TikTok wil ervoor zorgen dat gegevens van Europese gebruikers niet zomaar naar het moederbedrijf in China gaan. Dat meldde Nu.nl onlangs. Het is een reactie op het TikTok-verbod voor medewerkers van de Europese Commissie en het Europees Parlement, en meer algemeen de zorg bij veel bedrijven over wat de Chinese app-exploitant (en de staat) doet met de gegevens. Al in 2022 kondigde men iets dergelijks aan, wat gaat men nu doen en wat gaat het opleveren?
Vorig jaar november blogde ik al over de verrassende ontdekking dat data van de Chinese app naar China gaat. Zelden zorgde een juridische frase voor zo veel ophef als deze:
Standard contractual clauses: Certain entities in our Corporate Group located in countries without an adequacy decision are granted, under standard contractual clauses, limited remote access to information described in What Information We Collect to provide important functions. These entities are located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
De SCC zijn een standaardconstructie onder de AVG. Deze lap tekst met juridische eisen aan je niet-EU ontvanger is door de Europese Commissie voorgeschreven; je kwakt het in een contract en de wederpartij tekent, waarna de weg open is om ze data te geven. Dat is dus wat TikTok net als iedereen doet (hoi Meta, Twitter en collega’s), maar omdat “China” in de lijst staat werd het ineens spannend. Het droeg in ieder geval bij aan een discussie waarin steeds meer partijen overwegen TikTok te verbannen, of dat al gedaan hebben. Zoals dus de EC en het Europees Parlement.
In het nieuwe plan (dat Clover heet) zal TikTok haar data van Europese gebruikers alleen nog in Europa (Ierland en Noorwegen) opslaan, waarna een onafhankelijke derde partij iets vindt van opslag elders:
Under Clover, TikTok’s data controls and transfer of data outside of the continent will be monitored by a third-party European cybersecurity firm, although the company has yet to disclose the name of its security partner. TikTok said it would introduce “pseudonymisation” of personal data so an individual could not be identified without additional information.
Ik word altijd een tikje zenuwachtig van “pseudonimisering”, want zelden betekent dat wat men denkt dat het betekent. Maar het is alvast een hele stap vooruit dat men niet -zoals de rest van de wereld- liegt dat men anonimiseert. Bij anonimiseren heb je niets meer aan de data omdat hij niet meer te koppelen is aan personen, en het hele punt van al die data is nu juist dat je dingen over personen weet en daar wat mee doet. Wie “anonimiseren” zegt, bedoelt vrijwel altijd “ik haal de namen en contactgegevens weg” en dat is dus wat de AVG alleen maar “pseudonimiseren” noemt.
Het klinkt allemaal heel mooi:
Wij nemen ons voor om samen te werken met andere derde partijen aan de integratie van de nieuwste geavanceerde technologieën die een aanvulling vormen op deze reeds degelijke procedures. Dit omvat, maar is niet beperkt tot, het pseudonimiseren van persoonsgegevens, zodat een persoon niet kan worden geïdentificeerd zonder aanvullende informatie en het samenvoegen van individuele datapunten tot grote datasets om de privacy van personen te beschermen.
Als dit ook zo gerealiseerd wordt, dan zouden de zorgen objectief bekeken een heel eind weggenomen moeten worden. Bij een normaal bedrijf zou ik daarom ook optimistisch zijn over deze ontwikkeling. Echter, bij TikTok is er nog steeds een grote zorg over mogelijke spionage door de Chinese overheid. Ondanks de stappen die het bedrijf nu neemt, blijft het risico bestaan dat gevoelige informatie van Europese gebruikers toch in handen komt van de Chinese staat. En, belangrijker: dat de app gebruikt kan worden om mensen in Europa te beïnvloeden met Chinese propaganda.
Arnoud