TikTok krijgt boete van 345 miljoen euro voor schending van privacyregels

TikTok, het populaire socialemediaplatform, is door de Ierse Data Protection Commission (DPC) beboet met een recordbedrag van 345 miljoen euro wegens tekortkomingen in het waarborgen van de privacy van minderjarige gebruikers. Het onderzoek van de DPC werd geïnitieerd op verzoek van de Autoriteit Persoonsgegevens (AP), die in 2021 haar bevindingen met betrekking tot TikTok aan de DPC doorspeelde na eigen onderzoek.

De boete is opgelegd vanwege drie schendingen van de Algemene verordening gegevensbescherming (AVG) door TikTok:

1. Standaardinstellingen van video's van kinderen waren op 'publiek' ingesteld, waardoor iedereen de video's kon bekijken, niet alleen vrienden van het kind.
2. Het 'Family Pairing'-systeem was inadequaat opgezet, waardoor personen anders dan de ouders of verzorgers hun account konden koppelen aan het account van een kind.
3. TikTok verstrekte onvoldoende duidelijke informatie aan kinderen over de accountinstellingen, waardoor zij niet goed op de hoogte waren van de implicaties van de standaardinstelling 'publiek' voor hun video's.

 
Het onderzoek van de AP naar TikTok begon in mei 2020, voornamelijk vanwege het platform's populariteit onder een kwetsbare groep, namelijk kinderen. In 2021 legde de AP een boete op aan TikTok op basis van haar bevindingen, waarbij zij benadrukte dat de privacyverklaring in het Engels werd aangeboden aan Nederlandse kinderen.
 
Het feitenonderzoek van de AP onthulde echter meer privacyproblemen, vergelijkbaar met de bevindingen van het Ierse onderzoek. Daarom verzocht de AP officieel aan de DPC om een eigen onderzoek in te stellen en eventueel sancties op te leggen indien TikTok de AVG bleek te overtreden. Dit verzoek was gebaseerd op het feit dat TikTok in juli 2020 haar Europees hoofdkantoor in Ierland vestigde, waardoor de AP haar bevoegdheid verloor om zelf beslissingen te nemen over een groot deel van de bevindingen.
 
Aleid Wolfsen, voorzitter van de AP, benadrukte het belang van samenwerking tussen Europese privacytoezichthouders en de kracht die hieruit voortkomt om op te treden tegen grote techbedrijven die de privacy schenden, zelfs als ze tijdens onderzoeken hun hoofdkantoor in een ander Europees land openen.