De Data Protection Commission (DPC) heeft vandaag kenbaar gemaakt dat TikTok een boete van 345 miljoen euro moet betalen voor het onvoldoende beschermen van de Privacy van kinderen. De overtredingen vonden plaats in de laatste vijf maanden van 2020. Het Videoplatform krijgt drie maanden de tijd om maatregelen te nemen waardoor de verwerking van gegevens van kinderen in overeenstemming is met de Europese privacywetgeving.
De Ierse toezichthouder kondigt de boete aan via een persbericht.
Kinderprofiel standaard ingesteld op ‘publiek’
De DPC legt de boete op omdat TikTok drie overtredingen heeft begaan. Allereerst waren de video’s die jongeren in de leeftijd van 13 tot en met 17 jaar op het platform plaatsten voor iedereen toegankelijk. Dat komt omdat het profiel standaard op ‘publiek’ stond ingesteld. Dat is in strijd met artikel 25 van de Algemene Verordening Gegevensbescherming (AVG). Daarin zijn de basisprincipes van privacy by design en privacy by default vastgelegd.
Privacy by design houdt in dat mechanismen die worden gebruikt om persoonsgegevens te verwerken dusdanig zijn ontworpen dat ze zoveel mogelijk rekening houden met de privacy van betrokkenen. Privacy by default betekent dat de standaardinstellingen van een applicatie zo zijn gekozen dat ze de privacy van gebruikers maximaal waarborgen.
Family Pairing slecht ingericht en onvoldoende transparantie
Het tweede punt waarop TikTok de Europese privacywetgeving overtrad, heeft betrekking op Family Pairing. Dankzij deze feature is het voor ouders mogelijk om hun account aan die van hun kroost te koppelen. Door deze koppeling krijgen ouders allerlei rechten. Zo kunnen ze bijvoorbeeld instellen hoeveel tijd een kind mag doorbrengen op het videoplatform, bepalen dat ze video’s met specifieke woorden of hashtags niet mogen bekijken, en of er privéberichten verstuurd mogen worden.
De Ierse privacywaakhond concludeert dat Family Pairing slecht was ingericht. Niet alleen de ouders, maar ook anderen konden hun account koppelen aan een kind. Er was geen verificatieproces ingericht om vast te stellen of degenen die hun account wilden pairen aan dat van een kind ook daadwerkelijk de ouders waren. Dat is in strijd met artikel 5.1(f) van de AVG, dat stelt dat bedrijven ‘passende technische of organisatorische maatregelen’ moet nemen om passende beveiliging te bieden voor gebruikers.
Tot slot was TikTok niet transparant genoeg en bood het kinderen te weinig (duidelijke) informatie over de instellingen van hun account. Het was zodoende onduidelijk wat de gevolgen waren als de standaardinstelling op ‘publiek’ was ingesteld. Dat is een overtreding van artikel 12 en 13 van de AVG, dat gaat over de transparantieregels waar bedrijven aan dienen te voldoen als ze persoonsgegevens verzamelen.
‘Privacytoezichthouders maken vuist tegen grote techbedrijven’
De Data Protection Commission startte twee jaar geleden het onderzoek naar mogelijke privacyschendingen van jongeren die actief zijn op het videoplatform. De conclusie luidt dus dat TikTok op verschillende fronten de regels niet nauw nam van augustus tot en met december 2020.
Vanwege de hierboven genoemde overtredingen deelt de DPC, mede namens alle Europese toezichthouders, een boete uit van 345 miljoen euro. Verder krijgt het videoplatform de opdracht om binnen drie maanden maatregelen te nemen waardoor de verwerking van persoonsgegevens van kinderen in overeenstemming is met de Europese privacywet- en regelgeving.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, is tevreden met de uitkomst van het onderzoek. “Deze zaak laat zien hoe de privacytoezichthouders in Europa samen een vuist maken tegen grote techbedrijven die de privacy schenden. Ook wanneer die bedrijven tijdens een onderzoek een hoofdkantoor openen in een ander Europees land”, zo zegt hij in een reactie.
AP deelt boete van 750.000 euro uit aan TikTok
De Nederlandse toezichthouder stelde in mei 2020 een onderzoek in naar TikTok. De privacywaakhond wilde weten of het videoplatform in helder en begrijpelijk taalgebruik communiceerde met kinderen in ons land. De Autoriteit Persoonsgegevens deelde in juli 2021 een boete van 750.000 euro uit, omdat de privacyverklaring niet beschikbaar was in het Nederlands.
“Deze jonge doelgroep brengt een extra verantwoordelijkheid mee waar het gaat om het gebruik van duidelijke en eenvoudige taal in alle communicatie. Kinderen verdienen immers een specifieke bescherming, hetgeen maakt dat het gebruik van duidelijke en eenvoudige taal extra belangrijk is”, zo lichtte de toezichthouder toe in het boetebesluit.
