Welke privacyrisico’s zijn verbonden aan het gebruik van TikTok?

Een aantal landen heeft de populaire video-sharing app TikTok geblokkeerd voor ambtenaren. Dit om hen te beschermen tegen risico’s op het gebied van data, privacy en cybersecurity die verbonden zijn aan het gebruik van de app. In deze blog worden de recente gebeurtenissen omtrent het verbod van TikTok weergegeven, in het bijzonder Nederland en de Verenigde Staten. In deze blog zoomen we in op het onrechtmatig verzamelen en verhandelen van persoonsgegevens door TikTok binnen de Verenigde Staten en de Europese Unie. Het beleid in de Verenigde Staten geeft een “kijkje” in de toekomst voor de Europese Unie, die hoogstwaarschijnlijk dezelfde acties zal ondernemen als de Verenigde Staten.

De toenemende roep om een verbod op TikTok?

TikTok probeert zijn problemen met privacy en mogelijke spionage voor de Chinese Communistische Partij op te lossen.

In de Europese Unie werd het verbod van TikTok aangekondigd op 23 februari 2023 voor werknemers van onder meer de Europese Commissie, de Raad van de Europese Unie, het Europees Parlement en de Europese Rekenkamer.

In het Nederlands kabinet is op 21 maart 2023 besloten dat ambtenaren TikTok niet langer op hun werktelefoon mogen hebben, schrijft staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. Het gebruik van de app wordt onmiddellijk afgeraden en aan medewerkers wordt gevraagd de app te verwijderen.

Op 23 maart 2023 verscheen TikTok topman Shou Zi Chew voor het Amerikaanse Congres vanwege een onderzoek naar de app. Aanleiding voor het onderzoek zijn de toenemende zorgen over de stelselmatige verzameling van informatie door TikTok over de app-gebruikers en de doorgifte van deze informatie aan de Chinese overheid. Het wantrouwen tegenover TikTok is overgewaaid van de Verenigde Staten naar onder meer de Europese Unie en Nederland.

Onderzoek naar risico op spionage en risico’s voor minderjarige gebruikers

Het onderzoek van het Amerikaanse Congres heeft onder meer betrekking op het risico dat TikTok gevoelige persoonsgegevens over de app-gebruikers deelt met de Chinese overheid. Hoewel TikTok aangeeft dat verzamelde informatie over app-gebruikers niet met de Chinese overheid wordt gedeeld. Geldt onder Chinese regelgeving een verplichting voor Chinese technologiebedrijven om de Chinese overheid toegang te verlenen tot de persoonsgegevens van hun klanten. De doorgifte van informatie over app-gebruikers kan ertoe leiden dat de Chinese overheid informatie verkrijgt over het bedrijfsleven of overheidsinstanties binnen andere landen.

Zo zijn FBI en de Amerikaanse Justitie een onderzoek gestart naar het moederbedrijf van TikTok vanwege gelekte data van TikTok app-gebruikers over Amerikaanse journalisten. In de Verenigde Staten mogen ambtenaren uit veiligheidsoverwegingen geen TikTok op hun werktelefoons gebruiken en is er een wetsvoorstel uitgebracht op grond waarvan het mogelijk kan worden om technologiebedrijven uit het buitenland zoals TikTok geheel te verbieden.

Verder onderzoekt het Amerikaanse Congres in hoeverre de veiligheid van minderjarige app-gebruikers door TikTok gewaarborgd is. In 2019 is door de Amerikaanse consumentenwaakhond (FTC) een boete aan TikTok opgelegd van $ 5,7 miljoen omdat TikTok informatie over minderjarige gebruikers verzamelde zonder toestemming van de ouders.

De discussie binnen Nederland

Daarnaast is de Autoriteit Persoonsgegevens in 2020 een onderzoek gestart naar de bescherming van minderjarige app-gebruikers omdat kinderen als een extra kwetsbare groep worden gezien. In verband hiermee heeft de Autoriteit Persoonsgegevens een boete van € 750.000 aan TikTok opgelegd, omdat de privacyverklaring alleen in het Engels werd getoond. Volgens de Autoriteit Persoonsgegevens kan er niet vanuit worden gegaan dat kinderen altijd Engels begrijpen. De Consumentenbond en Stichting Take Back Your Privacy zijn in 2021 begonnen met een collectieve actie tegen TikTok. Zoals beschreven in onze vorige blog eisten zij een schadevergoeding van minimaal € 2 miljard voor het onrechtmatig verzamelen en verhandelen van gegevens van minderjarige TikTok-gebruikers in Nederland.

Kan TikTok een verbod binnen de Verenigde Staten en Europese Unie voor komen?

Mocht in de Verenigde Staten een algeheel verbod gaan gelden op het gebruik van TikTok, dan is het mogelijk dat binnen de Europese Unie eenzelfde verbod ter sprake zal komen. Om dergelijke verboden te voorkomen heeft TikTok aan het Amerikaanse Congres een oplossing aangedragen genaamd ‘Project Texas’. De kern van Project Texas is dat Amerikaanse persoonsgegevens worden opgeslagen bij softwarebedrijf Oracle (in Austin, Texas) in wezen zal functioneren als een ‘firewall’. Dit zou volgens Chew voorkomen dat de Chinese overheid toegang heeft tot de persoonsgegevens van Amerikaanse gebruikers.

Een kernpunt dat Chew aanduidde tijdens de hoorzitting is dat in Beijing gevestigde werknemers van TikTok nog steeds Amerikaanse gebruikersgegevens kunnen inzien. Maar dat de herstructurering die als firewall functioneert, zou voorkomen dat werknemers toegang hebben tot persoonlijke informatie van Amerikanen. Of dit nu echt als een oplossing beschouwd kan zijn, moet in de toekomst gezien worden en of de Amerikaanse overheid daarmee instemt.

Project Texas is de redding voor TikTok, maar de Amerikaanse overheid vindt het niet genoeg. Als het bedrijf niet vrijwillig verkoopt, zou een verbod het bedrijf daartoe dwingen, het is de vraag of dat lukt. TikTok’s CEO heeft aangegeven dat het geen oplossing is. Chinese autoriteiten zullen bovendien de verkoop moeten toestaan. Het is de verwachting dat het land daar niet toe bereid is. Als TikTok niet aan Europese eisen voldoet volgens de Digital Services Act en de Digital Markets Act kan het verboden worden voor privaatrechtelijke burgers volgens de Europese Unie. Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn een innovator in privacy, data en informatiebeveiliging. Verder beschikken wij over vakinhoudelijke kennis met betrekking tot dit onderwerp. Wat het zou kunnen betekenen voor consumenten, organisaties en bedrijven. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.