Auteur: Sander van Oostrom
De Ierse Data Protection Commission (DPC) heeft opnieuw een hoge boete opgelegd aan een grote speler in de techwereld. In dit artikel bespreekt VIA-jurist Sander van Oostrom het besluit van de DPC.
De Ierse Data Protection Commission (DPC) heeft opnieuw een hoge boete opgelegd aan een grote speler in de techwereld. Ditmaal is de Chinese video-app TikTok aan de beurt, met een boete van maar liefst 345 miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG) tussen 31 juli 2020 en 31 december 2020. TikTok krijgt de boete opgelegd omdat het de privacy van kinderen op het platform onvoldoende zou hebben beschermd.
Een van de pijnpunten was de manier waarop TikTok standaardinstellingen configureerde voor accounts van kinderen. Deze accounts werden automatisch ingesteld op ‘publiek’. Hierdoor waren de video’s die geplaatst werden niet alleen voor ‘vrienden’ te zien, maar door iedereen op het platform en zelfs daarbuiten. TikTok is van mening dat het maatregelen hiervoor had genomen, door een beeldvullende pop-up te laten zien met daarin de vraag of ze hun video’s niet liever ‘prive’ wilden maken. Voor de DPC was dit onvoldoende, omdat TikTok dit ook had kunnen omdraaien. Hoewel TikTok in januari 2021 de standaardinstellingen voor kinderen heeft gewijzigd naar privé, heeft de DPC toch besloten TikTok te beboeten.
De toezichthouder is daarnaast van mening dat TikTok onvoldoende heeft voorkomen dat zijn jongste gebruikers bepaalde omwegen gebruikten om leeftijdsbeperkingen op het platform te omzeilen. Dit werd minderjarigen te gemakkelijk gemaakt, met name door gebruik te maken van de ‘Family Pairing’-functie. TikTok introduceerde Family Pairing in april 2020, waardoor volwassenen hun accounts kunnen koppelen aan accounts van kinderen om de schermtijd te beheren, ongewenste inhoud te beperken en voor deze zaak relevant: direct messaging te blokkeren of toe te staan. Volgens de DPC was deze functie echter slecht ingericht; TikTok kon onvoldoende controleren of het daadwerkelijk om de ouders/verzorgers ging. Hierdoor kon theoretisch gezien elke volwassene de privacywaarborgen van een kind verzwakken door middel van het toestaan van direct messaging, aldus de toezichthouder.
Daarnaast heeft TikTok tekortkomingen getoond in het handhaven van haar eigen leeftijdsbeperkingen. Ondanks enkele maatregelen om minderjarige gebruikers onder de dertien jaar te detecteren en te verwijderen, zoals het inschakelen van moderators en de mogelijkheid voor andere gebruikers om minderjarigen te melden, was de leeftijdsverificatie volgens de DPC ontoereikend. TikTok had geen nauwkeurige schatting gemaakt van het aantal gebruikers onder de dertien jaar op het platform en de daaraan verbonden risico's. Bovendien waren de gebruikte methoden voor leeftijdsverificatie gemakkelijk te omzeilen. TikTok vroeg bijvoorbeeld alleen naar de leeftijd van de gebruiker, zonder dit te verifiëren.
TikTok heeft gereageerd op het besluit van de DPC en stelt dat deze onterecht is. Ze zijn het met name oneens met de hoogte van de opgelegde boete. TikTok benadrukt dat de kritiek van de DPC betrekking heeft op functies en instellingen die drie jaar geleden van kracht waren. Waarvan sommige al lang voordat het onderzoek begon waren aangepast, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.
