De Stichting Onderzoek Marktinformatie (SOMI) roept ouders wereldwijd op om zich te melden bij de stichting wanneer hun kinderen gebruik hebben gemaakt van TikTok, de populaire social media-app van Chinese origine waarmee korte muziekvideo’s opgenomen en gedeeld kunnen worden. TikTok schiet tekort in het beschermen van kinderen die de app gebruiken. Dat stelt SOMI, dat nader onderzoek instelt naar de praktijken en het businessmodel van TikTok. Ook de Autoriteit Persoonsgegevens, afgekort AP, is bezig met een onderzoek naar TikTok en de AP verwacht met de eerste resultaten van het onderzoek later dit jaar te kunnen komen. De app verzamelt en verspreidt waarschijnlijk ongeautoriseerd persoonsgegevens van gebruikers, met name van minderjarigen. Daarmee schendt TikTok naar het zich laat aanzien de Europese GDPR voorschriften. In een vervolgstap op het onderzoek kan SOMI namens bezorgde ouders overtredingen bestrijden en verbeterd toezicht afdwingen. Ook de onafhankelijk European Data Protection Board heeft aangekondigd een task force te zullen oprichten om onderzoek te doen naar de gegevensverwerking door TikTok. Het Amerikaanse bedrijf Penetrum heeft eerder al onderzoek afgerond naar TikTok en is daarbij tot de conclusie gekomen dat er in de app sprake is van gegevensverzameling en tracking, waarbij onder meer digitale profielen en gebruikersinformatie naar China worden gestuurd.
Dagelijks delen miljoenen kinderen en jongeren over de hele wereld talloze creatieve filmpjes via de social media-app TikTok. Sommige video’s bereiken via deze app miljoenen mensen wereldwijd. Voor velen is het tijdens deze coronacrisis de manier om contact te houden met vrienden en vriendinnen en zo toch samen de tijd door te komen. Kinderen worden in het recht en in de Algemene verordening gegevensbescherming (AVG) beschouwd als extra kwetsbare groep omdat zij zich minder bewust zijn van de gevolgen van hun handelen, juist ook bij de verwerking van hun persoonsgegevens door sociale media.
Monique Verdier, vicevoorzitter van de AP zegt daarover het volgende: “We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruik maken van TikTok. We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht. Daarnaast kijken we of de informatie die kinderen van TikTok krijgen bij het installeren en gebruiken van de app goed te begrijpen is en of er voldoende uitleg is over hoe TikTok hun persoonsgegevens verzamelt, verwerkt en verder gebruikt. Tot slot onderzoeken we of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.”
Cor Wijtvliet, één van de oprichters van SOMI laat het volgende weten: “Europa heeft de GDPR in het leven geroepen zodat consumenten eigenaar blijven van hun persoonsgegevens en minderjarigen ook digitaal in bescherming worden genomen. TikTok overtreedt dergelijke normen in landen buiten de EU voortdurend op meerdere punten. Dat is schrijnend, niet alleen omdat dit zonder toestemming en zelfs zonder weten van de gebruiker gebeurt, maar vooral omdat het bedrijf hier al meerdere malen mee de fout is ingegaan. Kinderen worden online onvoldoende beschermd tegen ongewenste contacten met onbekende volwassenen. Daarom hebben wij besloten om een vuist te maken.”
Overtredingen van de AVG
Zoals bekend is de algemene GDPR wetgeving in Nederland juridisch ondergebracht bij de AVG en als toezichthoudende instantie is daarvoor de Autoriteit Persoonsgegevens, afgekort AP, in het leven geroepen. Volgens SOMI is het voornaamste bezwaar dat TikTok in 2019 al is gewaarschuwd dat kinderen onvoldoende worden beschermd tegen contacten met onbekende volwassenen en dat het toezicht daarop op dit moment mogelijk nog steeds volstrekt onvoldoende is. Voor wat betreft de toepasselijke AVG voorschriften zijn de bezwaren meer specifiek en wel als volgt:
Artikel 8 AVG – onrechtmatige verwerking persoonsgegevens minderjarigen Voor het verwerken van persoonsgegevens van minderjarigen is toestemming nodig van een voogd. In Nederland geldt dat voor kinderen tot 16 jaar. TikTok laat gebruikers een account aanmaken vanaf 13 jaar. Deze ‘beveiliging’ kan te makkelijk omzeild worden.
Artikel 9 AVG – onrechtmatige verwerking van gevoelige persoonsgegevens TikTok verwerkt gevoelige persoonsgegevens, zoals de informatie over het toestel waarop de app wordt gebruikt, de locatiegegevens van het toestel en de gebruikersactiviteit. Ook als de app uit staat. Daarnaast is gebleken dat de app van TikTok ‘browsertrackers’ installeert die de activiteiten van de gebruiker op internet volgen.
Artikel 12 AVG – Transparante informatie, communicatie en nadere regels voor de uitoefening van rechten van de betrokkene
Het is onduidelijk welke gegevens van gebruikers TikTok doorstuurt naar derde partijen (zoals Facebook en analyseplatform Appsflyer), welke derde partijen dat zijn, hoe die derde partijen met de gegevens omgaan en waarvoor zij die gegevens gebruiken. TikTok volgt gebruikersgedrag online, maar biedt geen mogelijkheid om deze gegevens te verwijderen.
Artikel 25 AVG – Gegevensbescherming door ontwerp en door standaardinstellingen
Het ontwerp en de standaardinstellingen van TikTok waarborgen niet de gegevensbeschermingsdoeleinden zoals bedoeld in artikel 25 van de AVG. TikTok heeft geen passende technische en organisatorische maatregelen getroffen om te waarborgen dat alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Integendeel, het ontwerp en de instellingen van de app zijn er juist op ingericht om zo veel mogelijk gegevens te verzamelen.
Artikel 32 AVG – Beveiliging van de verwerking
In overeenstemming met artikel 32 nemen de verwerkingsverantwoordelijke en de verwerker “passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen”. De beveiliging van TikTok lijkt niet in overeenstemming met artikel 32 AVG.
Recent onderzoek heeft verschillende kwetsbaarheden in de app aangetoond, waaronder:
1. Webviewen: webview op afstand die standaard ingeschakeld zijn en dus kunnen gebruikt worden door externen om zich toegang te verschaffen;
2. De app lijkt tekst als commando’s over te nemen en deze rechtstreeks in Java te kunnen verwerken;
3. De applicatie die Java-reflectie gebruikt en de VM-laadtijd verkort, kan misbruikt worden door kwaadwillende gebruikers en heeft een CVE-score van 8,8 (wat overeenkomt met een ‘hoog’ risico);
4. Overige onverklaarbare storingen in het gebruik van de app en de weergave van informatie door de app.
Artikel 45-49 AVG – Doorgifte van gegevens buiten de EU
Het hierboven genoemde onderzoek geeft aan dat 37,7 procent van de IP adressen die TikTok gebruikt, afkomstig zijn uit China en gelinkt kunnen worden aan het in Hangzhou gebaseerde Alibaba. China geldt als een niet-veilig derde land binnen de AVG-regelgeving. Om op deze schaal persoonsgegevens van EU-burgers te mogen verwerken buiten de Europese Economische Ruimte heeft TikTok een speciale machtiging nodig.
Collectieve claim
SOMI roept alle bezorgde ouders wereldwijd op om zich te melden bij de stichting wanneer hun kinderen gebruik hebben gemaakt van TikTok. Door het invullen en ondertekenen van het online deelnameformulier op Tiktokclaim.org geeft de consument toestemming dat SOMI aan de hand van persoonsgegevens van de gebruikers onderzoek doet naar de overtredingen. Op die manier kan er voldoende materiaal worden verzameld voor een eventuele collectieve claim tegen het bedrijf. Het deelnameformulier biedt de consument de gelegenheid zijn of haar claim direct ter incasso over te dragen zonder daarvoor ook juridische actie in te moeten stellen. Voor inschrijving wordt een eenmalige bijdrage van €17,50 gerekend, waarna de consument ook aan de andere acties van de stichting mee kan doen.
Cor Wijtvliet besluit met “Een eerste stap is gedegen onderzoek. Alleen dan kunnen we een potentieel succesvolle claim opbouwen. Wij verzamelen daar nu de gebruikersdata en onderzoeksrapporten voor. Het doel van de claim is overigens niet het bewerkstelligen van een schadevergoeding, dat is bijvangst. Het gaat ons erom dat kinderen in bescherming genomen worden en dat de individuele consument niet machteloos staat tegenover de producenten van populaire apps. Samen staan we sterker en is de claim krachtiger.”
De Stichting Onderzoek Marktinformatie (SOMI) is een non-profitorganisatie opgericht voor het signaleren en beïnvloeden van vraagstukken van maatschappelijk belang. SOMI richt zich op het functioneren van markten op het gebied van privacy, ouderen, huisvesting en zorg. Zo heeft de stichting in 2016 en 2017 juridisch en econometrisch onderzoek uitgevoerd naar kartelvorming van grootbanken op de Nederlandse hypotheekmarkt. Het unieke van deze actie was dat de deelnemers ook worden uitgenodigd om deel te nemen als kenniswerker (crowdresourcing). Het onderzoek heeft geresulteerd in een online calculator, waarin de gevolgen van kartelvorming voor individuele woningbezitters inzichtelijk wordt gemaakt.