De Ierse privacytoezichthouder (DPC) heeft twee onderzoeken gestart naar de praktijken van socialmediaplatform TikTok. Één van die onderzoeken ziet op de vraag of het platform de regels uit de AVG naleeft wanneer zij persoonsgegevens verwerkt van kinderen. In het tweede onderzoek gaat de DPC na of TikTok zich houdt aan de privacyregels wanneer zij persoonsgegevens doorgeeft naar China en andere landen buiten de EU. Dat liet de DPC op 14 september in een persbericht weten.
De Ierse privacywaakhond onderzoekt voornamelijk of TikTok voldoet aan de vereisten van privacy by design and by default. Ook wil de DPC weten of TikTok voldoet aan haar transparantieverplichtingen ten opzichte van kinderen.
Iedere organisatie die persoonsgegevens verwerkt, moet passende technische en organisatorische maatregelen nemen om de rechten van betrokkenen te beschermen. Het treffen van deze maatregelen is ook belangrijk om te kunnen voldoen aan de verschillende beginselen van gegevensbescherming. Één van die beginselen is minimale gegevensverwerking. Door gebruik te maken van privacy by design and by default moet een verwerkingsverantwoordelijke, zoals TikTok, ervoor zorgen dat niet meer gegevens worden verzameld dan nodig is. Data protection by design and by default moeten al vóór het verwerken van persoonsgegevens worden geïmplementeerd. Bij het ontwerp van de verwerking dient hier dus al aandacht aan geschonken te worden. Organisaties moeten daarbij ook tijdens de verwerking van persoonsgegevens voortdurend stilstaan bij de vraag of de gekozen maatregelen nog wel effectief zijn. Ook moeten organisaties kunnen aantonen dat de gekozen maatregelen daadwerkelijk effectief zijn.
Voorbeelden van maatregelen die genomen kunnen worden zijn de pseudonimisering van persoonsgegevens en het introduceren van privacyvriendelijke standaardinstellingen. Een socialmediaplatform zou bijvoorbeeld de toegankelijkheid van profielen van (minderjarige) gebruikers kunnen beperken. Op die manier is het profiel niet zomaar door iedereen te bekijken. TikTok heeft in januari 2021 de toegankelijkheid van profielen van gebruikers tussen 13 en 15 jaar beperkt. Kinderen kunnen het profiel zelf wel weer in de instellingen op openbaar zetten. In augustus 2021 heeft TikTok verschillende maatregelen geïntroduceerd om de privacy van kinderen beter te waarborgen. Of de app nu privacyvriendelijk genoeg is, moet nog blijken uit het onderzoek van de DPC.
Een andere belangrijke plicht voor de verwerkingsverantwoordelijke is dat hij transparant moet zijn tegenover de betrokkenen. Welke persoonsgegevens worden verwerkt en voor welk(e) doeleinde(n) vindt deze verwerking plaats? In de AVG wordt die verplichting verder ingevuld. De informatie die de verwerkingsverantwoordelijke aan de betrokkene verstrekt moet beknopt, eenvoudig toegankelijk en begrijpelijk zijn. Deze informatie moet gegeven worden in duidelijke en eenvoudige taal. In sommige gevallen is het zelfs aan te raden om (een deel van) de informatie visueel te maken. Ook kan gebruik worden gemaakt van een gelaagde privacyverklaring met links naar de verschillende informatieonderdelen. Op die manier kan de betrokkene direct navigeren naar een relevant onderdeel en voorkomt de verwerkingsverantwoordelijk dat ‘informatiemoeheid’ optreedt.
De verwerkingsverantwoordelijke moet aan de hand van het beoogde publiek een inschatting maken van welke informatie zij zullen begrijpen. Bij het opstellen een privacyverklaring dient daar rekening mee te worden gehouden. Omdat TikTok dat volgens de AP niet had gedaan, heeft zij op 22 juli 2021 een boete van € 750.000 gekregen. TikTok informeerde kinderen niet op een voor hen begrijpelijke manier over de verwerking van persoonsgegevens. Het privacy statement was volgens de AP alleen beschikbaar in het Engels. TikTok heeft beroep ingesteld tegen de boete en geeft aan dat er wél een kortere en meer toegankelijke versie van het privacy statement beschikbaar is in het Nederlands. Of is voldaan aan alle elementen die deel uitmaken van het transparantievereiste staat ook centraal in het onderzoek van de DPC.
Het tweede onderzoek van de DPC ziet op de doorgifte van persoonsgegevens door TikTok naar China en andere derde landen. Doorgifte van persoonsgegevens mag in beginsel alleen plaatsvinden naar landen waarvan de Europese Commissie in een zogeheten ‘adequaatheidsbesluit’ heeft vastgesteld dat deze een passend beschermingsniveau bieden. Als een derde land geen passend beschermingsniveau biedt, mag doorgifte alleen plaatsvinden op grond van een van een van de wettelijke bepalingen in de AVG. In sommige omstandigheden kan dan bijvoorbeeld gebruik worden gemaakt van modelcontracten van de Europese Commissie. China is in ieder geval geen land met een door de Europese Commissie vastgesteld passend beschermingsniveau. Of doorgifte van gegevens door TikTok naar China en andere landen buiten de EU is toegestaan, hangt dus af van de vraag of is voldaan aan een van de wettelijke bepalingen. De DPC onderzoekt of deze door TikTok in acht zijn genomen.
De Tweede Kamer heeft naar aanleiding van het aangekondigde onderzoek vragen gesteld aan de demissionair staatssecretaris van Economische Zaken en Klimaat. Zij vraagt zich af wat het kabinet doet om kinderen in Nederland te beschermen tegen de risico’s van mobiele apps. Uit de aangekondigde onderzoeken blijkt in ieder geval het belang van transparante informatievoorziening en het implementeren van privacy by design and by default.