€ 750.000 boete voor TikTok wegens privacy-schending kinderen

Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet

Enkele miljoenen Nederlanders, de meesten kinderen, gebruiken TikTok. Ze maken korte filmpjes over zichzelf en delen die op het platform van TikTok

De privacywetgeving legt internetplatforms beperkingen op bij het verzamelen en gebruiken van gegevens van de gebruikers. Ze moeten de gebruikers duidelijk en volledig informeren over het gebruik van hun gegevens.

Gebruikers van platforms als TikTok zijn vaak zeer jong (50 procent van de TikTok-gebruikers zijn jonger dan 17), en de wijze van informeren dient te zijn afgestemd op de aard van de gebruikers. Sinds enige informeert het platform gebruikers in de Nederlandse taal, maar voorheen gebeurde dat alleen in de Engelse taal. Omdat er twijfel kan bestaan of kinderen Engels begrijpen was de vraag aan de orde of TikTok daarmee de privacy regels heeft overtreden.

De Autoriteit Persoonsgegevens (AP) startte daarom in 2020 een onderzoek naar de Chinese app, omdat er twijfel was of jonge kinderen begrepen hoe de app hun persoonsgegevens verzamelde, verwerkte en verder gebruikte. Het ging in dit geval dus niet om het verzamelen en gebruiken zelf, maar om de uitleg die daarbij dient te worden verstrekt.

De AP heeft vastgesteld dat in dit specifieke geval voor deze doelgroep een uitleg in de Engels taal onvoldoende is om e voldoen aan de informatieplicht.
“Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet”: aldus de AP in een bericht van 22 juli 2021.

De AP heeft op grond daarvan een boete van € 750.000,- opgelegd aan TikTok, waartegen beroep is aangetekend. Overigens wordt het onderzoek door de AP van Nederland overgedragen aan Ierland, omdat na de start van het onderzoek het hoofdkantoor in Ierland is gevestigd. Volgens de regels is dan de Ierse privacy autoriteit bevoegd geworden een oordeel te geven.

Ook de Nederlandse Consumentenbond is bezig met een zaak tegen TikTok. Dit betreft dan schending van de privacywetgeving door  onrechtmatig gebruik van gegevens van kinderen, door die te gebruiken om gerichte te adverteren. Dit is in strijd met de Algemene Verordening Gegevensbescherming (AVG) die bepaalt dat kinderen daartegen beschermd dienen te worden. Volgens de Consumentenbond heeft TikTok die wet overtreden, en daarmee veel geld verdiend.

Meer informatie over datalekken en privacyschendingen, mail aan info@advocaten.nl of stel een vraag

De gevolgen van de Europese privacy verordening (AVG) voor het MKB

De nieuwe Europese wetgeving op gebied van privacy dient personen meer bescherming te bieden. Het toepassen van privacy principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

De invoering van de AVG verwerkersovereenkomsten per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt, indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP)

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

Afsluiten verwerkersovereenkomsten

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen, die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet. Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden. Denk aan salarisadministratie, accountant, Arbodienst, ICT beheerder.

Inzage in opgeslagen informatie

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden. Daarvoor dient te worden geïnventariseerdwelke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.

Juridisch zijn een aantal punten van belang:
wijs privacy officer/functionaris gegevensverwerking (FG) aan;
instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc. en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
stel model verwerkingsovereenkomsten op t.b.v. externe actoren van MKB;
stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram;
zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening opdrachtbevestiging).

Door zich als bedrijf aan deze regels te houden, wordt voorkomen dat uiteindelijk een boete kan worden opgelegd bij overtreding.

zorg voor een systeem, waaruit blijkt dat niet-klanten expliciet akkoord gaan met mailing voor nieuwsbrieven, seminars. Beheer zelf (email-)adressenbestand;
Formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl. logging security incidenten.

Bron: Actuele Artikelen                                               

verplichte melding Autoriteit Persoonsgegevens bij datalek

Volgens de Wet bescherming persoonsgegevens zijn bedrijven vanaf 1 januari 2016 verplicht de Autoriteit Persoonsgegevens in te lichten als gegevens op straat komen te liggen.

De oorzaken van een datalek bij een Nederlandse organisatie zijn vaak onbenullig, maar de gevolgen zijn vrijwel altijd groot. Met een nieuwe wet wil de regering Nederlandse bedrijven dwingen hun gegevens beter te beveiligen en betrokkenen sneller op de hoogte stellen als er gegevens uitlekken.

Mocht een bedrijf dit verzuimen, dan riskeren ze een boete tussen de 4.500 en 450.000 euro. Deze meldplicht is hard nodig, vindt Gert-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. Hij vertelt dat het Nederlandse bedrijfsleven elk jaar honderden miljoenen euro`s verliest door datalekken.

Richard Franken is directeur bij bedrijfsrecherchebureau Hoffmann en verbaast zich over de naïviteit bij bedrijven. Hij noemt het gebrek aan aandacht voor het gevaar van datalekken `een collectief negeren`. Mocht het onverhoopt misgaan, dan is het zaak snel te handelen, zegt Zwenne. `Het eerste wat je moet doen, is de schade beperken. Pas als je het lek hebt weten te dichten, ga je nadenken over hoe je dit gaat communiceren.`

Bron: Profnews