Vorige week legde de Ierse Data Protection Commission een boete van 350 miljoen euro op aan TikTok. Menno Weij, partner tech & privacy law bij BDO Legal, deelt zijn inzichten.
De boete van EUR 345 miljoen die de Ierstoezichthouder aan TikTok heeft opgelegd wegens schending van de AVG, ziet op de periode 31 juli 2020 t/m 31 december 2020. In eerste instantie viel mijn oog op de onrechtmatige inzet van dark patterns en nudging, en bij BNR stel ik ook dat “TikTok z’n algoritme mag gaan aanpassen”.
Al schrijvend voor Pont Data & Privacyweb, valt mijn oog nu op die, relatief korte, periode. Als je de boete terugrekent, praat je immers over een dikke 2 miljoen euro per dag. TikTok kan natuurlijk wel wat hebben, maar dit lijkt me toch wel ééntje die TikTok moet voelen. Een beetje althans.
De kwestie is verder interessant gezien de gecoördineerde actie met meerdere EU privacy-toezichthouders. Aleid Wolfsen stelt dat "deze zaak laat zien hoe de privacytoezichthouders in Europa samen een vuist maken tegen grote techbedrijven die de privacy schenden", maar de totstandkoming van deze boete ging bepaald niet van een leien dakje. Na het concept-besluit lagen de Italiaanse en Duitse toezichthouder dwars, waardoor tussenkomst is gezocht van de European Data Protection Board (EDPB). Het bezwaar van de Duitse toezichthouder zag met name op het ontbreken van het door TikTok schenden van het beginsel van een ‘behoorlijke verwerking’ (Artikel5.1(a) AVG), in verband met het eerder genoemd gebruik van ‘dark patterns’.
De EDPB gaf een bindende aanwijzing aan de Ierse toezichthouder om de schending van dit beginsel van behoorlijkheid op te nemen, alsmede om het besluit uit te breiden met een bevel aan TikTok om compliant te worden met de AVG. En zo geschiedde.
Het definitieve besluit gaat uit van de volgend overtredingen:
- De video’s die kinderen op het platform plaatsen, stonden standaard op ‘publiek’. Plus kinderen onder de 13 zijn daardoor aan mogelijke gevaren blootgesteld.
- De functie ‘Family Pairing’ was bepaald niet waterdicht: anderen dan ouders/verzorgers konden hun account koppelen aan dat van het kind.
- Zoals zo’n beetje alle Bigtech, was de informatieverstrekking van TikTok aan kinderen onduidelijk.
- TkTok gebruikt dark patterns om kinderen aan te sporen (‘nudging’) om meer privacy-ingrijpende opties te kiezen bij het registratieproces en/of het plaatsen van video’s.
En TikTok krijgt 3 maanden de tijd om compliant te worden op deze punten.
De schending wegens de inzet van dark patterns en nudging zal, vermoed ik, met interesse worden gevolgd en gelezen door de Stichting Bescherming Privacybelangen, die recent een massaschadeclaim heeft ingediend tegen Google. Eén van de aantijgingen is namelijk dat ‘Google maakt ook gebruik van zogenoemde dark patterns: ontwerptechnieken waarmee Google gebruikers manipuleert tot acties die een negatief effect hebben op hun privacy, zoals het onbewust toegang geven tot bepaalde persoonsgegevens. Hiermee beweegt Google consumenten ertoe bepaalde keuzes te maken, die zij anders mogelijk niet hadden gemaakt.’
Overigens heeft de Iers waakhond een mooi overzicht gemaakt van de zaak tegen TikTok, waarmee je in één oogopslag de zaak krijgt voorgeschoteld:
Het laatste woord over deze kwestie is ongetwijfeld nog niet gezegd. In een reactie stelt TikTok dat de meeste punten van kritiek 'niet langer relevant' zijn. "In januari 2021, acht maanden voorafgaand aan het DPC-onderzoek, was TikTok het eerste grote platform dat alle bestaande en nieuwe accounts voor jongeren tussen de 13 en 15 jaar oud op standaard privé in heeft gesteld." De site Bright vermeldt verder dat TikTok andere aanpassingen heeft gedaan, die gericht zijn op de privacy van jonge gebruikers. Zo hebben, volgens Bright, gebruikers tussen 13 en 15 jaar bij de opties voor het reageren op video's, alleen de keuze uit 'alleen vrienden' of 'niemand'. Tenslotte stelt TikTok inmiddels de Family Pairing functie te hebben verbeterd.
Je zult over het vervolg ongetwijfeld nog lezen bij Pont Data & Privacyweb.
