Tik Tok’s charmeoffensief

Stichting Privacy First wordt vanwege haar expertise dikwijls uitgenodigd voor rondetafels om “mee te denken” over nieuwe richtingen, initiatieven of zaken waar qua privacy-vriendelijkheid of gevoeligheid kritiek op is te verwachten. Soms zijn wij hiertoe bereid, vooral om ontwikkelingen die ieders privacy kunnen schaden te voorkomen. Daarbij vinden wij (ook in het algemeen) een dialoog tussen partijen met tegenstrijdige belangen belangrijk, mits deze dialoog oprecht gevoerd wordt. Dit geldt ook voor TikTok.

Vanwege zware kritiek vanuit diverse overheden op TikTok als sociaal medium en het instellen van een verbod op het gebruik van TikTok door ambtenaren evenals strengere maatregelen uit Brussel in het algemeen (zoals de Digital Markets Act, Digital Services Act en Digital Data Governance Act), is het geen toeval dat TikTok vorige week was uitgenodigd in de Tweede Kamer om vragen van de vaste commissie voor Digitale zaken te beantwoorden. Deze samenkomst heeft op 6 september jl. in de Thorbeckezaal van de Tweede Kamer plaatsgevonden. Doel van de bijeenkomst was om TikTok uitleg te laten geven waarom het als platform, ondanks meerdere waarschuwingen vanuit onder andere de Europese Unie, Europese privacyregels nog steeds aan haar laars lapt en (nog steeds) niet voldoet aan haar wettelijke verplichtingen. In het algemeen bestaat er een vrees dat TikTok vanuit China gebruikt zou kunnen worden voor spionagedoeleinden. Tijdens de bijeenkomst in de Tweede Kamer gaf TikTok toe dat medewerkers in China toegang kunnen hebben tot “publieke data” van EU-burgers. Ook al zou deze toegang onder strikte voorwaarden geschieden, het gegeven dat er toegang bestaat maakt dat TikTok in de optiek van Privacy First in strijd handelt met Europese privacyregels.

Ook in het FD stond op 5 september jl. een uitgebreid artikel[1], waarbij Tik Tok via het door hun opgezette Project Clover het vertrouwen van beleidsmakers tracht te herwinnen door o.a. het toezicht op hun gebruikersdata bij een externe partij te leggen. Het Britse cybersecurity bedrijf NCC Group gaat dat toezicht verrichten.[2]

Reeds in een eerder stadium was Privacy First uitgenodigd om op 7 september jl. een rondetafel-bijeenkomst van TikTok bij te wonen over Project Clover. Een kleine delegatie van Privacy First had in dat verband al diverse kritische vragen opgesteld:

  • Waarom zorgt TikTok er met betrekking tot de gebruikersdata van EU-burgers niet voor dat het compliant is met Europese privacyregels en in de bedrijfsvoering voldoende het Europees vastgelegde mensenrecht op privacy borgt?
  • Is TikTok bereid om bijvoorbeeld de Europese Toezichthouder voor gegevensbescherming (EDPS) extern en onafhankelijk toezicht op Project Clover te laten uitoefenen?
  • Behoort een wijziging van het verdienmodel van TikTok tot de mogelijkheden? Door het nu “gratis” aan te bieden misleidt TikTok consumenten en dan met name kinderen, omdat gebruikers nu betalen door het beschikbaar stellen van hun persoonsgegevens.
  • TikTok deelt volgens eigen publicaties geen gebruikersdata van EU-burgers naar landen buiten de EU. Hoe verklaart TikTok dan dat Chinese medewerkers toegang hebben tot deze gebruikersdata, ook al zou het onder hele strikte voorwaarden zijn? In de privacyverklaring[3] van TikTok staat dat de servers waar de gebruikersdata zijn opgeslagen in de Verenigde Staten, Singapore en Maleisië staan.
  • Wat gaat TikTok doen met de bevindingen van de externe toezichthouder, met name wanneer deze concludeert dat TikTok niet compliant is? Hoe is de onafhankelijkheid van deze externe toezichthouder geborgd?
  • Wat is de precieze opdracht aan de externe toezichthouder? Wat zijn de afspraken ter zake transparantie over de bevindingen en mogen conclusies, ook al zijn ze in het nadeel van TikTok, openbaar worden gemaakt?

Helaas werd Privacy First twee dagen voor de geplande rondetafelsessie afgezegd, oftewel vlak voor de bijeenkomst van TikTok met de vaste commissie voor Digitale Zaken op 6 september 2023 in de Tweede Kamer. Dit wegens te weinig animo voor de rondetafel, met het verzoek van TikTok aan Privacy First om de banden wel warm te houden. Voor Privacy First vormt dit aanleiding om bovenstaande vragen en zorgen van onze kant publiekelijk kenbaar te maken.

[1] https://fd.nl/tech-en-innovatie/1488219/tiktok-schakelt-brits-bedrijf-in-om-toezicht-te-houden-op-europese-gebruikersdata

[2] https://www.nccgroup.com/ch-de/ncc-group-announced-as-tiktoks-project-clover-trusted-technology-provider/

[3] https://www.tiktok.com/legal/page/eea/privacy-policy/nl, onder de kop ‘Onze wereldwijde activiteiten en gegevensoverdracht’.

Update 3 december 2023: 

Enige tijd geleden heeft Privacy First nogmaals een uitnodiging ontvangen voor een Ronde Tafel met TikTok. Deze Ronde Tafel vond plaats op maandag 27 november 2023. TikTok heeft naar eigen zeggen uitnodigingen verstuurd naar een 40-tal groepen en personen die zich met het platform op velerlei terreinen bezighouden. Heel jammer dat veel van de genodigden niet zijn ingegaan op het verzoek van TikTok om deel te nemen en zo mee te denken en van elkaar te leren. Wij vonden het nuttig om wel deel te nemen omdat wij de dialoog tussen partijen met tegenstrijdige belangen belangrijk vinden, terwijl het ook belangrijk is om goed vanuit het eigen belang te waken.

In het eerste deel van het gesprek werden wij bijgepraat over de activiteiten van TikTok in Europa. Nuttig was een stand van zaken over het data-privacy beleid en maatregelen, waaronder Project Clover, en het plan van TikTok voor het opslaan van Europese gebruikersdata in Europa met extern toezicht op toegang tot deze data door NCC Group. Opmerkelijk is het gegeven dat een migratie heeft plaatsgevonden van data van EU-burgers waarbij de dataservers die gebruikt worden voor de opslag van de data nu in Ierland en Noorwegen staan. Een kritiekpunt hier is dat er nog steeds mensen van het bedrijf TikTok buiten de EU-jurisdictie toegang kunnen krijgen tot de data van EU-burgers.

In het gesprek hebben wij gepoogd om TikTok mee te geven dat ze hun ambitie van de gouden standaard ‘echt’ kunnen verwezenlijken door hun verdienmodel aan te passen. Nu verdient het bedrijf zijn geld met het verkopen van gepersonaliseerde advertenties en maakt daarbij gebruik van persoonsgegevens die gebruikers ‘gratis’ beschikbaar stellen. Hiermee misleidt TikTok haar gebruikers en schendt daarbij hun privacyrechten om de winstgevendheid verder te vergroten. Een platform dat van zo’n verdienmodel afhankelijk is, heeft volgens ons geen bestaansrecht.

Wij vonden de uitwisseling van informatie bij de Ronde Tafel zeer wenselijk. Onze algemene indruk is dat TikTok uitnodigend openstaat voor onze kritische vragen, en daarmee van plan is om vaker externe organisaties en personen te bevragen en te gebruiken als klankbord, hetgeen wij kunnen waarderen. Vanuit het stellen van vragen, de antwoorden van de ander en onze algemene indruk in het nieuws vormen wij meestal vanuit ervaring en gedegen onderzoek ons standpunt, zo ook hopelijk TikTok als platform. Wij doen in ieder geval aan dialoog voordat wij wat roepen.