TikTok heeft een boete van €345 miljoen gekregen wegens het overtreden van de EU-datawetgeving bij de omgang met kinderaccounts, waaronder het niet afschermen van de inhoud van minderjarige gebruikers voor het publiek.De Ierse datawaakhond, die TikTok in de hele EU reguleert, zegt dat de video-app van Chinese eigenaar meerdere inbreuken op de AVG-regels had gepleegd.
Het ontdekte dat TikTok de AVG had overtreden door de accounts van kindergebruikers standaard op een openbare instelling te plaatsen; het niet verstrekken van transparante informatie aan minderjarige gebruikers; een volwassene toegang geven tot het account van een kind via de instelling ‘gezinskoppeling’ om directe berichtenuitwisseling voor 16-plussers mogelijk te maken; en er wordt niet goed rekening gehouden met de risico’s voor jongeren onder de 13 jaar op het platform die in een openbare omgeving zijn geplaatst.
De Ierse Data Protection Commission (DPC) zegt dat gebruikers tussen 13 en 17 jaar door het aanmeldingsproces werden geleid op een manier die ertoe leidde dat hun accounts standaard op openbaar werden gezet – wat betekent dat iedereen de inhoud van een account kan zien of erop kan reageren – standaard . Het ontdekte ook dat het ‘familiekoppel’-schema, dat een volwassene controle geeft over de accountinstellingen van een kind, niet controleerde of de volwassene die ‘gekoppeld’ was met de kindgebruiker een ouder of voogd was.
De DPC oordeelde dat TikTok, dat een minimale gebruikersleeftijd van 13 jaar heeft, niet goed rekening heeft gehouden met het risico voor minderjarige gebruikers die toegang hebben gekregen tot het platform. Het zei dat het standaardproces voor openbare instellingen iedereen in staat stelde “de inhoud van sociale media te bekijken die door die gebruikers was geplaatst”. De Duet- en Stitch-functies, waarmee gebruikers hun inhoud kunnen combineren met andere TikTokers, waren ook standaard ingeschakeld voor jongeren onder de 17 jaar.
De DPC constateerde echter dat er geen sprake was van schending van de AVG wat betreft de methoden voor het verifiëren van de leeftijd van gebruikers. De DPC-beslissing komt nadat TikTok in april een boete van £12,7 miljoen kreeg van de Britse dataregulator voor het illegaal verwerken van de gegevens van 1,4 miljoen kinderen onder de 13 jaar die het platform gebruikten zonder ouderlijke toestemming. De informatiecommissaris zei dat TikTok “heel weinig of niets” had gedaan om te controleren wie het platform gebruikte.
ikTok zegt dat bij het onderzoek werd gekeken naar de privacyopzet van het bedrijf tussen 31 juli en 31 december 2020 en dat het de problemen had aangepakt die door het onderzoek naar voren waren gebracht. Alle bestaande en nieuwe TikTok-accounts voor 13- tot 15-jarigen zijn sinds 2021 standaard ingesteld op privé – wat betekent dat alleen door de gebruiker goedgekeurde mensen hun inhoud kunnen bekijken. TikTok: “We zijn het respectvol oneens met de beslissing, met name met de hoogte van de opgelegde boete. De kritiek van de DPC is gericht op functies en instellingen die drie jaar geleden al bestonden, en waar we al voordat het onderzoek begon wijzigingen in hebben aangebracht, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.” De DPC erkende ook dat het over sommige aspecten van zijn besluit was verworpen door de Europese Raad voor Gegevensbescherming, een orgaan bestaande uit gegevens- en privacytoezichthouders van de EU-lidstaten. Dit betekende dat er een voorstel van de Duitse toezichthouder in moest worden opgenomen dat het gebruik van ‘donkere patronen’ – de term voor misleidende website- en app-ontwerpen die gebruikers tot bepaald gedrag leiden of bepaalde keuzes maken – in strijd was met een AVG-bepaling over eerlijke verwerking van persoonlijke gegevens.
De Ierse Data Protection Commission (DPC) zegt dat gebruikers tussen 13 en 17 jaar door het aanmeldingsproces werden geleid op een manier die ertoe leidde dat hun accounts standaard op openbaar werden gezet – wat betekent dat iedereen de inhoud van een account kan zien of erop kan reageren – standaard . Het ontdekte ook dat het ‘familiekoppel’-schema, dat een volwassene controle geeft over de accountinstellingen van een kind, niet controleerde of de volwassene die ‘gekoppeld’ was met de kindgebruiker een ouder of voogd was. De DPC oordeelde dat TikTok, dat een minimale gebruikersleeftijd van 13 jaar heeft, niet goed rekening heeft gehouden met het risico voor minderjarige gebruikers die toegang hebben gekregen tot het platform. Het zei dat het standaardproces voor openbare instellingen iedereen in staat stelde “de inhoud van sociale media te bekijken die door die gebruikers was geplaatst”.
De Duet- en Stitch-functies, waarmee gebruikers hun inhoud kunnen combineren met andere TikTokers, waren ook standaard ingeschakeld voor jongeren onder de 17 jaar. De DPC constateerde echter dat er geen sprake was van schending van de AVG wat betreft de methoden voor het verifiëren van de leeftijd van gebruikers. De DPC-beslissing komt nadat TikTok in april een boete van £12,7 miljoen kreeg van de Britse dataregulator voor het illegaal verwerken van de gegevens van 1,4 miljoen kinderen onder de 13 jaar die het platform gebruikten zonder ouderlijke toestemming. De informatiecommissaris zei dat TikTok “heel weinig of niets” had gedaan om te controleren wie het platform gebruikte.
TikTok zegt dat bij het onderzoek werd gekeken naar de privacyopzet van het bedrijf tussen 31 juli en 31 december 2020 en dat het de problemen had aangepakt die door het onderzoek naar voren waren gebracht. Alle bestaande en nieuwe TikTok-accounts voor 13- tot 15-jarigen zijn sinds 2021 standaard ingesteld op privé – wat betekent dat alleen door de gebruiker goedgekeurde mensen hun inhoud kunnen bekijken.
TikTok: “We zijn het respectvol oneens met de beslissing, met name met de hoogte van de opgelegde boete. De kritiek van de DPC is gericht op functies en instellingen die drie jaar geleden al bestonden, en waar we al voordat het onderzoek begon wijzigingen in hebben aangebracht, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.”
De DPC erkende ook dat het over sommige aspecten van zijn besluit was verworpen door de Europese Raad voor Gegevensbescherming, een orgaan bestaande uit gegevens- en privacytoezichthouders van de EU-lidstaten. Dit betekende dat er een voorstel van de Duitse toezichthouder in moest worden opgenomen dat het gebruik van ‘donkere patronen’ – de term voor misleidende website- en app-ontwerpen die gebruikers tot bepaald gedrag leiden of bepaalde keuzes maken – in strijd was met een AVG-bepaling over eerlijke verwerking van persoonlijke gegevens.