Oh jee, gaat je TikTok-data nu ineens naar China, dat wist ik niet?

geralt / Pixabay

TikTok gaat zijn Europese privacybeleid aanpassen, las ik bij Nu.nl. (Ruud help: zijn of haar beleid?) In de nieuwe versie van het document meldt het sociale netwerk dat data van Europese gebruikers toegankelijk zijn voor TikTok-medewerkers buiten Europa, en noemt Volksrepubliek China expliciet. Dat riep vele vragen op, want echt thee kun je dit niet noemen.

Het bedrijf achter de app TikTok valt onder de AVG, en moet dus melden naar welke landen buiten de Europese Economische Ruimte ze persoonsgegevens overbrengt. TikTok doet dat, zo schrijven ze, alleen aan andere onderdelen van haar “corporate group”, zeg maar het concern. En dan krijg je alinea’s als deze, die tentamenstof zijn voor onze opleiding FG:

Standard contractual clauses: Certain entities in our Corporate Group located in countries without an adequacy decision are granted, under standard contractual clauses, limited remote access to information described in What Information We Collect to provide important functions. These entities are located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
A lot to unpack here, zou de psycholoog zeggen. TikTok laat zusterbedrijven in andere landen bepaalde diensten uitvoeren en die hebben daar persoonsgegevens bij nodig. Als ik de privacyverklaring snel lees, dan gaat dat bijvoorbeeld om moderatie en controle van klachten. Als er klachten komen dat jij mensen lastigvalt via direct messages, dan is het logisch dat iemand in Singapore dan je direct messages krijgt.

TikTok mag niet zomaar gegevens naar die genoemde landen brengen, omdat die niet “adequaat” zijn, dat wil zeggen geen databeschermingswetgeving hebben die equivalent is aan de Europese. Daar is dan een juridisch lapmiddel voor, te weten de standard contractual clauses, een enórme lap met afspraken die de ontvanger buiten de EU dan moet tekenen. En als ze dat doen, dan weet je in de EU dat het goed zit. Op papier dan.

Een van de genoemde landen is China, niet gek want het bedrijf Bytedance achter TikTok is gevestigd in Beijing. Het komt voor mij dus zacht gezegd niet als verrassing dat er data van TikTok vanuit China benaderbaar is. Maar goed, nu kunnen we er niet meer omheen.

Heeft het gevolgen? Nee, niet direct, althans tenzij ons kabinet inderdaad Tiktok dit gaat verbieden maar hoe dat zou moeten gebeuren (gezien dit Europese regels zijn) zou ik niet weten. en we zitten nou eenmaal met de fictie dat iedereen vrijwillig op TikTok zit en toestemming geeft voor het gebruik, waarbij dankzij de SCC de MSS er niet aan mag, cap. Ik bedoel: dat de Chinese geheime dienst vanwege die contractuele afspraken écht niet aan die gegevens zal komen.

Arnoud