Ingediend | 4 november 2022 |
---|---|
Beantwoord | 11 november 2022 (na 7 dagen) |
Indieners | Queeny Rajkowski (VVD), Bouchallikh , Renske Leijten , Hind Dekker-Abdulaziz (D66), Farid Azarkan (DENK), Danai van Weerdenburg (PVV), Henri Bontenbal (CDA), Marieke Koekkoek (D66), Barbara Kathmann (PvdA), Joost Eerdmans (EénNL), Don Ceder (CU) |
Beantwoord door | Micky Adriaansens (minister economische zaken) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
Onderwerpen | economie ict internationaal openbare orde en veiligheid organisatie en beleid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z21044.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-693.html |
Ja, daarmee ben ik bekend.
In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.
Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.
Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4
Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.
Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.
Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.
Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.
Zie het antwoord op vraag 10.
Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.
Ja.