Door: Christine Grahn, hoofd Public Policy & Government Relations - Europa

Vandaag heeft de Ierse gegevensbeschermingscommissie (DPC) haar definitieve besluit bekendgemaakt in het onderzoek naar de naleving door TikTok van de AVG-vereisten voor de overdracht van persoonsgegevens naar China.

Het besluit heeft voornamelijk betrekking op een bepaalde periode van enkele jaren geleden, vóór de implementatie in 2023 van Project Clover, ons initiatief voor gegevensbeveiliging ter waarde van 12 miljard euro. We kondigden onlangs een belangrijke mijlpaal aan in onze voortdurende inzet voor gegevensbeveiliging in Europa: een investering van €1 miljard om ons eerste datacenter in Finland op te zetten.

De DPC heeft in haar rapport zelf vastgelegd wat TikTok altijd heeft gezegd: het heeft nooit een verzoek van de Chinese autoriteiten om Europese gebruikersgegevens ontvangen en heeft nooit Europese gebruikersgegevens aan hen verstrekt.

Feit is dat Project Clover een van de strengste gegevensbeschermingsmaatregelen in de sector heeft, waaronder ongekend onafhankelijk toezicht door NCC Group, een toonaangevend Europees cyberbeveiligingsbedrijf. In het besluit wordt onvoldoende rekening gehouden met deze aanzienlijke gegevensbeveiligingsmaatregelen.

Met 175 miljoen gebruikers in heel Europa, meer dan 6.000 werknemers in de regio en een platform dat kleine bedrijven heeft geholpen 4,8 miljard euro bij te dragen aan het bbp en meer dan 51.000 banen te creëren, is TikTok diep geïntegreerd in de Europese economie. Deze beslissing heeft niet alleen gevolgen voor TikTok, maar voor elk bedrijf in Europa dat wereldwijd actief is. Wij zijn het niet eens met deze beslissing en zijn van plan hiertegen in beroep te gaan.

TikTok heeft de eigen regels van de EU nageleefd

Dit is niet de eerste uitspraak van de DPC over gegevensoverdrachten buiten Europa. In 2023 legde de autoriteit Meta een recordboete van 1,2 miljard euro op en gelastte het bedrijf de gegevensoverdracht naar de VS op te schorten, omdat de VS volgens de DPC geen “adequate” bescherming bood voor Europese persoonsgegevens.

Slechts 15 landen hebben gegevensbeschermingsovereenkomsten met de EU, die vrije en betrouwbare gegevensstromen over de grenzen heen mogelijk maken. Als gevolg daarvan vertrouwen talloze bedrijven op zogenaamde standaardcontractbepalingen, vooraf goedgekeurde wettelijke kaders voor internationale gegevensuitwisseling, om op afstand toegang te krijgen tot gegevens – ook wel gegevensoverdracht genoemd – van werknemers in landen die niet over die status beschikken.

Afgezien van het feit dat de DPC geen inhoudelijke beoordeling heeft gemaakt van de uitgebreide waarborgen die in het kader van Project Clover zijn geïmplementeerd, zijn wij teleurgesteld dat wij zijn uitgekozen, ondanks dat wij gebruikmaken van hetzelfde juridische mechanisme als duizenden andere bedrijven die diensten verlenen in Europa. Net als veel andere organisaties die wereldwijd actief zijn, heeft TikTok gebruikgemaakt van het eigen wettelijke kader van de EU, met name de standaardcontractbepalingen, om streng gecontroleerde en beperkte toegang te verlenen aan werknemers in landen zonder gegevensbeschermingsovereenkomsten.

De DPC beweert dat wij de noodzakelijke beoordelingen niet hebben uitgevoerd. Wij betwisten dit ten stelligste, aangezien we gedetailleerde beoordelingen hebben uitgevoerd met advies van externe advocatenkantoren en deskundigen.

Deze aanpak is volledig in overeenstemming met de regels van de Europese Unie en we zijn altijd transparant geweest over onze werkwijze. In tegenstelling tot sommige andere bedrijven leggen we deze mechanismen duidelijk uit in ons privacybeleid en in onze communicatie met onze Europese community, die inmiddels meer dan 175 miljoen mensen telt.

Project Clover biedt al ongekende bescherming voor Europese gebruikersgegevens

In 2023 is TikTok in Europa begonnen met de uitrol van Project Clover, een investering van 12 miljard euro die ongeëvenaarde waarborgen biedt voor Europese gebruikersgegevens. Veel internationale bedrijven die in Europa actief zijn, hebben werknemers in China, waaronder onze concurrenten. Maar geen van hen heeft de stappen genomen die TikTok heeft genomen.

Met Project Clover zijn we verder gegaan dan wie dan ook in het aanpakken van hypothetische risico's met echte, concrete waarborgen:

  • Onze Europese gegevensbeveiligingsmaatregelen in het kader van Project Clover, waaronder protocollen voor externe toegang en gegevensoverdracht, worden nu 24 uur per dag onafhankelijk gecontroleerd, geverifieerd en gevalideerd door het gerenommeerde Europese cyberbeveiligingsbedrijf NCC Group – een niveau van onafhankelijk toezicht en transparantie dat ongeëvenaard is onder onlineplatforms.
  • Onze Europese gebruikersgegevens worden nu standaard opgeslagen in een speciale Europese data-enclave, die momenteel wordt gehost in datacenters in Europa en de Verenigde Staten.
  • We hebben extra digitale beveiligingsbarrières geïntroduceerd, zogenaamde beveiligingsgateways. Deze gateways worden onafhankelijk gecontroleerd door NCC Group en maken deel uit van een uitgebreid systeem van technische protocollen die ervoor zorgen dat alleen geautoriseerde medewerkers toegang hebben tot specifieke soorten gegevens. Hierdoor wordt de interne toegang verder beperkt, onder meer door medewerkers in China geen toegang te geven tot beperkte gegevens, zoals telefoonnummers, e-mailadressen en IP-adressen die in de enclave zijn opgeslagen.
  • In het kader van Project Clover heeft TikTok geavanceerde privacyversterkende technologieën (PET's) geïmplementeerd, zoals encryptie bij toegang en differentiële privacy, om ervoor te zorgen dat niet-beperkte gegevens worden geanonimiseerd voordat ze toegankelijk zijn voor medewerkers in China.

Onafhankelijke cybersecurity-experts van NCC Group hebben geverifieerd dat deze waarborgen naar behoren functioneren.

Als de uitgebreide maatregelen die in het kader van Project Clover zijn geïmplementeerd – de meest robuuste en strenge gegevenswaarborgen in onze sector en daarbuiten – en de onafhankelijke monitoring door NCC Group onvoldoende worden geacht, is het redelijk om te vragen: wat zou dan wel voldoende zijn? Het is betreurenswaardig dat de DPC deze uitgebreide beschermingsmaatregelen niet de inhoudelijke aandacht lijkt te hebben gegeven die ze verdienen.

Verregaande gevolgen

Deze uitspraak dreigt een precedent te scheppen met verstrekkende gevolgen voor bedrijven en hele sectoren in heel Europa die op wereldwijde schaal actief zijn. Het is een klap voor het concurrentievermogen van de Europese Unie. Met Project Clover, een vrijwillig initiatief van meerdere miljarden euro's, heeft TikTok een uitgebreide oplossing geïmplementeerd die ongeëvenaarde bescherming biedt voor Europese gebruikersgegevens en privacy, terwijl de wereldwijde gegevensstromen worden gewaarborgd en voortdurende innovatie wordt ondersteund.

In een tijd waarin Europese bedrijven en economieën behoefte hebben aan innovatie, groei en banen, zijn wij van mening dat de EU oplossingen zoals Project Clover moet verwelkomen en ondersteunen, als een manier om veilige gegevensstromen tussen de EU en niet-adequate landen te faciliteren en tegelijkertijd de meest robuuste bescherming van de Europese gegevensbeveiliging en privacy te waarborgen.