Oh jee, gaat je TikTok-data nu ineens naar China, dat wist ik niet?

geralt / Pixabay

TikTok gaat zijn Europese privacybeleid aanpassen, las ik bij Nu.nl. (Ruud help: zijn of haar beleid?) In de nieuwe versie van het document meldt het sociale netwerk dat data van Europese gebruikers toegankelijk zijn voor TikTok-medewerkers buiten Europa, en noemt Volksrepubliek China expliciet. Dat riep vele vragen op, want echt thee kun je dit niet noemen.

Het bedrijf achter de app TikTok valt onder de AVG, en moet dus melden naar welke landen buiten de Europese Economische Ruimte ze persoonsgegevens overbrengt. TikTok doet dat, zo schrijven ze, alleen aan andere onderdelen van haar “corporate group”, zeg maar het concern. En dan krijg je alinea’s als deze, die tentamenstof zijn voor onze opleiding FG:

Standard contractual clauses: Certain entities in our Corporate Group located in countries without an adequacy decision are granted, under standard contractual clauses, limited remote access to information described in What Information We Collect to provide important functions. These entities are located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
A lot to unpack here, zou de psycholoog zeggen. TikTok laat zusterbedrijven in andere landen bepaalde diensten uitvoeren en die hebben daar persoonsgegevens bij nodig. Als ik de privacyverklaring snel lees, dan gaat dat bijvoorbeeld om moderatie en controle van klachten. Als er klachten komen dat jij mensen lastigvalt via direct messages, dan is het logisch dat iemand in Singapore dan je direct messages krijgt.

TikTok mag niet zomaar gegevens naar die genoemde landen brengen, omdat die niet “adequaat” zijn, dat wil zeggen geen databeschermingswetgeving hebben die equivalent is aan de Europese. Daar is dan een juridisch lapmiddel voor, te weten de standard contractual clauses, een enórme lap met afspraken die de ontvanger buiten de EU dan moet tekenen. En als ze dat doen, dan weet je in de EU dat het goed zit. Op papier dan.

Een van de genoemde landen is China, niet gek want het bedrijf Bytedance achter TikTok is gevestigd in Beijing. Het komt voor mij dus zacht gezegd niet als verrassing dat er data van TikTok vanuit China benaderbaar is. Maar goed, nu kunnen we er niet meer omheen.

Heeft het gevolgen? Nee, niet direct, althans tenzij ons kabinet inderdaad Tiktok dit gaat verbieden maar hoe dat zou moeten gebeuren (gezien dit Europese regels zijn) zou ik niet weten. en we zitten nou eenmaal met de fictie dat iedereen vrijwillig op TikTok zit en toestemming geeft voor het gebruik, waarbij dankzij de SCC de MSS er niet aan mag, cap. Ik bedoel: dat de Chinese geheime dienst vanwege die contractuele afspraken écht niet aan die gegevens zal komen.

Arnoud

16 reacties

  1. Waarom is het fictie dat iedereen toestemming geeft voor het gebruik?

    Misschien is het elders in Nederland anders, maar bij ons in de omgeving en zeker in mijn klas is het bij iedereen bekend dat de dingen die TikTok met hun filmpjes doet niet in de haak zijn… maar toch kiezen kinderen en hun ouders ervoor en houden rekening met wat ze of hun kinderen (mogen) plaatsen. Of is dat niet genoeg om van toestemming te spreken?

      1. Een klas bestaat uit individuen. Er zijn er misschien een paar die zo denken. Ik zeg dan tegen mijn leerlingen: “Als je dingen moet doen om erbij te horen die je eigenlijk niet wil, dan hoor je er ook niet bij als je die wel doet. Het gaat om wie je bent en hoe je bent en als je je anders voordoet, voelen ze dat heus wel aan. En waarom zou je vrienden willen zijn met iemand die je niet accepteert zoals je bent? Daar ben je echt veel te goed voor!”

    1. Toestemming is volgens de AVG een vrijwillige en geïnformeerde (=welbewuste) handeling. Mensen die TikTok gebruiken, maken geen overweging “zal ik dit eens doen, na me goed ingelezen te hebben”. Die willen een filmpje plaatsen en denken “het zal wel, dit is me te complex om te overzien”. Dat maakt dat de toestemming niet voldoet aan de AVG. Een beetje gechargeerd is dat toestemming het soort overleg en handelingen vergt die je bij een medische ingreep krijgt.

      Meer algemeen hebben de meeste mensen echt geen idee, en als ze dat wel hebben dan gaan ze er vanuit dat de overheid daar toezicht op houdt. Hoezo is de app in Nederland te gebruiken als hij niet mag in Nederland, daar hebben we toch toezichthouders voor? Bij Albert Heijn krijg je alleen legale producten, kan me niet voorstellen dat Apple illegale dingen mag verkopen in de appstore toch?

      1. Ik snap wat je bedoelt denk ik. Maar is het nog realistisch dat we op toezichthouders kunnen vertrouwen?

        Is ooit onderzocht wat het percentage aan ondernemingen is die zich aan de AVG houdt?

        Is het niet beter om toch terug te gaan naar een Amerikaanser systeem met meer verantwoordelijkheid voor de burger? En dat er op minder punten toezicht wordt gehouden, maar dat die punten dan ook stevig gehandhaaft wordt?

        1. Oh, het is totaal niet realistisch. Sorry, mijn sarcasme was te subtiel. Het punt is dat mensen dit vertrouwen, deze opvatting hebben. Niet of dat logisch of wenselijk is. Je moet het handelen van mensen duiden vanuit hun opvattingen, niet van hoe jij wenst dat de maatschappij opereert.

          Ik weet niet of het beter is naar zo’n free-for-all maatschappij te gaan. Ik vind het wel een prettig idee dat er een deskundige toezichthouder is die er op let dat mijn eten vrij is van gifstoffen, dat mijn apps vrij zijn van spionage en dat mijn computer niet ontploft. Natuurlijk heeft dat nadelen (bevoogding, tegenhouden van de eigenzinnige bovengemiddeld slimme persoon) maar voor de maatschappij als geheel lijkt het me beter.

          1. Misschien zijn mijn opvattingen achterhaald, maar ik ga er eigenlijk wel vanuit dat als er een wet is, ik erop kan vertrouwen dat die wordt nageleefd door in ieder geval de meerderheid. En dat erop gecontroleerd en gehandhaafd wordt. En dat wanneer je als burger zelf iets constateert in strijd met de wet, je dat ergens kan melden en het dan aangepakt wordt of je in ieder geval je recht kan halen. Een wet interpreteer ik ook als een soort belofte: wij beschermen u hiertegen. Waardoor ik vervolgens minder alert erop ben.

            Als er geen controle op gifstoffen in eten zou zijn, dan zou ik anders inkopen. Bv alleen bij vertrouwde winkels en niet zomaar een random supermarkt binnenlopen voor een fles olijfolie.

            Is is dit ook de opvatting van de wetgever? Of hoe het bedoeld is?

            Want dan zou ik zeggen: dan kan je geen wetten aannemen die niet realistisch handhaafbaar zijn. En dat een webwinkeltje die niemand kent niet helemaal conform AVG werkt… okay… maar iets als TikTok zou je toch direct moeten verbieden dan. Stel dat huismerk koekjes bij de AH drie keer de maximum toegestane hoeveelheid van een kleurstof bevat, dit bekend is en ze het gewoon in de schappen laten liggen. Dan ga ik ervanuit dat de NVWA direct ingrijpt.

            1. Dit is exact de bedoeling van de wetgever. De meeste wetten werken ook zo. Maar zeker op internetgebied zijn de teugels wel héél vrij gelaten sinds medio jaren negentig, en vanaf 2010 (web 2.0 zeg maar) is het zo snel gegaan dat de traditionele opvattingen van handhaving niet meer werken. Wat ook niet meehielp, is dat de meeste winkels zelf ook gemotiveerd zijn om het goed te doen – weinig restaurants die het niet boeit dat de gasten voedselvergiftiging krijgen, los van de boete. Dat dóe je gewoon niet. Maar op internet maakt dat ineens helemaal niet meer uit of zo?

              1. Ik denk omdat bedrijven een verschil zien tussen – in jouw voorbeeld – voedselveiligheid en privacybescherming. In jouw voorbeeld is het eerder: “de meeste restaurants bieden geen bedorven voedsel aan, net als dat de meeste websites niet bewust malware aanbieden”, want malware is zeg maar een voedselvergiftiging van je computer. Naar privacy wordt heel anders gekeken. Helaas maar waar…

  2. @Arnoud Engelfriet 9 november 2022 @ 12:18: [Ik ben toevallig zo’n “bovengemiddeld slim” en “eigenzinnig” persoon, dus daar gaan we…!]

    En waarom denk jij dat “wij”[0] nou zo’n dysfunctionele maatschappij hebben? Tegelijkertijd erg opdringerig en niks voor elkaar boksend?

    Kan dat misschien komen door die maaiveldcultuur? Door de “ieder voor zich, God voor ons allen”-mentaliteit die daarmee samengaat? Is dat niet het kleinste beetje waarschijnlijk?

    De VS is een kapitalistische hel, maar Nederland is een socialistisch “paradijs”. In de VS bepalen de grote bedrijven wat goed voor je is, in Nederland komt de overheid daar nog even tussenin, om het nog erger te maken. En om te verbloemen waar het nog steeds om draait: macht en geld voor de boven ons gestelden.

    Minder overheid hoeft niet te leiden tot minder voedselveiligheid, meer exploderende computers, of wat voor onheil dan ook. Maar dan ook minder macht voor de bedrijven (incl. stichtingen e.w.d.m.z.). Eigenlijk kun je elke invloedrijke organisatie misschien beter als “overheid” bestempelen. Want zo gedragen ze zich: onaantastbaar. En de rest van de wereld zien ze als vijand. Een vijandbeeld dat zogenaamde “individuen” dan weer overnemen. Ieder voor ons, God voor ons allen.

    Een utopie om daar eens mee op te houden? Misschien. Maar we kunnen het ten minste proberen, i.p.v. het bestaan van waardige alternatieven steeds te ontkennen.

    [0] Zoals bij velen bekend, ben ik al een tijdje geleden vertrokken. (Raad eens waarom.)

  3. Ik ben geen Ruud maar help je graag met je vraag naar het geslacht van TikTok. Eigenlijk is het heel simpel: zeg je ‘De TikTok van nu’ of ‘Het TikTok van nu’? Volgens mij het laatste en dus is het ‘zijn beleid’ (want het bezittelijke voornaamwoord van onzijdige woorden is ‘zijn’). Zie ook het advies van de Taalunie.

    1. Ik denk dat er twee dingen zijn die je ‘TikTok’ kan noemen: Het bedrijf, en een enkele video op het platform.

      Voor mij gevoel zou het bedrijf ‘het’ zijn, maar een video ‘de’.

      Voorbeeldzin: “De TikTok die mijn vriend me stuurde was erg interessant”.

  4. Als door oordeel van rechter vast zou komen te staan dat TikTok zich niet aan de AVG houdt en zich er naar zijn aard ook nooit aan kan gaan houden, dan kan de hele dienst toch in de EU verboden worden? Waardoor TikTok zich niet meer op EU-burgers mag richten en als zij dit toch blijft doen internetproviders TikTok moeten blokken? Kon ook bij PirateBay. Gebeurt binnenkort mogelijk ook bij sommige Amerikaanse diensten bij gebrek aan adequacy aldaar. Hier is toch geen nieuw specifiek wettelijk verbod voor nodig (want oordeel rechter die op dit punt ook een soort Data Transfer Impact Assessment kan doen), kan volstaan)?

    1. Altijd maar dat verbieden bah, Lijkt wel of mensen niet meer zelf na hoeven te denken. Altijd dat eeuwige geregel.

      En het dan raar vinden dat we de overheid en alles wat erbij hoort daar de schuld van geven… De tamtam gaat snelzat als eenmaal iemand zich ‘gebrand’ heeft

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.