Het online platform TikTok ligt in een aantal Europese landen onder vuur vanwege hun algemene voorwaarden die betrekking hebben tot de bescherming van persoonsgegevens. De privacywaakhond van Nederland oordeelde bijvoorbeeld dat de app de privacy van kinderen schond. In 2021 kreeg TikTok daarom al een boete van 750.000 euro van de Autoriteit Persoonsgegevens. De algemene voorwaarden waren namelijk in het Engels en daardoor niet goed te begrijpen voor kinderen. TikTok kreeg bovendien in januari 2023 van de Franse privacytoezichthouder een boete van vijf miljoen euro, vanwege de manier waarop het bedrijf omging met de cookies op haar site.
Centraal in de juridische discussie over privacy staat de Algemene Verordening Gegevensbescherming (AVG). Sinds de introductie van deze verordening is dit de belangrijkste wet met betrekking tot privacy- en gegevensbescherming in de Europese Unie. Volgens deze verordening mogen verwerkers zoals TikTok persoonsgegevens alleen verwerken als dat noodzakelijk is voor van tevoren opgestelde doelen. Bovendien dienen verwerkers een transparant privacybeleid te hebben, zodat iedereen kan begrijpen wat er met zijn persoonsgegevens gebeurt. Al lange tijd verzamelt TikTok ongebruikelijk veel gegevens. Ook blijft onduidelijk wat TikTok nou precies doet met deze gegevens.
In november vorig jaar heeft de app een nieuw privacybeleid geïntroduceerd, wat op 2 december 2022 in werking is getreden. nieuw aan dit beleid is dat werknemers van TikTok toegang krijgen tot de (persoons)gegevens die het bedrijf verzamelt. Deze persoonsgegevens worden om dit mogelijk te maken doorgegeven naar de landen waar haar medewerkers werkzaam zijn, zoals China en de Verenigde Staten. Hierom ontstond opnieuw veel commotie. Deze ophef was zo groot, dat het Tweede Kamerlid Don Ceder van de ChristenUnie zelfs pleitte voor een verbod op de app. Dit vanwege het nieuwe privacybeleid en de angst dat de Chinese overheid zichzelf toegang kan verschaffen tot de gegevens van gebruikers van de app, in het bijzonder van kwetsbare doelgroepen zoals kinderen.
Schijnveiligheid?
Uit hoofdstuk 5 van de AVG volgt dat bij de doorgifte van persoonsgegevens naar landen buiten de Europese Unie hetzelfde beschermingsniveau voor persoonsgegevens gewaarborgd moet worden. De Verenigde Staten vallen daar bijvoorbeeld al niet onder. Veiligheidsdiensten mogen daar gegevens inzien. TikTok maakt voor de doorgifte van persoonsgegevens gebruik van door de Europese Commissie goedgekeurde modelcontractbepalingen. Desondanks zijn er de nodige praktische zorgen over het beschermingsniveau van deze contracten. In de praktijk heeft de Chinese overheid namelijk dusdanig veel wettelijke instrumenten, dat ByteDance (het moederbedrijf van TikTok) een verzoek tot toegang tot de Europese persoonsgegevens niet kan weigeren. Zorgen over de toegang van de Chinese overheid tot de Europese persoonsgegevens zijn daarom niet onterecht.
Privacy by design en privacy by default
De macht van China, de korte banden met de Chinese staatspropaganda en eerdere journalistieke onthullingen maken deze bezwaren nog geloofwaardiger. Het tijdschrift Forbes onthulde bijvoorbeeld in december 2022 dat ByteDance met behulp van TikTok meerdere Forbes-journalisten volgde. Dit was onderdeel van een geheime surveillance-campagne. Deze campagne was ontworpen om een lek binnen het bedrijf op te sporen na een reeks verhalen die de voortdurende banden van het bedrijf met China blootlegden. Zo schreef het blad eerder dat 300 medewerkers van TikTok en ByteDance voor de Chinese staatsmedia hebben gewerkt. In een reactie hierop gaf ByteDance aan dat de betrokken medewerkers inmiddels waren ontslagen. Dat het überhaupt vreemd is dat medewerkers bij locatiedata van gebruikers kunnen komen, vertelde de door ons eerder geïnterviewde privacy-advocaat Gerrit-Jan Zwenne in gesprek met de NOS. “De AVG verlangt van appmakers privacy by design en privacy by default. Dat betekent onder andere dat ze hun systeem zo moeten inrichten dat medewerkers niet zomaar gevoelige gegevens van appgebruikers kunnen inzien.”
Dat landen in de Europese Unie met de nodige argwaan naar de banden tussen TikTok en China kijken is al een tijd duidelijk. Naast de boetes die het bedrijf al ontvangen heeft, lopen er nog verschillende onderzoeken. Zo ook in Ierland, waar TikTok in Europa is gevestigd. De voorzitter van de Europese Commissie bevestigde in december 2022 bovendien dat de Europese Commissie ook een onderzoek doet naar de praktijken van TikTok. Het laatste woord is hier dus nog niet over gesproken.
