TikTok privacybeleid kan zich beter op jongeren richten
Dagelijks delen miljoenen kinderen en jongeren talloze creatieve filmpjes en de laatste tijd is vooral TikTok hiervoor populair. De applicatie ligt alleen ook onder vuur, de Amerikaanse president ziet het zelfs als spionagesoftware. Wij zijn benieuwd hoe het eigenlijk met je privacy gesteld is bij het gebruik van deze app en om daar achter te komen, nemen we het TikTok privacybeleid onder de loep.
Het gebruik van persoonsgegevens is alleen toegestaan als TikTok daar een reden voor heeft (dat heet een ‘grondslag’). Voorbeelden van grondslagen zijn het geven van toestemming en het gerechtvaardigd belang van TikTok of derden. TikTok geeft in haar privacystatement een heldere uitleg over de grondslagen die worden gebruikt. Zo gebruikt TikTok gegevens op basis van de grondslag gerechtvaardigd belang om ervoor te zorgen dat het platform veilig blijft.
TikTok geeft in haar privacystatement verder aan dat zij toestemming vraagt om persoonsgegevens te mogen gebruiken voor gepersonaliseerde advertenties en het aanbieden van services op basis van de locatie van de gebruiker. Het tonen van gepersonaliseerde advertenties aan kinderen kan de keuzes en het gedrag beïnvloeden.
Hoewel dit in beginsel niet verboden is, dient TikTok op zijn minst passende beschermingsmaatregelen te treffen die geschikt zijn voor kinderen, waaronder het verstrekken van specifieke informatie. TikTok geeft echter niet voldoende specifiek aan met welk soort derde partijen persoonsgegevens worden gedeeld voor advertentiedoeleinden en om welke persoonsgegevens het per geval gaat.
Toestemming van ouders
Als toestemming de grondslag is en het gaat om online dienstverlening, dan mogen persoonsgegevens van kinderen onder de 16 jaar alleen worden gebruikt als er toestemming is van de ouders. TikTok is een online dienst en zal bij het tonen van gepersonaliseerde advertenties en het gebruik van locatiedata toestemming moeten hebben van de ouders. Dat moet TikTok ook controleren.
Europese landen kunnen ervoor kiezen de leeftijd te verlagen naar maximaal 13 jaar. In Nederland wordt de leeftijd van 16 jaar aangehouden, maar de leeftijd verschilt bij Europese landen onderling. In Nederland geldt ook nog als aanvullende regel dat toestemming van ouders afkomstig moet zijn bij niet-online dienstverlening, behalve voor gratis adviesdiensten.
Hoe TikTok precies controleert dat de toestemming voor gepersonaliseerde advertenties en locatiedata daadwerkelijk van ouders afkomstig is, wordt niet in het privacystatement toegelicht. Wij zijn benieuwd hoe TikTok ervoor zorgt dat het verschil in leeftijdgrens wordt meegenomen tussen de verschillende Europese landen.
Wel geeft TikTok aan dat zij gegevens op basis van de grondslag ‘gerechtvaardigd belang’ gebruikt om ervoor te zorgen dat een gebruiker oud genoeg is om het platform te gebruiken. Of dat ook betrekking heeft op het controleren van de gegeven toestemming, is ons niet duidelijk. Wellicht dat het onderzoek van de AP daar duidelijkheid over geeft.
©PXimport
Helder voor volwassenen
Wanneer een bedrijf zich richt tot kinderen of zich ervan bewust moet zijn dat veel kinderen gebruikmaken van de dienst, moet er extra aandacht worden besteed aan de begrijpelijkheid van het privacystatement. In het geval van TikTok is er zeker sprake van een dienst gericht op kinderen, omdat de applicatie bij kinderen en jongeren momenteel populairder is dan Facebook en Instagram. Het taalgebruik zal dus moeten worden aangepast aan de jonge doelgroep: alle communicatie over persoonsgegevens moet eenvoudig en duidelijk zijn.
Het privacystatement op de website kan wat ons betreft eenvoudiger. Wij zien op de website van TikTok een privacystatement voor ‘Younger Users’, maar die geldt alleen voor kinderen in de Verenigde Staten. Voor Nederlandse kinderen bestaat er geen apart document. Bovendien zal dit document dan in het Nederlands moeten zijn. Ook daarin wordt op dit moment niet voorzien.
Voor volwassenen is het privacystatement echter zeer helder. TikTok geeft vooraf aan het privacystatement een samenvatting en voorziet de gebruiker van heldere uitleg. Bovendien is het geheel overzichtelijk en gestructureerd.
Doorgeven van persoonsgegevens
In haar privacystatement geeft TikTok aan dat persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (Europese landen plus Noorwegen, IJsland en Liechtenstein, EER). Voor het doorgeven van persoonsgegevens buiten de EER gelden aanvullende regels. Zo kan een partij gebruikmaken van modelcontractbepalingen of adequaatheidsbesluiten die door de Europese Commissie zijn vastgesteld.
In het privacystatement moet ook informatie worden verstrekt over de waarborgen die zijn getroffen. TikTok geeft aan dat er gebruik wordt gemaakt van modelcontractbepalingen die op aanvraag kunnen worden toegezonden aan de geïnteresseerde gebruiker. In beginsel dient echter ook de plaats van het derde land te worden genoemd, maar daar bevat het privacystatement geen informatie over.
Conclusie
Opgesomd:
- Gebruikers worden goed geïnformeerd over de grondslag op basis waarvan persoonsgegevens worden gebruikt. Hoe TikTok handhaaft dat toestemming voor het verwerken van gepersonaliseerde advertenties en het aanbieden van services op basis van de locatie van de gebruiker afkomstig is van ouders van kinderen onder de 16 jaar, is niet duidelijk. Ook is de beschrijving over het delen van persoonsgegevens met derden wat summier, zeker omdat dit gebeurt in het kader van gepersonaliseerde advertenties.
- De privacyverklaring is gestructureerd, helder geschreven en overzichtelijk. Voor kinderen is er geen ‘makkelijke’ versie op de website beschikbaar in het Nederlands.
- Doorgiften van persoonsgegevens buiten de EER vindt plaats op basis van modelcontractbepalingen die zijn vastgesteld door de Europese Commissie. Er wordt geen informatie verstrekt over welke landen het gaat.
Aan het privacystatement van TikTok is veel aandacht besteed. Het privacystatement bevat bijna alle verplichte elementen en is duidelijk en overzichtelijk. Wij concluderen dan ook dat TikTok over het algemeen aan haar informatieverplichting voldoet, in ieder geval voor zover het volwassenen betreft. Voor kinderen raden wij aan ook een eenvoudiger privacystatement op de website te plaatsen. Daarnaast mag de informatie over het delen van persoonsgegevens voor gepersonaliseerde advertenties specifieker.
Tekst:Jacintha van Dorp en Lora Mourcous (SOLV advocaten)
