Conference’, ‘Free Tibet’, maar ook ‘transgender’, ‘virgin’, en ‘vaginas’. Op basis van deze lijst kan het apparaat volgens de onderzoekers doelgericht ‘multimedia displayed on the device’ blokkeren.

Het lijkt sterk op een filter om reclame en ongewenst materiaal, zoals porno, van het apparaat te weren. Dat daaronder ook politieke onderwerpen als Tibet en Oeigoeren worden geschaard, is echter reden tot zorg. 

Hoe ver de censuur kan gaan is volgens beveiligingsexpert Koot niet duidelijk: ‘Het rapport levert geen technisch bewijs dat webpagina’s kunnen worden geblokkeerd. Mogelijk worden alleen advertenties geweerd. Maar alleen al het gericht blokkeren van advertenties, waarbij je ook moet denken aan advertenties van politieke content, kan een effectieve maatregel zijn voor beïnvloeding en censuur. Dat is al erg genoeg.’ 

De censuursoftware is voor de Europese markt uitgeschakeld, maar kan op afstand worden geactiveerd zonder dat de gebruiker dat doorheeft

De Litouwse onderzoekers constateerden dat de censuursoftware voor de Europese markt is uitgeschakeld. De software kan echter op afstand worden geactiveerd, zonder dat de gebruiker dat doorheeft. Deze functionaliteit vormt volgens de Litouwse onderzoekers een potentiële bedreiging voor de vrije toegang tot informatie, in Litouwen en ‘in alle andere landen waar Xiaomi-toestellen worden gebruikt’.

Xiaomi heeft inmiddels aangekondigd dat het onderzoek laat doen naar de bevindingen inzake de censuursoftware. In Duitsland heeft de toezichthouder Bundesamt für Sicherheit in der Informationstechnik (BSI) naar aanleiding van het Litouwse rapport inmiddels een eigen onderzoek ingesteld naar Xiaomi.

Litouwen en China

Dat juist de Litouwse veiligheidsdiensten zich zo fel uitspreken tegen bepaalde Chinese telefoons, is geen toeval. Er is al enkele maanden een conflict gaande tussen China en Litouwen.

De oorzaak is Litouwens nauwe band met Taiwan, die het recent verder aanhaalde. China ziet Taiwan als onderdeel van China, maar het eiland zelf denkt daar anders over. Litouwen gaat niet zo ver dat het Taiwan als souvereine staat erkent, maar krijgt binnenkort als enige Europese land wel een officiële vaste vertegenwoordiger van het eiland. Ook ontvangt het overheidsafgevaardigden uit Taiwan.

China is daar woedend over. Kamerlid Matas Maldeikis zei onlangs in Nieuwsuur, dat hem omschreef als ‘de beste vriend van de Taiwanezen in het Litouwse parlement’: ‘Geen enkel land kan voorschrijven met wie je zaken mag doen, met wie je mag communiceren en met wie je commerciële banden kunt hebben.’

De Chinese ambassadeur verliet Litouwen stante pede, en Peking vroeg de Litouwse ambassadeur China te verlaten. Na het Litouwse onderzoek naar Xiaomi-telefoons kondigde China economische sancties tegen Litouwse bedrijven aan.

Lees verder Inklappen

Eigen onderzoek noodzakelijk

De Nederlandse regering spreekt zich vooralsnog niet uit. In antwoord op Kamervragen van Queeny-Aimée Rajkowski (VVD) schreef minister Stef Blok van Economische Zaken en Klimaat de Tweede Kamer op 4 november dat er ‘op dit moment geen aanleiding is’ het Litouwse advies over te nemen om Chinese smartphones te verbannen.

De minister meldt dat er sinds 2018 binnen de Rijksoverheid zestig Xiaomi-telefoons zijn gekocht. Die ‘worden niet gebruikt voor de eigen bedrijfsvoering’, maar zijn aangeschaft ‘als onderwerp van technisch, forensisch of opsporingsonderzoek’. Of Xiaomi met het doorgeven van data of zijn censuursoftware in strijd handelt met Nederlandse privacywetgeving of grondrechten, laat de minister over aan de relevante toezichthouders.

Ook binnen de Europese Unie houdt Nederland zich op de vlakte. Een brief die een Litouwse Europarlementariër over de Chinese smartphones aan de Europese Commissie stuurde, werd door ruim dertig Europarlementariërs uit verschillende landen ondertekend. Daar zat geen enkele Nederlander bij. Niet omdat ze niet kritisch zijn, zegt Europarlementariër Bart Groothuis (VVD), maar omdat de brief ‘rommelig is opgesteld’.


Europarlementariër Bart Groothuis

"Nederland is vanwege onze nauwe economische banden met China niet zo kritisch als de Litouwers, de Noren en de Zweden"

Wel zegt Groothuis, die eerder aan het hoofd stond van het Bureau Cyber Security van het ministerie van Defensie: ‘Natuurlijk moeten we ons zorgen maken over censuur van een autocratisch land dat via technologie steeds meer invloed krijgt over onze vrijheden. We moeten niet naïef zijn. China legt steeds meer nadruk op het verkrijgen van informatie uit telecommunicatie. Aan de overheid gelieerde hackersgroeperingen trekken wereldwijd op steeds grotere schaal telecomproviders leeg. Als je het zo bekijkt, is de vraag of ze gebruik maken van de mogelijkheid om data op te vragen bij smartphone-bedrijven een no-brainer.’

‘Om ons daartegen te beschermen, moeten we de mogelijkheid onderzoeken om aanbieders in de sector te weren die niet in overeenstemming handelen met onze democratische waarden,’ zegt Groothuis. Wat Xiaomi betreft pleit hij in dit verband voor onafhankelijk onderzoek, bijvoorbeeld door het Nationaal Cyber Security Centrum (NCSC) of het Nationaal Bureau voor Verbindingsbeveiliging (NBV), maar ook voor onderzoeken door hun Europese pendanten: ‘Je hebt eerst onderzoek nodig door veiligheidsdiensten uit heel Europa. Die moeten zich uitspreken. Pas dan kun je iets ondernemen.’

Maar, zo benadrukt hij, ‘welke maatregelen je uiteindelijk ook tegen Chinese partijen neemt, het verdient de voorkeur dat in Brussel te doen. Omdat je als land alleen de vrije, interne markt niet kunt doorkruisen, en vanwege het risico op vergelding. Nederland is vanwege onze nauwe economische banden met China niet zo kritisch als de Litouwers, de Noren en de Zweden. Die zijn economisch veel minder afhankelijk.’

Matthijs Koot is echter sceptisch over de resultaten van een onderzoek naar Xiaomi. Koot: ‘Het zou goed zijn als Nederland zelfstandig onderzoek doet, maar als dat al wordt gedaan is er een mogelijkheid dat de uitkomst daarvan niet of niet volledig gepubliceerd wordt, omdat er ten aanzien van China ook andere belangen spelen.’

Voor cybersecurity-expert Gabriel Cirlig is de zaak zo klaar als een klontje. Wil je dat je gegevens veilig blijven, koop dan geen Xiaomi. ‘Het is spyware in een doosje.’ En ‘if the product is free, you’re the product. Als iets te mooi lijkt om waar te zijn, is het dat meestal ook.’

FTM heeft vragen uitgezet bij Xiaomi, de NCTV en de AIVD. Xiaomi was niet bereikbaar voor commentaar; de NCTV heeft toegezegd later op maandag nog met antwoorden te komen. We zullen het stuk updaten als we die antwoorden binnenhebben.

  • Update maandag 8 november,16 uur: de reactie van de AIVD hebben we hieronder opgenomen.
  • Update woensdag 10 november, 11:00: een weggevallen alinea (beginnend met ‘Maar, zo benadrukt hij...’) is op z’n plaats gezet.
  • Update woensdag 17 november: een vertegenwoordiger van Xiaomi heeft een inhoudelijke reactie met ons gedeeld. We hebben deze reactie integraal opgenomen in het kader hieronder.
Reacties AIVD en Xiaomi

Reactie AIVD

De AIVD verwijst in haar reactie in eerste instantie naar de antwoorden op de Kamervragen die over het rapport uit Litouwen zijn gesteld. Over een aantal specifieke vragen (bijvoorbeeld over de samenwerking met buitenlandse diensten) wil de AIVD geen uitspraken doen. In algemene zin wil de AIVD het volgende kwijt:

  • Vanuit de AIVD doen we onderzoek naar dreigingen gericht tegen de Nederlandse naar dreigingen gericht tegen de Nederlandse nationale veiligheidsbelangen. We weten dat China een offensief cyberprogramma heeft tegen Nederlandse belangen. Om risico’s te kunnen beheersen is onwenselijk om afhankelijk te zijn voor systemen of producten uit landen die een offensief cyberprogramma tegen Nederland en Nederlandse belangen hebben.
  • Over concrete onderzoeken en samenwerkingsverbanden doen we geen uitspraken. Op basis van geverifieerde inlichtingen deelt de AIVD adviezen en handelingsperspectief om de weerbaarheid o.a. binnen de Rijksoverheid te vergroten. We publiceren daar ook regelmatig over.
  • Zo stellen we in het Dreigingsbeeld Statelijk Actoren samen met MIVD en NCTV, dat een toenemende afhankelijkheid van buitenlandse technologie een gegeven is, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.
  • Maar daarbij waarschuwen we tegelijkertijd nadrukkelijk voor het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Hierin schuilt ook een risico voor de continuïteit van de vitale infrastructuur. Dit risico geldt met name voor landen met offensieve cyberprogramma’s tegen Nederland, zoals China.
  • Ook in recente jaarverslagen waarschuwt de AIVD al dat het onwenselijk is dat Nederland voor de uitwisseling van gevoelige informatie of voor vitale processen afhankelijk is van bedrijven uit landen die een offensief cyberprogramma tegen Nederlandse belangen uitvoeren. De AIVD maakt aan betrokken partijen, zoals ministeries, duidelijk hoe de verhoudingen zijn tussen zulke bedrijven en hun overheid zodat zij risico’s kunnen afwegen.
  • In het meest recente jaarverslag maakte de AIVD bovendien melding van het feit dat China op grote schaal persoonsgegevens vergaarde. Die buitgemaakte persoonsgegevens worden door China onder meer gebruikt om profielen te maken van medewerkers en bedrijven waar het land digitaal wil inbreken. De wereldwijde, grootschalige vergaring van persoonsgegevens door Chinese actoren wordt daarom als een bedreiging voor de Nederlandse veiligheid gezien.
  • Om uitwisseling van gerubriceerde informatie mogelijk te maken zonder dat dit in verkeerde handen valt ontwikkelt en evalueert de AIVD informatie beveiligingsprodukten. Uitbreiding en financiering wordt hiervoor gezocht via de Nationale Crypto Strategie.
  • En de AIVD werkt als National Security Authority (NSA taak) mee aan het vormen van EU en NAVO beleid om gerubriceerde informatie te beschermen en inspecteert ook of gebruikers van deze informatie zich aan de regels houden.

Reactie Xiaomi

Op dinsdag 16 november stuurde Xiaomi een Engelstalige reactie:

Xiaomi ("we") is aware of the "Cybersecurity assessment of 5G-enabled mobile devices" report ("The Report"), which was recently published by the Cybersecurity and Information Authority of Lithuania (NCSC). We take the allegations made in the report seriously. While we dispute the characterization of certain findings, we are engaging an independent third party expert to assess the points raised in the report. We are confident in the integrity of our devices and compliance practices of our business, and we believe a third party will verify this for our users and partners.

Specifically, Xiaomi would like to address two major concerns raised in the report:

1.    Alleged Censorship

Xiaomi's devices do not restrict or filter communications to or from our users. Xiaomi has never and will never restrict or block any personal behaviors of our smartphone users, such as searching, calling, web browsing or the use of third-party communication software. The NCSC report does not allege that we do so.

The report points to Xiaomi's use of advertising management software that has the limited ability to manage paid and push advertising delivered to devices through Xiaomi apps such as Mi Video and Mi Browser. This can be used to shield users from offensive content, such as pornography, violence, hate speech, and references that may offend local users. This practice is common in the smartphone and internet industry worldwide[1].

We review our advertisement management system policies from time to time to ensure they meet the needs and expectations of our users.

Xiaomi is committed to operating responsibly and transparently across all jurisdictions. We are committed to constant improvement and innovation, and welcome engagement with users, regulators and other interested stakeholders.

2.    Data Processing and Data Transfer

The report also wrongly suggests inappropriate data stewardship. In fact, Xiaomi is fully compliant with all requirements of GDPR, including handling, processing and transfer of end-user data. Our compliance applies to all systems, apps and services. Any use of personal data is contingent on the valid consent of the end-user and is always in accordance with local or regional laws and regulations of the European Union and its Member States.

Xiaomi operates in accordance with ISO/IEC 27001 Information Security Management Standards and the ISO/IEC 27701 Privacy Information Management System. Xiaomi has also received Enterprise Privacy Certification from TrustArc on a yearly basis since 2016. This ensures the best possible privacy and security protections for the end-user.

Xiaomi would like to emphasize once again, that we are committed to the privacy and security of our users. We operate with the highest standards and comply with all local and regional regulations.

[1] See Article 13 Controversial Content of Facebook Ads policies, available at https://www.facebook.com/policies/ads/; Political Content Clause of Google Ads policies, available athttps://support.google.com/adspolicy/answer/6008942

Lees verder Inklappen