De Ierse Data Protection Commission (DPC), verantwoordelijk voor het toezicht op grote techbedrijven namens de Europese Unie, heeft TikTok een boete opgelegd van maar liefst 530 miljoen euro. De reden: het platform zou Europese gebruikersdata onvoldoende hebben beschermd bij overdracht naar China. Het is een van de hoogste privacyboetes in de EU ooit. En het onderstreept de groeiende zorgen over hoe TikTok omgaat met persoonsgegevens.
Uit het vier jaar durende onderzoek van de DPC blijkt dat TikTok er niet in slaagde passende technische en organisatorische maatregelen te nemen om te voorkomen dat persoonsgegevens van Europese gebruikers toegankelijk waren voor personeel in China. Die toegang op afstand, zonder voldoende waarborgen of toezicht, vormt volgens de toezichthouder een schending van de Algemene Verordening Gegevensbescherming (AVG). In het bijzonder artikel 46(1), dat gaat over gegevensdoorgifte naar derde landen.
De DPC stelt bovendien dat TikTok niet transparant genoeg is geweest over deze data-overdrachten. Gebruikers zouden onvoldoende zijn geïnformeerd over het feit dat hun gegevens buiten de EU werden verwerkt en opgeslagen. En het bedrijf gaf tijdens het onderzoek ook nog eens onjuiste informatie over de locaties waar data daadwerkelijk werd opgeslagen.
TikTok is het niet eens met het besluit en heeft inmiddels laten weten dat het in beroep gaat. In een officiële reactie op de uitspraak stelt het bedrijf dat de onderzochte datastromen betrekking hebben op een periode die grotendeels voorafgaat aan hun recente maatregelen. Daarmee doelen ze op Project Clover, een dataveiligheidsinitiatief van €12 miljard.
Via dit programma, gelanceerd in mei 2023, wil TikTok nieuwe datacenters in Europa (Ierland en Noorwegen) openen. Om op die manier de opslag van Europese gebruikersdata binnen de EU te houden. Daarnaast benadrukt TikTok dat toegang tot gegevens vanuit derde landen tegenwoordig streng gecontroleerd wordt via een speciaal Europees beveiligingsteam.
De nieuwe boete komt bovenop een eerdere sanctie uit september 2023. Toen werd TikTok door dezelfde DPC beboet met 345 miljoen euro voor het onvoldoende beschermen van de privacy van kinderen. Dat onderzoek richtte zich op instellingen die standaard video’s van minderjarigen op ‘openbaar’ zetten en op het gebrek aan duidelijke uitleg over privacy-opties.
Met deze nieuwe zaak ligt vooral de geopolitieke gevoeligheid van het bedrijf onder het vergrootglas. Zowel Europese als Amerikaanse beleidsmakers zijn al langer bezorgd over mogelijke inmenging of surveillance door de Chinese overheid. En dan met name via bedrijven als TikTok’s moederbedrijf ByteDance.
TikTok krijgt zes maanden de tijd om zijn datadoorgifte naar derde landen volledig in lijn te brengen met de Europese wetgeving. Lukt dat niet, dan kan de DPC aanvullende maatregelen nemen, waaronder een verbod op bepaalde vormen van gegevensverwerking. Hetgeen het functioneren van TikTok binnen Europa ernstig zou kunnen beperken.
Het besluit is een duidelijk signaal naar andere techbedrijven: privacywetgeving wordt strikter gehandhaafd, en het overbrengen van data naar landen zonder passend beschermingsniveau is een serieus risico. De EU lijkt hiermee ook haar digitale soevereiniteit verder te willen versterken.
