Met absurd lage prijzen duwen Chinese webshops hun Belgische concurrenten uit de weg. “Shop als een miljardair”, belooft Temu je. Maar onder de motorkap schuilt krachtige machinerie. “Dit is spionagesoftware vermomd als webshop.”
De grote constante bij de Chinese webshops is dit: eigenlijk heb je anderhalf uur leeswerk voor de boeg voordat je een ‘schattige beer print fleece gevoerde sweatshirt en broek set’ (8,54 euro) of ‘ergonomische dakgootschep’ (4,61 euro) kan bestellen. Bij Temu, Shein, AliExpress en Wish zijn de algemene voorwaarden en het privacybeleid al snel tien keer zo lang als dit artikel.
“Om te voorkomen dat je het echt zou lezen”, zeggen privacy-experts. Want de rechten die de webshops zich toe-eigenen, gaan ver. Onderzoek van het Nieuwsblad toont aan dat je door de app te gebruiken meer prijsgeeft dan strikt noodzakelijk is voor een webshop.
Dat komt voor een deel omdat ze ook geld verdienen met die data. “Dat soort organisaties hebben meerdere stromen van inkomsten”, zegt Bart Van Buitenen, docent informatieveiligheid aan Thomas More. “Een ervan is verkoop. De andere draaien om data. Ze slagen erin om heel verregaande en specifieke profielen op te stellen van hun gebruikers, en kunnen die verkopen aan adverteerders.”
Dat merk je als je surft. Het is voor internetgebruikers bijna onmogelijk om naast de advertenties van Temu te kijken. Die duiken op in zoekmachines en sociale media en in de rand van allerhande websites en apps. Temu koopt die advertentieruimte, maar verdient er zelf geld aan door de vakjes tegen betaling ter beschikking te stellen van zijn eigen leveranciers. In de eerste negen maanden van 2024 leverde dat evenveel inkomsten op als de verkoop van producten, blijkt uit het kwartaalverslag van het moederbedrijf.
“Terwijl je scrolt, wordt je aandacht continu verkocht aan de hoogst biedende”, zegt privacy-expert Matthias Dobbelaere-Welvaert. “Hoe preciezer die profielen, hoe meer ze waard zijn. Doorgaans 3 tot 7 euro. Maar als je veel koopt via internet, kan het op den duur zelfs 100 euro worden. ‘Jij bent het product’, zeggen we al jaren over bijvoorbeeld Facebook en Instagram. Veel mensen hebben daar vrede mee.”
Verregaande toegang
Maar gepersonaliseerde reclame is maar een klein deel van het verhaal. De toegang waarvoor je vaak onbewust de toestemming geeft, kan ook voor andere doeleinden worden gebruikt. Het Amerikaans ‘Centrum voor Strategische en Internationale Studies’ (CSIS) publiceerde pas een rapport met beleidsaanbevelingen voor de Amerikaanse overheid. Conclusie: grijp nú in.
“Als webshop vermomde spionagesoftware”, zegt CSIS onomwonden over Temu. “Ontworpen om klanten aan te trekken en hen te laten blijven shoppen via gamification, maar zo gecodeerd dat het de digitale versie wordt van een teek of andere parasiet – extreem moeilijk om te verwijderen. De telefoons van klanten worden de gastheer, de informatie het bloed waarmee Temu zich voedt.”
“Verhoogd spionagerisico”
Abnormaal is dat niet. Dataverzameling is het verdienmodel van heel wat internetplatformen, zegt CSIS zelf. “Maar Temu’s uitzonderlijke toegang maakt het mogelijk om alle activiteit te monitoren en om de instellingen zo te veranderen dat het bijna onmogelijk is om het weg te halen. De app verwijderen is niet het einde van Temu.”
CSIS waarschuwt dat het moederbedrijf van Temu banden heeft met de communistische partij in China, meer bepaald met de “takken betrokken in datamonitoring, controle en propaganda”. “Temu en andere apps in Chinese eigendom hebben geen ingebouwde wettelijke scheidingen van overheidsinmenging”, zegt het rapport. “Er is veel strenger toezicht nodig dan het nu krijgt. Temu is een uitzonderlijk krachtig vehikel voor stiekeme surveillance en zelfs een middel voor cyberaanvallen.”
Ook in Nederland liggen de Chinese apps onder vuur. De Nederlandse inlichtingendienst AIVD heeft het in zijn adviezen over “landen met een offensief cyberprogramma tegen de Nederlandse belangen” en “apps met een verhoogd spionagerisico”. “De overheid ontraadt al sinds maart 2023 haar eigen ambtenaren om apps uit die landen te installeren en te gebruiken. Ik adviseer consumenten nadrukkelijk om diezelfde afweging te maken”, zei minister van Economische Zaken Dirk Beljaarts (PVV) in de Tweede Kamer. “Wees je alsjeblieft goed bewust van waar je akkoord op geeft; niets is voor niets.”
“Korting tegen welke prijs?”
Die analyse wordt ook in België gedeeld. Het Centrum voor Cybersecurity in België stuurde in april al een waarschuwing uit over ‘shoppingapps’, al noemde het geen namen. “Korting bij het winkelen, maar tegen welke prijs? Als het gratis is (of bijna gratis), ben jij het product. Door de applicatie te installeren, geef je toegang tot veel persoonlijke gegevens en tot je smartphone.”
Ook bij ons ligt de voornaamste bezorgdheid bij de herkomst. “We volgen de risico’s op die gepaard gaan met Chinese bedrijven”, zegt minister van Justitie Paul Van Tigchelt (Open VLD). “Het is zo dat dergelijke apps onnodig veel gegevens opvragen en bijhouden. En we weten dat elk Chinees bedrijf onderhevig is aan wetgeving die de Chinese overheid toelaat om die gegevens in te kijken. Daar moeten we niet naïef over zijn.”
Op de vraag of er aanwijzingen zijn voor pogingen tot spionage en infiltratie, kan de minister “geen informatie geven”. “Elk Chinees bedrijf kan door de Chinese overheid verplicht worden om samen te werken”, zegt Matthias Dobbelaere-Welvaert. “Ik ben er 100 procent zeker van dat er bij de Chinese staatsveiligheid een dossier bestaat van elke Europese burger die ooit iets heeft gekocht op een van die websites.”
“De conclusies uit het Amerikaanse rapport stroken met onze bevindingen”, zegt een Belgische expert die de materie van nabij volgt, maar ons alleen anoniem te woord kan staan. “China beschikt over de capaciteit en de intentie om die gegevens voor niet-commerciële doeleinden te gebruiken. Je moet je ervan bewust zijn dat je de facto je gegevens overhandigt aan de Chinese inlichtingendiensten. Ze kunnen én zullen die gebruiken.”
Tiktok
De bezorgdheid over shoppingapps doet denken aan die over socialemediaplatform Tiktok, dat om dezelfde reden al langer onder vuur ligt. De Amerikaanse overheid legde het moederbedrijf op om de Amerikaanse activiteiten tegen 19 januari te verkopen. “Het was fout van de regering om zich op die ene app te richten”, zegt CSIS daarover.
Ook de Europese Commissie voert onderzoek naar de app. En in ons land is Tiktok zowel voor federale als voor Vlaamse ambtenaren verboden. Die richtlijn werd in maart “voor onbepaalde tijd verlengd”. “In principe kan je die analyses overzetten naar Temu en dergelijke”, zegt de anonieme expert. “Het verschil ligt hem niet in de ernst van de dreiging, wel in de mediatisering tot nu toe.” Lees: voor Tiktok is er veel aandacht geweest, omdat politici de app zélf veel gebruiken, maar dat wil niet zeggen dat Temu minder gevaarlijk zou zijn.
Een dergelijk verbod komt er voor Temu niet, maar minister Van Tigchelt maant wel aan tot voorzichtigheid. “Ik zou iedereen aanraden om het risico voor zichzelf in te schatten”, zegt hij. “Het is altijd slim om voorzichtig te zijn, zonder paranoïde te worden. Wil je je gegevens overmaken aan een bedrijf dat ze daarna misschien doorspeelt aan de Chinese overheid? Een beter idee lijkt me om je kerstcadeau’s te kopen bij de lokale handelaars. Die bieden alvast veel betere producten dan de goedkope rommel die je via die apps kunt krijgen.”
Temu noemt de beschuldigingen van het Amerikaanse rapport “compleet ongegrond”. “Bescherming van gebruikersprivacy is onze topprioriteit en we zijn volledig transparant over onze datapraktijken”, klinkt het. “Temu heeft nog nooit gebruikersgegevens verstrekt aan de Chinese overheid, noch zou het dat doen indien gevraagd.”
Ook bij Shein benadrukken ze dat “databeveiliging en privacy topprioriteiten zijn”. “Shein deelt geen klantgegevens met eender welke regering. Shein respecteert de wet en regelgeving van de markten waarin het actief is.”
Temu verwijst naar een pas verschenen rapport over Temu door het Nationaal Testinstituut voor Cyberveiligheid (NTC) in Zwitserland. “Zij zeggen expliciet dat ze ‘geen duidelijk kritieke kwetsbaarheden of bewijs van gebruikersmonitoring in de Temu-app identificeerden’. Het rapport stelt verder dat ‘de Temu-app in vergelijking met andere populaire apps van concurrenten zoals Amazon, AliExpress of Shein zelfs minder en minder problematische toelatingen heeft’.”
“Het rapport gaat verder door te zeggen: ‘Een check van de app over toegang tot de apparaatsensors die geschikt zijn voor gebruikersmonitoring zoals microfoon, camera en GPS toont aan dat de app geen toestemming heeft voor de meeste daarvan. Het kan het ook niet bereiken via het besturingssysteem. Waar het wel de noodzakelijke toelatingen heeft, zoals voor locatiegegevens, werden de sensoren niet gebruikt op onverwachte momenten. Het gebruikte alleen toegang na begonnen te zijn door traceerbare gebruikersinteractie. Er zijn geen achtergrondprocessen geïdentificeerd waarbij sensoren toegang kregen zonder medeweten van de gebruiker.’”
“Ongewone technologie”
De door Temu geciteerde passage staat inderdaad in het rapport van het Zwitserse NTC. Maar in de alinea erna waarschuwt NTC wel voor “ongewoon gedrag” en “rode vlaggen”. “Het gedrag van de app kan worden aangepast (…) zonder het via de App Store te moeten updaten (…) via code die nog in geen enkele andere app is aangetroffen”, klinkt het. En er is “ongewone versleuteling” die “het risico heeft dat het gebruikt wordt om ongewenste datatransfers toe te dekken”.
“Het gedrag van de app kan worden aangepast via code die nog in geen enkele andere app is aangetroffen”
Rapport van het Zwitserse NTC
Temu zelf benadrukt dat het een minimum aan data verzamelt. “We zijn voorop in de manier waarop we data gebruiken om ons platform te doen draaien en de gebruikerservaring te verbeteren. We verzamelen het minimum aan informatie om bestellingen te beheren en af te ronden, onze diensten te verlenen en betalingen te verwerken, te communiceren met de gebruiker over hun bestellingen, onze producten en mogelijk interessante aanbiedingen, en om de winkelervaring van de gebruiker te personaliseren om productaanbevelingen te doen.”
“We zijn altijd transparant over het potentiële verzamelen van data. Als er een kans is dat we de informatie van de gebruiker gebruiken voor een specifiek doel, informeren we hen duidelijk. Dit is conform met de strikte standaarden van marktplaatsen als Apples App Store en Google Play. We onthullen alle mogelijke dataverzameling, maar verzamelen en gebruiken in de praktijk het absolute minimum dat nodig is om onze dienst effectief te bedienen. Als onderdeel van PDD Holdings op Nasdaq leven we strikt het regulatoire toezicht na. Onze inzet voor privacy bevat elk aspect van hoe we gebruikersgegevens verwerken.”
En bij Shein klinkt dat zo: “Ons privacyteam heeft teams over de hele wereld en werkt om de persoonlijke gegevens te beschermen in overeenstemming met de toepasselijke regelgeving en de sectorpraktijken. We gebruiken geavanceerde databeveiligingstechnologie om bedreigingen te identificeren, risico’s te beheersen en inbraak te voorkomen. Shein heeft infrastructuur en encryptietechnologie om persoonlijke informatie te beschermen.”
Dat de gebruiksvoorwaarden zo lang zijn, heeft volgens Temu te maken met een “streven naar heldere en begrijpelijke voorwaarden om gebruikers hun rechten en plichten te helpen begrijpen”. “Zo garanderen we transparantie en eerlijkheid. Temu’s voorwaarden zijn vergelijkbaar in lengte met andere platformen als Amazon en Shein.”
Na publicatie van dit artikel stuurde Temu nog deze reactie: “Temu verkoopt geen klantgegevens. In plaats daarvan rangschikken we producten en aanbieders volgens statistieken waaronder productbeoordelingen en recensies van geverifieerde kopers, labels die bestverkochte artikelen identificeren, producten met de laagste retourpercentages en aanbieders met de hoogste heraankooppercentages. Deze functies helpen klanten om weloverwogen keuzes te maken. Door dit te doen, beloont Temu ook verkopers van hoge kwaliteit met meer zichtbaarheid en verkeer, wat een gunstige cyclus creëert voor zowel klanten als verkopers.”
