Schending privacy kinderen bij gebruik TikTok


TikTok is de populaire social media-app van Chinese origine. Je kunt hiermee korte muziekvideo’s opnemen en delen met de wereld. Het schiet echter tekort in het beschermen van kinderen die de app gebruiken. Dat stelt Stichting Onderzoek Marktinformatie (SOMI), dat nader onderzoek instelt naar de praktijken en het businessmodel van TikTok. De app verzamelt en verspreidt waarschijnlijk ongeautoriseerd persoonsgegevens van gebruikers, met name van minderjarigen. Daarmee schendt TikTok naar het zich laat aanzien de Europese GDPR (in Nederland: AVG) voorschriften. In een vervolgstap op het onderzoek kan SOMI namens bezorgde ouders overtredingen bestrijden en verbeterd toezicht afdwingen.


Dit artikel is op 27 juli 2020 gepubliceerd op Peuteren.nl. Geschreven door Marion Middendorp.


“Europa heeft de GDPR, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG). Deze is in het leven geroepen zodat consumenten eigenaar blijven van hun persoonsgegevens en minderjarigen digitaal in bescherming worden genomen. TikTok overtreedt dergelijke normen in landen buiten de EU voortdurend op meerdere punten. Dat is schrijnend, niet alleen omdat dit zonder toestemming en zelfs zonder weten van de gebruiker gebeurt, maar vooral omdat het bedrijf hier al meerdere malen mee de fout is ingegaan. Kinderen zijn online onvoldoende beschermd tegen ongewenste contacten met onbekende volwassenen,” zegt Cor Wijtvliet, medeoprichter van SOMI. “Daarom hebben wij besloten om een vuist te maken.”

Massaclaim voor TikTok

SOMI roept bezorgde ouders wereldwijd op om zich te melden bij de stichting wanneer hun kinderen gebruik hebben gemaakt van TikTok. Door het invullen en ondertekenen van het online deelnameformulier op Tiktokclaim.org geeft de consument toestemming dat SOMI aan de hand van persoonsgegevens van de gebruikers onderzoek doet naar overtredingen. Het deelnameformulier biedt de consument de gelegenheid zijn of haar claim direct ter incasso over te dragen hiervoor ook juridische actie in te stellen. Inschrijving kost je eenmalig een bijdrage van 17,50 euro, waarna je ook aan andere acties van de stichting mee kan doen.

“Een eerste stap is gedegen onderzoek. Alleen dan kunnen we een potentieel succesvolle claim opbouwen. Wij verzamelen daar nu de gebruikersdata en onderzoeksrapporten voor. Het doel van de claim is overigens niet het bewerkstelligen van een schadevergoeding, dat is bijvangst. Het gaat ons erom dat kinderen in bescherming genomen worden en dat de individuele consument niet machteloos staat tegenover de producenten van populaire apps. Samen staan we sterker en is de claim krachtiger,” zegt Cor Wijtvliet.


TikTok in overtreding

Het voornaamste bezwaar is dat TikTok in 2019 is gewaarschuwd dat het kinderen onvoldoende beschermt tegen contacten met onbekende volwassenen en dat het toezicht daarop op dit moment mogelijk nog steeds volstrekt onvoldoende is. Voor wat betreft de toepasselijke AVG voorschriften zijn de bezwaren meer specifiek als volgt:

Artikel 8 AVG – onrechtmatige verwerking persoonsgegevens minderjarigen

Voor het verwerken van persoonsgegevens van minderjarigen is toestemming nodig van een voogd. In Nederland geldt dat voor kinderen tot 16 jaar. TikTok laat gebruikers een account aanmaken vanaf 13 jaar. Deze ‘beveiliging’ laat zich te makkelijk omzeilen.

Artikel 9 AVG – onrechtmatige verwerking van gevoelige persoonsgegevens

TikTok verwerkt gevoelige persoonsgegevens, zoals de informatie over het toestel, de locatiegegevens van het toestel en de gebruikersactiviteit. Ook als de app uit staat. Daarnaast is gebleken dat de app van TikTok ‘browser trackers’ installeert die de activiteiten van de gebruiker op internet volgen.

Artikel 12 AVG – Transparante informatie, communicatie en nadere regels voor de uitoefening van rechten van de betrokkene

Het is onduidelijk welke gegevens van gebruikers TikTok doorstuurt naar derde partijen (zoals Facebook en analyseplatform Appsflyer), welke derde partijen dat zijn, hoe die derde partijen met de gegevens omgaan en waarvoor zij die gegevens gebruiken. TikTok volgt gebruikersgedrag online, maar biedt geen mogelijkheid om deze gegevens te verwijderen.

Artikel 25 AVG – Gegevensbescherming door ontwerp en door standaardinstellingen

Het ontwerp en de standaardinstellingen van TikTok waarborgen niet de gegevensbeschermingsdoeleinden zoals bedoeld in artikel 25 van de AVG. TikTok heeft geen passende technische en organisatorische maatregelen getroffen om te waarborgen dat het alleen de persoonsgegevens verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Integendeel, het ontwerp en de instellingen van de app zijn er juist op ingericht om zo veel mogelijk gegevens te verzamelen.

Artikel 32 AVG – Beveiliging van de verwerking

In overeenstemming met artikel 32 nemen de verwerkingsverantwoordelijke en de verwerker “passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen”. De beveiliging van TikTok lijkt niet in overeenstemming met artikel 32 AVG.

Recent onderzoek heeft verschillende kwetsbaarheden in de app aangetoond, waaronder:

Toegang verschaffen
Webview en webview op afstand die standaard ingeschakeld zijn (en dus kunnen gebruikt worden door externen om zich toegang te verschaffen);

Verwerking in Java
De app lijkt tekst als commando’s over te nemen en deze rechtstreeks in Java te kunnen verwerken;

Hoog risico
De applicatie die Java-reflectie gebruikt en de VM-laadtijd verkort, kan misbruikt worden door kwaadwillende gebruikers en heeft een CVE-score van 8,8 (wat overeenkomt met een ‘hoog’ risico);

Storingen
Overige onverklaarbare storingen in het gebruik van de app en de weergave van informatie door de app.

Artikel 45-49 AVG – Doorgifte van gegevens buiten de EU

Het hierboven genoemde onderzoek geeft aan dat 37,7 procent van de IP adressen die TikTok gebruikt, afkomstig zijn uit China en gelinkt kunnen worden aan het in Hangzhou gebaseerde Alibaba. China geldt als een niet-veilig derde land binnen de AVG-regelgeving. Om op deze schaal persoonsgegevens van EU-burgers te mogen verwerken buiten de Europese Economische Ruimte heeft TikTok een speciale machtiging nodig.

TikTok in het nieuws

TikTok is wereldwijd in opspraak. Zowel in Nederland, Europa als in de V.S. worden onderzoeken uitgevoerd naar misstanden bij de populaire app. In Nederland voert de Autoriteit Persoonsgegevens (AP) sinds mei 2020 onderzoek uit naar de waarborging van de privacy van gebruikers.

Ook het onafhankelijk Europees orgaan Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft aangekondigd een task force te zullen oprichten om onderzoek te doen naar de gegevensverwerking door TikTok. Het Amerikaanse bedrijf Penetrum heeft eerder al onderzoek afgerond naar TikTok en is daarbij tot de conclusie gekomen dat er in de app sprake is van gegevensverzameling en tracking, waarbij onder meer digitale profielen en gebruikersinformatie naar China wordt gestuurd.



Klik hier voor het originele artikel op Peuteren.nl