Tik Tok’s charmeoffensief

Stichting Privacy First wordt vanwege haar expertise dikwijls uitgenodigd voor rondetafels om “mee te denken” over nieuwe richtingen, initiatieven of zaken waar qua privacy-vriendelijkheid of gevoeligheid kritiek op is te verwachten. Soms zijn wij hiertoe bereid, vooral om ontwikkelingen die ieders privacy kunnen schaden te voorkomen. Daarbij vinden wij (ook in het algemeen) een dialoog tussen partijen met tegenstrijdige belangen belangrijk, mits deze dialoog oprecht gevoerd wordt. Dit geldt ook voor TikTok.

Vanwege zware kritiek vanuit diverse overheden op TikTok als sociaal medium en het instellen van een verbod op het gebruik van TikTok door ambtenaren evenals strengere maatregelen uit Brussel in het algemeen (zoals de Digital Markets Act, Digital Services Act en Digital Data Governance Act), is het geen toeval dat TikTok vorige week was uitgenodigd in de Tweede Kamer om vragen van de vaste commissie voor Digitale zaken te beantwoorden. Deze samenkomst heeft op 6 september jl. in de Thorbeckezaal van de Tweede Kamer plaatsgevonden. Doel van de bijeenkomst was om TikTok uitleg te laten geven waarom het als platform, ondanks meerdere waarschuwingen vanuit onder andere de Europese Unie, Europese privacyregels nog steeds aan haar laars lapt en (nog steeds) niet voldoet aan haar wettelijke verplichtingen. In het algemeen bestaat er een vrees dat TikTok vanuit China gebruikt zou kunnen worden voor spionagedoeleinden. Tijdens de bijeenkomst in de Tweede Kamer gaf TikTok toe dat medewerkers in China toegang kunnen hebben tot “publieke data” van EU-burgers. Ook al zou deze toegang onder strikte voorwaarden geschieden, het gegeven dat er toegang bestaat maakt dat TikTok in de optiek van Privacy First in strijd handelt met Europese privacyregels.

Ook in het FD stond op 5 september jl. een uitgebreid artikel[1], waarbij Tik Tok via het door hun opgezette Project Clover het vertrouwen van beleidsmakers tracht te herwinnen door o.a. het toezicht op hun gebruikersdata bij een externe partij te leggen. Het Britse cybersecurity bedrijf NCC Group gaat dat toezicht verrichten.[2]

Reeds in een eerder stadium was Privacy First uitgenodigd om op 7 september jl. een rondetafel-bijeenkomst van TikTok bij te wonen over Project Clover. Een kleine delegatie van Privacy First had in dat verband al diverse kritische vragen opgesteld:

  • Waarom zorgt TikTok er met betrekking tot de gebruikersdata van EU-burgers niet voor dat het compliant is met Europese privacyregels en in de bedrijfsvoering voldoende het Europees vastgelegde mensenrecht op privacy borgt?
  • Is TikTok bereid om bijvoorbeeld de Europese Toezichthouder voor gegevensbescherming (EDPS) extern en onafhankelijk toezicht op Project Clover te laten uitoefenen?
  • Behoort een wijziging van het verdienmodel van TikTok tot de mogelijkheden? Door het nu “gratis” aan te bieden misleidt TikTok consumenten en dan met name kinderen, omdat gebruikers nu betalen door het beschikbaar stellen van hun persoonsgegevens.
  • TikTok deelt volgens eigen publicaties geen gebruikersdata van EU-burgers naar landen buiten de EU. Hoe verklaart TikTok dan dat Chinese medewerkers toegang hebben tot deze gebruikersdata, ook al zou het onder hele strikte voorwaarden zijn? In de privacyverklaring[3] van TikTok staat dat de servers waar de gebruikersdata zijn opgeslagen in de Verenigde Staten, Singapore en Maleisië staan.
  • Wat gaat TikTok doen met de bevindingen van de externe toezichthouder, met name wanneer deze concludeert dat TikTok niet compliant is? Hoe is de onafhankelijkheid van deze externe toezichthouder geborgd?
  • Wat is de precieze opdracht aan de externe toezichthouder? Wat zijn de afspraken ter zake transparantie over de bevindingen en mogen conclusies, ook al zijn ze in het nadeel van TikTok, openbaar worden gemaakt?

Helaas werd Privacy First twee dagen voor de geplande rondetafelsessie afgezegd, oftewel vlak voor de bijeenkomst van TikTok met de vaste commissie voor Digitale Zaken op 6 september 2023 in de Tweede Kamer. Dit wegens te weinig animo voor de rondetafel, met het verzoek van TikTok aan Privacy First om de banden wel warm te houden. Voor Privacy First vormt dit aanleiding om bovenstaande vragen en zorgen van onze kant publiekelijk kenbaar te maken.

[1] https://fd.nl/tech-en-innovatie/1488219/tiktok-schakelt-brits-bedrijf-in-om-toezicht-te-houden-op-europese-gebruikersdata

[2] https://www.nccgroup.com/ch-de/ncc-group-announced-as-tiktoks-project-clover-trusted-technology-provider/

[3] https://www.tiktok.com/legal/page/eea/privacy-policy/nl, onder de kop ‘Onze wereldwijde activiteiten en gegevensoverdracht’.