Kamervraag 2022Z21044

Het bericht ‘Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers’

Ingediend 4 november 2022
Beantwoord 11 november 2022 (na 7 dagen)
Indieners Queeny Rajkowski (VVD), Bouchallikh , Renske Leijten , Hind Dekker-Abdulaziz (D66), Farid Azarkan (DENK), Danai van Weerdenburg (PVV), Henri Bontenbal (CDA), Marieke Koekkoek (D66), Barbara Kathmann (PvdA), Joost Eerdmans (EénNL), Don Ceder (CU)
Beantwoord door Micky Adriaansens (minister economische zaken) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
Onderwerpen economie ict internationaal openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2022Z21044.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20222023-693.html
1. NOS, 3 november 2022, «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers» (nos.nl/artikel/2450877-chinese-tiktok-medewerkers-krijgen-toegang-tot-data-europese-gebruikers).
2. Wetgevingsoverleg inzake Begrotingsonderdelen van BiZa, EZK en J&V die zien op digitalisering d.d. 14 november 2022.
  • Vraag 1
    Bent u bekend met het bericht «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers»?1

    Ja, daarmee ben ik bekend.

  • Vraag 2
    Kunt u een schatting geven hoeveel Nederlanders momenteel gebruik maken van TikTok? Hoeveel van deze gebruikers zijn kinderen?

    In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.

  • Vraag 3
    Welke medewerkers hebben toegang tot de verzamelde informatie? Klopt het dat een deel van de medewerkers van TikTok een dubbelrol hebben bij de Chinese Communistische Partij en dat dus de Chinese overheid toegang krijgt tot al deze persoonlijke informatie?

    Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
    De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
    Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
    De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.

  • Vraag 4
    Kunt u toelichten om wat voor een data het hier gaat? Gaat het hier om persoonsgegevens, persoonlijke voorkeuren of psychologische profielen?

    Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
    Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4

  • Vraag 5
    Acht u het wenselijk dat de Chinese overheid toegang heeft tot dit soort informatie, met name ook over kinderen?

    Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.

  • Vraag 6
    Bent u bereid om TikTok per direct op te roepen geen gegevens van Europese gebruikers opgeslagen binnen de Europese Unie met China te delen?

    Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
    Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.

  • Vraag 7
    Welke stappen acht u noodzakelijk richting TikTok in Nederland en de Europese Unie zolang persoonlijke gegevens terecht komen in handen van de Chinese overheid?

    Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
    Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
    Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.

  • Vraag 8
    Welke stappen worden er op dit moment binnen de Europese Unie gezet om de juridische kaders ten aanzien van adequate beveiliging van data-transfers wereldwijd te verduidelijken en uit te breiden om te voorkomen dat buitenlandse inlichtingendiensten toegang krijgen tot persoonsgegevens van Europese gebruikers?

    Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.

  • Vraag 9
    Welke stappen zet u richting de Europese Commissie om hier aandacht voor te vragen en actie op te ondernemen?

    Zie het antwoord op vraag 10.

  • Vraag 10
    Hoe geeft u uitvoering aan de afspraak uit het coalitieakkoord dat we kinderen beschermen door ze het recht te geven niet gevolgd te worden en geen dataprofielen te krijgen?

    Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
    De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.

  • Vraag 11
    Kunt u deze vragen nog voor het begrotingsdebat Digitale Zaken op 14 november 2022 afzonderlijk beantwoorden?2

    Ja.


Kamervraag document nummer: kv-tk-2022Z21044
Volledige titel: Het bericht ‘Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers’
Kamerantwoord document nummer: ah-tk-20222023-693
Volledige titel: Antwoord op van de leden Dekker-Abdulaziz, Bouchallikh, Kathmann, Azarkan, Ceder, Van Weerdenburg, Koekkoek, Bontenbal, Leijten, Rajkowski en Eerdmans over het bericht ‘Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers’