Het nieuwe privacybeleid van tiktok: nieuwe privacy-issues op de loer

Article
NL Law

TikTok is een inmiddels welbekende van origine Chinese social media-app waarop korte filmpjes kunnen worden opgenomen en gedeeld. Sinds de app in 2017 werd uitgebracht, heeft de populariteit van TikTok een enorme vlucht genomen. Inmiddels zijn er meer dan een miljard gebruikers wereldwijd. Hoewel TikTok officieel een leeftijdsgrens van 13 jaar hanteert, zijn veel gebruikers jonger dan 13 jaar.

De enorme groei en populariteit van TikTok komt echter niet zonder obstakels; TikTok staat al langere tijd onder druk in Nederland. De zorgen zien vooral op het waarborgen door TikTok van de privacy van haar gebruikers – of het gebrek daaraan. In 2021 legde de Autoriteit Persoonsgegevens al een boete op aan TikTok vanwege het schenden van de privacy van jonge kinderen, en nu zijn ook drie Nederlandse stichtingen een rechtszaak begonnen tegen het sociale medium vanwege schendingen van de privacy van Nederlandse gebruikers. De Nederlandse rechter heeft zich recent bevoegd geacht om de vorderingen van de stichtingen te beoordelen, hetgeen betekent dat TikTok zich in Nederland nu geconfronteerd ziet met een cumulatieve vordering tot betaling van schadevergoeding van zo’n 9,4 miljard euro.

Het nieuwste probleem heeft zich reeds gepresenteerd voor TikTok. Begin november heeft de app haar nieuwe privacybeleid voor de Europese Economische Ruimte (EER), het Verenigd Koninkrijk en Zwitserland gepubliceerd, welk beleid op 2 december 2022 in werking is getreden. Nieuw is dat werknemers van TikTok – volgens het privacybeleid "beperkt en veilig" – toegang krijgen tot de (persoons)gegevens die TikTok verzamelt. Hiervoor worden verzamelde (persoons)gegevens doorgegeven naar de landen waar TikTok's medewerkers werkzaam zijn – onder andere China en de Verenigde Staten. Onduidelijk is welke (persoons)gegevens precies worden doorgegeven; TikTok weigert daarover duidelijkheid te verschaffen. Saillant detail is verder dat het nieuwe privacybeleid als gevolg heeft dat persoonsgegevens zullen worden doorgegeven naar medewerkers in China. Vooral dit aspect heeft geleid tot onrust in Nederland, in de vorm van kamervragen en de wens van ChristenUnie om TikTok in Nederland te verbieden. De angst bestaat namelijk dat, doordat Chinese medewerkers van TikTok toegang krijgen tot persoonsgegevens van gebruikers uit Europa, het nieuwe privacybeleid de Chinese autoriteiten in staat stelt om via TikTok's werknemers toegang te verkrijgen tot deze persoonsgegevens.  

Deze angst is begrijpelijk. Uit onderzoek van de KU Leuven blijkt dat de waarborgen in China voor bescherming tegen toegang tot data door de overheid nihil zijn. Wetshandhavings- en inlichtingendiensten hebben ruime bevoegdheden om toegang te krijgen tot alle vormen van informatie (dus ook persoonsgegevens) indien dit nodig wordt geacht in het kader van bijvoorbeeld strafrechtelijke onderzoeken of inlichtingenoperaties. Bovendien bevat het juridisch kader in China weinig waarborgen voor de bescherming van (persoons)gegevens. De nadruk in wetgeving ligt voornamelijk op het verstrekken van steun en informatie aan de overheidsinstanties en niet op waarborgen of voorwaarden die aan toegang door de overheid worden gesteld.

Op grond van hoofdstuk 5 van de Algemene verordening gegevensbescherming (AVG) moet bij de doorgifte van persoonsgegevens naar landen buiten de Europese Unie hetzelfde beschermingsniveau voor persoonsgegevens gewaarborgd worden. TikTok maakt voor de doorgifte naar China gebruik van modelcontractbepalingen (SCC’s) die zijn goedgekeurd door de Europese Commissie om dit beschermingsniveau te waarborgen. Het is echter onzeker of deze standaardcontractbepalingen in de praktijk effectief de vereiste bescherming kunnen bieden gezien de met weinig waarborgen omklede verstrekkende macht die de Chinese overheid met haar wettelijke instrumenten bezit. Feit is dat ByteDance, het Chinese moederbedrijf van TikTok, een verzoek tot toegang van de Chinese autoriteiten zal moeten respecteren. Het scenario dat de Chinese autoriteiten toegang verkrijgen tot persoonsgegevens van gebruikers uit Europa is derhalve plausibel. 

Het bezwaar dat Chinese autoriteiten bij persoonsgegevens van gebruikers uit Europa zouden kunnen daargelaten, verdient het nieuwe privacybeleid vanuit een breder perspectief van AVG-compliance ook aandacht. Daarbij verdienen een aantal beginselen bijzondere aandacht, waarbij steeds de vraag is of en in hoeverre het nieuwe privacybeleid van TikTok is opgesteld in lijn met deze beginselen.

Het allereerste aandachtspunt ziet op het beginsel van doelbinding. Dit beginsel houdt in dat persoonsgegevens alleen voor vooraf bepaalde doelen mogen worden verzameld en niet voor andere doeleinden verder mogen worden verwerkt. TikTok verzamelt en verwerkt gegevens volgens het privacybeleid voor haar gelegitimeerde belangen, dat wil zeggen, het aanbieden van het platform en het kunnen aanbieden van gepersonaliseerde advertenties. De doelen die in het privacybeleid omschreven worden zijn echter zo algemeen en breed dat moeilijk van doelbinding gesproken kan worden.

Verder is het principe van dataminimalisatie van toepassing op de gegevensverzameling door TikTok, hetgeen inhoudt dat TikTok niet meer gegevens mag verzamelen dan nodig voor het doelen van de verwerking. TikTok verzamelt niet alleen profielinformatie, je locatie en afgeleide persoonsgegevens zoals leeftijd, geslacht en interesses, maar ook het getyp op het toetsenbord indien iemand doorklikt op een link en wordt doorgestuurd naar een “In-App Browser” toegankelijk, zo heeft TikTok bevestigd. Daarnaast constateerde de NOS in 2020 dat TikTok meer data verzamelt dan andere sociale mediums met vergelijkbare doelen, zoals bijvoorbeeld Instagram; zo vraagt TikTok toegang tot meer functies van je telefoon en kan het bedrijf, in tegenstelling tot Instagram, ook inzien wat voor apps op iemands telefoon staan. Sec kijkend naar de verwerkingsdoelen van TikTok kan betwijfeld worden of al deze informatie wel nodig is voor het verwezenlijken hiervan.

Ten slotte volgt uit het transparantiebeginsel van de AVG dat een privacybeleid beknopt, transparant en begrijpelijk moet zijn en in een duidelijke en eenvoudige taal dient te worden opgesteld. TikTok’s privacybeleid staar bol van aanklikbare links en doorverwijzingen. Het is hierdoor niet meteen duidelijk en begrijpelijk welke data er precies verzameld wordt en ten behoeve van welk doel dit precies gebeurt, terwijl dit vanuit de AVG juist een vereiste is. Het onduidelijke privacybeleid was eerder al reden voor het opleggen van de boete door de Autoriteit Persoonsgegevens.

Conclusie

Na de reeds door de AP opgelegde boete en lopende rechtszaak tegen TikTok, verdienen bovenstaande bezwaren vanuit de AVG wezenlijke aandacht. Het nieuwe privacybeleid van TikTok is weinig transparant en legt de basis voor het verwerken van een grote hoeveelheid (persoon)gegevens. Dit maakt de zorg om de datadoorgifte naar China nog meer prangend. Het is afwachten of de Ierse privacy toezichthouder, die nu onderzoek doet naar TikTok, maatregelen zal nemen tegen het sociale medium.

Noot: Aan dit blogbericht heeft Laura Bredschneijder bijgedragen. Zij was als juridisch assistent aan de praktijkgroep TMT verbonden in de periode november 2022 – januari 2023.