Annemijn Witkam
TikTok, persoonsgegevens aan de grote klok!
Bijgewerkt op: 5 okt. 2020
In mijn vorige blog schreef ik over de invloed van TikTok op het zelfvertrouwen van de jongere generaties. Deze keer wil ik stilstaan bij een nog groter probleem: de hoeveelheid persoonsgegevens die social media giganten als TikTok verzamelen zonder dat de gebruiker precies weet wat precies verzameld wordt en met welk doel. Dit is zorgwekkend, omdat het maar zeer de vraag is of de jonge gebruikers van TikTok zich realiseren dat wanneer zij instemmen met een slecht privacybeleid, dit grote negatieve gevolgen kan hebben voor hun privacy. India trof in juni een vergaande maatregel door de app volledig te verbannen. President Trump stond vorige week op het punt hetzelfde te doen in de VS. Deze bijdrage gaat in op de vragen waarom India de app heeft verbannen, waarom de VS TikTok wilde verbannen en of het beter is voor gebruikers wanneer de app wordt verkocht aan een Amerikaans bedrijf.
Enorme hoeveelheid persoonsgegevens
Eerst de vraag waarom India TikTok heeft verbannen en waarom de VS dat wilde doen. Dit heeft te maken met de slechte relatie tussen de China en de twee eerder genoemde landen. India en China bevinden zich momenteel in een grensconflict en tussen de VS en China heerst er al enige tijd een handelsoorlog. TikTok vormt door deze gespannen relaties een bedreiging voor India en de VS, vanwege de enorme hoeveelheid data die de app van zijn gebruikers verzamelt. Hoewel andere social media apps als Facebook ook al langere tijd onder vuur liggen vanwege de hoeveelheid persoonsgegevens die wordt verwerkt, bereikt TikTok met haar gegevensverwerking nieuwe hoogtes. Zo stuurt TikTok, volgens onderzoek van Sanne Maasakkers voor de NOS, elke dertig seconden gegevens van gebruikers naar haar moederbedrijf Bytedance. Ze sturen onder meer wat voor telefoon de gebruiker heeft, met welke netwerken de gebruiker verbonden is en zelfs wat het unieke telefoonnummer is van de gebruiker. Verder wil de app toegang tot bepaalde functies op de gebruikers telefoon, zoals zijn camera of contacten, ook wel ‘permissies’ genoemd. TikTok heeft 68 permissies nodig, waar Instagram er bijvoorbeeld maar 31 nodig heeft.
De door TikTok verzamelde gegevens worden naar haar in China gevestigde moederbedrijf Bytedance gestuurd. Het maakt nogal een verschil of je gegevens naar een Chinees bedrijf of naar een Amerikaans bedrijf, zoals Facebook, wordt gestuurd. China correspondent voor de NOS, Sjoerd den Daas, legt uit: “Chinese bedrijven zijn verplicht om, als de overheid daarom vraagt, die data te overhandigen aan de Chinese autoriteiten.” Dit neemt volgens hem overigens niet weg dat TikTok haar data zomaar geeft zonder vragen daarbij te stellen. Maar als de Chinese overheid die data echt wil, zal zij er genoeg druk achter zetten dat zij die data ook krijgt. In Amerika en Europa ligt dat anders. Hier zal waarschijnlijk nog vaak een rechter tussenkomen, die onderzoekt of het doel van de overheid met die gegevens belangrijk genoeg is dat het bedrijf de data moet overdragen, aldus Den Daas. Als China eenmaal die gegevens in handen heeft, kan dit gevolgen hebben voor gebruikers die zich bijvoorbeeld uitspreken tegen China of over de Oeigoeren. China kan die gebruikers dan bijvoorbeeld weigeren een visum te verstrekken, waarmee zij geen toegang tot het land krijgen. Dit zijn zorgwekkende berichten, waarbij de vraag rijst of het wellicht een oplossing zou zijn als een Amerikaans bedrijf als Microsoft of Oracle de app koopt van Bytedance.
Oracle en Schrems II
Eerst waren er geruchten dat TikTok misschien overgenomen zou worden door Microsoft, maar het laatste nieuws is dat Oracle en Walmart een deal hebben gemaakt met de Chinese app. Het gaat hierbij niet om een overname, maar om een samenwerking, waarbij Oracle de gebruikersdata in de VS beheert en Oracle en Walmart beide een deel van de aandelen in bezit krijgt. Deze deal is afgelopen zaterdag goedgekeurd door de Amerikaanse president Trump. Of dit ook de beste oplossing is voor Europese gebruikers, is echter nog maar zeer de vraag met het oog op de Schrems II uitspraak van het Europese Hof van Justitie (hierna: het Hof).
Het Hof heeft in deze uitspraak besluit (EU) 2016/1250 van de Commissie betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (hierna: privacyschildbesluit) ongeldig verklaard. Uit het arrest blijkt dat de interne regeling van de VS inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties van persoonsgegevens die naar Amerika worden gestuurd voorrang geven, waardoor inmenging in de grondrechten van Europese gebruikers mogelijk wordt. De surveillanceprogramma’s van de Amerikaanse overheidsinstanties beperkt zich niet tot het strikt noodzakelijke. Daarom zijn deze beperkingen in de grondrechten van Europese burgers volgens het Hof niet zodanig afgebakend dat wordt voldaan aan eisen die in grote lijnen overeenkomen met het Unierechtelijke evenredigheidsbeginsel. Wel kunnen bedrijven zogenaamde modelcontracten opstellen, waarmee feitelijk gezien alsnog het Unierecht gewaarborgd kan worden.
Een ander verhaal is het echter voor TikTok, die geen vestiging heeft in Europa. Hierdoor worden de gegevens direct van de gebruiker naar de VS gestuurd en daar verwerkt. Hoewel de Amerikaanse overheidsautoriteiten misschien toegang krijgen tot minder gegevens dan de Chinese overheid, is het alsnog niet beperkt tot het strikt noodzakelijke. Dat bepaalde Amerikaanse bedrijven geen moeite hebben met het actief gebruiken van gegevens voor manipulatie heeft het Cambridge Analytica schandaal wel bewezen. Bovendien is ook voor toegang tot de VS een visum nodig en heeft president Trump in het verleden ook al eens bewezen geen moeite te hebben om buitenlanders te weren. Gelukkig heeft Roland Cloutier, de Global Chief Information Security Officer van TikTok, in augustus aangegeven een datacenter in Ierland te willen openen. Dit zal echter nog anderhalf jaar gaan duren. Bovendien heeft de Schrems II uitspraak laten zien dat er eerst flink wat moet gaan veranderen in de regulering van dataoverdracht tussen Europa en de VS voordat we verzekerd zijn van gegevensbescherming op een vergelijkbaar niveau als Europa.
Aangezien we als burgers nauwelijks tot geen controle kunnen uitoefenen op het Europeesrechtelijke beleid, is het belangrijk dat we de jongere generaties leren zo goed mogelijk om te gaan met sociale media platforms, zoals TikTok. Laten we ervoor zorgen dat hun gegevens niet allemaal aan de grote klok worden gehangen!