DAGVAARDING
DAGVAARDING
HOUDENDE EEN COLLECTIEVE VORDERING KRACHTENS ARTIKEL 3:305a BW EN ARTIKEL 1018d LID 1 RV
Vandaag, tweeduizend eenentwintig,
Heb ik
op het verzoek van:
1. De stichting Stichting Massaschade & Consument, statutair gevestigd te Oestgeest en kantoorhoudende te (2341 CW) Xxxxxxxxx 000, Xxxxxxxxx;
te dezer zake domicilie kiezende te (1075 BR) Amsterdam aan de Sophialaan 8, ten kantore van bureau Brandeis B.V. van wie mr. Chr. A. Alberdingk Thijm en mr. L.C.M. Xxxxxx door eiseres als advocaat worden gesteld en als zodanig zal optreden met het recht van substitutie.
GEDAGVAARD:
1. De vennootschap naar vreemd recht TikTok Technology Limited, gevestigd te Ierland en kantoorhoudende te (D02 T380) Dublin, 00 Xxxxxxxxx Xxxxxxx, Xxxxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Daartoe heb ik uit krachte van art. 56 lid 2 van het Wetboek van Burgerlijke Rechtsvordering en in mijn hoedanigheid van verzendende instantie als bedoeld in de EG-verordening nr. 1393/2007 van de Raad van Europese Unie van 13 november 2007 (EU Betekeningsverordening), twee afschriften van deze dagvaarding, waarvan een vertaling in de Engelse taal onverwijld zal worden nagezonden,
VERZONDEN AAN DE NAVOLGENDE ONTVANGENDE INSTANTIE
Service of EU Documents, Courts Service Xxxxxxxxxxx Xxxxxx Xxxxxxxx Xxxxx Xxxxxx, xxx Xxxxxxxxxx,
Xxxxxxxxx, Xx.Xxxx, X00 XX00 Xxxxxxx
deze verzending heeft vandaag per UPS koeriers plaatsgevonden en is vergezeld van het formulier als bedoeld in art. 4, derde lid van genoemde EU Betekeningsverordening, ingevuld in de Engelse taal, aan de ontvangende instantie heb ik verzocht om dit exploot aan TikTok Technology Limited te betekenen/daarvan kennis te geven op de wijze als onder 5 in het
4131-1544-5041, v. 1
hiervoor genoemde formulier “aanvraag om betekening of kennisgeving van stukken”
omschreven, te weten betekening volgens de wet van de aangezochte staat (5.1 formulier),
BOVENDIEN WORDT, TER BETEKENING/KENNISGEVING AAN
TikTok Technology Limited,
VOORNOEMD,
Heden een afschrift van deze dagvaarding zonder vertaling, terwijl een afschrift inclusief een Engelse vertaling onverwijld zal worden nagezonden, in overeenstemming met art. 56 lid 3 van het Wetboek van Burgerlijke Rechtsvordering en art. 14 van de genoemde EU Betekeningsverordening, per UPS koeriers gezonden aan het adres van TikTok Technology Limited voornoemd, voorzien van het in art. 8 EU Betekeningsverordening genoemde modelformulier, opgenomen in bijlage II van de EU Betekeningsverordening, met de mededeling dat TikTok Technology Limited dit stuk mag weigeren indien het niet gesteld is in een taal of niet vergezeld gaat van een vertaling, bedoeld in art. 8 lid 1 van de EU Betekeningsverordening en dat de geweigerde stukken dienen te worden teruggezonden binnen de termijn zoals gesteld in voormelde bepaling.
2. De vennootschap naar vreemd recht ByteDance Ltd., gevestigd 0p de Kaaimaneilanden en kantoorhoudende te (KY1 – 1205) Grand Cayman, P.O. Box 31119, Xxxxx Xxxxxxxx, Xxxxxxxx Xxx, 000 Xxxx Xxx Xxxx, Xxxxx Xxxxxx, Xxxxxxxxxxxxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Zodoende heb ik uit krachte van artikel 55 lid 1 van het Wetboek van Burgerlijke Rechtsvordering mijn exploot gedaan aan het parket van de ambtenaar van het openbaar ministerie bij de rechtbank Amsterdam, alwaar ik te (1013 MM) XXxxx 000, Xxxxxxxxx, twee afschriften van deze dagvaarding, waarvan de Engelse vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig.
Verzocht wordt dit exploot, voorzien van de vertaling van die stukken in de Engelse taal, aan ByteDance Ltd., te doen betekenen/kennisgeven overeenkomstig de artikelen 3 tot en met 6 van het Verdrag inzake de betekening en de kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 (het "Verdrag"), en wel door betekening of kennisgeving met inachtneming van de vormen in de wetgeving van de aangezochte lidstaat voorgeschreven voor de betekening of de kennisgeving
van stukken, die in dat land zijn opgemaakt en bestemd zijn voor zich aldaar bevindende personen, waarbij aan de in artikel 6 van het Verdrag bedoelde (centrale) autoriteit voorts verzocht wordt een afschrift van dit exploot te retourneren, vergezeld van de verklaring als bedoeld in artikel 6 van het Verdrag.
Voorts wordt een afschrift van dit exploot voorzien van de vertaling van die stukken in de Engelse taal onverwijld door mij per aangetekende brief en per UPS koerier gezonden aan het adres van ByteDance Ltd., voornoemd.
3. De vennootschap naar vreemd recht TikTok Ltd., gevestigd 0p de Kaaimaneilanden en kantoorhoudende te (KY1 – 1205) Grand Cayman, P.O. Box 31119, Xxxxx Xxxxxxxx, Xxxxxxxx Xxx, 000 Xxxx Xxx Xxxx, Xxxxxxxxxxxxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Zodoende heb ik uit krachte van artikel 55 lid 1 van het Wetboek van Burgerlijke Rechtsvordering mijn exploot gedaan aan het parket van de ambtenaar van het openbaar ministerie bij de rechtbank Amsterdam, alwaar ik te (1013 MM) XXxxx 000, Xxxxxxxxx, twee afschriften van deze dagvaarding, waarvan de Engelse vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig.
Verzocht wordt dit exploot, voorzien van de vertaling van die stukken in de Engelse taal, aan TikTok Ltd., te doen betekenen/kennisgeven overeenkomstig de artikelen 3 tot en met 6 van het Verdrag inzake de betekening en de kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 (het "Verdrag"), en wel door betekening of kennisgeving met inachtneming van de vormen in de wetgeving van de aangezochte lidstaat voorgeschreven voor de betekening of de kennisgeving van stukken, die in dat land zijn opgemaakt en bestemd zijn voor zich aldaar bevindende personen, waarbij aan de in artikel 6 van het Verdrag bedoelde (centrale) autoriteit voorts verzocht wordt een afschrift van dit exploot te retourneren, vergezeld van de verklaring als bedoeld in artikel 6 van het Verdrag.
Voorts wordt een afschrift van dit exploot voorzien van de vertaling van die stukken in de Engelse taal onverwijld door mij per aangetekende brief en per UPS koerier gezonden aan het adres van TikTok Ltd., voornoemd.
4. De vennootschap naar vreemd recht TikTok Information Technology UK Limited gevestigd in het Verenigd Koninkrijk, en kantoorhoudende te (EC2Y 5EB) Xxx Xxxxxx Xxxx 0xx Xxxxx, Xxxxxx, Xxxxxxxx Xxxxxxxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Zodoende heb ik uit krachte van artikel 55 lid 1 van het Wetboek van Burgerlijke Rechtsvordering mijn exploot gedaan aan het parket van de ambtenaar van het openbaar ministerie bij de rechtbank Amsterdam, alwaar ik te (1013 MM) XXxxx 000, Xxxxxxxxx, twee afschriften van deze dagvaarding, waarvan de Engelse vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig.
Verzocht wordt dit exploot, voorzien van de vertaling van die stukken in de Engelse taal, aan TikTok Information Technology UK Limited., te doen betekenen/kennisgeven overeenkomstig de artikelen 3 tot en met 6 van het Verdrag inzake de betekening en de kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 (het "Verdrag"), en wel door betekening of kennisgeving met inachtneming van de vormen in de wetgeving van de aangezochte lidstaat voorgeschreven voor de betekening of de kennisgeving van stukken, die in dat land zijn opgemaakt en bestemd zijn voor zich aldaar bevindende personen, waarbij aan de in artikel 6 van het Verdrag bedoelde (centrale) autoriteit voorts verzocht wordt een afschrift van dit exploot te retourneren, vergezeld van de verklaring als bedoeld in artikel 6 van het Verdrag.
Voorts wordt een afschrift van dit exploot voorzien van de vertaling van die stukken in de Engelse taal onverwijld door mij per aangetekende brief en per UPS koerier gezonden aan het adres van TikTok Information Technology UK Limited, voornoemd.
5. De vennootschap naar vreemd recht Beijing ByteDance Technology Co. Ltd. gevestigd in de Xxxxxxxxxxxxxx Xxxxx en kantoorhoudende te Beijing, Xxxxx 00X, Xxxxxxxx 0, Xx. X00 Xxxxxxx Xxxx, Xxxxxxx Xxxxxxxx, Xxxxxxxxxxxxxx Xxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Zodoende heb ik uit krachte van artikel 55 lid 1 van het Wetboek van Burgerlijke Rechtsvordering mijn exploot gedaan aan het parket van de ambtenaar van het openbaar ministerie bij de rechtbank Amsterdam, alwaar ik te (1013 MM) XXxxx 000, Xxxxxxxxx, twee afschriften van deze dagvaarding, waarvan de Chinese vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig.
Verzocht wordt dit exploot, voorzien van de vertaling van die stukken in de Chinese taal, aan Beijing ByteDance Technology Co. Ltd. te doen betekenen/kennisgeven overeenkomstig de artikelen 3 tot en met 6 van het Verdrag inzake de betekening en de kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 (het "Verdrag"), en wel door betekening of kennisgeving met inachtneming van de vormen in de wetgeving van de aangezochte lidstaat voorgeschreven voor de betekening of de kennisgeving van stukken, die in dat land zijn opgemaakt en bestemd zijn voor zich aldaar bevindende personen, waarbij aan de in artikel 6 van het Verdrag bedoelde (centrale) autoriteit voorts verzocht wordt een afschrift van dit exploot te retourneren, vergezeld van de verklaring als bedoeld in artikel 6 van het Verdrag.
6. De vennootschap naar vreemd recht TikTok Pte. Limited, gevestigd in de Republiek Singapore en kantoorhoudende te (048583) Singapore, 0 Xxxxxxx Xxxx 00-00, Xxxxxxxxx Xxxxxxxxx, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
mitsdien mijn exploot doende, aan de ambtenaar van het openbaar Ministerie van de rechtbank te Amsterdam, alwaar ik te Amsterdam aan het adres XXxxx 000 twee getekende afschriften, waarvan de beëdigde Engelse vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig;
onder vermelding dat verzocht wordt het exploot te betekenen overeenkomstig artikel 3 van het Nederlands – Brits Rechtsvorderingsverdrag van 31 mei 1932 (Stb. 1933, 364), door de bevoegde autoriteit door middel van eenvoudige afgifte of - zo dit in strijd is met het recht van de aangezochte staat - door betekening met inachtneming van de lokale wetgeving waarbij geen bijzondere wijze van mededeling wordt verlangd, in beide gevallen onder afgifte van een bewijs van ontvangst;
terwijl een derde afschrift van dit exploot alsmede een beëdigde vertaling in de Engelse taal daarvan, door mij, (tgv) gerechtsdeurwaarder, uit hoofde van artikel 4 lid a sub 4 van genoemd verdrag heden per aangetekende post en per ups koerier zal worden verzonden aan het adres van gerequireerde, voornoemd.
7. De vennootschap naar vreemd recht TikTok Inc. gevestigd in de Verenigde Staten van Amerika en kantoorhoudende te (CA 90230-6696) Xxxxxx Xxxx, 0000 Xxxxxxx XXXX, Xxxxxxxxx Xxxxxx van Amerika, zonder bekende woonplaats of bekend werkelijk verblijf in Nederland.
Zodoende heb ik uit krachte van artikel 55 lid 1 van het Wetboek van Burgerlijke Rechtsvordering mijn exploot gedaan aan het parket van de ambtenaar van het openbaar ministerie bij de rechtbank Amsterdam, alwaar ik te (1013 MM) XXxxx 000, Xxxxxxxxx, twee afschriften van deze dagvaarding, waarvan de Engelse vertaling onverwijld zal worden nagezonden, heb gelaten aan:
aldaar werkzaam en aanwezig.
Verzocht wordt dit exploot, voorzien van de vertaling van die stukken in de Engelse taal, aan TikTok Inc., te doen betekenen/kennisgeven overeenkomstig de artikelen 3 tot en met 6 van het Verdrag inzake de betekening en de kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 (het "Verdrag"), en wel door betekening of kennisgeving met inachtneming van de vormen in de wetgeving van de aangezochte lidstaat voorgeschreven voor de betekening of de kennisgeving van stukken, die in dat land zijn opgemaakt en bestemd zijn voor zich aldaar bevindende personen, waarbij aan de in artikel 6 van het Verdrag bedoelde (centrale) autoriteit voorts verzocht wordt een afschrift van dit exploot te retourneren, vergezeld van de verklaring als bedoeld in artikel 6 van het Verdrag.
Voorts wordt een afschrift van dit exploot voorzien van de vertaling van die stukken in de Engelse taal onverwijld door mij per aangetekende brief en per UPS koerier gezonden aan het adres van TikTok Inc., voornoemd en voorts heb ik in overeenstemming met artikel 10 sub b van het Verdrag inzake de betekening en kennisgeving in het buitenland van gerechtelijke en buitengerechtelijke stukken in burgerlijke- en handelszaken van 15 november 1965 vandaag een afschrift van dit exploot zonder producties, met vertaling daarvan in de Engelse taal, toegezonden aan een daartoe in de staat San Francisco (Verenigde Staten van Amerika), bevoegde deurwaarder, ambtenaar of andere bevoegde persoon met het verzoek betekening of kennisgeving hiervan te doen verrichten aan TikTok Inc. met inachtneming van de vormen in de wetgeving van de staat San Francisco (Verenigde Staten van Amerika) voorgeschreven.
OM:
Op woensdag zes oktober tweeduizend eenentwintig om 10.00 uur niet in persoon maar vertegenwoordigd door een advocaat te verschijnen ter terechtzitting van de rechtbank Amsterdam, alsdan te houden in één van de lokalen van het gerechtsgebouw aan de Parnassusweg 280 te (1076 AV) Amsterdam.
MET AANZEGGING DAT:
a) indien een gedaagde verzuimt advocaat te stellen of het hierna te noemen griffierecht niet tijdig betaalt de rechter verstek tegen die gedaagde zal verlenen en de hierna omschreven vordering zal toewijzen, tenzij deze hem onrechtmatig of ongegrond voorkomt;
b) indien ten minste één van de gedaagden in het geding verschijnt en het griffierecht tijdig heeft voldaan, tussen alle partijen één vonnis zal worden gewezen, dat als een vonnis op tegenspraak wordt beschouwd;
c) bij verschijning in het geding van ieder van de gedaagden een griffierecht zal worden geheven, te voldoen binnen vier weken te rekenen vanaf het tijdstip van verschijning;
e) van een persoon die onvermogend is, een bij of krachtens de wet vastgesteld griffierecht voor onvermogenden wordt geheven, indien hij op het tijdstip waarop het griffierecht wordt geheven heeft overgelegd:
1) een afschrift van het besluit tot toevoeging, bedoeld in artikel 29 van de Wet op de rechtsbijstand, of indien dit niet mogelijk is ten gevolge van omstandigheden die redelijkerwijs niet aan hem zijn toe te rekenen, een afschrift van de aanvraag, bedoeld in artikel 24, tweede lid, van de Wet op de rechtsbijstand, dan wel
2) een verklaring van het bestuur van de raad voor rechtsbijstand, bedoeld in artikel 7, derde lid, onderdeel e, van de Wet op de rechtsbijstand waaruit blijkt dat zijn inkomen niet meer bedraagt dan de inkomens bedoeld in de algemene maatregel van bestuur krachtens artikel 35, tweede lid, van die wet;
f) van gedaagden die bij dezelfde advocaat verschijnen en gelijkluidende conclusies nemen of gelijkluidend verweer voeren, op basis van artikel 15 van de Wet griffierechten burgerlijke zaken slechts eenmaal een gezamenlijk griffierecht wordt geheven;
MET MEDEDELING DAT:
gedaagden zijn opgeroepen om te verschijnen binnen de wettelijk voorgeschreven termijn zoals bedoeld in artikel 1018d lid 3 van het Wetboek van Burgerlijke Rechtsvordering, te weten vier weken na het verstrijken van de in artikel 1018d lid 1 van het Wetboek van Burgerlijke Rechtsvordering genoemde termijn, met dien verstande dat deze termijn een verkorting is of kan zijn van de reguliere termijn voor oproeping van buitenlandse gedaagden, en dat voor zover een gedaagde partij niet uiterlijk verschenen is op de in deze dagvaarding aangezegde roldatum en de rechtbank redenen ziet om geen verstek te verlenen tegen de niet verschenen gedaagde partij(en), verzoekt eiseres de rechtbank een nieuwe datum te bepalen waartegen de betreffende partijen opgeroepen dienen te worden.
eiser binnen twee dagen na indiening van de dagvaarding het exploot van dagvaarding ter griffie indient en gelijktijdig aantekening maakt van de dagvaarding in het centraal register voor collectieve acties als bedoeld in artikel 305a, zevende lid, van Boek 3 van het Burgerlijk Wetboek, xxx.xxxxxxxxxxx.xx/Xxxxxxxxx/xxxxxxxx-xxxxxxxx-xxxx-xxxxxxxxxxx-xxxxxxxxxxx. De aantekening zal vergezeld gaan van een afschrift van de dagvaarding.
XXXXXXXX alsdan en aldaar tegen zich als gedaagden namens xxxxx te horen eisen als volgt:
Inhoudsopgave
1.2 TikTok binnen het ecosysteem van sociale media 15
2.1 Stichting Massaschade & Consument 24
4.1.2 Advertenties op TikTok 32
4.3 Betaalde TikTok Diensten 41
4.4 Samenvatting feitelijk kader 42
5.2 Schending fundamentele rechten 43
5.2.1 Schending artikel 7 en 8 Handvest 43
5.2.2 Schending kinderrechten: IVRK en Handvest 46
5.3.1 Materiele toepasselijkheid AVG 50
5.3.2 TikTok is verwerkingsverantwoordelijke op grond van de AVG 53
5.3.3 Territoriale toepasselijkheid AVG 56
5.3.4 Onrechtmatige doorgifte van persoonsgegevens 58
5.3.5 Schending rechtmatigheid 61
5.3.6 Schending transparantie 81
5.3.7 Schending dataminimalisatie en privacy by design en privacy by default 89
5.3.8 Schending verbod op geautomatiseerde besluitvorming waaronder profilering 94
5.4 Schending Tw 102
5.4.1 Materiële toepasselijkheid artikel 11.7a Tw 102
5.4.2 TikTok is verantwoordelijk voor naleving van artikel 11.7a Tw 103
5.4.3 Territoriale toepasselijkheid artikel 11.7a Tw 104
5.4.4 Geen geldige toestemming op grond van artikel 11.7a Tw 104
5.4.5 Bewijsvermoeden verwerking persoonsgegevens 107
5.5 Schending dwingend consumentenrecht 108
5.5.1 Onredelijk bezwarende bedingen 108
5.5.2 Oneerlijke handelspraktijken 114
5.5.3 Strijd met regels voor videoplatformdiensten 121
6 Aansprakelijkheid en schade 126
6.1 Aansprakelijkheid op grond van de AVG 126
6.1.1 Schenden AVG, toerekenbaarheid, relativiteit en causaal verband 127
6.2 Aansprakelijkheid op grond van onrechtmatige daad 129
6.2.1 Onrechtmatig handelen 129
6.2.2 Toerekenbaarheid en causaal verband 131
6.3 Schade 132
6.3.1 Schadevergoeding op grond van de AVG 132
6.3.2 Immateriële schadevergoeding 132
6.4 Berekening van de schade 137
6.4.1 Winstafdracht (artikel 6:104 BW) 137
6.4.2 Forfaitaire bedragen/tarifering van schade 137
6.4.3 Materiële schadevergoeding 142
6.5 Hoofdelijke aansprakelijkheid 145
6.5.1 Hoofdelijke aansprakelijkheid op grond van de AVG 145
6.5.2 Hoofdelijke aansprakelijkheid op grond van het BW 145
7 Bewijs 147
7.1 Bewijsrechtelijke uitgangspunten 148
7.2 Subsidiair: verzoek tot het leveren van bewijs door een deskundigenbericht te bevelen
ex artikel 194 Rv 148
7.3 Subsidiair: andere mogelijkheden om noodzakelijke informatie te verkrijgen in
onderhavige zaak 149
7.4 Waarheidsplicht (artikel 21 Rv) 150
7.5 Bewijsverrichtingen op grond van artikel 22 Rv 150
7.6 Door TikTok te verstrekken data en bescheiden 151
7.7 Stel- en bewijsplicht bij schadebegroting 152
7.8 Stichting biedt bewijs aan 153
8 Ontvankelijkheid van de Stichting 154
8.1 Ontvankelijkheidseisen ex art. 3:305a BW 154
8.1.1 Gelijksoortigheidsvereiste 155
8.1.2 Statutenvereiste 156
8.1.3 Waarborgvereiste 159
8.1.4 Aanvullende ontvankelijkheidseisen 169
8.1.5 AVG bevat geen aanvullende of stringentere voorwaarden 171
8.1.6 Conclusie 173
8.2 Eisen ex art. 1018c lid 1Rv 174
8.2.1 Inleiding 174
8.2.2 Beantwoording van feitelijke en rechtsvragen zijn in voldoende mate
gemeenschappelijk (ex art. 1018c lid 1 sub c Rv) 174
8.2.3 Gegevens op basis waarvan de rechtbank in staat is om een Exclusieve
Belangenbehartiger aan te wijzen (ex art. 1018c lid 1 sub e Rv) 175
8.2.4 Aantekening van de onderhavige dagvaarding in het register en vermelding van de gevolgen van die aantekening (ex art. 1018c lid 1 sub f Rv) 179
9 Rechtsmacht en toepasselijk recht 179
9.1 Rechtsmacht 179
9.1.1 Artikel 79 lid 2 AVG 179
9.1.2 Rechtsmacht op basis van onrechtmatige daad 180
9.1.3 Rechtsmacht op basis van consumentenovereenkomst 180
9.1.4 Rechtsmacht op basis van connexiteit 181
9.1.5 Geen exclusieve forumkeuze in Gebruiksvoorwaarden TikTok 181
9.1.6 Rechtbank Amsterdam 181
9.2 Toepasselijk recht 181
9.2.1 Toepasselijk recht op vorderingen uit onrechtmatige daad 182
9.2.2 Toepasselijk recht op vorderingen uit consumentenovereenkomsten 182
9.2.3 Geen geldige rechtskeuze in Gebruiksvoorwaarden TikTok 182
10 Bekende verweren en weerlegging 183
11 Toelichting vorderingen 183
11.1 Wet afwikkeling massaschade in collectieve actie 183
11.2 Omschrijving groepen Gedupeerden 183
11.3 Exclusieve belangenbehartiger 185
11.4 Toelichting vorderingen 185
12 Petitum 188
Productieoverzicht 195
AFKORTINGEN EN BEGRIPPEN
Afkorting | Definitie |
ACM | Autoriteit Consument & Markt |
Afdeling | Afdeling Bestuursrechtspraak van de Raad van State |
AI | Artificiële Intelligentie of kunstmatige intelligentie |
AP | Autoriteit Persoonsgegevens |
App | Mobiele applicatie waarop de TikTok Dienst beschikbaar is |
AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG |
AVMD-richtlijn | Richtlijn 2010/13/EU van het Europees Parlement en de Raad van 10 maart 2010 betreffende de coördinatie van bepaalde wettelijke en bestuursrechtelijke bepalingen in de lidstaten inzake het aanbieden van audiovisuele mediadiensten |
Brussel I bis-Vo | Verordening (EU) 1215/2012 van het Europees Parlement en de Raad van 12 december 2021 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken |
BW | Burgerlijk Wetboek |
CBS | Centraal Bureau voor de Statistiek |
CBP | College bescherming persoonsgegevens |
Code voor Kinderrechten | Tien beginselen met praktische voorbeelden waarmee ontwerpers en ontwikkelaars de fundamentele rechten van kinderen kunnen waarborgen in digitale diensten |
DPbDD | Data protection by design en data protection by default |
EB | Exclusieve Belangenbehartiger |
EDPB | Europees Comité voor gegevensbescherming |
EER | Europese Economische Ruimte |
EU | Europese Unie |
EVRM | Europees Verdrag van de Rechten voor de Mens |
Financier | (Een aan) IVO Capital Partners (verbonden fonds), te weten: Consumer Privacy Litigation Funding (42) L.P. |
Financierings- overeenkomst | Financieringsovereenkomst gesloten tussen de Stichting en de Financier |
GC25 | United Nations Human Rights Committee, General Comment No.25 (2021) on children’s rights in relation to the digital environment |
Gedupeerden | Benadeelde personen voor wier belangen in de procedure wordt opgekomen |
Handvest | Handvest van de grondrechten van de Europese Unie |
HVJEU | Hof van Justitie van de Europese Unie |
ICO | Information Commissioner’s Office |
IVRK | VN Verdrag inzake de Rechten van het Kind |
KJC | Kinder- en Jeugdreclamecode |
Modelcontractbesluit | Modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie |
Nauw Omschreven Groep | Groep natuurlijke personen die wordt vertegenwoordigd door de Stichting en uiteenvalt in drie categorieën. |
Nauw Omschreven Groep 1 | De groep die door TikTok is benadeeld bestaande uit natuurlijke personen in Nederland die de TikTok Dienst hebben gebruikt en die op het moment van eerste gebruik de leeftijd van 13 jaar nog niet hadden bereikt |
Nauw Omschreven Groep 2 | De groep die door TikTok is benadeeld bestaande uit natuurlijke personen in Nederland die de TikTok Dienst hebben gebruikt en die op het moment van eerste gebruik een leeftijd hadden van 13, 14, 15, 16 of 17 jaar |
Nauw Omschreven Groep 3 | De groep die door TikTok is benadeeld bestaande uit natuurlijke personen in Nederland die de TikTok Dienst hebben gebruikt en die op het moment van eerste gebruik een leeftijd hadden van 18 jaar of ouder |
NRC | Nederlandse Reclame Code |
OESO | Organisatie voor Economische Samenwerking en Ontwikkeling |
Privacyshieldbesluit | EU-VS Privacy Shield |
RCC | Reclame Code Commissie |
Rome II- Verordening | Verordening (EG) 864/2007 van het Europees Parlement en de Raad van 11 juli 2007 betreffende het recht dat van toepassing is op niet- contractuele verbintenissen |
RSM | Reclamecode Social Media & Influencer |
RV | Wetboek van Burgerlijke Rechtsvordering |
SCC’s | Standard Contractual Clauses, ook wel Modelcontractbepalingen genoemd |
Stichting | Stichting Massaschade & Consument |
TikTok | ByteDance Ltd., TikTok Ltd., TikTok Technology Limited, TikTok Information Technologies UK Limited en TikTok Inc. |
TikTok Dienst | Social media Dienst waarmee korte muziekvideo’s gemaakt en gedeeld kunnen worden, aangeboden door TikTok. |
Tw | Telecommunicatiewet |
UAVG | Uitvoeringswet Algemene Verordening Gegevensbescherming |
VEU | Verdrag betreffende de Europese Unie |
VN- Kinderrechtencomité | VN Comité voor de Rechten van het Kind |
VWEU | Verdrag betreffende de werking van de Europese Unie |
WAMCA | Wet afwikkeling masaschade in collectieve actie |
Website | Website waarop de TikTok Dienst beschikbaar is (xxx.xxxxxx.xxx) |
WP29 | Working Party 29, voorganger van de EDPB |
1 INLEIDING
1.1 Context van de zaak
1. De klanten van socialemediabedrijven worden in het internetjargon “gebruikers” genoemd. In de Netflix-documentaire The Social Dilemma geeft Xxxxxx Xxxxx aan dat er maar één andere industrie is die zijn klanten zo noemt. De drugsindustrie. Er zijn meer overeenkomsten. Beide sectoren maken en houden hun “gebruikers” verslaafd. De documentaire toont dat overtuigend aan.
2. In The Social Dilemma komen veel spijtoptanten aan het woord: voormalige werknemers van Facebook, Twitter en YouTube. Zij leggen uit dat slechts één vraag relevant is voor hun bazen: hoe houden we onze gebruikers aan het scherm gekluisterd? Xxxxxxx Xxxxxx, ex-Google, noemt sociale media “the new Big Tobacco”.
3. De vergelijking van Xxxxxx Xxxxx tussen de klanten van socialemediabedrijven en die van de drugsindustrie gaat echter op een belangrijk punt mank. De emeritus hoogleraar van Yale gaat er vanuit dat de “gebruikers” van socialemediabedrijven ook hun klanten zijn. Dat zijn ze niet. Adverteerders, dat zijn hun klanten.
4. De voortdurende aandacht van de “gebruiker” is nodig om een zo gedetailleerd mogelijk profiel van hem te kunnen maken. Wat leest hij? Wat kijkt hij? Wat liket hij? Iedere klik wordt geregistreerd, gemeten en verdisconteerd in het profiel, dat de alomvattende vraag moet beantwoorden: wie ben jij?
5. Die vraag wordt niet door de “gebruikers” gesteld, maar door de adverteerders. Het online advertentiemodel is gebaseerd op behavorial targeting; het zo persoonlijk mogelijk richten van advertenties of andere informatie op basis van het gedrag dat de “gebruiker” vertoont. Om dat doel te bereiken, worden “gebruikers” verslaafd gemaakt aan sociale media, zodat zoveel mogelijk persoonsgegevens kunnen worden verzameld, verrijkt en gedeeld.
6. De maatschappelijke tol van dit business model is hoog. Nooit eerder is er zoveel depressie onder pubers geweest, vooral bij jonge meisjes.1 De zelfmoordcijfers stijgen synchroon aan de toename van het socialemediagebruik.2 Er is steeds meer polarisatie. Mensen worden geparkeerd in filterbubbels, waarbinnen ze alleen de berichten en video’s ontvangen waarvan het algoritme heeft bepaald dat je ze interessant vindt.3
7. Het algoritme is zo geprogrammeerd dat daarbij bepaalde vooroordelen worden uitgebuit. Wie de verschillen tussen mensen steeds benadrukt, zet ze ook tegen elkaar op. De hoeveelheid desinformatie die dagelijks wordt verspreid neemt enorme proporties aan.
1 Zie o.a. The Guardian, Depression in girls linked to higher use of social media, 4 januari 2019, Fout! De hyperlinkverwijzing is ongeldig..
2 Zie o.a. Healio, Social media use may play important role in youth suicide, expert says, 5 oktober 2020, xxxxx://xxx.xxxxxx.xxx/xxxx/xxxxxxxxxx/00000000/xxxxxx-xxxxx-xxx-xxx-xxxx-xxxxxxxxx-xxxx-xx-xxxxx-xxxxxxx-xxxxxx-xxxx. 3 Zie over de term “filterbubbel” o.a. Wikipedia: xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxxxxxxxxxx.
1.2 TikTok binnen het ecosysteem van sociale media
8. Het bedrijf TikTok komt niet in The Social Dilemma voor. De documentaire is tot stand gekomen in de jaren 2019 en 2020, terwijl TikTok-gebruik juist in 2020 een enorme vlucht heeft genomen. Geen ander sociaalmediabedrijf heeft zo geprofiteerd van COVID-19 als het van oorsprong Chinese TikTok. Het aantal actieve TikTok-gebruikers in Nederland is in 2021 met 149% gestegen tot 1,7 miljoen. Het dagelijks gebruik is in de pandemie met 197% gestegen. Onder jongeren is het Facebook al gepasseerd.4
9. TikTok is op dit moment het snelst groeiende socialemediabedrijf. Het bedrijf dat aanvankelijk vooral bekend werd door de dansjes en challenges van kinderen, groeit vooral hard onder (jong)volwassenen.5 Circa 70-75% van de TikTok-gebruikers is inmiddels volwassen en het percentage stijgt.6 De grootste groep is op dit moment tussen de 16 en 24 jaar oud.7
10. TikTok onderscheidt zich op een aantal belangrijke punten van andere socialemediabedrijven.
11. In de eerste plaats vanwege het algoritme. Het algoritme van TikTok is veel effectiever dan de algoritmen van bijvoorbeeld Facebook of Instagram. Op basis van het gedrag van gebruikers bij getoonde video’s krijgt de gebruiker steeds meer en beter gepersonaliseerde content. Na de
4 Newcom Research, Nationale Social Media Onderzoek 2021, 23 januari 2021, toegevoegd als productie 1.
5 Adweek, TikTok Is Growing Up, and So Are Its Users, 26 mei 2020, xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxxx- marketing/tiktok-is-growing-up-and-so-are-its-users/.
6 Zie Omnicore, TikTok by the Numbers: Stats, Demographics & Fun Facts, last updated 11 August 2021, xxxxx://xxx.xxxxxxxxxxxxxx.xxx/xxxxxx-xxxxxxxxxx/.
7 Cijfers van 15 maart 2021 van Amerikaanse gebruikers, xxxxx://xxx.xxxxxxxx.xxx/xxxxxxxxxx/0000000/xxxxxx-xx-xxxxx-xxx/.
app (“App”) een paar uur gebruikt te hebben, weet TikTok al precies waarmee het de aandacht van de gebruiker vast kan houden.
12. Facebook maakt zich vanzelfsprekend zorgen om de niet te stuiten opmars van de concurrent uit China. “Natuurlijk maken we ons zorgen,” zei Facebook COO Xxxxxx Xxxxxxxx begin 2020, om daar aan toe te voegen dat het bedrijf veel sneller groeit dan Facebook ooit heeft gedaan.8 De eigenaar van de platforms Facebook, Instagram en WhatsApp heeft miljoenen geïnvesteerd in apps en toepassingen die met TikTok moeten concurreren. Het bedrijf moest in de zomer van 2020 echter al afscheid nemen van Xxxxx. Ook Reels, een toepassing in Instagram, kan gebruikers niet bekoren.9
13. TikTok is ongeëvenaard vanwege de kracht van het algoritme. Geen ander bedrijf weet je interesses zo nauwkeurig in kaart te brengen. Die persoonlijke gerichtheid van video’s kan een nieuwe speler nooit evenaren. In het boek Attention Factory: The Story of TikTok and China’s ByteDance wordt het volgt omschreven.
“The more time users spent in TikTok, the more detailed their user profile interest graph became. Put simply - the more you used TikTok, the more personalized it became. This dynamic ensured the early experience of using any clone would always be inferior.”10
14. De trechtervorming van het algoritme werd door Xxxxx Xxxxxx omschreven als de “fabeltjesfuik”. In een van de meest bekeken uitzendingen van het programma Zondag met Xxxxxx legt hij uit hoe mensen op sociale media in een eigen parallelle werkelijkheid worden gezogen.11 Lubach zegt het als volgt.
“Je denkt dan ook dat je zelf kiest welk filmpje gaat kijken, maar eigenlijk zit je in een nauwer tunneltje dan ooit: de fuik. En hoe langer mensen in die fuik zitten, hoe meer ze openstaan voor radicale ideeën die ze zelf nog niet hadden.”
15. Het algoritme zuigt de gebruiker steeds dieper in de fuik door de werking van de App. Dat is het tweede verschil tussen TikTok en andere sociale media. Bij andere sociale media zoals Facebook, Twitter en Instagram selecteert de gebruiker voornamelijk zelf wie hij volgt. Bij TikTok kan dat ook, maar het leeuwendeel van de content die de gebruiker voorgeschoteld krijgt, wordt door TikTok geselecteerd. De App toont geselecteerde content aan de gebruiker via de “Voor jou” feed. Vervolgens houdt XxxXxx onder meer bij op welke video de gebruiker blijft steken, hoe lang, of hij hem liket, commentaar geeft, een duet doet of doorscrollt. Op basis van zijn gedrag krijgt de gebruiker steeds meer en beter gepersonaliseerde content. Dit alles om zo lang mogelijk de aandacht van de gebruiker vast te houden.
8 Business Insider, Xxxxxx Xxxxxxxx said she worries about TikTok because it got huge faster than Facebook did, 27 februari 2020, xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxxx-xxxxxxxx-xxxx-xxx-xxxxxxx-xxxxx-xxxxxx-0000-0.
9 Business Insider, Facebook is dumping its failed TikTok clone Lasso to make way for its other TikTok clone on Instagram, 2 juli 2020, xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxxxxx-xxxxxxxx-xxxx-xxxxx-xxxxxx-xxxxx-xxxxxxxxx-xxxxx-0000-0.
10 Xxxxxxx Xxxxxxx, Attention Factory: The Story of TikTok and China’s ByteDance, China Channel 2020, p. 220. 11 De uitzending van 18 oktober 2020 is hier terug te kijken: xxxxx://xxx.xxxx.xx/xxxxxx-xxx- lubach/kijk/afleveringen/seizoen-12/aflevering-5.html.
16. Onderdeel van dit beleid is dat TikTok haar moderators instrueert om content van “ugly, poor and disabled” gebruikers te censureren voor nieuwe gebruikers.12
17. Alles om de aandacht van de gebruikers zo lang mogelijk vast te houden, alles om de gebruikers te doen verlangen naar hun volgende dopamineshot. De werking van de “Voor jou” feed zuigt je zo nog dieper de tunnel in.
18. In de derde plaats onderscheidt TikTok zich van andere sociale media vanwege het grote aantal kinderen en jongvolwassenen dat TikTok gebruikt. Op TikTok zijn ruim 700.000 Nederlandse kinderen jonger dan 13 actief. In de leeftijdscategorie 13-17 jaar is dit ruim 6oo.000. Het overgrote deel van de minderjarige gebruikers, gebruikt TikTok elke dag.13 Ook onder (jong)volwassenen is TikTok populair. Ongeveer 900.000 van hen gebruiken TikTok in Nederland.14 Verschillende onderzoeken geven uiteenlopende cijfers, maar alle onderzoeken hebben met elkaar gemeen dat (jong)volwassenen de App heel actief gebruiken.
19. In de vierde plaats is TikTok anders omdat het bedrijf zijn wortels in China heeft. Moederbedrijf ByteDance is in 2012 opgericht door de nu 36-jarige Xxxxx Xxxxxx, die nog steeds in Beijing woont. Tot april dit jaar zwaaide hij ook de scepter bij TikTok. Het socialemediabedrijf wordt vanaf dan geleid door Xxxxxx Xxxx, de CFO van ByteDance. De Chinese overheid heeft ten tijde van de machtswisseling een belang van 1% genomen in ByteDance Technology Co. Ltd, de technologische tak van ByteDance. Het bekleedt ook een van de drie bestuurszetels.
20. De Chinese inmenging heeft ook gevolgen voor wat te zien is op TikTok. TikTok censureerde content waarin kritiek werd geuit op het beleid van China ten aanzien van de Oeigoeren. Het
12 The Intercept, Invisible Censorship, 16 maart 2020, xxxxx://xxxxxxxxxxxx.xxx/0000/00/00/xxxxxx-xxx-xxxxxxxxxx-xxxxx- discrimination/.
13 Panteia, ‘Marketing voor alcohol en voedingsproducten via sociale media. Wet- en regelgeving, werkwijzen, bereik en effecten’,
21 juni 2021, p. 72 en bijlage 6, beschikbaar via xxxxx://xxxx.xxxxxxxxxxxxxxxxxxxxxxx.xx/xxx-000000.
14 xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxxxxxxx/xxxxxx-xxxxx-xx-xxxxxxxxx-0000.
bedrijf bood daar later haar excuses voor aan15 TikTok censureerde ook video’s over de protesten in Hong Kong.16 Content die aangemerkt wordt als LGTBQI is evenmin welkom op TikTok.17
21. In de vijfde plaats verschilt TikTok met andere sociale media omdat geen ander socialemediabedrijf zo onder vuur lijkt te liggen als TikTok. Experts waarschuwen voor de mogelijk schadelijke (langetermijn)effecten van gebruik van sociale media door kinderen. De accelererende en escalerende werking van het TikTok-algoritme heeft in verschillende gevallen zelfs tot een fatale afloop geleid.18 Europese toezichthouders zijn zeer kritisch.
• In juli 2021 legt de AP TikTok een boete van € 750.000 op wegens een schending van de informatieverplichtingen uit de AVG.19 De AP oordeelt dat de gebruikers van de TikTok Dienst, met name kinderen, geen begrijpelijke informatie ontvingen, omdat de informatie tot juni 2020 alleen in de Engelse taal beschikbaar was.
• Naar aanleiding van de dood van een 10-jarig meisje heeft de Italiaanse toezichthouder voor gegevensbescherming TikTok begin 2021 opgedragen op om alle Italiaanse gebruikers waarvan de leeftijd niet met zekerheid is vastgesteld, te blokkeren totdat TikTok alle accounts van kinderen onder de 13 heeft verwijderd (productie 2).20
• Een aantal andere Europese privacytoezichthouders heeft de afgelopen jaren eveneens onderzoeken naar TikTok ingesteld, waaronder de toezichthouders uit het Verenigd Koninkrijk,21 Frankrijk22 en Denemarken23 Sommige van deze onderzoeken zijn overgedragen aan de Ierse toezichthouder omdat de Europese hoofdvestiging van TikTok zich inmiddels in Ierland bevindt.24
• De Hongaarse toezichthouder op het gebied van mededinging is in oktober 2020 een onderzoek gestart naar TikTok. Het gaat onder meer om het verstrekken van informatie over de voorwaarden voor gebruik van het platform en het beschermen van kinderen tegen advertenties.25
15 xxxxx://xxx.xx/xxxxxxx/0000000-xxxxxx-xxxxx-xxxxxxx-xxx-xxxx-xxxxxxxxxxx-xxx-xxxxx-xxxx-xxxxxxxxx.
16 xxxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxxxxx/0000/xxx/00/xxxxxxxx-xxx-xxxxxx-xxxxxxx-xxxxxx-xxxx-xx-xxx-xxxxxx-xxxxxxx.
17 xxxxx://xxxxxxxxxxx.xxx/0000/xxxxxxxxxxxx-xxx-xxxxxxxxxx/.
18 xxxxx://xxx.xxxxxxxxxx.xx/xxxxxx-xxxxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxx-xxxxxxxxxxxx-xx-xxxx-00-xxxxx-xxxxxxxx0xxxxx0/.
19 xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx-xxxxxxxx.
20 xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxx/xxxxxx/-/xxxxxx-xxxxxxx/xxxxxx/0000000; Zie ook toespraak vice-voorzitter Garante: xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxx/xxxxxx/-/xxxxxx-xxxxxxx/xxxxxx/0000000 en een Q&A: xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxx/xxxxxx/-/xxxxxx-xxxxxxx/xxxxxx/0000000.
21 xxxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxxxxx/0000/xxx/00/xxxxxx-xxxxx-xxxxxxxxxxxxx-xxxx-xxxxx-xxxx-xxx.
22 xxxxx://xxxxxxxxxx.xxx/0000/00/00/xxxxxx-xx-xxxxx-xxxxxxxxxxxx-xx-xxxxxxx-xxxx-xxxxxxxx/.
23 xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxx-xx-xxxxxxx/xxxxxxxxxxx/0000/xxx/xxxxxxxxxxxx-xxxxxxxxxxx-xxxxxx.
24 xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxx-xx-xxxxxxx/xxxxxxxxxxx/0000/xxx/xxxxxxxxxxxx-xxxxxxxxxx-xxxxxx-xxx-xxx-xxxxxx; De AP onderzocht ook diverse andere schendingen van de AVG, maar heeft haar bevindingen in dat verband overgedragen aan de Ierse toezichthouder, die in de tussentijd de leidende toezichthouder is geworden omdat XxxXxx zich in Ierland heeft gevestigd. De AP was vanaf dat moment alleen nog bevoegd om te oordelen over de Engelstalige privacyverklaring van TikTok, omdat die overtreding was beëindigd. De Ierse toezichthouder zal het onderzoek naar TikTok voortzetten en een definitief oordeel vellen over de andere mogelijke privacy schendingen.
25 xxxxx://xxx.xxx.xx/xx/xxxxx_xxxx/xxxxx_xxxxxxxx/xxxxx-xxxxxxxx-0000/xxx-xxxxxxxxxxx-xxxxxxxxx-xxx-xxxxxxxxx-x- proceeding-against-tiktok.
• Op 16 februari 2021 heeft de Europese koepelorganisatie voor consumentenorganisaties BEUC een klacht ingediend tegen TikTok (productie 3). Volgens BEUC misleidt het platform zijn gebruikers, hanteert het onduidelijke en oneerlijke voorwaarden en beschermt het kinderen onvoldoende tegen advertenties en ongepaste inhoud. XXXX verzoekt toezichthouders in te grijpen.26 BEUC heeft uitgebreid onderzoek gedaan naar de activiteiten van XxxXxx en deze beschreven in rapporten over consumentenrecht (productie 4)27 en privacyrecht (productie 5).28
• Het Europees Comité voor gegevensbescherming ("EDPB"), ten slotte, heeft een speciale taskforce opgezet om de praktijken van TikTok in de hele Europese Unie ("EU") te onderzoeken.29
22. Ook buiten de EU ligt TikTok onder vuur in verband met haar privacyonvriendelijke praktijken.
• In juli 2020 heeft XxxXxx in Zuid-Korea een boete gekregen voor het verzamelen van gegevens van kinderen onder de 14 zonder toestemming van de wettelijk vertegenwoordiger. Verder werden gebruikers niet geïnformeerd over de doorgifte van gegevens naar derde landen.30
• In februari 2019 kreeg TikTok van de Amerikaanse Federal Trade Commission een boete van 5.7 miljoen dollar voor het verwerken van gegevens van kinderen onder de 13 jaar.31
• In Illinois heeft XxxXxx bovendien ingestemd met een schikkingsvoorstel van 92 miljoen dollar om een collectieve schadezaak af te wenden. De collectieve actie betrof onder meer de doorgifte van gegevens, waaronder gegevens verzameld met gebruik van gezichtsherkenning, naar derde partijen in China.32
• In Canada is eveneens een class action tegen TikTok gaande over de verwerking van persoonsgegevens van kinderen onder de 13 jaar oud, zonder toestemming van ouders.33
23. Ook de Nederlandse politiek maakt zich zorgen.
24. Op 20 mei jl. roept de ChristenUnie de Minister voor Rechtsbescherming op maatregelen te nemen om kinderen te beschermen op TikTok. Dat betekent volgens de ChristenUnie dat (i) er geen marketingprofielen van kinderen mogen worden bijhouden, (ii) gepersonaliseerde advertenties voor kinderen moeten stoppen, (iii) kinderen zelf moeten kunnen kiezen welke
26 xxxxx://xxx.xxxx.xx/xxxxxx; xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxxx/xxxxxx.
27 xxxxx://xxx.xxxx.xx/xxxxxxxxxxxx/xxxx-x-0000-000_xxxxxx_xxxxxxx_xxxxxxx.xxx.
28 xxxxx://xxx.xxxx.xx/xxxxxxxxxxxx/xxxx-x-0000-000_xxxxxxxxx_xx_xxxxxx- a_data_protection_law_analysis_of_tiktok_s_privacy_policy.pdf.
29 xxxxx://xxxx.xxxxxx.xx/xxxx/xxxx/0000/xxxxxx-xxxxx-xxxxxxx-xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxx-xxxxxx-xxxxxxxx-xxxx-xxx_xx, het bericht is toegevoegd als productie 6.
30 xxxxx://xxx.xxx.xxx/xxxx/xxxxxxxxxx-00000000.
31 xxxxx://xxx.xxxxxxxxxxxxxx.xxx/xxxxxxxxxx/0000/00/00/xx-xxxxxxxxxx-xxxxx-xxx-xxx-xxxxx-xxxxxx-xxxxxxx-xxxxxxxxx- collecting-childrens-data/.
32 xxxxx://xxx.xxx.xxx/0000/00/00/000000000/xxxxxx-xx-xxx-00-xxxxxxx-xx-xxxxxx-xxxxx-xxxxxx-xxxx-xxxx-xxxxx-xx-xxxxxxxx- data.
33 xxxxx://xx.xxxxxxxxxxxxxxx.xxx/xxxxxxx-xxxxxxxxxxx/xxxxxxxx-xxxxxxxx/xxxxxx-xxxx/xxxxxx-xxxxxx-xxxxx-xxxxxx-xxxx-xxxx- info-illegally-collected/.
content zij willen zien en dat niet mag worden gebaseerd op automatische analyses en data, en
(iv) dat het delen en verhandelen van data van kinderen moet stoppen.34
25. De minister zegt toe dit nader te onderzoeken:
“Ik constateer dat dat beschermingsniveau hoog is en dat er ook echt extra waarborgen zijn als het gaat om kinderen. Het gaat niet alleen maar via de AVG, maar er is bijvoorbeeld ook de Code voor kinderrechten voor de verschillende platforms die de persoonsgegevens van kinderen verwerken. (…) We hebben wetgeving, en wetgeving maken gaat altijd traag en loopt soms achter de feiten aan. Maar omdat er steeds meer kan – de heer Xxxxx haalde zelf een aantal voorbeelden daarvan aan – moeten we ook steeds weer nadenken over wat er nodig is om weer een volgende stap te zetten.”35
26. Ondanks alle klachten over TikTok lijkt de opmars van het bedrijf niet te stuiten. Bovenstaande verschillen met andere socialemediabedrijven zijn daar debet aan. Waar Xxxx Xxxxxxxxxx afscheid heeft genomen van zijn credo Move fast and break things, lijkt XxxXxx het omarmd te hebben.36 TikTok voegt dagelijks nieuwe toepassingen aan haar dienst toe. Dit is dan ook bij uitstek het moment in te grijpen en het handelen van TikTok in overeenstemming met het recht te brengen.
1.3 Leeswijzer
27. In deze dagvaarding zal in het navolgende eerst het doel van de zaak worden geschetst (paragraaf 1.4). Daarbij zal onder meer worden gewezen op het grote aantal klachten en incidenten rond TikTok, die tot meerdere sancties hebben geleid. De klachten, incidenten en sancties resulteren echter niet in een beëindiging van de schendingen door XxxXxx. De Stichting ziet in deze zaak de xxxx resterende mogelijkheid tot effectieve handhaving: het in een collectieve actie vorderen van schadevergoeding die recht doet aan de schendingen van onder meer fundamentele (kinder)rechten, het recht op privacy en gegevensbescherming en media- en consumentenrechten.
28. Vervolgens zal de positie en rol van de Stichting worden toegelicht, alsook de gedagvaarde partijen (hoofdstuk 2) en de voorgeschiedenis van deze procedure (hoofdstuk 3). Aansluitend zal ingegaan worden op de dienst die door TikTok wordt aangeboden (hoofdstuk 4). Het betreft hier onder meer de werking van de TikTok Dienst en met name het achterliggende algoritme. TikTok verzamelt zoveel mogelijk informatie over haar gebruikers om vervolgens met gebruik van dit algoritme I) gebruikers aan te zetten tot zoveel mogelijk gebruik van de TikTok Dienst,
II) de inhoud van de dienst te personaliseren en III) haar gebruikers te targeten met gepersonaliseerde advertenties. Aan de orde komt verder dat het voor gebruikers doorgaans niet duidelijk is dat de video’s die zij zien reclame zijn en dat deze worden getoond op basis
34 Kamerstukken II 2020/21, 32761, nr. 192, p. 10.
35 Kamerstukken II 2020/21, 32761, nr. 192.
36 Xxxxxx Xxxxxx, “The Era of “Move Fast and Break Things” Is Over”, Harvard Business Review, 22 januari 2019, xxxxx://xxx.xxx/0000/00/xxx-xxx-xx-xxxx-xxxx-xxx-xxxxx-xxxxxx-xx-xxxx.
van het opgebouwde profiel van de gebruiker. Ook wordt besproken dat persoonsgegevens van gebruikers worden gedeeld met derde partijen voor commerciële doeleinden.
29. Vervolgens wordt het juridisch kader behandeld (hoofdstuk 5). Daarin zal uiteen worden gezet dat de activiteiten van TikTok in strijd zijn met onder meer:
• fundamentele rechten die opgenomen zijn in het Handvest van de grondrechten van de EU (“Handvest”) en het VN Verdrag inzake de Rechten van het Kind 1989 (“IVRK”), onder meer omdat de in het Handvest beschermde privacyrechten van gebruikers niet worden gerespecteerd en omdat TikTok het verbod op economische exploitatie van kinderen schendt;
• de Algemene verordening gegevensbescherming (“AVG”), onder meer door het op onrechtmatige en ontransparante wijze verwerken verzamelen van grote hoeveelheden persoonsgegevens, deze te gebruiken voor het creëren van indringende profielen en deze profielen te gebruiken voor louter commercieel gewin;
• de Telecommunicatiewet (“Tw”), door het op onrechtmatige en ontransparante wijze plaatsen en uitlezen van informatie op de randapparatuur van de gebruiker;
• het media- en reclamerecht en het consumentenrecht, onder meer door het gebruik van onredelijk bezwarende bedingen in de gebruiksvoorwaarden waarmee de gebruikers verplicht zijn akkoord te gaan en door het tonen van reclame, waarvan niet duidelijk is dat dit reclame is.
30. In het volgende hoofdstuk zal de aansprakelijkheid van TikTok worden besproken en haar verplichting om de schade die haar gebruikers lijden en hebben geleden te vergoeden (hoofdstuk 6). Mede gelet op de aard, de ernst, de duur en het opzettelijke karakter van de inbreuk wordt deze schade per persoon begroot op € 1750 voor personen die bij het eerste gebruik van TikTok nog niet de leeftijd van 13 jaar hebben bereikt, € 1500 voor personen die bij het eerste gebruik van TikTok 13, 14, 15, 16 0f 17 jaar oud zijn en € 1250 per persoon die bij het eerste gebruik van TikTok 18 jaar of ouder is.
31. Aansluitend volgt een toelichting op de bewijsrechtelijke aspecten van de procedure (hoofdstuk 7), een hoofdstuk over de ontvankelijkheid van de stichting (hoofdstuk 8), een toelichting op de rechtsmacht en het toepasselijke recht (hoofdstuk 9), een weerlegging van de verweren van TikTok (hoofdstuk 10) en de vorderingen van de Stichting met een toelichting daarop (hoofdstukken 11 en 12).
1.4 Doel van de zaak
32. Uit alle klachten en incidenten volgt dat XxxXxx op verschillende manieren in strijd met het Europese en Nederlandse recht handelt, op hoofdlijnen door door:
1. zo veel mogelijk persoonlijke informatie over gebruikers te verzamelen, profielen te creëren en deze te delen met adverteerders;
2. haar gebruikers met content en advertenties te targeten, gebaseerd op hun profielen;
3. geen onderscheid te maken tussen advertenties en video’s (“Don’t make ads, make TikToks”), zodat reclame onherkenbaar is;
4. informatie over gebruikers door aan landen met een onveilig beschermingsregime voor persoonsgegevens.
33. De schendingen van het recht door TikTok zijn talloos, onder meer door:
• zonder rechtmatige grondslag de gegevens van TikTok gebruikers te verzamelen en verwerken;
• onvoldoende transparantie in acht te nemen over haar handelwijze;
• gedetailleerde profielen op te stellen en te onderhouden van TikTok gebruikers (“profilering”) en deze mede in te zetten voor geautomatiseerde verwerkingen die hen in aanmerkelijke mate treffen (“geautomatiseerde besluitvorming”);
• persoonsgegevens door te geven naar China en de Verenigde Staten (“VS”);37
• in strijd te handelen met het vereiste van dataminimalisatie en de beginselen van privacy by design en privacy by default door onbeperkt en bovenmatig persoonsgegevens te verzamelen, combineren en delen;
• in strijd te handelen met dwingend consumenten- en mediarecht, onder meer door essentiële informatie niet te verstrekken en door onvoldoende bescherming te bieden tegen verborgen reclame en schadelijke content.
34. Het HvJEU bevestigt keer op keer het belang van een hoog beschermingsniveau van het recht op bescherming van de persoonlijke levenssfeer en het gegevensbeschermingsrecht.38
35. Gebruikers kunnen niet vertrouwen op het beschermingsniveau waarvan natuurlijke personen in de Europese Unie door de AVG verzekerd zijn. Niet alleen zijn er signalen dat persoonsgegevens van Europese burgers naar China worden doorgegeven (zie onder 4.4.1.3), TikTok bevestigt zelf in haar privacybeleid39 doorgifte van persoonsgegevens van Europese gebruikers naar de VS. TikTok lijkt weinig acht te slaan op het arrest van het Hof van Justitie van de Europese Unie van vorige zomer in de Xxxxxxx II-zaak.40 Hierin heeft de hoogste Europese rechter bepaald dat de VS geen passend beschermingsniveau biedt voor de persoonsgegevens van Europese gebruikers. Ook de overige beginselen van de AVG worden door TikTok met voeten getreden.
36. Fundamentele rechten, zoals gecodificeerd het Handvest vinden gedeeltelijk hun uitwerking in de AVG.
37. Deze zaak gaat voor een belangrijk deel ook over het schenden van kinderrechten. Bescherming van fundamentele kinderrechten, vastgelegd in het IVRK, zijn ook deels uitgewerkt in de AVG.
37 De Ierse toezichthouder heeft verklaard dat data mogelijk naar China gaat. “TikTok tells us that EU data is transferred to the US and not to China. However, we have understood that there is the possibility that maintenance and AI engineers in China may be accessing the data.” Zie Euractiv, US ‘concerned’ about EU data localisation, as Irish regulator reveals TikTok worry, 11 maart 2021, xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxx/xxxx/xx-xxxxxxxxx-xxxxx-xx-xxxx-xxxxxxxxxxxx-xx-xxxxx-xxxxxxxxx- reveals-tiktok-worry/.
38 Zie bijvoorbeeld HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014.317 (Google Spain/AEPD), r.o. 97.
39 Productie 7.
40 HvJEU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559, (Xxxxxxx II).
38. Het maatschappelijk belang van deze zaak is groot. Nooit eerder klonk de roep om effectieve waarborging en bescherming van online kinderrechten wereldwijd zo luid en eensgezind. De risico's voor kinderen zijn bijzonder acuut geworden in de context van de COVID-19-crisis en de daaruit voortvloeiende toename van de schermtijd. Er verschenen onder meer rapporten van Raad van Europa,41 het VN Comité voor de Rechten van het Kind (“VN- Kinderrechtencomité”), de Organisatie voor Economische Samenwerking en Ontwikkeling ("OESO")42 en de Europese Unie (“EU”).43 Op nationaal niveau werd Code voor Kinderrechten onlangs gepubliceerd.44 De Britse toezichthouder Information Commissioner’s Office (“ICO”) publiceerde eerder een vergelijkbare code.45 De bovengenoemde rapporten tonen talloze overeenkomsten, wat hierna nog aan bod zal komen.
39. In een rapport voorafgaand aan de publicatie van VN General Comment 25 “on children’s rights in relation to the digital environment” (“GC25”), waarin kinderen werden geconsulteerd over hun rechten in de digitale omgeving, wordt geconcludeerd dat wereldwijd kinderen overheden aanspreken om het recht in te zetten om hun gegevens te beschermen:
“Children across the world are demanding that commercial entities explain how they are collecting, storing and using children’s data. Children want guarantees that they will not be subject to commercial exploitation. Many called on governments to use the law to protect their data and to curb industry surveillance of children online.”46
40. Het is in dit speelveld dat de Stichting uw rechtbank verzoekt om TikTok verantwoordelijk te houden voor de wijze waarop zij de dagelijks de fundamentele rechten van kinderen en volwassenen, alsmede de rechten van Europese burgers zoals vastgelegd in de AVG, de Tw en bepalingen van dwingend consumenten- en mediarecht schendt. De Stichting vraagt uw rechtbank dat te doen op een wijze die recht doet aan de schade die gebruikers van TikTok hierdoor dagelijks lijden en die voldoende effectief en afschrikwekkend is. Met deze zaak beoogt de Stichting het onrechtmatige handelen door TikTok een halt toe te roepen en de schade die de personen lijden wier belangen zij behartigt, vergoed te krijgen.
41. Het waarborgen van een hoog beschermingsniveau alsmede een doeltreffende en volledige bescherming van de fundamentele rechten op bescherming van de persoonlijke levenssfeer en gegevensbescherming brengt mee dat lidstaten alle passende maatregelen moeten nemen om onverkorte nakoming van de AVG te garanderen. De AVG hecht bovendien aan private handhaving en biedt veel ruimte aan collectieve belangenbehartiging. Artikel 79 AVG
41 Aanbeveling CM/Rec(2018)7 van het Comité van Ministers aan de lidstaten inzake Richtlijnen voor de eerbiediging, bescherming en naleving van de rechten van het kind in de digitale omgeving, xxxxx://xxxxxx.xxx.xxx/xx/Xxxxx/xxxxxx_xxxxxxx.xxxx?XxxxxxXxx000000000000x000.
42 Recommendation of the Council on Children in the Digital Environment, OECD/LEGAL/0389 xxxxx://xxxxxxxxxxxxxxxx.xxxx.xxx/xx/xxxxxxxxxxx/XXXX-XXXXX-0000 (productie 8).
43 xxxxx://xx.xxxxxx.xx/xxxx/xxxxxxxx/xxxxxxx-xxx-xxxxxxxxxxx-xxxxxx/xxxxxx-xxxxx/xx-xxxxxxxx-xxxxxx-xxxxx-xxx-xxxxxxxx-xxxxx- guarantee_en.
44 “Code voor Kinderrechten”, xxxxxxxxxxxxxxxxxxxxx.xx, 2021, beschikbaar via xxxxx://xxxxxxxxxxxxxxxxxxxxx.xx/xx- content/uploads/2021/03/20210311_Code-voor-Kinderrechten_v1-1.pdf (productie 9).
45 Information Commissioner’s Office, ‘Age Appropriate Design’, 2 September 2020, available at: xxxxx://xxx.xxx.xx/xxx- organisations/age-appropriate-design/.
46 5Rights Foundation, ‘Our rights in a digital world’, maart 2021, p. 26, beschikbaar via: xxxxx://0xxxxxxxxxxxxxxxx.xxx/xxxxxxx/Xxx%00Xxxxxx%00xx%00x%00xxxxxxx%00xxxxx.xxx.
garandeert het recht op een doeltreffende voorziening in rechte, onverminderd de mogelijkheid een klacht in te dienen bij de toezichthouder. Artikel 80 AVG geeft betrokkenen het recht zich te laten vertegenwoordigen door een organisatie zonder winstoogmerk. Dit ziet nadrukkelijk ook op de mogelijkheid om het recht op schadevergoeding op grond van artikel 82 AVG uit te oefenen. Het Nederlandse systeem van artikel 3:305a Burgerlijk Wetboek (“BW”) is hier bij uitstek geschikt voor.
42. In de recente GC25 wordt daarnaast benadrukt dat overheden passende en effectieve rechtsmiddelen moeten bieden tegen schendingen van kinderrechten in de digitale omgeving. In dit kader worden expliciet genoemd (i) de verplichting voor overheden om te voorzien in collectieve acties (“collective complaints, including class action and public interest litigation”) en (ii) de verplichting om schade te herstellen, waarbij herstel van schade ruim moet worden opgevat (“appropriate reparation includes restitution, compensation and satisfaction and may require apology, correction, removal of unlawful content, access to psychological recovery services or other measures”).47
2 PARTIJEN
2.1 Stichting Massaschade & Consument
43. De Stichting, opgericht op 15 maart 2021, heeft als doel het beschermen van de belangen van consumenten. Dit volgt onder meer uit de statuten (productie 10):
“De Stichting stelt zich ten doel als onafhankelijke organisatie, zonder binding met enige politieke of levensbeschouwelijke stroming of organisatie, de belangen van consumenten in het algemeen en van Deelnemers van de Stichting in het bijzonder in Nederland – en voor zover mogelijk en zo nodig daarbuiten – te behartigen.”
44. De Stichting heeft geen winstoogmerk. De stichting heeft een bestuur en raad van toezicht.48 De leden van het bestuur en de Raad van Toezicht beschikken over de specifieke deskundigheid die noodzakelijk is voor een adequate behartiging van de belangen zoals omschreven in de doelstelling van de Stichting.
45. De Stichting is geen “ad hoc” stichting, maar komt structureel op voor consumentenrechten.
De Stichting vermeldt dit ook op haar website:
“Wij geloven dat consumenten beter af zijn wanneer hun belangen worden behartigd door een ervaren organisatie dan door een zogenoemd ‘ad-hoc’ opgezette organisatie. Als belangenbehartiger willen wij daarom structureel opkomen voor consumentenrechten, zoals bijvoorbeeld bij massaschade door kartelvorming, onterechte kosten of gebrekkige medische producten.
47 United Nations Human Rights Committee, General Comment No.25 (2021) on children’s rights in relation to the digital
environment, CRC/C/GC/25, 2 maart 2021, par. 44 en 46.
48 Een uittreksel van de Kamer van Koophandel van de Stichting is bijgevoegd als productie 11.
Doordat wij op structurele basis kennis en ervaring bundelen, kunnen wij onszelf blijven verbeteren en uitgroeien tot de vanzelfsprekende initiatiefnemer bij de aanpak van massaschade voor consumenten in Nederland.”49
46. De Stichting richt zich onder meer op de bescherming van de belangen van consumenten die massaschade hebben geleden in verband met schendingen van de AVG. De Stichting was een van de deelnemers aan de internetconsultatie over het wetsvoorstel ter implementatie van de Richtlijn betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten.
47. In mei 2021 bood het ministerie van Justitie en Veiligheid de mogelijkheid om gedurende een maand reacties in te sturen op het voorontwerp van het wetsvoorstel.50 Tijdens deze publieke consultatieperiode zijn elf reacties binnengekomen. Een van deze reacties, de reactie van de Stichting, vraagt opheldering van de Nederlandse Wetgever over de verhouding tussen de AVG, de Wet afwikkeling Massaschade (“WAMCA”) en de Richtlijn representatieve vorderingen voor consumenten.51
48. De Stichting heeft ervaring met het instellen van collectieve acties. Op 9 juli is zij een WAMCA- procedure gestart tegen AirBnB over het rekenen van dubbele bemiddelingskosten.52 In deze procedure zijn prejudiciële vragen gesteld aan de Hoge Raad.53 De conclusie van de A-G is inmiddels in het voordeel van de Stichting, gewezen.54
49. De activiteiten en doelstelling van de Stichting staan nader uitgewerkt in hoofdstuk 7 van deze dagvaarding.
a. In deze procedure treedt de Stichting op voor de gebruikers van de TikTok Dienst in Nederland. Dit is de ‘nauw omschreven groep’ (“Nauw Omschreven Groep”) als bedoeld in de nieuwe WAMCA. De groep van natuurlijke personen die door TikTok is benadeeld valt uiteen in drie categorieën:
i. alle natuurlijke personen die de TikTok Dienst hebben gebruikt op een moment of gedurende een periode dat zij in Nederland woonden of verbleven, na inwerkingtreding van de AVG en die op het moment van eerste gebruik nog niet de leeftijd van 13 jaar hadden bereikt (“Nauw Omschreven Groep 1”);
ii. alle natuurlijke personen die de TikTok Dienst hebben gebruikt op een moment of gedurende een periode dat zij in Nederland woonden of verbleven, na inwerkingtreding van de AVG; en die op het moment van eerste gebruik een leeftijd hadden van 13, 14, 15, 16 of 17 jaar (“Nauw Omschreven Groep 2”);
49 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xxxx-xxx/xxxxx/.
50 Te raadplegen via: xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxx_xx_xxxxxxxxxxx_xxxxx.
51 Te raadplegen via: xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxx_xx_xxxxxxxxxxx_xxxxx/xxxxxxx/0xx0xx0x-0xx0-000x-00x0- 45b9636423a7.
52 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx-xxxxxx/xxxxxx.
53 xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxxxx-xxxxxx/?xxxxxx00/00000.
54 Conclusie A-G 16 juli 2021, ECLI:NL:PHR:2021:724.
iii. alle natuurlijke personen die de TikTok Dienst hebben gebruikt op een moment of gedurende een periode dat zij in Nederland woonden of verbleven, na inwerkingtreding van de AVG; en die op het moment van eerste gebruik een leeftijd hadden van 18 jaar of ouder (“Nauw Omschreven Groep 3”).
50. In deze procedure stelt de Stichting namens de Nauw Omschreven Groep een collectieve schadevergoedingsactie in jegens TikTok. De Stichting procedeert daarbij op basis van artikel 3:305a BW.
2.2 TikTok
51. De applicatie TikTok (hierna: de “TikTok Dienst”) wordt aangeboden door een internationaal opererend technologieconcern onder de verantwoordelijkheid van de volgende entiteiten:
• ByteDance Ltd., een onderneming van de Kaaimaneilanden, met hoofdkantoor in Bejing (“ByteDance”);
• TikTok Ltd., een onderneming van de Kaaimaneilanden (“TikTok Ltd.”);
• Beijing ByteDance Technology Co., Ltd., een Chinese onderneming (“Beijing ByteDance”);
• TikTok Technology Limited, een Ierse onderneming (“TikTok Ireland”);
• TikTok Information Technologies UK Limited, een Britse onderneming (“TikTok UK”);
• TikTok Inc, een in de VS gevestigde onderneming (“TikTok Inc”); en
• TikTok Pte. Ltd., een Singaporese onderneming (“TikTok Singapore” en alle tezamen
“TikTok”).55
52. ByteDance, opgericht in 2012, richtte zich aanvankelijk op de ontwikkeling van een nieuwsaggregatieplatform op basis van big data algoritmes. Zo leerde ByteDance hoe het aanbod van nieuws te personaliseren op basis van de voorkeuren en interesses van de gebruiker. Toutiao, zoals het nieuwsplatform heet, is inmiddels uitgegroeid tot een van de belangrijkste nieuwsbronnen van de Chinese bevolking. Toutiao heeft 700 miljoen gebruikers, waarvan 120 miljoen het platform dagelijks gebruiken.
53. In september 2016 lanceert ByteDance de applicatie “Douyin”, een platform voor het maken, plaatsen en delen van korte (muziek)filmpjes.56 In september 2017 volgt de internationale lancering van Xxxxxx onder de naam “TikTok”. Douyin en de TikTok Dienst zijn wat betreft functionaliteit identiek. Douyin is gericht op de Chinese markt en de TikTok Dienst op de rest van de wereld.
54. Enkele maanden na de lancering van de TikTok Dienst koopt TikTok het bij kinderen immens populaire Musical.ly.57 In augustus 2018 volgt de samenvoeging van TikTok met Xxxxxxx.xx.
55 Uittreksels van de ondernemingsregister ten aanzien van deze entiteiten zijn opgenomen in productie 12.
56 De app heette toen nog X.xx, maar werd in december 2016 hernoemd tot Xxxxxx.
57 X. Xxxx, ‘Social video app Xxxxxxx.xx acquired for up to $1 billion’, xxxxxxx.xx, 13 november 2017 beschikbaar via xxxxx://xxx.xxxxxxxxxxxxxxx.xxx/xxxxxx-xxxxx-xxx-xxxxxxxxx-xxxxxxxx-xxx-xx-xx-0-xxxxxxx-0000-00.
De meer dan 200 miljoen gebruikers van Xxxxxxx.xx worden overgezet naar TikTok. Inmiddels heeft de TikTok Dienst meer dan een miljard maandelijks actieve gebruikers.58 In juli 2021 wordt een belangrijke mijlpaal bereikt: de App is meer dan drie miljard keer gedownload.59 TikTok is zonder twijfel het snelstgroeiende socialemediaplatform ter wereld.60
55. De omzet explodeert gelijk met de toename in gebruikers. In 2020 schrijft TikTok 34,4 miljard in de boeken; een stijging van 111% ten opzichte van 2019. TikTok behaalde een brutowinst van 19 miljard dollar, een stijging van 93% ten opzichte van het jaar ervoor. Met de exponentiële groei in 2021 zal ook de omzet navenant zijn gestegen, te meer TikTok haar marketingbeleid steeds meer stroomlijnt. De waarde van het bedrijf wordt intussen geschat op 250 miljard dollar.
56. In augustus 2021 wordt bekend dat de Chinese overheid in april van dit jaar 1% aandeel, alsook één van de drie bestuurdersposities heeft genomen in ByteDance Technology Co. Ltd., een dochterbedrijf van ByteDance. De onderneming is betrokken bij het aanbieden van nieuwsaggregatieplatform Toutiao en de Chinese TikTok variant Douyin.
57. De verwevenheid tussen ByteDance en TikTok Ltd blijkt ook uit het feit dat de CFO van ByteDance, Xxxxxx Xxxx, sinds 30 april dit jaar de CEO van TikTok is.61 In het privacybeleid van TikTok wordt daarnaast aangegeven dat informatie over gebruikers kan worden gedeeld met ondernemingen in de TikTok groep, waarvan het moederbedrijf ByteDance het hoofdkantoor heeft in Bejing, en dat persoonsgegevens worden doorgegeven aan en opgeslagen op een bestemming buiten de Europese Economische Ruimte (“EER”). TikTok vermeldt nog apart dat gegevens worden gedeeld met TikTok Inc. in de VS.
58. De Ierse toezichthouder, die momenteel een onderzoek uitvoert naar TikTok, heeft onlangs aangegeven dat software engineers in China mogelijk toegang krijgen tot persoonsgegevens van Europese gebruikers ten behoeve van onderhoud en artificiële intelligentie (“AI”).62
3 VOORGESCHIEDENIS
59. Vanaf februari 2021 onderzoekt de Stichting de activiteiten van TikTok.
60. Op 3 juni 2021 start de stichting Onderzoek Marktinformatie (“SOMI”) een collectieve actie tegen TikTok. Op 29 juni 2021 verzoekt de Stichting de rechtbank de termijn ingevolge artikel 1018d lid 2 Rv te verlengen met drie maanden, onder meer om voldoende gelegenheid te hebben in overleg te treden met TikTok teneinde een buitengerechtelijke schikking te beproeven. Dat verzoek wordt bij rolbeslissing van 28 juli 2021 door de rechtbank afgewezen,
58 X.Xxxxx, ‘TikTok Statistics – Updated June 2021’, xxxxxxxxxxxxx.xxx, 14 juni 2021, beschikbaar via xxxxx://xxxxxxxxxxxxx.xxx/xxxx/xxxxxx-xxxxx/xxxxxx-xxxxxxxxxx/.
59 X. Xxxxx, ‘TikTok hits 3 billion downloads’, xxxx.xx, 14 juli 2019, beschikbaar via xxxxx://xxx.xxxx.xxx/xxxx/xxxxxxxx-xxx- software/tiktok-hits-3-billion-downloads/.
60 J. Aten, ‘TikTok Is the Fastest-Growing Social Media Network Ever. Why the U.S. May Ban It’, xxx.xxx, 9 juli 2021, beschikbaar via xxxxx://xxx.xxx.xxx/xxxxx-xxxx/xxxxxx-xx-xxxxxxx-xxxxxxx-xxxxxx-xxxxx-xxxxxxx-xxxx-xxx-xx-xxx-xxx- it.html.
61 TikTok Names CEO and COO, xxxxx://xxxxxxxx.xxxxxx.xxx/xx-xx/xxxxxx-xxxxx-xxx-xxx-xxx, geraadpleegd 27 augustus 2021.
62 xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxx/xxxx/xx-xxxxxxxxx-xxxxx-xx-xxxx-xxxxxxxxxxxx-xx-xxxxx-xxxxxxxxx-xxxxxxx-xxxxxx- worry/.
kort gezegd, omdat de Stichting volgens de rechtbank in het verzoek slechts “overweegt” een collectieve actie te starten. Volgens de rechtbank kan het verzoek alleen worden gehonoreerd in het geval de verzoeker daadwerkelijk een collectieve actie gaat entameren.
61. Per aangetekende brief van 28 juli 2021 (productie 13) heeft de Stichting TikTok uitgenodigd om in onderhandeling te treden met de Stichting over het toekennen van een redelijke vergoeding voor de door haar achterban geleden schade. De Stichting heeft XxxXxx daarnaast aansprakelijk gesteld voor de door haar achterban gelden schade als gevolg van de inbreuken op fundamentele rechten, het recht op bescherming van persoonsgegevens en overig onrechtmatig handelen.
62. Op 11 augustus 2021 (productie 14) heeft XxxXxx een schriftelijke reactie gestuurd, waarin zij schrijft het niet eens te zijn met de beschuldigingen en geen reden ziet voor overleg, onder meer omdat de Stichting uw rechtbank al zou hebben laten weten een procedure in te willen stellen tegen TikTok.
63. Op 16 augustus 2021 (producties U) heeft de Stichting TikTok daarop geantwoord dat de Stichting, gezien de wettelijke vereisten, niet anders kon dan uw rechtbank over haar voornemen te informeren, maar dat de Stichting nog altijd open staat voor overleg. Per brief van 23 augustus 2021 (productie 16) heeft XxxXxx laten weten in beginsel in overleg te willen treden maar wil afwachten tot er meer duidelijkheid is omtrent de positie en intenties van potentiële andere collectieve belangenbehartigers in vergelijkbare zaken.
64. De Stichting heeft aldus voldoende getracht het gevorderde buiten rechte op te lossen. Nu TikTok hangende de andere procedures vooralsnog niet bereid is in overleg te treden, ziet de Stichting zich genoodzaakt deze procedure aanhangig te maken om namens haar achterban schadevergoeding te vorderen.
4 FEITEN
4.1 De TikTok Dienst
65. De TikTok Dienst maakt het mogelijk om korte,63 zelfgemaakte video’s te maken, plaatsen, bekijken, liken en delen. Het gaat met name om video’s van xxxxxxx, (lip-sync)liedjes, sketches en challenges. De TikTok Dienst bevat een breed scala aan videobewerkingsfunctionaliteiten, filters en muziek om eenvoudig content te creëren, te bewerken en te voorzien van muziek. De TikTok Dienst is zo ontworpen dat er door gebruikers zoveel mogelijk tijd wordt gespendeerd, dat er zoveel mogelijk activiteit plaatsvindt en dat het bereik zo groot mogelijk is.
66. De TikTok Dienst is beschikbaar via de App voor mobiele apparaten en via de website xxx.xxxxxx.xxx (de “Website”). De TikTok Dienst kan gebruikt worden met of zonder account.64 Zonder account is de functionaliteit van de App en Website beperkt.
63 De maximale lengte van de filmpjes was 60 seconden, maar is sinds kort verlengd tot 3 minuten: X. Xxxxx, ‘TikTok expands video length to 3 minutes, up from 60 seconds’, 1 juli 2021, beschikbaar via xxxxx://xxxxxxxxxx.xxx/0000/00/00/xxxxxx- expands-max-video-length-to-3-minutes-up-from-60-seconds/.
64 Deze functionaliteit is voor de App pas recent geïntroduceerd. Voorheen was voor gebruik van de App wel een account vereist.
67. Productie 17 toont het registratieproces van de App. Te zien is hoe de gebruiker snel en eenvoudig een account kan aanmaken met een e-mailadres of telefoonnummer. Als alternatief kan gebruik gemaakt worden van bestaande accounts bij Facebook, Google of Twitter. Daarnaast verzamelt TikTok zelf informatie over gebruikers om onder meer profielen op te stellen. Hierop zal later nader worden ingegaan.
68. Tijdens het registratieproces moet de gebruiker een geboortedatum opgeven, waaruit zou moeten blijken dat de gebruiker dertien jaar of ouder is. Als de gebruiker een geboortedatum invult die aangeeft dat de gebruiker jonger is dan 13 jaar, krijgt hij een melding te zien dat hij de App niet mag gebruiken.65 Deze blokkade kan eenvoudig worden omzeild door de App te verwijderen en opnieuw te installeren met valse geboortedatum. De door de gebruiker opgegeven leeftijd wordt door TikTok op geen enkele wijze geverifieerd.66
69. Gebruikers worden in het registratieproces verder gevraagd toestemming te geven voor het tonen van gepersonaliseerde advertenties door middel van de volgende tekst:
“TikTok rekent de gebruikers geen kosten aan en vertrouwt op advertenties als bron van inkomsten. Door op “Accepteren” te klikken, geef je XxxXxx toestemming om de advertenties die je ziet te personaliseren op basis van je activiteit in de app en gegevens ontvangen van derden in overeenstemming met onze Privacy en ons Cookiebeleid. Gebruikers die zich afmelden, krijgen nog wel niet- gepersonaliseerde advertenties te zien.”
70. De gebruiker kan vervolgens op een grote rode knop met de tekst “Accepteren” klikken. De gebruiker heeft niet de mogelijkheid om op een knop “Weigeren” te klikken. In plaats daarvan kan de gebruiker op een witte knop met grijze tekst “Beheren in Instellingen” klikken. Dit brengt de gebruiker naar het instellingenmenu waarin verschillende opties zijn met betrekking tot gepersonaliseerde advertenties.
71. Tot slot wordt de gebruiker gevraagd om interesses aan te vinken. Interesses zijn bijvoorbeeld “beauty en stijl”, “drama” of “sport”. Na afronding van dit proces wordt onmiddellijk het eerste full screen filmpje getoond.
72. Tijdens het aanmaken van een account worden gebruikers gewezen op een privacybeleid (productie 7) en een cookiebeleid (productie 18). Nederlandse gebruikers, kinderen inbegrepen, kregen alleen een Engelstalig privacybeleid te zien, althans tot juni 2020. Pas sinds juli 2020 krijgen Nederlandse gebruikers een Nederlandstalige privacybeleid te zien.67
65 Tot begin 2020 werd deze melding slechts enkele seconden getoond, waarna de gebruiker terugkeerde naar het geboortedatumscherm. De gebruiker kon vervolgens een andere geboortedatum invoeren en de App verder gebruiken. Sinds begin 2020 wordt de gebruiker tijdelijk geblokkeerd als hij een geboortedatum heeft ingevoerd waaruit volgt dan hij onder de 13 jaar is. In die periode kan hij de App niet gebruiken.
66 Autoriteit Persoonsgegevens, ‘Boete TikTok vanwege schenden privacy kinderen’, 22 juli 2021, par. 63, beschikbaar via xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx- kinderenhttps://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx- kinderen -
:~:text=De%20Autoriteit%20Persoonsgegevens%20(AP)%20heeft,de%20privacy%20van%20jonge%2 0kinderen.
67 Autoriteit Persoonsgegevens, ‘Boete TikTok vanwege schenden privacy kinderen’, 22 juli 2021, par. 66-68, beschikbaar via xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx-xxxxxxxx.
Verder moeten gebruikers akkoord gaan met de gebruiksvoorwaarden (productie 19). In de gebruiksvoorwaarden wordt weer verwezen naar een aantal andere juridische documenten die TikTok van toepassing verklaart op het gebruik van de TikTok Dienst, waaronder het Virtuele Items Beleid (productie 20), dat de regels bevat voor de in-app aankopen van Coins en Gifts, en de communityrichtlijnen (productie 21).
73. TikTok begint voor elke nieuwe gebruiker op dezelfde manier. Verschillende populaire video’s, die miljoenen keren zijn bekeken en geselecteerd zijn door moderators, worden getoond op de “Voor jou” feed, een oneindige stroom van video’s. Vervolgens wordt precies bijgehouden op welke video de nieuwe gebruiker blijft steken (en hoelang) of dat hij doorscrollt. Op basis van het gedrag naar aanleiding van de getoonde video’s krijgt de gebruiker door middel van het TikTok algoritme steeds meer en beter gepersonaliseerde content te zien in zijn feed. Het doel hiervan is de kern van de TikTok dienst: de aandacht van de gebruiker zo lang mogelijk vasthouden, zodat zoveel mogelijk advertenties aan zoveel mogelijk gebruikers kunnen worden getoond.
74. Het snelle, zelflerende vermogen van het TikTok algoritme stelt TikTok in staat om voorkeuren af te leiden uit gedrag alleen en hierdoor content in de Voor jou feed te optimaliseren.
75. Recent onderzoek van The Wall Street Journal met bot-accounts heeft aangetoond dat het proces van personaliseren van content in korte tijd plaatsvindt op basis van de tijd dat naar een video gekeken wordt.68 De Amerikaanse krant heeft voor het onderzoek geautomatiseerde TikTok-accounts aangemaakt met behulp van zogenoemde bots. In minder dan twee uur, of in bepaalde gevallen in minder dan veertig minuten, werden in het onderzoek de voorkeuren van de verschillende bots in kaart gebracht en getarget met specifieke content op basis van geregistreerd gedrag. Wanneer negatieve, schokkende of vreemde filmpjes vaker uitgekeken worden dan filmpjes die overeenkomen met de door de gebruiker zelf opgegeven interesses, zal de gebruiker een profiel krijgen dat gebaseerd is op deze niet-expliciet geuite aandachtsgebieden. Het TikTok algoritme onderscheidt zich van andere sociale media omdat het zwakheden van de gebruiker veel sneller kan vaststellen.
76. In de visuele weergave van het onderzoek van The Wall Street Journal is te zien dat de bots aanvankelijk niet duidelijk geprofileerd konden worden, en zich in het midden bevonden, maar zich in korte tijd verplaatsten naar de uiteinden van de uitlopers, de rabbit holes. Voor de bot @Kentucky_96 was dit “depression” en “sadness” (productie 22 toont een aantal screenshots van het onderzoek van The Wall Street Journal waarin dit traject zichtbaar is). De krant maakt dit visueel inzichtelijk door middel van een bol met lichtjes waarbij iedere gebruiker begint in de mainstream-onderwerpen. De uitlopers van de bal zijn de niches, waar gebruikers op basis van hun gedrag snel in worden geduwd:
00 Xxxx Xxxxxx Xxxxxxx, ‘Inside TikTok’s Algorithm: A WSJ Video Investigation’, xxx.xxx, 21 juli 2021, beschikbaar via xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxx-xxxxxxxxx-xxxxx-xxxxxxxxxxxxx-00000000000.
77. Ook uit ander onderzoek blijkt dat het algoritme van TikTok er ongeveer vier uur over doet om te leren dat een dertienjarige interesse heeft in racistische content; het duurt zeven uur voordat
TikTok een gebruiker met seksistische video’s overspoelt wanneer hier interesse voor wordt
getoond.69
78. Door de werking van het algoritme worden TikTok gebruikers dus al snel in “hokjes” geplaatst en vastgepind op hun (veronderstelde) voorkeuren. De vrijheid van gebruikers om al dan niet voor bepaalde content te kiezen wordt hierdoor ondermijnd. Maar dat niet alleen, het algoritme werkt stereotypering, stigmatisering en discriminatie in de hand.
79. Dat dit ook daadwerkelijk gebeurt, blijkt wel uit het feit dat de aanbevelingen die het TikTok algoritme doet mede gebaseerd zijn op het ras van gebruikers die worden gevolgd. Aangezien de meeste TikTok influencers (met veel volgers) blank zijn, heeft dit tot gevolg dat dat het algoritme dus minder vaak voorstelt om mensen van kleur te volgen, hetgeen discriminerend werkt voor zwarte mensen. Het betekent ook dat de TikTok gebruiker die een zwart persoon volgt, eerder andere zwarte TikTok gebruikers krijgt aanbevolen, zoals blijkt uit onderstaande screenshot.70 Op die manier werkt het algoritme bias en segregatie in de hand.
80. In het registratieproces bevestigt TikTok dat haar bedrijfsmodel gebaseerd is op advertenties:
“TikTok rekent de gebruikers geen kosten aan en vertrouwt op advertenties als bron van inkomsten.”
81. Adverteren op TikTok kan op verschillende manieren. Op haar business website71 biedt TikTok adverteerders de volgende advertentieformats aan:
69 xxxxx://xxx.xxx.xxx.xx/xxxx/0000-00-00/xxxxxx-xxxxxxxxx-xxxxxxxxx-xxxxxx-xxxxxxxx-xxxxxxx-xxxxxxxxxx/000000000.
70 xxxxx://xxx.xxxxxxx.xxxxxxxx.xxx/xxxx/0000/xxxxxxxxxxx-xxxxxxxxxxxx-xxx-xxxx-xxxxxxxx-xxxx-xxxx-xxxx.
71 xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxx/xxxxxx.
a. Top view: een beeldvullende video, bestaande uit een filmpje van drie tot zestig seconden dat verschijnt op het beginscherm van een gebruiker;
b. Brand Takeover: een full-screen bewegend of dynamisch (advertentie)beeld ten behoeve van een bepaald merk;
c. In-Feed Ads: advertenties die naadloos worden geïntegreerd in het Voor jou-overzicht van een gebruiker;
d. Branded Hashtag Challenges: een advertentievorm waarbij gebruikers worden aangemoedigd om deel te nemen aan een bepaalde challenge en daarbij een speciaal voor een merkcampagne gemaakte hashtag te gebruiken. Gebruikers en hun content worden op die manier onderdeel van de campagne; en
e. Branded Effects: speciale, op de adverteerder toegespitste, “stickers”, filters en
speciale effecten, die gebruikers in hun eigen content kunnen gebruiken.
82. Productie 23 toont voorbeelden van de verschillende vormen van adverteren.72 De verschillende advertentievormen hebben met elkaar gemeen dat, zeker voor jonge gebruikers, advertenties niet als zodanig herkenbaar zijn. De snelheid van het medium, de korte video’s, dikwijls vluchtig gemonteerd, ondersteund door muziek en allerlei tekst, stickers en hashtags, is daar debet aan. In de verwaarloosbare gevallen dat een video is uitgerust met een hashtag die moet aanduiden dat het om reclame gaat (zoals #ad of #sp), merkt de gebruiker dat niet op.
83. Alle categorieën van adverteren op de business website ten spijt, is de meest succesvolle vorm van adverteren op TikTok simpelweg het maken van een TikTok. Xxxxxx Xxxxx die vanuit haar eigen account een video plaatst over het maken van een wrap. De toevoeging #wraphack zorgt ervoor dat het bij duizenden TikTok-gebruikers in hun “Voor jou” feed verschijnt, die geïnteresseerd zijn in lifestyle/eten/koken/wraps/humus/hacks et cetera.
84. Uit de toestemming die TikTok vraagt, volgt dat XxxXxx adverteerders de mogelijkheid biedt om gepersonaliseerde advertenties te tonen. Voor adverteerders is met name interessant dat het op de TikTok Dienst mogelijk is om advertenties heel precies te richten (targeten) op een specifieke en welbepaalde doelgroep. De “beginner’s guide” op de zakelijke website van TikTok adverteert dit specifiek:
“It has never been easier to reach potential customers by precisely targeting your audience. Using TikTok Ads Manager, you can target your audience by gender, location, age, interests, and other unique variables.
72 TikTok, ‘Business homepage’, beschikbaar via xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxx/xxxxxx.
For more advanced users who want to take their ads to the next level, you can create Custom Audiences and Lookalike Audiences to reach more people similar to your existing customers.”73
85. Door middel van het verzamelen en afleiden van informatie over haar gebruikers binnen en buiten de TikTok Dienst creëert TikTok profielen van haar gebruikers om de content, waaronder advertenties, te kunnen personaliseren. Hiertoe gebruikt XxxXxx verschillende identificatoren om gebruikers (over verschillende apparaten) te herkennen en informatie over de gebruiker aan zijn profiel te kunnen koppelen. Dit blijkt ook uit het privacybeleid:
“Wij verzamelen bepaalde informatie over jou wanneer je het Platform gebruikt, onder andere wanneer je de app gebruikt zonder een account. Dergelijke informatie betreft onder meer je IP-adres, instance-ID's (die ons in staat stellen om te bepalen aan welke apparaten berichten moeten worden gestuurd), mobiele aanbieder, tijdzone-instellingen, identificatie voor advertentiedoeleinden en de versie van de app die je gebruikt. We zullen ook informatie verzamelen over het apparaat dat je gebruikt om toegang te verkrijgen tot het Platform, zoals het model van je apparaat, het systeem van het apparaat, het netwerktype, apparaat-ID, je schermresolutie en besturingssysteem, de geluidsinstellingen en de aangesloten audioapparaten. Als je inlogt vanaf verschillende apparaten, kunnen wij jouw profielinformatie gebruiken om jouw activiteit op verschillende apparaten te identificeren.”
86. Dit targeten gebeurt niet alleen op basis van door TikTok verzamelde en afgeleide informatie over gebruikers, maar ook op basis van door derden verstrekte informatie. TikTok target gebruikers onder meer op basis van gegevens die zij afleidt uit “publiekslijsten” die zij ontvangt van adverteerders en andere partners, zoals blijkt uit de instellingen (productie 24). Daarnaast verstrekt TikTok ook informatie over gebruikers aan derde partijen waaronder identificatoren.
87. TikTok toont op haar website dat adverteerders doelgroepen kunnen aanmaken om hun advertentie te targeten aan de hand van verschillende variabelen:
• Land
• Geslacht (man, vrouw of “no limit”)
• Leeftijdsgroep (bijvoorbeeld “13-17” of “no limit”)
• Taal
• Interesses (bijvoorbeeld “Tech & Electronics”)
• Gedrag (“Watched to end”/”liked” gekoppeld aan een categorie waarop gereageerd is,
bijvoorbeeld “Fitness & Health”)
• Toestel (bijvoorbeeld prijs van de telefoon)
88. Met de TikTok Pixel (productie 25, p. 14) kan een adverteerder doelgroepen selecteren op basis van hoe personen haar website gebruiken. De adverteerder installeert de pixel op haar
73 xxxxx://xxx.xxxxxx.xxx/xxxx/xxxxxxx?xxxx00000000.
website. De pixel volgt vervolgens de activiteiten van personen op deze website en stuurt dit door naar TikTok. De adverteerder kan daarmee doelgroepen maken van personen die haar website hebben bezocht of een bepaald product hebben bekeken. Daarnaast biedt de pixel de mogelijkheid om de effectiviteit van het adverteren te meten: of de gebruiker na het klikken op een advertentie ook daadwerkelijk iets gekocht heeft.74
89. TikTok biedt vergelijkbare mogelijkheden aan voor het gebruik van apps op mobiele telefoons (productie 25, p. 18). TikTok volgt hoe de mobiele app gebruikt wordt, de adverteerder kan dit als basis gebruiken om doelgroepen te maken.
90. Een adverteerder kan ook een al bestaande lijst van klanten aan TikTok verstrekken (productie 25, p. 16). TikTok koppelt deze lijst vervolgens aan TikTok gebruikers. De adverteerder heeft dan de mogelijkheid om aan haar klanten te adverteren via de TikTok Dienst. TikTok biedt ook de mogelijkheid om een look-a-like doelgroep te selecteren (productie 25, p. 121). TikTok gaat op zoek naar personen wat betreft demografie en gedrag lijken op de klanten van de adverteerder. De adverteerder kan hiermee nieuwe klanten werven.
91. Verder biedt TikTok de mogelijkheid tot integraties met andere technieken en diensten.
92. Veel adverteerders maken gebruik van tracking software die het gedrag van internetgebruikers over meerdere websites en diensten volgt. TikTok biedt de mogelijkheid om haar advertentiediensten te koppelen aan dergelijke trackingsoftware van derden (productie 25, p. 14).75
93. Het doel van al deze technieken is om advertenties te kunnen tonen aan de beste doelgroep, meten hoe effectief dat is om vervolgens de advertentiecampagne te optimaliseren, waarbij gegevens uit verschillende bronnen gekoppeld kunnen worden. Dit kunnen gegevens van de adverteerder zelf zijn maar ook gegevens die zijn verkregen via koppelingen met derden.
94. Tracking zit in het DNA van TikTok. Recent werd bekend dat veel andere apps gebruik maken trackingsoftware die ByteDance ontwikkelt, samen met de Chinese tech gigant Tencent, Appbouwers voegen deze software, genaamd “CAID”, toe aan hun apps waarna gebruikers van deze app kunnen worden gevolgd. Voor deze software werd niet op juiste wijze toestemming gevraagd. Apple heeft daarom (updates van) apps geblokkeerd die hiervan gebruik maakten.76
95. Het is overigens voor elke gebruiker gemakkelijk om te beginnen met adverteren. Met slechts enkele klikken in de App zet een gebruiker zijn account om naar een zakelijk account en kan de gebruiker onmiddellijk starten met adverteren (productie 26).
74 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxx.xxx/xxxxxxxxx/xxxxxxx-xxxxxx-xxxxx; xxxxx://xxx.xxxxxx.xxx/xxxx/xxxxxxx?xxxx0000.
75 xxxxx://xxx.xxxxxx.xxx/xxxx/xxxxxxx?xxxx00000.
76 xxxxx://xxx.xx.xx/xxxx/0000000/xxxxx-xxxxx-xxxxxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx-xxxxxx.xxxx.
4.1.2.2 Reclame niet herkenbaar
96. Advertenties op TikTok zijn in veruit de meeste gevallen niet (gemakkelijk) als zodanig herkenbaar. Dat is ook precies de bedoeling en de reden dat XxxXxx voor adverteerders zo aantrekkelijk is. “Don’t make ads, make tiktoks”, luidt niet voor niets het devies van TikTok.
97. Het advertentiemodel van TikTok is er dus op gebaseerd dat marketingcontent zo natuurlijk mogelijk wordt geïntegreerd in de overige gebruikerscontent, waardoor deze minder herkenbaar wordt.
Tell your brand story like a TikTok creator by integrating video content into users' "For You" feed.
98. Dit blijkt ook uit de tekst op de business website van TikTok, waarin consequent wordt benadrukt dat advertenties “informeel”, "echt", " natuurlijk” en “authentiek” in de feed worden verwerkt:
“An informal caption, asking whether users would be heading to the cinema on a
‘date night’ or a ‘girls night out’, kept the advert friendly and genuine.”77
“It then used two types of ad placements to boost exposure: x2 beautifully-edited Brand Takeover ads, presenting a premium, glossy look, and x4 In-Feed Ads made from repurposed creator videos to add recognition and feel natively to the feed, alongside light Mercedes branding.”78
“Xxxxxxx chose to work with popular creator @saarbabyy to produce an authentic- feeling ad that showed exactly what the game was all about.”79
99. (Gepersonaliseerde) reclamecontent wordt met regelmaat in het Voor jou overzicht getoond, en ziet er hetzelfde uit als een “normale” TikTok video. Als gevolg hiervan is het voor de doorsnee gebruiker niet duidelijk of hij een “reguliere” video bekijkt, of een advertentie.
77 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxx.xxx/xxxxxxxxxxx/xxxxxxxxxxx.
78 xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxxxxxxxxx/xxxxxxxx-xxxx-00.
79 xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxxxxxxxxx/xxxxxxx-000.
100. Dit klemt temeer nu bedrijven zelf ook content plaatsen vanuit het account van dat bedrijf. Die content heeft per definitie een commercieel en wervend karakter, maar wordt niet als zodanig aangeduid, hetgeen blijkt uit onderstaande voorbeelden van Xxxxxx Xxxxx en de Julianatoren:
101. Daarnaast wordt op grote schaal gebruik gemaakt van zogenaamde influencers, die door bedrijven of merken worden benaderd om bepaalde producten of diensten te promoten. Influencers zijn gebruikers die een groot aantal volgers hebben. Vanwege hun populariteit wordt hun gedrag op grote schaal gekopieerd.
102. Bij sommige video’s staat ergens in beeld #ad of #sp vermeld, maar bij veel ook niet. De gemiddelde gebruiker zal die onopvallende hashtag bovendien niet snel opmerken, door de overige tekst en beelden die het scherm vullen.
103. Dit klemt temeer nu video’s op TikTok gemiddeld 30 seconden duren. Het gaat allemaal zo snel, dat de (jonge) gebruiker het commerciële karakter van een advertentie veelal niet zal herkennen.
104. De onherkenbaarheid van reclames op TikTok wordt bevestigd door diverse onderzoeken. In de Monitor Kindermarketing voor Voedingsproducten Meting 2020 (productie 27) is specifiek onderzoek gedaan naar voedingsmarketing op TikTok.80 In 94 van de 1.332 bekeken posts werden vermeldingen of afbeeldingen van voedingsmerken gevonden (7,1 %). In slechts 4 van deze posts werd via een “hashtag” (zoals #ad of #sp) aangegeven dat het om gesponsorde content ging. Bij 51 posts kon uit de beschrijving indirect worden opgemaakt dat er sprake was van sponsoring, doordat het gepromote merk uitdrukkelijk in de beschrijving werd genoemd middels het “taggen” (het opnemen van een directe verwijzing) van het account van het merk. In de overige gevallen was het niet duidelijk of er wel of niet sprake was van sponsoring.
Bron: Monitor Kindermarketing voor Voedingsproducten Meting 2020, p. 60
105. De Spaanse mediatoezichthouder deed verder in augustus 2020 een onderzoek naar de content op TikTok afkomstig van 8 profielen met meer dan een miljoen volgers (productie 28).81 Geconcludeerd werd dat 93% van de content verborgen advertenties bevatte voor onder meer fast food, frisdrank, schoonheidsproducten, kleding en videogames. In 62,5% van de gevallen werd direct aangezet tot het kopen van producten. Volgens het rapport bevat het gros van de advertenties geen aanduiding als zodanig. Als er al hashtags zoals #sp of #ad worden
80 Monitor Kindermarketing voor Voedingsproducten Meting 2020, xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxxxxxxx/0000/00/00/xxxxxxx-xxxxxxxxxxxxxxx-xxxx-xxxxxxxxxxxxxxxxx- meting-2020, productie 27.
81 Consell de l’Audiovisual de Catalunya, ‘Advertising in video content created by TikTokers’ Report 122/2020, Barcelona, 28 August 2020, beschikbaar via xxxxx://xxx.xxx.xxx/xxxxx/xxxxxxx/xxxxx/0000- 09/i122_2020%20Pres%C3%A8ncia%20de%20publicitat%20en%20els%20v%C3%ADdeos%20generats%20per%20tiktokers_ EN.pdf.
gebruikt, gebeurt dit op een manier die niet of nauwelijks zichtbaar is. Ter illustratie bevat het rapport de volgende screenshots:
4.1.2.3 Branded hashtag challenges
106. Bijzondere vermelding verdienen de zogenaamde branded hashtag challenges, een advertentievorm waarbij gebruikers worden uitgedaagd om een filmpje te creëren voor een bepaald merk of product. Op deze manier worden gebruikers dus zelf ingezet om producten te promoten.
"Invite all users to participate and create content around your campaign theme, with all UGC aggregating in the hashtag challenge page"82
107. Om te garanderen dat challenges een zo groot mogelijk publiek bereiken, huren adverteerders hiervoor vaak influencers in. Door een branded hashtag challenge te starten via een influencer, kan de adverteerder onmiddellijk een groot publiek bereiken.83
108. TikTok influencers hebben soms wel meer dan een miljoen volgers. Bekende influencers die populair zijn onder kinderen en actief zijn op TikTok zijn bijvoorbeeld de zelf minderjarige [influencer] (@XX en xxx.XXX.xx). Voor influencer-marketing heeft TikTok een special platform in het leven geroepen: de TikTok Creator Marketplace (“The official platform for brand and creator collaborations on TikTok”).84
4.1.2.4 Gericht op kinderen adverteren
109. Voor bedrijven die hun merken en producten willen promoten bij een jonger publiek, is TikTok het belangrijkste platform geworden om op te adverteren:Het liefst helemaal in de huisstijl
82 xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxx/xxxxxx.
83 xxxxx://xxxxxx-xxxxxx.xx/xxx-xxx-xx-xxxxxxxxxx-xx-xxxxxx/.
84 xxxxx://xxxxxxxxxxxxxxxxxx.xxxxxx.xxx/, screenshots van de Creator Marketplace zijn toegevoegd als productie 29.
van het bedrijf, dus in de vorm van een TikTok:“Don’t Make Ads, Make TikToks”. Adverteerders maken in dezelfde schokkerige stijl als de gebruikers video’s. Niet van echt te onderscheiden, want, zo waarschuwt TikTok, onze gebruikers willen een authentieke ervaring:
“Connecting authentically with a new generation of ad-fatigued audiences.” 85
110. Het aanspreken van “de volgende generatie” is een van de unique selling points van XxxXxx:
“Meet the next generation
With the majority of TikTok's users being highly-engaged Generation Z and Millennials based in major cities around the world, brands can instantly connect with the next generation of consumers.”86
111. Productie 30 toont een aantal voorbeelden van branded hashtag en influencer marketing. De marketing wordt uitgevoerd door minderjarigen en heeft ook minderjarigen als doelgroep. Het eerste screenshot toont marketing van het op scholieren gerichte kledingmerk “Romwe”. Een jong meisje is zichtbaar in kleding van het merk met de tekst:
“Dit leuke jasje en Sportsetje zijn van @romweofficial Ik ben echt verrast door dit merk #ROMWE #ROMWEhaul / KORTINGSCODE: [code]”
112. Op geen enkele wijze wordt vermeld dat het filmpje marketing of een advertentie betreft.
4.2 TikTok-gebruikers
113. TikTok is zeer populair onder kinderen en (jong)volwassenen. Volgens onderzoek van de Autoriteit Persoonsgegevens (“AP”) maakt 20-25% van de Nederlandse kinderen in de leeftijd van 6-7 jaar gebruik van de App. In de leeftijdscategorie 8-9 jaar loopt dit op tot tussen de 40- 45% en in de leeftijdscategorie 10-12 zelfs tot 55-65%. Dit onderzoek van de Autoriteit Persoonsgegevens dateert van eind 2019.87
114. Sindsdien is de App flink in populariteit gegroeid. In 2020 was de App wereldwijd de meest gedownloade app, met 850 miljoen downloads. De gebruikersaantallen liggen inmiddels veel hoger.
115. De populariteit wordt bevestigd door een recent onderzoek uitgevoerd door Panteia in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).88 Op basis van een enquête concludeert Panteia dat in 2021 in Nederland circa 57% van de kinderen tussen de 6
85 Zie Success Stories About TikTok Advertising, xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx/xxxxxxxxxxx.
86 xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xx-XX/xxxx/xxxxxx.
87 Autoriteit Persoonsgegevens, ‘Boete TikTok vanwege schenden privacy kinderen’, 22 juli 2021, par. 72, beschikbaar via xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx-xxxxxxxx, toegevoegd als productie 31.
88 Panteia, ‘Marketing voor alcohol en voedingsproducten via sociale media. Wet- en regelgeving, werkwijzen, bereik en effecten’, 21 juni 2021, p. 72, beschikbaar via xxxxx://xxxx.xxxxxxxxxxxxxxxxxxxxxxx.xx/xxx-000000. De enorme stijging van de gebruikers van de TikTok Dienst volgt ook uit onderzoek door Newcom: RTL Nieuws, ‘TikTok passeert Facebook onder Nederlandse jeugd’, xxxxxxxxx.xx, 23 januari 2021, beschikbaar via xxxxx://xxx.xxxxxxxxx.xx/xxxx/xxxxxxx/0000000/xxxxxx- facebook-nederland-sociale-media-onderzoek-instagram-linkedin.
en 12 jaar gebruik maakt van de TikTok Dienst. Productie 32 toont een aantal screenshots van duidelijk jonge kinderen die aanwezig zijn op TikTok.
116. In de leeftijdscategorie 13-17 jaar is dit 63%. Op basis van cijfers van het Centraal Bureau voor de Statistiek (“CBS”) over het aantal kinderen in Nederland89 kan met die percentages het aantal jonge Nederlandse gebruikers van de TikTok Dienst vrij precies worden geschat:
Leeftijd | Totaal aantal kinderen in NL90 | Geschat percentage gebruikers | Geschat aantal gebruikers NL |
6-12 jaar | 1296000 | 57% | 738.720 |
13-17 jaar | 979000 | 63% | 616.770 |
117. Het aantal Nederlandse gebruikers van de TikTok Dienst in de leeftijdscategorie 6-12 jaar ligt daarmee rond de 739.000. In de leeftijdscategorie 13-17 jaar is dit bijna 617.000. Het overgrote deel van de minderjarige gebruikers, gebruikt TikTok elke dag.91
118. Ook het aantal meerderjarige gebruikers van TikTok ligt hoog. Uit onderzoek van Newcom van begin 2021, blijkt dat in de leeftijdscategorieën 20 t/m 39 totaal circa 900 duizend Nederlanders gebruik maken van TikTok, in de leeftijdscategorie 15-19 heeft TikTok 490 duizend Nederlandse gebruikers. Een groot deel daarvan zal 18 of 19 jaar oud zijn. Van de leeftijdscategorie 40+ vermeldt het onderzoek geen cijfers.92
119. De cijfers ten aanzien van het TikTok-gebruik zijn aan verandering onderhevig. De trend is onmiskenbaar: het aantal stijgt.
120. Een conservatieve schatting is dat het aantal minderjarigen dat TikTok gebruikt 1.355.490 bedraagt. Ervan uitgaande dat deze groep circa 30% van de TikTok-populatie betreft, zal het aantal volwassenen circa 3.162.810 bedragen. Dit komt overeen met het aantal van 4,5 miljoen gebruikers dat TikTok naar eigen zeggen medio 2020 had.93 Gelet op de snelle groei van TikTok zal het werkelijke aantal inmiddels hoger liggen. Voorzover de bewijslast op haar rust, biedt de Stichting biedt nadrukkelijk bewijs aan van het aantal gebruikers van de TikTok Dienst gedurende de relevante periode.
4.3 Betaalde TikTok Diensten
121. Gebruikers met meer dan 1000 volgers kunnen een livestream opzetten. Volgers kunnen live reageren met chatberichten en/of kunnen hun waardering tonen door virtuele geschenken te sturen. Geschenken zijn kleurrijke digitale plaatjes van verschillende virtuele objecten. Deze kunnen worden gekocht met munten (of coins), die op hun beurt met geldende valuta kunnen worden gekocht. De geschenken worden voor de ontvanger omgezet in diamanten. Met
89 xxxxx://xxx.xxx.xx/xx-xx/xxxxxxxxxxxxx/xxxxxxxxx-xxxxxxxxx/xxxxxxxxxxxxxxxxxx; met gebruik van de cijfers van 2021. 90 CBS, ‘Bevolkingspiramide. Leeftijdsopbouw Nederland 2021 (prognose)’, beschikbar via xxxxx://xxx.xxx.xx/xx- nl/visualisaties/dashboard-bevolking/bevolkingspiramide.
91 Panteia, ‘Marketing voor alcohol en voedingsproducten via sociale media. Wet- en regelgeving, werkwijzen, bereik en effecten’, 21 juni 2021, p. 72 en bijlage 6, beschikbaar via xxxxx://xxxx.xxxxxxxxxxxxxxxxxxxxxxx.xx/xxx-000000.
92 xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxxxxxxx/xxxxxx-xxxxx-xx-xxxxxxxxx-0000.
93 Tekdeeps, TikTok grows to 4.5 million users in the Netherlands, 24 augustus 2020, xxxxx://xxxxxxxx.xxx/xxxxxx-xxxxx-xx-0- 5-million-users-in-the-netherlands/.
diamanten wordt de populariteit van een gebruiker gemeten en gemarkeerd. Diamanten kunnen door de gebruiker ook worden omgezet in geld.94
122. De wisselkoersen die TikTok hanteert om de waarde van deze munten, geschenken en diamanten te bepalen, is onduidelijk. Alleen op het moment van aanschaf van munten is de werkelijke waarde in geld zichtbaar. TikTok’s “Virtual Items Beleid” (productie 20), dat sinds kort in het Nederlands beschikbaar is,95 vermeldt niet welke commissie TikTok ontvangt en welk bedrag naar de ontvanger gaat. TikTok bepaalt de wisselkoers en schrijft hierover in het beleid: “Diamanten zijn gebaseerd op de Geschenken die een Content Aanbieder ontvangt, aan een omrekeningskoers die wij van tijd tot tijd naar eigen keuze zullen bepalen.” TikTok beschrijft verder dat zij een absoluut recht heeft om de waarde van geschenken te bepalen: “Je stemt ermee in dat wij over een absoluut recht beschikken om een dergelijke wisselkoers naar eigen keuze te beheren, te reguleren, te controleren, te wijzigen en/of te elimineren, in elk algemeen of specifiek geval, en dat wij geen aansprakelijkheid ten opzichte van jou zullen hebben op basis van de uitoefening van een dergelijk recht.”
123. Onduidelijk is ook welke commissie TikTok zichzelf toekent, maar geschat wordt dat dit circa 50% van de waarde is.96 Als een gebruiker bijvoorbeeld voor 1000 munten een virtuele discobal koopt en schenkt, kost hem dat circa € 16,-.97 De ontvangende gebruiker krijgt dan diamanten die hij voor circa € 8,- aan zichzelf kan laten uitkeren. De overige € 8,- gaat naar TikTok. Gebruikers hebben alleen al in het 2e kwartaal van 2021 voor 535 miljoen dollar aan munten aangeschaft.98 Door middel van bepaalde spelelementen worden gebruikers uitgedaagd om zo veel mogelijk geschenken te geven en geld uit te geven. Screenshots van het gehele proces rondom het aankopen van munten en het geven van de virtuele geschenken zijn toegevoegd als productie 33.
4.4 Samenvatting feitelijk kader
124. Uit het voorgaande volgt onder meer het volgende wat het feitelijk handelen van TikTok betreft:
• TikTok verzamelt zoveel mogelijk informatie over gebruikers en creëert profielen om door middel van haar algoritme, voor commerciële doeleinden
o Gebruikers aan te zetten tot zoveel mogelijk gebruik van de dienst;
o Content te personaliseren; en/of
o Advertenties te targeten.
94 TikTok, ‘LIVE gifting’, xxxxxx.xxx, beschikbaar via xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xxxxxxx-xxxxxx/xx-xx/xxxxxxx-xxxx-xx- create/live-gifting/.
95 Een snapshot van de pagina waarop de Nederlandstalige juridische documenten van TikTok te vinden zijn, van 23 juli 2021, toont aan dat op dat moment de Gebruiksvoorwaarden, het privacybelend en het cookiebeleid voor de websites van TikTok in het Nederlands beschikbaar waren. Het Beleid Intellectuele Eigendom en het Virtual Items Beleid zijn op 23 juli 2021 nog niet in het Nederlands beschikbaar: xxxxx://xxx.xxxxxxx.xxx/xxx/00000000000000/xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxx-xx- service?lang=nl.
96 Cassandra, ‘How Much Are TikTok Gift Points Worth?’, xxxxx.xxx, 27 februari 2021, beschikbaar via xxxxx://xxx.xxxxx.xxx/xxx-xxxx-xxx-xxxxxx-xxxx-xxxxxx-xxxxx/.
97 Bij aankoop van 1400 munten voor €21,99, hebben 1000 munten afgerond €15,71 gekost.
98 xxxxx://xxxxxxxxxxx.xxx/xxxx/xxxxxx-xxxxxxxxx-0-xxxxxxx.
• TikTok toont advertenties aan gebruikers zonder dat (voldoende) duidelijk is dat het reclame betreft.
• TikTok geeft informatie over gebruikers door aan landen buiten de EER.
• TikTok deelt informatie over gebruikers met derde partijen voor commerciële doeleinden.
• TikTok laat na om gebruikers (voldoende) te informeren over bovenstaande aspecten van de TikTok Dienst.
5 JURIDISCH KADER
5.1 Inleiding
125. Als gevolg van de hierboven beschreven handelwijze handelt TikTok onder meer in strijd met fundamentele (kinder)rechten, het gegevensbeschermingsrecht, telecommunicatierecht, en dwingend media- en consumentenrecht.
5.2 Schending fundamentele rechten
126. In het navolgende deel zal een overzicht worden gegeven van de fundamentele rechten die TikTok schendt.
5.2.1 Schending artikel 7 en 8 Handvest
127. In de onderhavige zaak betreft de handelwijze van XxxXxx zowel een bijzonder ernstige inmenging in het recht op eerbiediging van het privéleven (artikel 7 Handvest) als op het recht op bescherming van persoonsgegevens (artikel 8 Handvest).
128. De artikelen 7 en 8 van het Handvest zijn nauw met elkaar verbonden. Het recht op bescherming van persoonsgegevens berust mede op de eerbiediging van het privéleven. Het HvJEU heeft bevestigd dat de gegevensbescherming op grond van artikel 8 Handvest van bijzonder belang is voor het in artikel 7 verankerde recht op eerbiediging van het privéleven.99
129. Het volgen van het gedrag van TikTok gebruikers binnen en buiten de TikTok Dienst, het creëren van uitgebreide profielen op basis van verzamelde, afgeleide en van derden verkregen informatie over gebruikers om deze vervolgens door middel van algoritmes te kunnen targeten met content en advertenties, vormt een ernstige inmenging op de bescherming van het privéleven van TikTok gebruikers en daarmee op artikel 7 Handvest. Het betreft immers het verzamelen van persoonsgegevens die bijzondere en gevoelige kenmerken over het persoonlijk leven van individuen kunnen blootleggen. Deze gegevens kunnen een indringend beeld geven van iemands gedrag en belangstelling. Het gaat bovendien om een gegevensverwerking die louter ten dienste staat van de commerciële belangen van het socialemediabedrijf.
130. Dat dit een inbreuk vormt op artikel 7 en 8 van het Handvest volgt ook uit de zaak Digital Rights Ireland waarin het HvJEU oordeelde over de bewaring van een beperkt aantal specifieke gegevens op grond van een specifieke richtlijn die voorschreef dat, kort gezegd, telecomaanbieders gegevens moesten bewaren ten behoeve van het onderzoeken en vervolgen
99 HvJEU 8 april 2014, zaak c-293/12, ECLI:EU:C:2014:238, (Digital Rights Ireland), r.o. 53.
van ernstige criminaliteit door de bevoegde autoriteiten. Het ging onder meer om gegevens die nodig waren om de bron en de bestemming van de telecommunicatie te traceren en identificeren, zogenaamde verkeersgegevens. Het HvJEU oordeelde dat uit deze gegevens “zeer precieze conclusies” worden getrokken over het privéleven van de personen.
“Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.” 100
131. Dat geldt evenzeer voor de gedetailleerde informatie die over TikTok gebruikers wordt verzameld. Bovendien vindt het gebruik van deze informatie door TikTok niet plaats op grond door een richtlijn voorgeschreven verplichtingen ten behoeve van maatschappelijke belangen, maar op eigen instigatie van een private partij voor louter commerciële doeleinden.
132. Daarnaast vormt, zoals hieronder bij de bespreking van de AVG nader toegelicht, de handelwijze van TikTok een grootschalige verwerking van persoonsgegevens en wordt daarmee ook artikel 8 van het Handvest in de kern aangetast.
133. Artikel 8 van het Handvest wordt in het bijzonder geraakt door het bouwen van profielen en het targetten van kinderen, jongvolwassenen en volwassenen. Dat geldt temeer nu het voor gebruikers van TikTok niet duidelijk is wat er met hun persoonsgegevens gebeurt en met wie die worden gedeeld. Bovendien kan de manier waarop TikTok persoonsgegevens van gebruikers verwerkt ertoe leiden dat mensen niet langer gebruik (willen) maken van sociale media, terwijl dit een van de belangrijkste communicatiemiddelen van deze tijd is. Gebruik van de TikTok Dienst is immers alleen mogelijk als men accepteert dat hij voortdurend wordt gevolgd en dat een profiel van hem wordt ontwikkeld en onderhouden op basis waarvan hij content krijgt voorgeschoteld, passend bij zijn specifieke karaktereigenschappen. Hiermee wordt ook het recht op vrijheid van meningsuiting geraakt, zoals ook volgt uit de zaak Tele2 van het HvJEU.101
134. De activiteiten van TikTok vormen dus een ernstige inmenging in de fundamentele rechten die bescherming vinden in de artikel 7, 8 en 11 van het Handvest. De Stichting kan zich ten behoeve van de Gedupeerden hier rechtstreeks op beroepen. De grondrechten uit het Handvest werken door in horizontale verhoudingen. Het HvJEU heeft dat meerdere malen erkend.102 Daarnaast dienen deze fundamentele grondrechten ook bij de toepassing van de AVG te worden meegewogen, aangezien de AVG een nadere uitwerking vormt van de grondrechtelijke context.
100 HvJEU 8 april 2014, zaak c-293/12, ECLI:EU:C:2014:238, (Digital Rights Ireland), r.o. 27.
101 HvJEU 21 december 2016, gevoegde zaken C-203/15 en C-698/15, ECLI:EU:C:2016:970, (Tele2), r.o. 92.
102 Zie onder meer HvJEU 8 april 1976, zaak 43/75 (Defrenne), HvJEU 29 januari 2009, zaak C-275/16, ECLI:EU:C:2008:54 (Promusicae) en HvJEU 19 februari 2009, zaak C-557/07 (LSG / Tele2), HvJEU 12 juli 2011, zaak X-000/00, XXXX:XX:X:0000:000 (X’Xxxxx / eBay), HvJEU 24 november 2011, zaak C-70/10, ECLI:EU:C:2011:771 (Scarlet/SABAM), HvJEU
27 maart 2014, zaak C-314/12, ECLI:EU:C:2014:192 (UPC Telekabel).
van het evenredigheidsbeginsel kunnen slechts beperkingen worden gesteld wanneer deze noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de bescherming van de rechten van anderen. De handelwijze van TikTok voldoet niet aan deze vereisten:
• De activiteiten van TikTok hebben geen wettelijke grondslag;
Er is geen wetgeving waarop de handelwijze van TikTok kan worden gebaseerd. Integendeel, zoals hieronder bij de toetsing van de activiteiten van TikTok aan de AVG en de Tw zal blijken, schendt zij een veelheid van elementaire beginselen en bepalingen uit de AVG en de Tw en handelt TikTok daarnaast in strijd met fundamentele (kinder)rechten, met dwingend consumentenrecht en met mediarecht. De activiteiten berusten dus niet op een voldoende toegankelijke en voorzienbare wettelijke grondslag die naar behoren tegen willekeur beschermt, zoals het criterium “bij wet gesteld” vereist.103
• De activiteiten van TikTok eerbiedigen niet de wezenlijke inhoud van de in het Handvest erkende rechten;
Zoals hierboven en hieronder toegelicht, gaat het om een inmenging in de grondrechten die bijzonder groot en ernstig is en wordt op die grondrechten gebaseerde wetgeving, en daarmee de grondrechten zelf, juist niet gerespecteerd.
• De activiteiten van TikTok zijn niet noodzakelijk om een doelstelling van algemeen belang na te streven en evenmin noodzakelijk ter bescherming van haar rechten of daadwerkelijk geschikt om die doelstelling na te streven of die rechten te beschermen;
Er is geen sprake van een algemeen belang dat wordt nagestreefd door TikTok, louter een commercieel belang. TikTok kan ook niet een bijzonder recht inroepen dat voorziet in de bescherming van haar activiteiten.
• De activiteiten van TikTok zijn niet evenredig aan het nagestreefde doel.104
Hierboven is al aangegeven dat de handelingen van TikTok geen legitiem doel nastreven en dat zij zich ook niet kan beroepen op een eigen fundamenteel recht dat bescherming behoeft. Er kan dan ook geen sprake zijn van evenredigheid aan het nagestreefde doel. Bovendien geeft TikTok gebruikers geen, of in ieder geval niet voldoende, garantie of waarborg voor de bescherming van hun persoonsgegevens, zoals HvJEU vereist in de zaak Xxxxxxx II.105 Het is voor de gemiddelde gebruiker volstrekt onduidelijk welke informatie betreffende hem wordt verzameld, voor welke doeleinden, en voor welke periode. Hij weet niet hoe zijn profiel is opgebouwd, met wie zijn profiel wordt gedeeld en op welke wijze adverteerders op basis van zijn profiel hem aanbiedingen doen. Voor zover profilering en behaviorial targeting een legitiem doel kunnen vormen, is de wijze waarop TikTok het
103 Vgl. conclusie AG Saugmandsgaardoe van 19 juli 2016 in gevoegde zaken C-203/15 en C-698/15, ECLI:EU:C:2016:572, (Tele2), punten 134-154.
104 Vgl. conclusie AG Saugmandsgaardoe van 19 juli 2016 in gevoegde zaken C-203/15 en C-698/15, ECLI:EU:C:2016:572, (Tele2), punt 132.
105 Zie HvJEU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559, (Xxxxxxx II), r.o. 176.
proces heeft ingericht buitenproportioneel. Het is onnodig het gedrag van gebruikers zo minutieus te volgen om een commerciële dienst aantrekkelijker te maken en om online reclame te maken.
136. Gelet op het voorgaande schendt TikTok de relevante grondrechten in het Handvest en handelt zij daarmee tevens onrechtmatig op grond van artikel 6:162 BW.
5.2.2 Schending kinderrechten: IVRK en Handvest
137. De handelwijze van TikTok vormt een onrechtmatige inmenging op de bijzondere fundamentele bescherming die kinderen genieten. Deze bescherming volgt onder meer uit het IVRK. Het IVRK stelt hoge eisen aan de bescherming van kinderen, dat wil zeggen alle personen jonger dan 18 jaar,106 overal ter wereld. Een van de uitgangspunten is dat het belang van het kind een eerste moet overweging zijn.107 Dit is ook gecodificeerd in artikel 24 Handvest, dat rechtstreeks geïnspireerd is op IVRK-bepalingen.
138. Alle EU-lidstaten en lidstaten van de Raad van Europa zijn partij bij het IVRK, waardoor het effectief gemeenschappelijke wettelijke verplichtingen oplegt aan de Europese staten en het IVRK een belangrijke status op Europees niveau heeft. De Europese Unie (“EU”) EU baseert zich op algemene beginselen van het gemeenschapsrecht als aanvulling op en handreiking bij de uitleg van de EU-Verdragen (artikel 6, lid 3 VWEU). Het HvJEU heeft bepaald dat de kinderrechten zoals vervat in het IVRK behoren tot de instrumenten ter bescherming van de rechten van de mens, waarmee rekening moet worden gehouden bij de toepassing van de algemene beginselen van gemeenschapsrecht.108
Kinderrechten in de digitale omgeving
139. De toepassing van kinderrechten in de digitale omgeving staat wereldwijd sinds enige jaren hoog op de agenda. Door de COVID-19-crisis is het schermgebruik door kinderen sterk gestegenen is de urgentie tot waarborging van digitale kinderrechten toegenomen.109
140. Toezicht op naleving van het IVRK is in handen van het VN-Kinderrechtencomité. Het VN- Kinderrechtencomité publiceert General Comments om Staten die partij zijn bij het IVRK uit te leggen hoe het IVRK moet worden geïmplementeerd. Op 24 maart 2021 heeft het VN- Kinderrechtencomité GC25 gepubliceerd (productie 34).
141. Het VN-Kinderrechtencomité benadrukt in GC25 onder meer dat private (commerciële) partijen kinderrechten moeten respecteren en dat overheden de verplichting hebben de naleving hiervan te waarborgen:
“States parties should take measures, including through the development,
monitoring, implementation and evaluation of legislation, regulations and policies,
106 Artikel 1 IVRK.
107 Artikel 3 IVRK.
108 HvJ EG 14 februari 2008, C-244/06, ECLI:EU:C:2008:85 (Dynamic Medien), r.o. 39. Zie ook: HvJ EG 27 juni 2006, C- 540/03, ECLI:EU:C:2006:429 (Parlement/Raad), r.o. 37.
109 De Europese Commissie heeft een rapport gepubliceerd met de risico’s waarmee kinderen in de covid19-lockdown online geconfronteerd zijn: How children (10-18) experienced online risks during the Covid-19 lockdown - Spring 2020, xxxxx://xxxxxxxxxxxx.xxx.xx.xxxxxx.xx/xxxxxxxxxx/xxxxxx/XXX000000.
to ensure compliance by businesses with their obligations to prevent their networks or online services from being used in ways that cause or contribute to violations or abuses of children’s rights, including their rights to privacy and protection, and to provide children, parents and caregivers with prompt and effective remedies.” 110
142. In GC25 wordt onder meer opgeroepen het profileren van kinderen van elke leeftijd op basis van gedrag voor commerciële doeleinden te verbieden en wordt erkend dat kinderen door het maken en delen van content, economische actoren worden in de digitale omgeving wat kan leiden tot exploitatie. Ook worden in GC25 de concepten “privacy by design” en “safety by design” herhaaldelijk benadrukt.
143. De in dit kader relevante IVRK-bepalingen zijn onder meer:
• Artikel 3 IVRK (Het belang van het kind moet voorop staan bij alle maatregelen die kinderen aangaan);
• Artikel 16 IVRK (Ieder kind heeft recht op privacy);
• Artikel 32 IVRK (Ieder kind heeft het recht op bescherming tegen economische exploitatie).
144. Artikel 3 en 16 IVRK vinden tevens hun uitwerking in het hoofdstuk over schending van de AVG (hoofdstuk 5.3), waarin uiteengezet wordt dat in onderhavige zaak:
• persoonsgegevens van kinderen door TikTok niet op een rechtmatige wijze worden verwerkt (paragraaf 5.3.5);
• ten aanzien van de TikTok Dienst geen sprake is van een kindvriendelijk privacy-ontwerp
(in strijd met het beginsel van “privacy by design”) (paragraaf 5.3.7); en
145. Hieronder zal specifiek worden ingegaan op de schending van het verbod op economische exploitatie van kinderen (artikel 32 IVRK).
5.2.2.1 Schending van het verbod op economische exploitatie van kinderen
146. Kinderen hebben het recht op bescherming tegen economische exploitatie (artikel 32 IVRK). Economische exploitatie is het onrechtvaardig profiteren van kinderen door het aanbieden van bijvoorbeeld digitale diensten tot eigen gewin. Hieronder kan ook vallen het manipuleren van kinderen om economisch voordeel te behalen, waaronder door op exploitatie gerichte vormgeving van digitale diensten. Het VN-Kinderrechtencomité beschouwt dit als het tonen van een gebrek aan respect voor de harmonieuze ontwikkeling van de persoonlijkheid van kinderen.111 Hiervan is bij uitstek sprake met de TikTok Dienst. Zoals in het feitelijk kader aan bod is gekomen (paragraaf 4.1.2.4), monitort TikTok het gedrag van kinderen om content te
110 General Comment 25, par. 36.
111 Code voor Kinderrechten, p. 54.
personaliseren met het doel hun aandacht zo lang mogelijk vast te houden en gepersonaliseerde reclame te tonen, voor zuiver commerciële doeleinden.
147. Wanneer het verbod op economische exploitatie van kinderen is geschonden, is er sprake van samenloop met andere fundamentele rechten. Dit wordt in de Code voor Kinderrechten uiteengezet:
“Op exploitatie gerichte vormgeving is niet in het belang van kinderen (artikel 3 IVRK) als het niet bijdraagt aan hun welzijn of zelfs schadelijk voor hen is. Daarmee heeft het ook een impact op het recht van kinderen op een optimale ontwikkeling (artikel 6 IVRK). Bovendien is bij economische exploitatie niet het belang van het kind een eerste overweging, maar staat het belang van bedrijven zelf voorop. Op exploitatie gerichte vormgeving raakt ook aan het recht op privacy en dataprotectie van kinderen (artikel 16 IVRK, artikel 7 en 8 EU Handvest), als deze gepaard gaat met niet-noodzakelijke of zelfs excessieve gegevensverzameling. Het manipuleren van hun denkbeelden met op basis van algoritmes geselecteerde content kan in strijd zijn met hun recht op vrijheid van informatie (artikel 13 IVRK) en gedachtevorming (artikel 14 IVRK). En op exploitatie gerichte vormgeving heeft een impact op hun recht op spel en ontspanning (artikel 31 IVRK).”112
Profilering voor commerciële doeleinden
148. Persoonsgerichte datagedreven marketing, waarvan TikTok op grote schaal gebruikmaakt (paragraaf 4.1.2.1), kan leiden tot economische exploitatie van kinderen. De Raad van Europa113 en het VN-Kinderrechtencomité stellen dat overheden moeten overgaan tot het verbieden van profilering of “targeting” voor commerciële doeleinden van kinderen van elke leeftijd:
(…) States parties should prohibit by law the profiling or targeting of children of any age for commercial purposes on the basis of a digital record of their actual or inferred characteristics, including group or collective data, targeting by association or affinity profiling. Practices that rely on neuromarketing, emotional analytics, immersive advertising and advertising in virtual and augmented reality environments to promote products, applications and services should also be prohibited from engagement directly or indirectly with children.”114
149. Ook in de Code voor Kinderrechten is opgenomen dat kinderen niet geprofileerd moeten worden:
“Het profileren van gebruikers is een vorm van gegevensverwerking met hoog risico. Er ontstaat een privacygevoelig (en soms onterecht) beeld van iemand op basis van correlaties. Kinderen zijn kwetsbaar, aangezien profilering kan leiden tot stereotypering, stigmatisering en discriminatie. Het inzetten van profilering zet
112 Code voor Kinderrechten, p. 54.
113 Aanbeveling CM/Rec(2018)7 van het Comité van Ministers aan de lidstaten inzake Richtlijnen voor de eerbiediging, bescherming en naleving van de rechten van het kind in de digitale omgeving, par. 37.
114 General Comment 25, par. 42.
gebruikers bovendien (impliciet) aan tot overmatig gebruik van de dienst. Functies voor profilering moeten standaard uitstaan, tenzij er vanuit het belang van het kind een dwingende reden voor is. Daar moeten dan passende maatregelen bij genomen zijn.” 115
150. In de Code voor Kinderrechten wordt uiteengezet dat met alle verzamelde gedragsgegevens een zeer indringend beeld van iemand kan ontstaan en dat er kenmerken over groepen kunnen worden afgeleid:
“Die profielen zeggen bijvoorbeeld iets over iemands persoonlijkheid, seksuele identiteit, emotionele gesteldheid, medische aandoeningen, interesses, behoeften, en sociale contacten. De mens zelf wordt het middel tot het genereren van winst, aangezien deze gegevens en profielen een economische waarde vertegenwoordigen. Bij kinderen is dit in het bijzonder problematisch, omdat zij moeten worden beschermd tegen economische exploitatie.”116
151. TikTok’s algortime draagt op twee manieren bij aan economische exploitatie. Ten eerste zorgt het TikTok-algoritme ervoor dat de aandacht van de TikTok- gebruiker zo lang mogelijk wordt vastgehouden en zet het gebruikers (impliciet) aan tot overmatig gebruik van de dienst, waardoor er meer advertenties getoond kunnen worden. Ten tweede door persoonlijke advertenties te tonen om inkomsten te genereren. Zoals uit het feitelijk kader blijkt, maakt XxxXxx hier geen geheim van: “It has never been easier to reach potential customers by precisely targeting your audience”.
152. De profielen van kinderen en jongvolwassenen vertegenwoordigen een economische waarde die TikTok te gelde maakt zonder dat dit in het belang van het kind is. In dit kader moet nog worden opgemerkt dat XxxXxx niet enkel adverteerders toelaat op haar eigen platform, maar ook zoals in paragraaf 4.1.2 uiteengezet, voor haar eigen gewin persoonsgegevens uitwisselt met “partners”. TikTok biedt minderjarige gebruikers geen mogelijkheid een dienst zonder profilering te gebruiken, bijvoorbeeld door enkel content te tonen in interessegebieden die de gebruiker zelf opgeeft.
153. Gelet op het voorgaande schendt TikTok artikel 32 IVRK en tevens artikel 3 en 16 IVRK, en handelt zij tevens onrechtmatig op grond van artikel 6:162 BW. Dit onderwerp zal hierna in paragraaf 5.3.8.1 over geautomatiseerde besluitvorming waaronder profilering in het kader van artikel 22 AVG, nog nader aan bod komen.
5.3 Schending AVG
154. Zoals opgemerkt in de inleiding van het juridisch kader, vormt de AVG, alsmede de Tw, deels een nadere uitwerking van de hierboven besproken fundamentele rechten. De verwerking van persoonsgegevens moet “ten dienste van de mens” staan (overweging 4) en de AVG beoogt bij
115 Code voor Kinderrechten, p. 6.
116 Code voor Kinderrechten, p. 52.
te dragen aan “de totstandkoming van een ruimte van vrijheid, veiligheid en recht (…) en het welzijn van natuurlijke personen.” (overweging 2).
155. De AVG en Tw zullen daarom mede uitgelegd moeten worden in het licht van de bescherming van de fundamentele rechten die de Uniewetgever met deze regelgeving beoogt te beschermen.
156. Dat geldt ook specifiek voor de hierboven besproken fundamentele kinderrechten zoals vastgelegd in het IVRK. Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.
157. Alvorens de specifieke schendingen van de AVG en de Tw te behandelen, zal hieronder eerst uiteen gezet worden dat de AVG en Tw op de onderhavige zaak van toepassing zijn.
5.3.1 Materiele toepasselijkheid AVG
158. De manier waarop TikTok gebruik maakt van persoonsgegevens van gebruikers vormt een inbreuk op meerdere bepalingen van de AVG.
159. De handelingen die TikTok uitvoert ten aanzien van persoonsgegevens worden door TikTok niet voldoende duidelijk kenbaar gemaakt maar omvatten in ieder geval:
• activiteiten voor het aanmaken van account;
• functionaliteiten voor het bekijken en plaatsen van content door gebruikers;
• profilering en het personaliseren van content en/of advertenties;
• cookies en advertenties;
• behavioural targeting;
• het delen van persoonsgegevens met derden;
• het doorgeven van persoonsgegevens buiten de EER;
• andere activiteiten (met betrekking tot bijvoorbeeld beveiliging, enquêtes en het optimaliseren van de TikTok Service).
160. Voorzover niet nader gespecificeerd zal het onderstaande betrekking hebben alle handelingen die TikTok ten aanzien van persoonsgegevens verricht.
161. De AVG is van toepassing op de “verwerking van persoonsgegevens” (artikel 2 AVG). Degene op wie persoonsgegevens betrekking hebben wordt de “betrokkene” genoemd. TikTok betwist niet dat zij persoonsgegevens verwerkt. Dat blijkt uit de privacyverklaring op haar website (productie 7).
5.3.1.1 Persoonsgegevens die door TikTok worden gebruikt
162. Artikel 4 lid 1 AVG definieert het begrip persoonsgegevens als volgt:
“persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
163. Volgens het privacy statement van TikTok verwerkt zij de volgende categorieën persoonsgegevens (productie 7):
• Profielinformatie
• Gebruikerscontent en gedragsinformatie
• Informatie van derden
• Technische informatie
• Locatiegegevens
• Informatie over vrienden
• Aankopen in de app
• Informatie die de gebruiker aan TikTok geeft
• Bewijs van identiteit en leeftijd
• (Informatie in) cookies
164. De beschrijving die TikTok geeft van de persoonsgegevens in de verschillende categorieën is lang, veelomvattend en vaag. Het is niet duidelijk welke informatie het nu precies betreft. Alle informatie over gebruikers waarover TikTok in het kader van haar dienst beschikt, moet worden gekwalificeerd als persoonsgegevens. Het gaat hier dus om een grote hoeveelheid persoonsgegevens van gebruikers, waaronder onder meer informatie die door gebruikers wordt verstrekt, geüploade content, gedragsgegevens, cookies, IP-adressen, unieke gebruikers-ID's, deelname aan enquêtes, challenges en wedstrijden, profielfoto's en/of video's, locatie, profielgegevens (waaronder interesses en kenmerken), biografie, gezichtsherkenningsgegevens, browsegeschiedenis, verzonden en ontvangen berichten van volgers en gebruikers die worden gevolgd.
165. Het betreft immers:
(i) Informatie;
(ii) Betreffende;
(iii) een geïdentificeerde of identificeerbare natuurlijke persoon.117
117 Artikel 29 werkgroep, Advies 4/2007 over het begrip persoonsgegeven, 20 juni 2007, WP136 (‘WP136 Begrip persoonsgegeven’), p. 6.
166. Het HvJEU heeft in de zaak Xxxxx bevestigt dat uit de woorden “alle informatie” in de definitie van het begrip “persoonsgegeven” moet worden afgeleid dat de Uniewetgever een ruime betekenis aan dit begrip heeft willen geven, dat zich uitstrekt tot elke soort informatie, “zowel objectieve informatie als subjectieve informatie onder de vorm van meningen of beoordelingen”.118 TikTok verzamelt zowel objectieve als subjectieve (interesses en voorkeuren) informatie van haar gebruikers.
167. Persoonsgegevens onderscheiden zich van andere gegevens of informatie doordat zij betrekking hebben op een persoon. De door TikTok verwerkte informatie heeft zonder meer betrekking op en gaat over personen, namelijk de gebruikers van de TikTok Dienst. TikTok verwerkt overigens ook informatie van gebruikers die geen account aanmaken, zoals TikTok in het privacybeleid zelf ook bevestigt: “[w]ij verzamelen ook informatie over jou als je de app downloadt en het Platform gebruikt zonder een account te creëren”.
Ad iii: een geïdentificeerde of identificeerbare natuurlijke persoon
168. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect geïdentificeerd kan worden, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, of een online identificator. Voldoende is dat de informatie het op zichzelf mogelijk maakt de betrokken persoon te identificeren, al dan niet gekoppeld met andere informatie. Niet vereist is dat alle identificerende informatie bij één en dezelfde partij berust.
169. In het geval van TikTok maken de meeste gebruikers een account aan. De App kan immers niet worden gebruikt zonder account. Voor het aanmaken van een account moet de gebruiker gegevens invullen. Het gaat onder meer om e-mailadres, telefoonnummer, gegevens die de gebruiker zelf invult en een profielfoto. De TikTok Dienst is verder gericht op het maken van filmpjes, waarop de gebruiker veelal zichtbaar zal zijn. Met elk van deze gegevens is de natuurlijk persoon identificeerbaar, of reeds geïdentificeerd.
170. Ook van gebruikers die geen juiste gegevens invullen bij het maken van een account, of die de TikTok Dienst gebruiken zonder account, worden persoonsgegevens verwerkt. In dat geval verwerkt TikTok namelijk nog steeds unieke identificatoren als bedoeld in artikel 4 lid 1 AVG, zoals een gebruikers-ID, advertentie-ID, cookie identificatoren en het IP-adres van de gebruiker.119
5.3.1.2 TikTok verwerkt persoonsgegevens
171. Artikel 4 lid 2 AVG definieert het begrip “verwerking” als volgt:
118 HvJEU 20 december 2017, C/434-16, (Xxxxx), ECLI:EU:C:2017:994, r.o. 34. Deze zaak is gewezen met toepassing van het begrip “persoonsgegeven” uit richtlijn 95/46.
119 HvJEU 19 oktober 2016, C-582/14, (Xxxxxx), ECLI:EU:C:2016:779.
“verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;”
172. Zoals hierboven aangegeven, is TikTok niet duidelijk over welke handelingen zij precies verricht ten aanzien van de gegevens van gebruikers. Alle handelingen die zij verricht ten aanzien van persoonsgegevens, moeten worden aangemerkt als verwerking in de zin van de AVG, vanaf het eerste moment dat een gegeven verzameld wordt, tot en met het verwijderen ervan.
173. Bij de verwerking door TikTok worden bovendien bepaalde persoonlijke aspecten van internetgebruikers geëvalueerd, met name met het doel persoonlijke voorkeuren, interesses, gedrag en andere kenmerken van internetgebruikers te analyseren of te voorspellen. Deze manier van het verwerken van persoonsgegevens wordt in artikel 4 lid 4 AVG aangemerkt als profilering. In de feiten is al uiteengezet welke uitgebreide profielen op deze manier worden opgesteld, en wat deze profielen kunnen zeggen over personen.
174. Dat de verwerking kan worden aangemerkt als profilering, maakt dat de verwerking in zijn algemeenheid als ingrijpender zal moeten worden beschouwd en dat aanvullende verplichtingen gelden om de belangen van betrokkenen te waarborgen. Deze zullen in het navolgende worden besproken bij de behandeling van de inbreuk op de AVG.
5.3.2 TikTok is verwerkingsverantwoordelijke op grond van de AVG
175. TikTok is verwerkingsverantwoordelijke ten aanzien van alle persoonsgegevens van gebruikers die zij verwerkt.
176. Artikel 4 lid 7 AVG definieert de verwerkingsverantwoordelijke als volgt:
“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (…)”
177. De verwerkingsverantwoordelijke speelt een fundamentele rol in het kader van de AVG en daarom is het van groot belang hem aan te wijzen. De verwerkingsverantwoordelijke heeft onder meer de verantwoordingsplicht om aan te tonen dat hij voldoet aan de beginselen inzake verwerking van persoonsgegevens (artikel 5 lid 2 AVG).
178. De verwerkingsverantwoordelijke moet worden onderscheiden van een “verwerker”, die
slechts ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (artikel
4 lid 8 AVG). Een verwerker mag slechts persoonsgegevens verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerking door een
verwerker moet in een specifieke overeenkomst worden geregeld (artikel 28 lid 3 AVG). TikTok is geen verwerker.
179. De verwerkingsverantwoordelijke is degene die het doel en de middelen bepaalt: “waarom” en “hoe” persoonsgegevens worden verwerkt.120 De verwerkingsverantwoordelijke is niet noodzakelijkerwijs één partij, hetgeen ook volgt uit de definitie (“alleen of samen met anderen”). Als meerdere partijen samen het doel en de middelen bepalen, dan is ingevolge artikel 26 AVG sprake van gezamenlijke verantwoordelijkheid. Artikel 26 AVG schrijft voor dat partijen in dat geval op transparante wijze hun onderlinge verhouding en verantwoordelijkheden ten aanzien van de nakoming van de AVG dienen vast te leggen.
180. In ieder geval tot 29 juli 2020 moet TikTok Inc, worden aangemerkt als verwerkingsverantwoordelijke, zo oordeelt de AP in voornoemd boetebesluit.121 Deze Amerikaanse entiteit stelde tot op dat moment het doel van en de middelen voor de TikTok Dienst vast. TikTok geeft in het boetebesluit aan de verwerkingsverantwoordelijkheid te hebben “overgedragen” aan TikTok Ireland en TikTok UK en dat TikTok Ireland kwalificeert als hoofdvestiging conform artikel 4 aanhef onder 16 AVG.122
181. Het privacybeleid van TikTok (productie 7) is onduidelijk over de verwerkingsverantwoordelijke(n) binnen de groep voor de verwerkingsactiviteiten voor de TikTok Dienst in de Europese Economische Ruimte ("EER"). Het privacybeleid stelt eerst dat TikTok Ireland en TikTok UK het platform en de daaraan gerelateerde diensten leveren en samen persoonsgegevens verwerken volgens de Gebruiksvoorwaarden.
Waar wij in dit privacybeleid verwijzen naar “TikTok”, “wij” of “ons”, bedoelen we TikTok Technology Limited, een Iers bedrijf (“TikTok Ierland”), en TikTok Information Technologies UK Limited (“TikTok VK”), een bedrijf in het Verenigd Koninkrijk. (…)
TikTok Ierland en TikTok VK leveren het Platform en de daaraan gerelateerde diensten en verwerken samen de persoonsgegevens op de manier die wordt beschreven in dit beleid en in onze Gebruiksvoorwaarden.
182. Dit lijkt te wijzen op gezamenlijke verantwoordelijkheid van TikTok UK en TikTok Ireland voor de TikTok Dienst. In het privacybeleid staat echter ook dat voor gebruikers in de EER en Zwitserland TikTok Ierland ‘de dienstverlener’ is, dat voor gebruikers in het Verenigd Koninkrijk TikTok UK "de aanbieder van het platform" is en dat TikTok UK en TikTok Ireland persoonsgegevens delen als gezamenlijke verantwoordelijken voor zover dit noodzakelijk is om het platform efficiënt te laten functioneren. Het privacybeleid zwijgt verder over de onderlinge verhouding tussen de twee entiteiten.
120 Artikel 29 werkgroep, Advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, WP169, p. 15. (‘WP169 De begrippen “voor de verwerking verantwoordelijke” en “verwerker”’).
121 Autoriteit Persoonsgegevens, ‘Boete TikTok vanwege schenden privacy kinderen’, 22 juli 2021, par. 20, te vinden op: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxx/xxxxx-xxxxxx-xxxxxxx-xxxxxxxx-xxxxxxx-xxxxxxxx.
122 Idem.
Voor gebruikers van het Platform in de EER en Zwitserland is TikTok Ierland de dienstverlener in overeenstemming met onze Gebruiksvoorwaarden en als je in het Verenigd Koninkrijk woont, is TikTok VK de leverancier van het Platform. TikTok Ierland en TikTok VK delen informatie als gezamenlijke verwerkingsverantwoordelijken van jouw gegevens waar dat nodig is om het Platform efficiënt te laten werken en in overeenstemming met de toepasselijke wetgeving.
183. Uit het privacybeleid volgt echter dat ook persoonsgegevens worden gedeeld binnen de groep, met inbegrip van TikTok Inc. TikTok Inc is volgens XxxXxx zelf voor gebruikers in de VS nog steeds verwerkingsverantwoordelijke. Daaruit blijkt wel dat TikTok Inc. nog steeds zeggenschap heeft over het gebruik van persoonsgegevens in het kader van de TikTok Dienst. TikTok Inc. moet dus als (gedeeltelijk) (gezamenlijk) verwerkingsverantwoordelijke worden aangemerkt.
184. Tot de groep waarbinnen persoonsgegevens kunnen worden gedeeld behoren ook moederbedrijf ByteDance en TikTok Ltd., een entiteit gepositioneerd tussen ByteDance, alle TikTok dochters (waaronder TikTok Inc., TikTok UK, TikTok Ireland en TikTok Singapore) alsook de ByteDance dochter Beijing ByteDance. Nu TikTok expliciet bevestigt binnen de groep uit te wisselen, maar niet aangeeft met welk doel en in welke rol, zal vooralsnog moeten worden uitgegaan van medeverantwoordelijkheid van de partijen binnen de groep.
185. TikTok Singapore staat in de Google Play Store en Apple App Store aangemerkt als de aanbieder van de App.
186. De TikTok Dienst wordt wereldwijd aangeboden door een aantal verschillende entiteiten binnen de TikTok-groep. Voor een groot deel van de wereld (buiten de VS, de EER, het VK, Zwitserland en India) wordt de TikTok Dienst aangeboden door TikTok Singapore. TikTok Singapore lijkt, net als TikTok Inc. (nauw) betrokken bij het aanbieden van de TikTok Dienst in Europa. De (persoons)gegevens van Europese gebruikers worden vooralsnog opgeslagen in de VS en Singapore.123 TikTok is bezig met de ontwikkeling van een Europees datacentrum, maar de verwachting is dat dit pas in 2022 af zal zijn. Het is overigens nog niet duidelijk of TikTok ook de bestaande gegevens van Europese gebruikers gaat overzetten vanuit de VS en Singapore naar Europa.124
187. De Stichting vermoedt verder dat Beijing ByteDance de Chinese onderneming is waar de ontwikkeling van de aan de TikTok Dienst identieke dienst Douyin plaatsvindt. Aangezien de TikTok Dienst vrijwel identiek is aan Douyin, is het daarmee aannemelijk dat het algoritme achter de TikTok Dienst nog steeds grotendeels in China ontwikkeld wordt, waarmee Beijing ByteDance doorslaggevende invloed kan hebben op de wijze waarop persoonsgegevens met de TikTok Dienst worden verwerkt. In maart 2021 gaf de Ierse toezichthouder, na gesprekken
123 xxxxx://xxx.xxx.xxx/xxxx/xxxxxxxxxx-00000000.
124 xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx/xx/xxxx/xxxxxx-xxxx-xxx-xxxxxxx-xxx-xx-xxxx-xxx-xxxxxxxx-xxxxx-xxxx-xxxxxx/.
met TikTok, aan dat Chinese onderhouds- en AI-technici mogelijk toegang hebben tot de persoonsgegevens van Europeanen.125
188. Voor de hieronder te bespreken inbreuken op de AVG moet derhalve worden uitgegaan van de gezamenlijke danwel onafhankelijke verwerkingsverantwoordelijkheid van alle gedagvaarde entiteiten voor de verwerking van persoonsgegevens, althans, zijn TikTok Ireland, TikTok UK en TikTok Inc. (gezamenlijk) verwerkingsverantwoordelijke (geweest) in de relevante periode.
189. De Stichting heeft TikTok in haar sommatiebrief van 28 juli 2021 (productie 13) de mogelijkheid geboden om gemotiveerd te betwisten dat één of meerdere van de entiteiten betrokken is. TikTok geeft in haar brief aan dat TikTok Ierland de TikTok Dienst in aanbiedt aan gebruikers in de EER, maar weerspreekt de betrokkenheid van andere TikTok entiteiten niet.
190. Overigens bepaalt artikel 26 lid 3 AVG dat de betrokkene zijn rechten uit hoofde van de AVG met betrekking tot en jegens iedere verwerkingsverantwoordelijke kan uitoefenen, ongeacht de wijze waarop deze partijen onderling hun respectieve verantwoordelijkheden geregeld hebben. Uit artikel 82 AVG volgt verder dat iedere verwerkingsverantwoordelijke hoofdelijk aansprakelijk is voor de volledige schade.
5.3.3 Territoriale toepasselijkheid AVG
191. De AVG is van toepassing op de verwerkingen van persoonsgegevens die door TikTok worden verricht.
192. Artikel 3 AVG regelt het territoriale toepassingsbereik van de AVG:
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
[…]”
125 xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxx/xxxxxxxx-xxxxxxx-xxxx-xxxxxx-xxxx-xxxxxxx-xxxxxx-xx-xx-xxxx-xxxx-0.0000000.
193. De AVG is dus om te beginnen van toepassing op verwerkingen in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke in de Europese Unie (“EU”).
194. Overweging 22 licht dit als volgt toe:
“De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, ongeacht of de eigenlijke verwerking in de Unie plaatsvindt. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.”
195. In het geval van TikTok geldt dat TikTok Ireland een dergelijke vestiging is. TikTok Ireland oefent effectief en daadwerkelijk activiteiten uit. Zij houdt zich bezig met het aanbieden van de TikTok Dienst in de EER. Evident is dat de AVG van toepassing is op de verwerkingsactiviteiten van deze vestiging. Niet noodzakelijk is echter dat de verwerkingen worden verricht “door” de betrokken vestiging.126 Het criterium is immers dat de verwerkingen plaatsvinden “in het kader van de activiteiten van de vestiging”. De verwerkingen van persoonsgegevens door de andere betrokken TikTok entiteiten vallen daarmee ook onder het bereik van de AVG wanneer zij plaatsvinden in het kader van de activiteiten van de vestiging. Gelet op de doelstelling van de AVG om een adequate en volledige bescherming te waarborgen, mag dit criterium niet restrictief worden uitgelegd.127 Van activiteiten in het kader van de activiteiten van een vestiging is onder meer sprake wanneer de activiteiten zodanig samenhangen dat zij onlosmakelijk aan elkaar verbonden zijn128 en wanneer opbrengsten die samenhangen met de verwerking worden gegenereerd in de EU door de vestiging.129 In het geval van TikTok zijn de activiteiten van de verschillende betrokken TikTok entiteiten onlosmakelijk aan elkaar verbonden en is de vestiging in Ierland betrokken bij het genereren van opbrengsten die het aanbieden van de TikTok Dienst, mede in de EU, door TikTok mogelijk maakt. Daarmee is de AVG ook van toepassing op verwerkingsactiviteiten van de TikTok entiteiten buiten de EU, omdat die activiteiten mede plaatsvinden in het kader van de activiteiten van TikTok Ireland, althans in ieder geval voor zover het gaat om de verwerking van persoonsgegevens van betrokkenen in de EER.
196. Bovendien geldt dat, voor zover de TikTok Dienst aangeboden wordt door een entiteit of entiteiten buiten de EU, de AVG van toepassing op grond van het alternatieve toepassingscriterium van artikel 3 lid 2 AVG. Op grond daarvan is de AVG territoriaal van toepassing op verwerkingen van persoonsgegevens door een verwerkingsverantwoordelijke buiten de EU wanneer zij:
126 EDPB Guidelines 3/20 Territorial Scope, p. 7 en HvJEU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google Spain), r.o. 52. 127 EDPB Guidelines 3/20 Territorial Scope, p. 7 en HvJEU 1 oktober 2015, C‑230/14, EU:C:2015:639 (Weltimmo), r.o. 28 en HvJEU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie), r.o. 56.
128 EDPB Guidelines 3/20 Territorial Scope, p. 8.
129 EDPB Guidelines 3/20 Territorial Scope, p. 8 en HvJEU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google Spain) r.o. 55 en 56.
a. Xxxxxxxx of diensten aanbiedt aan betrokkenen in de EU; of
b. Gedrag monitort van betrokken in de EU dat in de EU plaatsvindt.
197. De TikTok Dienst is een dienst die door TikTok wordt aangeboden aan betrokkenen in de EU én TikTok monitort daarmee het gedrag van die betrokkenen dat plaatsvindt in de EU, zoals in het feitelijk kader uitvoerig uiteen is gezet. Immers op basis van het gedrag van betrokkenen binnen de TikTok Dienst schotelt het algoritme betrokkenen op hen gerichte content voor.130 Ook om deze reden is de AVG territoriaal van toepassing op TikTok.
5.3.4 Onrechtmatige doorgifte van persoonsgegevens
“Met wie delen wij jouw persoonsgegevens?
Wij delen jouw gegevens met externe dienstverleners die ons helpen om het Platform aan te bieden, met inbegrip van leveranciers van cloudopslag. Wij delen jouw gegevens ook met zakelijke partners, andere bedrijven in dezelfde groep als TikTok (met inbegrip van TikTok Inc. in de Verenigde Staten dat bepaalde diensten levert in verband met het Platform), diensten voor contentcontrole, leveranciers van metingen, adverteerders en leveranciers van analyses. Wij kunnen jouw informatie alleen delen met rechtshandhavingsinstanties, overheidsdiensten en andere derden wanneer wij wettelijk verplicht zijn om dat te doen of als dat redelijkerwijs noodzakelijk is (bijvoorbeeld om de veiligheid van jou of iemand anders te waarborgen). Klik hier voor meer informatie.”
199. De TikTok groep bestaat uit onder meer Ierse, Britse, Kaaimaneilandse, Singaporese, Amerikaanse, Chinese en Singaporese ondernemingen. In dat kader worden persoonsgegevens doorgegeven naar landen buiten de EER. Dat sprake is van doorgifte en opslag van persoonsgegevens buiten de EER bevestigt TikTok in haar privacybeleid:
“De persoonsgegevens die wij van jou verzamelen worden doorgegeven aan en
opgeslagen op een bestemming buiten de Europese Economische Ruimte (“EER”).
130 EDPB Guidelines 3/20 Territorial Scope, p. 20.
200. Uit het bovenstaande volgt, onder meer, dat:
• er ten aanzien van elke EU-gebruiker van de TikTok Dienst doorgifte van persoonsgegevens buiten de EER plaatsvindt;
• van elke EU-gebruiker van de TikTok Dienst persoonsgegevens buiten de EER worden opgeslagen;
• zolang de Standard Contractual Clauses, ook wel Modelcontractbepalingen (“SCC's”) zijn ondertekend, elke "externe dienstverlener", "leverancier van cloudopslag", "zakelijke partner", "ander bedrijf in dezelfde groep als TikTok", "dienst voor contentcontrole", "leverancier van metingen”, "adverteerder" en "leverancier van analyses" in elk derde land toegang kan krijgen tot de persoonsgegevens van EU TikTok-gebruikers.
201. Gezien het feit dat XxxXxx zich het recht voorbehoudt persoonsgegevens binnen de groep door te geven en uitdrukkelijk aangeeft dat persoonsgegevens naar landen buiten de EER worden doorgegeven en opgeslagen, moet ervan uit worden gegaan dat in ieder geval persoonsgegevens worden doorgegeven naar de VS (zoals ook in het privacybeleid wordt bevestigd), China (waar het moederbedrijf van TikTok is gevestigd) en het VK. Een back-up wordt opgeslagen Singapore.131
202. Uit onderzoek is gebleken dat een aanzienlijk deel van de IP-adressen die in de app worden gebruikt, op China zijn gericht. 000 Xx Xxxxx toezichthouder, heeft onlangs bevestigd dat mogelijk gegevens worden doorgegeven aan de VS en China.133
203. De doorgifte van persoonsgegevens buiten de EER door XxxXxx is onrechtmatig.
204. Op grond van de AVG gelden bijzondere regels voor het verwerken van persoonsgegevens buiten de EER (artikel 44 e.v. AVG), ook wel “doorgifte”. Er sprake van doorgifte wanneer persoonsgegevens ter kennis worden gebracht van personen buiten de EER. Het betreft dus niet enkel opslag, maar ook toegang vanuit een land buiten de EER. Doorgifte is verboden, tenzij een uitzondering van toepassing is (artikel 44 AVG). De achtergrond hiervan is dat veel landen geen passend beschermingsniveau voor persoonsgegevens bieden en dat de Uniewetgever partijen die gegevens verwerken wil verplichten om daar rekening mee te houden.
205. De AVG biedt verschillende uitzonderingen op basis waarvan persoonsgegevens wel mogen worden doorgegeven. TikTok kan haar doorgifte op geen van deze uitzonderingen baseren.
206. In de eerste plaats is geen sprake van een passend beschermingsniveau. De Europese Commissie kan besluiten dat een derde land, een gebied of een sector in een derde land een “passend beschermingsniveau” waarborgt (artikel 45 AVG) door middel van een zogenaamd “adequaatheidsbesluit”. De Europese Commissie heeft in 2016 bijvoorbeeld bepaald dat de VS een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de EU aan in
131 xxxxx://xxx.xxx.xxx/xxxx/xxxxxxxxxx-00000000.
132 Penetrum, ‘TikTok Security Analysis whitepaper’, xxxxxxxx.xxx, geraadpleegd op 22 juli 2021, beschikbaar op: xxxxx://xxxxxxxx.xxx/xxxxxx/Xxxxxxxx_XxxXxx_Xxxxxxxx_Xxxxxxxx_xxxxxxxxxx.xxx; NOS Stories | Kijkt China mee met jou op TikTok | De waarheid over TikTok, 17 juli 2020 beschikbaar via xxxxx://xxx.xxxxxxx.xxx/xxxxx?xxxxxX-xxXxX0.
133 xxxxx://xxx.xxxxxxxxx.xxx/xxxx/xxxxxxxx/0000-00-00/xxxxxx-xxx-xx-xxxxxxx-xx-xxxx-xx-xxxxx-xxx-xxxx-xxxxxxxx-xxxx.
de VS gevestigde organisaties worden doorgegeven wanneer die organisatie voldoet aan de vereisten van het EU-VS Privacy Shield (“Privacyshieldbesluit”).134
207. Op 16 juli 2020 heeft het HvJEU in de zaak Xxxxxxx XX uitspraak gedaan over doorgifte van persoonsgegevens van de EU naar de VS.135 Het HvJEU heeft daarin het Privacyshieldbesluit ongeldig verklaard.
208. Op grond van artikel 45 lid 2 sub a AVG moet de Europese Commissie in het kader van het nemen van een zogenaamd “adequaatheidsbesluit”, zoals het Privacyshieldbesluit, rekening houden met:
“de rechtsstatelijkheid, (…) onder meer inzake nationale veiligheid (…) en de toegang van overheidsinstanties tot persoonsgegevens, (…) alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven.”
209. Het HvJEU heeft bepaald dat Amerikaanse surveillance-programma’s136 niet voldoen aan het evenredigheidsbeginsel en niet tot het strikt noodzakelijke zijn beperkt.137 Hiermee is niet voldaan aan de vereisten van artikel 45 lid 2 sub a AVG en artikel 52, lid 1, tweede volzin, Handvest.138
210. Wat betreft de toegang tot de rechter heeft het HvJEU bepaald dat regelingen waarop de Amerikaanse surveillance-programma’s gebaseerd zijn aan betrokkenen geen rechten verschaffen die zij voor rechtbanken tegenover Amerikaanse overheidsdiensten kunnen afdwingen, zodat geen sprake is van een doeltreffende voorziening in rechte.139 Het in het Privacyshieldbesluit omschreven ombudsmanmechanisme biedt geen rechtsmiddel met voldoende waarborgen zoals op grond van artikel 47 van het Handvest is vereist.140
211. Voor de VS, China en Singapore zijn er momenteel geen adequaatheidsbesluiten genomen, voor het VK wel. Bij gebreke van een adequaatheidsbesluit kan doorgifte plaatsvinden op grond van “passende waarborgen” (artikel 46 AVG). Van dergelijke passende waarborgen is in de onderhavige zaak evenmin sprake.
212. Een van de mogelijke “passende waarborgen” is dat gebruik wordt gemaakt van door de Europese Commissie goedgekeurde modelcontracten. In 2010 heeft de Europese Commissie bepaalde modelcontractbepalingen goedgekeurd (“Modelcontractbesluit”). Blijkens haar privacybeleid baseert TikTok haar doorgiften hierop (zie alinea’s 198-200).
134 Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1, met rectificatie in PB 2018, L 262, blz. 90.).
135 HvJEU 16 juli 2020, X-000/00 (Xxxxxxx XX).
136 Gebaseerd op section 702 van de Foreign Intelligence Surveillance Act, Executive Order 12333 en Presidential Policy Directive 28.
137 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 184.
138 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 185.
139 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 192.
140 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 197.
213. In het Xxxxxxx II-arrest oordeelt het HvJEU echter dat de doorgifte van persoonsgegevens alleen mag plaatsvinden indien de doorgevende verwerkingsverantwoordelijke en de invoerende verwerker passende waarborgen bieden, en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken zodat het beschermingsniveau in grote lijnen overeenkomt met dat in de EU.141 Dit houdt de plicht in aanvullende maatregelen te nemen om het ontoereikende niveau van bescherming in een derde land te verhelpen.142
214. Er zijn geen aanwijzingen dat er aanvullende maatregelen worden genomen. Verder is het onwaarschijnlijk dat TikTok in staat zou zijn voldoende aanvullende maatregelen te nemen om persoonsgegevens te beveiligen die in of vanuit de VS en China worden verwerkt, met name in verband met overheidstoezicht. Uit het transparantierapport dat XxxXxx heeft gepubliceerd, blijkt dat alleen al in de tweede helft van 2020 uit de VS 546 rechtshandhavingsverzoeken om niet-openbare informatie zijn ontvangen, over 560 gebruikersaccounts, en dat TikTok in 83% van de gevallen de gegevens heeft geproduceerd.143
215. Nu het HvJEU in het kader van de beoordeling van het Privacyshieldbesluit heeft bepaald dat het beschermingsniveau in de VS niet toereikend is, valt niet in te zien hoe een doorgifte aan de VS op basis van passende waarborgen, zoals modelcontracten op grond van artikel 46 lid 2 sub c of bindende bedrijfsvoorschriften op grond van artikel 46 lid 2 sub b, mogelijk is. Immers, het HvJEU heeft bepaald dat, onder meer in het kader van de regelingen waarop surveillance-praktijken worden gebaseerd, het beschermingsniveau in de VS niet overeenkomt met dat in de EU. Dit geldt eveneens voor China en Singapore.
216. Uit het voorgaande volgt dat XxxXxx, door persoonsgegevens door te geven buiten de EER, in strijd handelt met de artikelen 44 e.v. AVG.
5.3.5 Schending rechtmatigheid
217. Een kernbeginsel van de AVG is dat persoonsgegevens rechtmatig moeten worden verwerkt (artikel 5 lid 1 sub a AVG). De verwerkingen van TikTok zijn niet rechtmatig omdat zij geen rechtmatige grondslag heeft voor (al) haar verwerkingen van persoonsgegevens.
218. Artikel 6 van de AVG bevat een uitputtende lijst van zes grondslagen op grond waarvan gegevens rechtmatig kunnen worden verwerkt. Een verwerking van persoonsgegevens moet altijd gebaseerd worden op één van de zes limitatieve grondslagen. Als de verwerkingsverantwoordelijke zijn verwerking niet op een van deze gronden kan baseren, is de verwerking onrechtmatig.
219. Voordat begonnen wordt met een verwerkingsactiviteit moet de verwerkingsverantwoordelijke bepalen welke van de gronden van toepassing is en voor welk specifiek doel. Het is niet mogelijk om achteraf een andere rechtsgrondslag te gebruiken
141 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 197.
142 HvJEU 16 juli 2020, C-311/18 (Xxxxxxx II), par. 131.
143 ‘TikTok Transparency Report. July 1, 2020 – December 31, 2020’, xxxxxx.xxx, 24 February 2021: xxxxx://xxx.xxxxxx.xxx/xxxxxx/xxxxxxxxx/xxxxxxxxxxxx-xxxxxx-0000-0.
wanneer de eerder gekozen rechtsgrondslag onwettig blijkt te zijn, bijvoorbeeld wanneer er problemen ontstaan met de geldigheid van de toestemming.144
5.3.5.1 Xxxx geldige toestemming
220. Zoals beschreven in het feitelijk kader, beroept TikTok zich volgens haar privacybeleid op de grondslag toestemming (artikel 6 lid sub a AVG) voor het gebruik van persoonsgegevens van gebruikers om “gepersonaliseerde advertenties” te tonen.
Met jouw toestemming gebruiken we jouw informatie om jou gepersonaliseerde advertenties te tonen. Zie ook de onderdelen over in Informatie van derden voor meer informatie. Je kunt jouw gepersonaliseerde advertentie-instellingen op elk moment wijzigen via jouw app-instellingen. Ga naar 'Privacy en veiligheid' en dan 'Personalisatie en gegevens' om jouw advertentievoorkeuren te beheren. Als je geen toestemming geeft voor gepersonaliseerde advertenties, dan zul je nog steeds niet- gepersonaliseerde advertenties zien op het Platform.
221. Tijdens het aanmaken van een account benadrukt TikTok dat zij gebruikers geen kosten rekent en vertrouwt op advertenties als bron van inkomsten en wordt gebruikers gevraagd op een grote rode knop te klikken om toestemming te geven “om de advertenties die je ziet te personaliseren op basis van je activiteit in de app en gegevens ontvangen van derden” (productie 17).
Instellingenscherm 1
222. Er is geen knop om toestemming te weigeren.
144 EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679, versie 1.1, Vastgesteld op 4 mei 2020, par. 122-123.
223. In de instellingen van de App kunnen gebruikers onder het kopje "gepersonaliseerde advertenties" (Instellingenscherm 1) hun instellingen aanpassen. Hier is zichtbaar dat het geven van toestemming voor gepersonaliseerde advertenties er automatisch voor zorgt dat de gebruikers tevens toestemming geven voor “advertenties op basis van gegevens ontvangen van partners”. Door het schuifje in Instellingenscherm 2 op groen te zetten, verspringen de instellingen namelijk automatisch naar de situatie zoals geschetst in Instellingenscherm 3.
Instellingenscherm 2 Instellingenscherm 3
224. Met één enkele handeling (een druk op de rode knop of het aanzetten van de knop ”gepersonaliseerde advertenties”, in Instellingenscherm 2) geeft de gebruiker dus niet alleen toestemming voor (i) gepersonaliseerde advertenties op basis van zijn gedrag “op en buiten TikTok”, maar ook voor (ii) advertenties op basis van gegevens die TikTok afleidt uit publiekslijsten die zij heeft ontvangen van adverteerders en andere partners.
225. Bovendien is in het instellingenscherm (de tekst onder het tweede schuifje in Instellingenscherm 3) aangegeven dat gebruikers die géén toestemming geven voor “advertenties op basis van gegevens ontvangen van partners” alsnog advertenties ontvangen op basis van gegevens van partners, namelijk op basis van klantenlijsten van partners die TikTok heeft gematcht met het ID van gebruikers:
Als deze instelling is uitgeschakeld, zie je nog steeds hetzelfde aantal advertenties, maar zijn het advertenties van een specifiek bedrijf waarmee je je contactgegevens
hebt gedeeld en waarbij we je gebruikers-ID hebben gematcht met de klantenlijst die ze ons hebben gestuurd. Meer informatie
226. Wanneer men klikt op “meer informatie”, kan door worden geklikt naar “adverteerders” en “gegevenspartners” van die TikTok lijsten met gegevens over gebruikers heeft ontvangen.
227. Hier geeft XxxXxx weer aan dat zij deze informatie ook gebruikt om gebruikers te plaatsen in targetingcategorieën voor advertenties.
228. Het is volstrekt onduidelijk waar de TikTok gebruiker al dan niet toestemming voor geeft. Uit het voorgaande lijkt bijvoorbeeld te volgen dat wanneer geen toestemming wordt verleend voor “advertenties op basis van gegevens ontvangen van partners” niettemin (i) advertenties worden getoond van een specifiek bedrijf waarmee de gebruiker contactgegevens heeft gedeeld en waarbij TikTok het gebruikers-ID heeft gematcht met de kantenlijst die het bedrijf aan TikTok heeft toegestuurd, en (ii) informatie afkomstig van partners door TikTok wordt gebruikt om de gebruiker te plaatsen in targetingscategorieën voor adverteerders.
229. Uit de tekst die vervolgens onder het kopje “externe advertentiemetingspartners” verschijnt, blijkt bovendien dat XxxXxx niet alleen persoonsgegevens van gebruikers van dergelijke partners ontvangt, maar dat zij ook persoonsgegevens deelt met derden:
Wanneer je gepersonaliseerde advertenties toestaat, kunnen de identifier van je mobiele apparaat en gegevens over je interactie met advertenties worden gedeeld met externe metingspartners. Deze partners helpen adverteerders de effectiviteit van hun advertenties op TikTok te meten en te optimaliseren (…)
230. Doorklikken bij het kopje externe advertentiemetingspartners resulteert in een lijst van derde partijen waarbij XxxXxx vermeldt dat deze regelmatig wordt bijgewerkt. Opvallend is dat hierbij wordt vermeld dat de gebruiker het delen met zijn persoonsgegevens met advertentiemetingspartners alleen kan stoppen door zich af te melden voor gepersonaliseerde advertenties.
231. Elders in het instellingenmenu kunnen gebruikers met een openbaar account ook kiezen voor “Advertentietoestemming”, waarmee zij “externe adverteerders toe[staan] om je video’s te gebruiken voor advertenties”. Meer informatie, bijvoorbeeld over de identiteit van de desbetreffende adverteerders, wordt niet verstrekt:
232. De wijze waarop XxxXxx toestemming vraagt voor het verwerken van persoonsgegevens voor bovengenoemde activiteiten, voldoet niet aan de vereisten die artikel 4 sub 11 AVG stelt aan geldige toestemming. Dit artikel definieert “toestemming” als volgt (onderstreping advocaat):
“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”
233. Dat betekent dat toestemming alleen een geldige grondslag onder artikel 6 AVG oplevert wanneer deze (i) vrij, (ii) specifiek, (iii) geïnformeerd, en (iv) ondubbelzinnig is. De door TikTok verkregen toestemming voldoet aan geen van deze criteria, zoals in het onderstaande zal blijken.
234. De toestemming die TikTok aan betrokkenen vraagt kan niet vrij worden gegeven. TikTok wekt in het registratieproces in de eerste plaats de indruk dat de toestemming van betrokkenen vereist is om de TikTok Dienst te kunnen gebruiken, door aan te geven dat TikTok gebruikers geen kosten rekent en vertrouwt op advertenties als bron van inkomsten.
235. Vrije toestemming houdt in dat de betrokkene een daadwerkelijke keuze kan maken. Als de betrokkene zich min of meer gedwongen voelt, of als het voor hem negatieve gevolgen heeft als hij zijn toestemming weigert of intrekt, is geen sprake van een geldige toestemming. Het is aan de verantwoordelijke om aan te tonen dat de betrokkene daadwerkelijk een vrije keuze had, en dat het mogelijk was om geen toestemming te geven of de toestemming in te trekken zonder nadelige gevolgen (overweging 42 AVG).145
236. Het is in verband met het vereiste dat toestemming vrij moet zijn niet toegestaan om toestemming te verlangen als (indirecte) tegenprestatie voor het leveren van een dienst. Wanneer de verwerking niet noodzakelijk is voor het leveren van een prestatie, mag het leveren van die prestatie niet afhankelijk worden gesteld van het verkrijgen van de persoonsgegevens op grond van toestemming (artikel 7 lid 4 en overweging 43 AVG).146
237. Ook is geen sprake van vrije toestemming wanneer de verwerkingsverantwoordelijke de toestemming voor verschillende verwerkingsactiviteiten of doeleinden heeft samengevoegd en
145 EDPB Guidelines 05/2020 Consent, p. 13.
146 Zie voorts EDPB Guidelines 05/2020 Consent, p. 10-12.
niet heeft getracht om voor elk doel afzonderlijke toestemming te krijgen. Wanneer een dienst meerdere verwerkingsactiviteiten of doeleinden omvat, moet de betrokkene vrij kunnen kiezen voor welke verwerkingen en/of doeleinden hij toestemming geeft, en voor welke niet (granulariteit). Als een betrokkene slechts toestemming kan geven voor een pakket verwerkingen en/of doeleinden, wordt de toestemming niet als vrij beschouwd (overweging 32 en 43 AVG).147
238. De toestemming wordt hiermee neergezet als de tegenprestatie voor het gebruik van de TikTok Dienst, waardoor de toestemming niet vrij is. Gebruikers worden min of meer gedwongen op “accepteren” te klikken.
239. In de tweede plaats krijgen de betrokkenen bij het gebruik van de App slechts één toestemmingsvraag te zien. Zoals hierboven al aan de orde is gekomen, geeft de gebruiker door op “accepteren” te klikken, toestemming voor zowel “Gepersonaliseerde advertenties” als “Advertenties op basis van gegevens ontvangen van partners”. Dit gebeurt ook wanneer een betrokkene op een later moment in de instellingen toestemming geeft voor gepersonaliseerde advertenties. Het schuifje voor “Advertenties op basis van gegevens ontvangen van partners” gaat automatisch mee als een gebruiker “Gepersonaliseerde advertenties” aanzet. Dit is te meer kwalijk omdat deze tweede toestemming kennelijk een uitwisseling van gegevens inhoudt met een groot aantal derde partijen, waaronder datahandelaren. TikTok brengt dus meerdere gescheiden verwerkingen onder één toestemmingsknop, terwijl zij voor elk afzonderlijk doeleinde aparte toestemming zou moeten verkrijgen. Ook om deze reden is de toestemming niet vrij gegeven.
(ii) Toestemming niet specifiek
240. TikTok voldoet niet aan het vereiste dat toestemming specifiek moet zijn en dat het voor de betrokkene duidelijk moet zijn waarvoor hij precies toestemming geeft. De door haar gevraagde toestemming wordt niet voor elk specifiek doel afzonderlijk verkregen.
241. Het vereiste van specifieke toestemming houdt in dat de betrokkene controle moet hebben over de verwerkingen waarvoor toestemming wordt gegeven. Het moet duidelijk zijn voor welke specifieke doeleinden de verantwoordelijke toestemming vraagt. Daarbij geldt bovendien wederom het vereiste van granulariteit: de betrokkene moet per verwerking en doeleinde kunnen kiezen of hij toestemming geeft of niet. Het vereiste dat toestemming specifiek moet zijn, beschermt de betrokkene tegen het geleidelijk uitbreiden van een verwerking (ook wel “function creep” genoemd).148
242. Zoals hiervoor toegelicht, bundelt TikTok de afzonderlijke toestemmingen voor “gepersonaliseerde advertenties” en “advertenties op basis van gegevens van partners”. Hiertoe blijft het niet beperkt. Hoewel de suggestie wordt gewekt dat het alleen gaat om het tonen van advertenties, verwerkt TikTok in dit verband gegevens voor een groot aantal doeleinden, die allemaal gebundeld worden als “gepersonaliseerde advertenties”. In wezen
147 EDPB Guidelines 05/2020 Consent, p.12, par. 42-44.
148 EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomst Verordening 2016/679, Versie 1.1, Vastgesteld op 4 mei 2020, p. 15 en 16.
gaat het om het verzamelen, verrijken, analyseren, delen en verkopen van persoonsgegevens voor verschillende soorten advertenties. TikTok poogt al deze onderliggende verwerkingen en doeleinden te bundelen onder de noemer “gepersonaliseerde advertenties”. TikTok kan echter niet met één enkele knop toestemming verkrijgen voor al deze activiteiten. Een dergelijke toestemming is niet granulair. Bovendien verstrekt XxxXxx gebruikers geen informatie over de identiteit van (alle) betrokken derde partijen op het moment van het verkrijgen van toestemming, maar past zij deze lijst regelmatig aan zonder aanvullende toestemming te verkrijgen. TikTok vermeldt hierover in haar instellingen:
“Deze lijst wordt regelmatig bijgewerkt en houdt je op de hoogte van welke
metingspartners we gebruiken om onze advertentiediensten te leveren.”
243. Tot slot wekt het verzoek om gepersonaliseerde advertenties toe te staan weliswaar de indruk dat de gebruiker controle heeft over de verwerking van zijn persoonsgegevens voor gepersonaliseerde advertenties, maar dat is niet het geval. Als gebruikers geen toestemming geven, vindt namelijk nog steeds profilering plaatst voor, onder meer, het personaliseren van videocontent. Hiervoor beroept TikTok zich blijkens het privacybeleid op de grondslag “uitvoering van de overeenkomst” (zie onder 5.3.5.2). Er vindt dus hoe dan ook profilering en personalisering plaats met gebruik van TikTok’s algoritme. Deze profilering is dus niet afhankelijk van toestemming. Daarnaast resulteert deze profilering nog steeds in het ontvangen van gepersonaliseerde content, waaronder advertenties zoals “branded hashtag challenges”. Voor deze vorm van gepersonaliseerde marketing wordt ten onrechte geen toestemming gevraagd.
(iii) Toestemming niet geïnformeerd
244. TikTok voldoet niet aan het vereiste dat toestemming geïnformeerd moet zijn om geldig te zijn.
245. Het verstrekken van informatie aan betrokkenen voordat zij toestemming geven, is noodzakelijk om hen in staat te stellen een geïnformeerde beslissing te nemen en te begrijpen waarmee ze instemmen. Dit is nodig om de betrokkene in staat te stellen controle uit te oefenen over wat er met zijn gegevens gebeurt, bijvoorbeeld door zijn toestemming in te trekken. Er geldt een hoge standaard voor de duidelijkheid en toegankelijkheid van de te verstrekken informatie. Wanneer toestemming wordt gevraagd, moet dat in heldere en duidelijke taal, die begrijpelijk is voor een gemiddelde persoon van het beoogde publiek. Informatie die relevant is voor het nemen van een weloverwogen beslissing over het al dan niet geven van toestemming mag niet verborgen zijn in bijvoorbeeld algemene voorwaarden.149
246. Voor geïnformeerde toestemming moet volgens de EDPB ten minste de volgende informatie worden verstrekt:
• de identiteit van de verantwoordelijke;
• de doeleinden van de verwerkingen waarvoor toestemming wordt gevraagd;
• welke (soort) gegevens worden verwerkt;
• het recht om toestemming in te trekken;
149 EDPB Guidelines 05/2020 Consent, p. 16, par. 67.
• informatie over geautomatiseerde besluitvorming; en
• informatie over doorgifte van persoonsgegevens buiten de EU.150
247. Voor activiteiten die kwalificeren als “profilering” geldt een verzwaarde verplichting tot duidelijke communicatie, zodat de betrokkene precies begrijpt waarvoor hij toestemming verleent, zo benadrukt ook de EDPB in de richtsnoeren over automatische besluitvorming en profilering:
“Profilering kan een ondoorzichtig proces zijn, dat vaak berust op gegevens die van andere gegevens zijn afgeleid en niet op gegevens die rechtstreeks door de betrokkene zijn verstrekt. Verwerkingsverantwoordelijken die toestemming als rechtsgrond voor profilering willen hanteren, moeten aantonen dat de betrokkenen precies begrijpen waarvoor zij toestemming verlenen en moeten zich ervan bewust zijn dat toestemming niet altijd een passende rechtsgrond is voor de verwerking. In alle gevallen moeten betrokkenen over voldoende relevante informatie beschikken over het voorgenomen gebruik en de gevolgen van de verwerking, om zeker te stellen dat de toestemming die zij verlenen een geïnformeerde keuze vormt.”151
248. De toestemming die TikTok vraagt wordt niet op geïnformeerde basis gegeven, zeker niet nu het voornamelijk kinderen zijn die de toestemming moeten geven. Zoals hieronder (onder 5.3.6) nader zal worden uitgewerkt, voldoet TikTok niet aan de vereisten van transparantie. De informatie is, zeker voor kinderen maar eveneens voor volwassenen, moeilijk te begrijpen en onvolledig.
249. Het is niet duidelijk wat de toestemming voor “gepersonaliseerde advertenties” precies inhoudt. Alleen al de omvang van de persoonsgegevens die door TikTok voor reclamedoeleinden worden verzameld, gecombineerd en gebruikt, maakt het onmogelijk om betrokkenen duidelijke en volledige informatie te verstrekken. Onduidelijk is bijvoorbeeld welke informatie TikTok van “derden” ontvangt en wie die “derden” zijn. Het proces van profilering wordt niet inzichtelijk gemaakt waardoor TikTok in strijd handelt met de transparantieverplichting.
250. De gemiddelde gebruiker zal zich bovendien niet bewust zijn van het feit dat profilering hoe dan ook plaatsvindt, of hij nou toestemming geeft voor gepersonaliseerde advertenties of niet. Het is ook niet duidelijk of de toestemming ook ziet op personalisatie en reclame via zogenaamde hashtag challenges. Het is op basis van de beperkte informatie voor de betrokkene überhaupt niet duidelijk dat diens voorkeuren en gebruik van de TikTok Dienst tot in grote detail wordt verzameld, verrijkt, geanalyseerd, gedeeld en verkocht.
251. Voorts is de toestemmingsvraag (bewust) zo opgebouwd dat de betrokkene nog niet alle informatie heeft ontvangen voordat hij toestemming heeft gegeven. Als een betrokkene naar
150 EDPB Guidelines 05/2020 Consent, p. 15.
151 Artikel 29 werkgroep, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, 3 oktober 2017, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, WP251, rev.01 (‘WP251 Profilering’), p. 14 en 15.
de privacy-instellingen gaat, ziet hij namelijk slechts een deel van de informatie (screenshot links). Pas als hij toestemming heeft gegeven, waarbij zoals gezegd automatisch ook het tweede schuifje voor advertenties op basis van gegevens ontvangen van partners meegaat, verschijnt (beperkte) nadere informatie over “externe advertentiemetingspartners” (screenshot rechts):
252. De informatie over “Externe advertentiemetingspartners”, zeer wezenlijke informatie over het delen van gegevens met derde partijen, blijft dus verborgen tot een gebruiker het vinkje in de instellingen heeft aangeklikt. Als hij – zoals de meeste gebruikers – direct op de knop “accepteren” heeft geklikt wanneer de toestemmingspop-up verschijnt, krijgt hij deze informatie überhaupt niet. Het is voor de betrokkene evenmin duidelijk dat hij op de tekst van “Externe advertentiemetingspartners” kan klikken en dan terecht komt op een pagina met een lijst van advertentiepartners van TikTok. Bovenaan deze lijst wordt vermeld dat de lijst “regelmatig” wordt bijgewerkt. De lijst bevat op 5 augustus 2021 maar liefst zestien partijen. Naast een groot aantal marketinganalysepartijen, gaat het onder meer om datahandelaren DoubleClick (van Google), Moat (van Oracle) en Nielsen. Zonder nadere tekst en toelichting zal het voor gebruikers, waaronder kinderen, echter niet duidelijk zijn wat deze partijen doen.
(iv) Xxxx xxxxxxxxxxxxxxx wilsuiting
253. De toestemming die TikTok vraagt, voldoet niet aan het vereiste dat toestemming gegeven moet worden door middel van een ondubbelzinnige wilsuiting.
254. Het moet gaan om een verklaring van betrokkene of een andere ondubbelzinnige actieve handeling waaruit blijkt dat de betrokkene daarmee zijn toestemming voor een specifieke verwerking wenst te geven. Die handeling moet opzettelijk zijn. Vooraf aangevinkte opt-in vakjes zijn onrechtmatig, en ook stilzwijgen, inactiviteit of het doorgaan met het gebruik van een dienst of website zijn onvoldoende.152 Het kan in die gevallen immers niet worden uitgesloten dat de betrokkene de informatie niet eens heeft opgemerkt of gelezen.153
255. Het Hof van Justitie van de EU (“HvJEU”) heeft in de zaak Planet49 benadrukt dat een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting in ieder geval een “ondubbelzinnige actieve handeling” vereist. Een website die gebruik maakt van vooraf aangevinkte vakjes voldoet daar niet aan.
“62. In verordening 2016/679 wordt nu dus uitdrukkelijk actieve toestemming voorgeschreven. In dit verband moet worden opgemerkt dat volgens overweging 32 van deze verordening de toestemming met name kan worden uitgedrukt door te klikken op een vakje bij een bezoek aan een website. Daarentegen sluit deze overweging uitdrukkelijk uit dat „stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit” als toestemming mogen gelden.”154
256. De toestemming die TikTok vraagt, vormt geen ondubbelzinnige indicatie van de wensen van de betrokkene, aangezien er geen verklaring van de gebruiker is of een andere duidelijke bevestigende handeling waaruit blijkt dat de gebruiker voornemens is in te stemmen met een specifieke verwerking. Voor gepersonaliseerde advertenties toont TikTok een grote rode “Accepteren”-knop in het registratieproces. Het niet geven van toestemming is een stuk omslachtiger. Een duidelijke “Weigeren”-knop ontbreekt immers.
152 EDPB Guidelines 05/2020 Consent, p. 18, par. 79; zie overweging 32 AVG en tevens HvJEU 1 oktober 2019, C-673/17, ECLI:EU:C:2019:801 (Planet49), r.o. 44 t/m 64.
153 HvJEU 1 oktober 2019, C—673/17, ECLI:EU:C:2019:801 (Planet49), r.o. 55.
154 HvJEU 1 oktober 2019, C—673/17, ECLI:EU:C:2019:801 (Planet49).
xxxxxx’x die kleven aan online trackingtechnieken.155 Dit terwijl verwerkingsverantwoordelijken juist verplicht zijn om manieren te ontwikkelen om een “klikmoeheid” aan te pakken, aldus ook de EDPB:
In de digitale context hebben veel diensten persoonsgegevens nodig om te werken, en daarom ontvangen de betrokkenen dagelijks meerdere verzoeken om toestemming waarop ze door middel van klikken en vegen moeten antwoorden. Dit kan leiden tot een zekere mate van “klikmoeheid”: het daadwerkelijke waarschuwingseffect van mechanismen voor toestemming wordt minder wanneer men deze waarschuwingen te vaak tegenkomt.
Dit resulteert in een situatie waarin verzoeken om toestemming niet meer worden gelezen. Dit vormt een bijzonder risico voor de betrokkenen, omdat toestemming meestal wordt gevraagd voor handelingen die zonder toestemming van een betrokkene in beginsel onrechtmatig zijn. De AVG legt verwerkingsverantwoordelijken de verplichting op manieren te ontwikkelen om dit probleem aan te pakken.156
258. Daar komt bij dat de betrokkene met die ene knop automatisch twee verschillende toestemmingen geeft. De betrokkene geeft niet alleen toestemming voor gepersonaliseerde advertenties, maar ook voor advertenties op basis van gegevens ontvangen van partners. Voor deze laatste vorm van adverteren geeft de betrokkene dus überhaupt geen ondubbelzinnige indicatie van zijn wensen. Deze opt-in is vooraf aangevinkt, hetgeen volgens het HvJEU geldige toestemming vormt.157 De betrokkene heeft slechts de mogelijkheid om na het geven van toestemming voor gepersonaliseerde advertenties, de toestemming voor advertenties op basis van gegevens ontvangen van partners weer uit te zetten.
Niet voldaan aan vereisten toestemming kinderen
259. Artikel 8 AVG bepaalt dat wanneer een verwerking op toestemming berust, in verband een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind158, deze verwerking alleen rechtmatig is wanneer het kind ten minste 16 jaar oud is. Indien het kind jonger is dan 16 jaar, is toestemming van de ouders vereist.
260. TikTok schendt artikel 8 AVG door persoonsgegevens van kinderen jonger dan 16 jaar te verwerken op basis van toestemming, zonder dat deze toestemming door de ouders is gegeven. De persoonsgegevens worden immers door TikTok verzameld in het kader van een dienst van de informatiemaatschappij.
155 Als ook aangetoond in menig onderzoek, zie o.a. Utz e.a., (Un)informed Consent: Studying GDPR Consent Notices in the Field, 22 October 2019, available at xxxxx://xxxxx.xxx/xxx/0000.00000.xxx; Xxxxxxx e.a., Dark patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their influence, 8 January 2020, available at: xxxxx://xxxxx.xxx/xxx/0000.00000.xxx.
156 EDPB Guidelines 05/2020 Consent, p. 18, par. 87-88.
157 HvJEU 1 oktober 2019, C-673/17, ECLI:EU:C:2019:801 (Planet49), r.o. 44 t/m 64.
158 Op grond van artikel 5 UAVG geldt de leeftijdsgrens en het vereiste van ouderlijke toestemming ook in situaties die buiten artikel 8 AVG vallen.
261. Bovendien wordt de dienst rechtstreeks aan kinderen aangeboden. In het aanmeldingsproces wordt gebruikers gevraagd een geboortedatum op te geven. Iedereen boven de 13 jaar mag een account aanmaken.
262. Bijgevolg moet TikTok, wanneer zij persoonsgegevens verwerkt op basis van toestemming, de nodige controles uitvoeren om na te gaan of de gebruiker inderdaad oud genoeg is om deze toestemming te kunnen geven, dan wel, indien dat niet zo is, of de ouders toestemming hebben gegeven. Zoals hierboven vermeld, is vindt geen controle plaats op gebruikers die zich hebben geregistreerd met een leeftijd van 13 jaar of ouder. Op geen enkel moment vraagt XxxXxx verder om ouderlijke toestemming.
263. Bovendien is voor het verlenen van toestemming voor cookies helemaal geen leeftijdscontrole van toepassing op de Website.
264. Tijdens het aanmeldingsproces vindt voor de toestemming voor gepersonaliseerde advertenties en cookies door geregistreerde gebruikers slechts verificatie plaats aan de hand van de zelf opgegeven geboortedatum. Deze wijze van leeftijdsverificatie omvat geen redelijke inspanningen om na te gaan of de gebruiker ouder is dan de leeftijd voor digitale toestemming, en deze maatregel staat niet in verhouding tot de aard en de risico's van de verwerkingsactiviteiten.159 Zoals hieronder (zie onder 370) nader zal worden uitgewerkt, zijn immers met name kinderen kwetsbaar voor profilering en behavioral targeting, reden waarom het profileren van kinderen niet is toegestaan.
Niet voldaan aan het vereisten intrekken toestemming
265. TikTok voldoet niet aan de vereisten die de AVG stelt aan het intrekken van toestemming. Op grond van artikel 7 lid 3 AVG heeft de betrokkene het recht zijn toestemming te allen tijde in te trekken. Voordat de betrokkenen zijn toestemming geeft, moet hij hierover worden geïnformeerd. Het intrekken van toestemming moet even eenvoudig zijn als het geven daarvan.
266. TikTok gebruikers worden niet geïnformeerd over de wijze waarop zij hun toestemming kunnen intrekken in het scherm waarin zij om toestemming voor gepersonaliseerde advertenties worden gevraagd. Indien de gebruiker naar de privacy-instellingen gaat, kan hij enkele opties uitzetten, zoals in het bovenstaande werd getoond. Deze opties zijn echter niet in lijn met artikel 7 lid 3.
267. In de eerste plaats is het intrekken van toestemming niet even eenvoudig als het geven daarvan. De gebruiker geeft immers met één enkele handeling voor meerdere doeleinden toestemming. Deze toestemming moeten in het instellingenmenu echter apart, door middel van meerdere handelingen, worden uitgevinkt.
268. In de tweede plaats kunnen gebruikers hun toestemming voor gepersonaliseerde advertenties in het geheel niet intrekken. Zelfs indien de gebruiker zijn toestemming voor “advertenties op basis van gegevens ontvangen van partners” intrekt, ontvangt hij nog steeds advertenties op
159 EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679, versie 1.1, Vastgesteld op 4 mei 2020, par. 132.
basis van gegevens van partners, namelijk op basis van klantenlijsten van partners die TikTok heeft gematcht met het ID van gebruikers. De mogelijkheid om toestemming in te trekken is dus een lege huls.
269. Op grond van het bovenstaande is de door TikTok verkregen toestemming niet geldig.
5.3.5.2 Niet noodzakelijk voor de uitvoering overeenkomst met de gebruiker
270. Voor een lijst van tien doeleinden baseert TikTok zich blijkens haar privacybeleid op de
rechtsgrondslag “noodzakelijk voor de uitvoering van een overeenkomst”:
• het Platform en de daaraan gekoppelde dienstverlening te leveren;
• je te informeren over wijzigingen in onze dienstverlening;
• je gebruikersondersteuning te bieden;
• onze voorwaarden en ons beleid te handhaven;
• het Platform te beheren met inbegrip van probleemoplossing;
• de content die je ontvangt te personaliseren en je content op maat te leveren die voor jou interessant kan zijn;
• je in staat te stellen om Gebruikerscontent te delen met en te reageren op andere gebruikers;
• onze berichtenservice te laten werken als je ervoor kiest om die te gebruiken en 16 jaar of ouder bent;
• je in staat te stellen om deel te nemen aan het virtuele items-programma; en
• om met jou te communiceren.
271. Een verwerking van persoonsgegevens mag alleen op grond van artikel 6, lid 1, onder b AVG worden gebaseerd als er (i) een overeenkomst is tussen de gebruiker en de voor de verwerking verantwoordelijke, (ii) de overeenkomst geldig is volgens de toepasselijke wetgeving, en (iii) de verwerking objectief noodzakelijk is voor de uitvoering van deze overeenkomst.160 De door TikTok opgenomen verwerkingsactiviteiten voldoen niet aan deze voorwaarden.
Ad i) en ii) Geen geldige overeenkomst
272. De EDPB stelt in de Richtsnoeren over artikel 6 lid 1 sub b AVG dat de overeenkomsten voor onlinediensten geldig moeten zijn overeenkomstig het toepasselijke verbintenissenrecht om als rechtmatig aangemerkt te kunnen worden.161 Een voorbeeld van een relevante factor is of de betrokkene een kind is. In dat geval moet de verwerkingsverantwoordelijke waarborgen dat hij voldoet aan de toepasselijke nationale wetgeving inzake het vermogen van kinderen om een overeenkomst aan te gaan.
273. Ten eerste is er geen geldig contract voor deze activiteit. Een minderjarige is immers niet bekwaam rechtshandelingen te verrichten, tenzij hij of zij handelt met toestemming van zijn
160 EDPB, Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), AVG in het kader van de levering van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, par. 26.
161 Idem.
of haar wettelijke vertegenwoordiger (artikel 1:234 BW). De EDPB benadrukt dat deze voorwaarde specifiek waar het kinderen betreft.
"Zoals gezegd moeten overeenkomsten voor onlinediensten, om rechtmatig te zijn, geldig zijn overeenkomstig het toepasselijke verbintenissenrecht. Een voorbeeld van een relevante factor is of de betrokkene een kind is. In dat geval (en in aanvulling op de naleving van de vereisten van de AVG, waaronder de “specifieke bescherming” die van toepassing is op kinderen), moet de verwerkingsverantwoordelijke waarborgen dat hij voldoet aan de toepasselijke nationale wetgeving inzake het vermogen van kinderen om een overeenkomst aan te gaan. Daarnaast moet de verwerkingsverantwoordelijke, om naleving van de beginselen van behoorlijkheid en rechtmatigheid te verzekeren, voldoen aan andere wettelijke vereisten. Op consumentenovereenkomsten kan bijvoorbeeld Richtlijn 93/13/EEG betreffende oneerlijke bedingen in consumentenovereenkomsten (“richtlijn oneerlijke bedingen in overeenkomsten”) van toepassing zijn. Artikel 6, lid 1, onder b) is niet beperkt tot overeenkomsten waarop de wetgeving van een lidstaat van de EER van toepassing is."162
Ad iii) Verwerkingen niet noodzakelijk
274. Artikel 6 lid 1 sub b is alleen toepasselijk als de verwerking objectief gezien noodzakelijk is voor een doeleinde dat integraal is voor de verlening van die contractuele dienst aan de betrokkene.163 Kan de verlening van de dienst plaatsvinden zonder deze verwerking van persoonsgegevens? Hierbij moet ook rekening worden gehouden met de verwachtingen van de gebruiker over de noodzaak van bepaalde verwerkingsactiviteiten voor de uitvoering van het contract. Zonder nadere specificatie van welke persoonsgegevens precies op welke manier voor de genoemde doeleinden worden verwerkt, kan niet worden volgehouden dat de genoemde verwerkingen noodzakelijk zijn om het mogelijk te maken voor de gebruiker om video’s te bekijken en plaatsen.
275. Van bepaalde doeleinden staat vast dat deze überhaupt niet noodzakelijk zijn voor het mogelijk maken van het gebruik van de dienst. Dit geldt bijvoorbeeld voor het personaliseren van content en met name de wijze waarop XxxXxx dit doet. Profilering kan in beginsel niet worden beschouwd als noodzakelijk voor het aanbieden van een bepaalde dienst, zoals ook de EDPB eerder heeft gesteld:
"[noodzaak voor de uitvoering van een overeenkomst] is bijvoorbeeld geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen. De reden hiervoor is dat de voor de verwerking
162 EDPB, Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, par. 13.
163 EDPB, Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), AVG in het kader van de levering van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, par. 30.
verantwoordelijke niet is aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren.164
276. Dit is vooral het geval wanneer profilering wordt uitgevoerd om de betrokkenheid van de gebruiker te vergroten, zoals bij TikTok bij uitstek het geval is:
"Indien personalisatie objectief gezien niet noodzakelijk is voor de uitvoering van de onderliggende overeenkomst, bijvoorbeeld wanneer de weergave van gepersonaliseerde inhoud bedoeld is om de betrokkenheid van een gebruiker bij de dienst te vergroten, maar geen integraal onderdeel vormt van het gebruik van de dienst, moeten verwerkingsverantwoordelijken een andere rechtmatige grondslag kiezen, indien van toepassing."165
5.3.5.3 Niet noodzakelijk voor het gerechtvaardigd belang van TikTok
277. Tot slot baseert TikTok bepaalde verwerkingsactiviteiten voor bepaalde doeleinden op haar ongespecificeerde, gerechtvaardigde belangen (artikel 6, lid 1, onder f), AVG):
• te zorgen voor jouw veiligheid, zoals het controleren van Gebruikerscontent, berichten en de bijbehorende metadata op inbreuk op onze Community-richtlijnen en onze Gebruiksvoorwaarden;
• ervoor te zorgen dat de content op de voor jou en je apparaat meest effectieve manier gepresenteerd wordt;
• te begrijpen hoe mensen het Platform gebruiken zodat we het kunnen verbeteren, promoten en verder ontwikkelen;
• populaire onderwerpen, hashtags en campagnes op het Platform te promoten;
• gegevensanalyses uit te voeren en het Platform te testen om te zorgen voor de stabiliteit en veiligheid ervan;
• jouw identiteit te verifiëren, om jou bijvoorbeeld in staat te stellen om een 'geverifieerd account' te krijgen, en jouw leeftijd, bijvoorbeeld om na te gaan of je oud genoeg bent om bepaalde functies te mogen gebruiken;
• niet-gepersonaliseerde advertenties te laten zien, waardoor veel van onze diensten gratis blijven;
• jouw interesses af te leiden voor het optimaliseren van ons advertentieaanbod, dat, als je toestemming hebt gegeven voor gepersonaliseerde advertenties, gebaseerd kan zijn op de informatie die onze advertentiepartners aan ons geven;
• de effectiviteit te meten van de advertenties die je ziet op het Platform;
• onze algoritmen te informeren zodat we jou de meest relevante content kunnen leveren en om misdaad en misbruik van het Platform te voorkomen;
• onderzoeken uit te voeren door middel van vragenlijsten over onze diensten, producten en eigenschappen;
164 WP29, Advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG (WP217), 9 april 2014, p. 20-21.
165 EDPB, Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, par. 57.
• je in staat te stellen om deel te nemen aan interactieve functies op het Platform; en
• je in staat te stellen om contact te hebben met anderen op het Platform. Wij kunnen bijvoorbeeld andere gebruikers toestaan om jou te identificeren via de functie “Vrienden zoeken” of via hun telefooncontacten om jou te verbinden met andere gebruikers door na te gaan met wie je links deelt.
278. Een verwerkingsactiviteit mag alleen op deze grondslag worden gebaseerd op voorwaarde dat
(i) sprake is van een gerechtvaardigd belang, (ii) de verwerking noodzakelijk is voor de behartiging van belang, en (iii) de belangen of de fundamentele rechten of vrijheden van de betrokkene niet zwaarder wegen, met name wanneer de betrokkene een kind is (belangenafweging).166 TikTok kan de verwerkingen van persoonsgegevens niet baseren op het gerechtvaardigd belang.
279. Aan de eerste voorwaarde is voldaan indien het belang dat met de verwerking wordt gediend, op zich legitiem is. Dat betekent dat:
• het belang rechtmatig moet zijn (dat wil zeggen: in overeenstemming met het toepasselijk EU- en nationaal recht);
• het belang voldoende duidelijk moet zijn verwoord om de afweging uit te kunnen voeren met de belangen en fundamentele rechten van de betrokkene (dat wil zeggen: voldoende specifiek); en
• een werkelijk en aanwezig belang moet worden vertegenwoordigd (dat wil zeggen: niet speculatief moet zijn).
280. Het belang moet overeenkomen met de huidige activiteiten of voordelen die worden verwacht in de zeer nabije toekomst. Belangen die te vaag of speculatief zijn, zijn onvoldoende.167
281. Door het gebrek aan transparantie (zie 5.3.6) is niet duidelijk wat de verwerkingsactiviteiten van TikTok op basis van deze rechtsgrondslag precies inhouden, zoals:
• populaire onderwerpen, hashtags en campagnes op het Platform te promoten;
• niet-gepersonaliseerde advertenties te laten zien, waardoor veel van onze diensten gratis blijven;
• jouw interesses af te leiden voor het optimaliseren van ons advertentieaanbod, dat, als je toestemming hebt gegeven voor gepersonaliseerde advertenties, gebaseerd kan zijn op de informatie die onze advertentiepartners aan ons geven;
• de effectiviteit te meten van de advertenties die je ziet op het Platform; en
• onze algoritmen te informeren zodat we jou de meest relevante content kunnen leveren en om misdaad en misbruik van het Platform te voorkomen
166 HvJEU 4 mei 2017, C‑13/16, EU:C:2017:336 (Rīgas satiksme), par 28; HvJEU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629
(Fashion ID), par. 28.
167 Artikel 29 Werkgroep, Advies 06/2014 over het begrip ‘gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke’ in artikel 7 van Richtlijn 95/46/EG, 844/14/NL, WP 217, p. 29-31 en 66 e.v.
282. Voor bepaalde doeleinden lijkt er een overlap te zijn met de verwerkingsactiviteiten die TikTok baseert op uitvoering van de overeenkomst. Dit geldt bijvoorbeeld voor het personaliseren van content. Ook de verhouding met de verwerking(en) waarvoor toestemming de grondslag is, is onduidelijk en ogenschijnlijk tegenstrijdig. Zo vermeldt TikTok dat de verwerking bestaande uit het afleiden van “jouw interesses” “voor het optimaliseren van ons advertentieaanbod” gebaseerd is op haar gerechtvaardigd belang. Slechts voor het gebruik van informatie van advertentiepartners zou toestemming vereist zijn. Op andere punten in het privacybeleid vermeldt TikTok weer dat alle vormen van gepersonaliseerde reclame op basis van toestemming plaatsvinden. In de toestemmingsvraag bij het registreren in de App staat namelijk “Gebruikers die zich afmelden, krijgen nog wel niet-gepersonaliseerde advertenties te zien.” Het is daarom niet mogelijk om de bovengenoemde toets uit te voeren.
283. In het algemeen is echter duidelijk dat XxxXxx niet aan de voorwaarden van artikel 6 lid 1 sub f voldoet, in ieder geval niet voor alle genoemde doeleinden.
284. Voor wat betreft de eerste voorwaarde geldt dat veel van de in het privacybeleid genoemde doeleinden zuiver commercieel zijn en gericht op profilering en het targetten van gebruikers met gepersonaliseerde inhoud en advertenties. Dit kan op zichzelf niet als een rechtmatig belang worden beschouwd. Ook de AP heeft bevestigd dat het enkele belang om persoonsgegevens te gelde te kunnen maken, ofwel daar winst mee te kunnen maken, geen gerechtvaardigd belang oplevert.168
285. Volgens de tweede voorwaarde moet de verwerkingsverantwoordelijke beoordelen of de verwerking van persoonsgegevens “noodzakelijk” is voor de behartiging van het gerechtvaardigde belang. De verwerking en gekozen middelen mogen niet verder gaan dan noodzakelijk is.169 Om aan het noodzakelijkheidsvereiste te voldoen, moet worden gekeken of er andere minder verstrekkende middelen zijn om het doeleinde van de verwerking te bereiken en om het gerechtvaardigde belang van de verwerkingsverantwoordelijke te dienen (proportionaliteit en subsidiariteit).170
286. Volgens de tweede voorwaarde moet de verwerkingsverantwoordelijke beoordelen of de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van het gerechtvaardigde belang. TikTok voldoet niet aan de vereisten van subsidiariteit en evenredigheid, zoals nader toegelicht onder alinea 135. Niet voor niets stelt de EDPB zich op het standpunt dat het opstellen van profielen van kinderen voor marketingdoeleinden niet is toegestaan.
168 xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxx/xxxxx/xxxxxxxxxx_xxxxxxxxxxxxxxx_xxxxxx.xxx, Boetebesluit van 20 december 2019 (VoetbalTV), te raadplegen op: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxx/xxxxx/xxxxxxxxxxxx_xxxxx.xxx.
169 Conclusie A-G bij HvJEU 4 mei 2017, C‑13/16, EU:C:2017:336 (Rīgas satiksme), par. 71-73.
170 HvJEU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064 (Asociaţia de Proprietari bloc M5A-ScaraA), par. 49.
287. Tot slot moet beoordeeld worden of het gerechtvaardigd belang zwaarder weegt dan de belangen of de fundamentele rechten of vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen. Er moet dus een belangenafweging plaatsvinden.
288. Bij de uiteindelijke belangenafweging dient rekening te worden gehouden met verschillende factoren, waaronder:
• de (gevoelige) aard van de gegevens;
• de manier waarop gegevens worden verwerkt;
• de redelijke verwachting van betrokkenen;
• de status van de verwerkingsverantwoordelijke (bijvoorbeeld een bedrijf met een dominante marktpositie) en van de betrokkene (bijvoorbeeld een minderjarige); en
• welke fundamentele rechten en/of belangen van de betrokkenen op het spel staan.171
289. Volgens de EDPB zijn de volgende omstandigheden van bijzonder belang bij profilering:
• het mate van gedetailleerdheid van het profiel;
• de volledigheid van het profiel;
• de gevolgen van de profilering; en
• de waarborgen die worden toegepast om te zorgen voor eerlijkheid, non-discriminatie en nauwkeurigheid in het profileringsproces.172
290. Gelet op de omvang en gedetailleerdheid van de (profilerings)activiteiten van TikTok, is het duidelijk dat de belangen van de gebruikers zwaarder wegen dan de belangen van TikTok. Dit is des te meer het geval omdat het kinderen betreft en hun gegevens de facto worden gebruikt om hen te beïnvloeden zonder dat naar behoren rekening wordt gehouden met het feit dat zij minderjarig zijn. De EDPB bepaalt ook dat de potentiële negatieve gevolgen van targetting aanzienlijk groter kunnen zijn wanneer het gaat om kwetsbare categorieën personen, zoals kinderen, en dat targeting de vorming van de persoonlijke voorkeuren en interesses van kinderen kan beïnvloeden, waardoor uiteindelijk hun autonomie en hun recht op ontwikkeling worden aangetast.173
5.3.5.4 Overige grondslagen niet van toepassing
291. Tot slot baseert TikTok bepaalde verwerkingsactiviteiten (“gebruiken wij (…) gegevens voor het voorkomen van en reageren op misbruik, fraude, illegale activiteiten en ander mogelijk schadelijke content op het Platform”) op verschillende grondslagen: wettelijke verplichting
171 Artikel 29 Werkgroep, Advies 06/2014 over het begrip ‘gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke’ in artikel 7 van Richtlijn 95/46/EG, 844/14/NL, WP 217, p. 36 e.v; zie ook HvJEU 4 mei 2017, C‑13/16, EU:C:2017:336 (Rīgas satiksme), par 28 en HvJEU 11 december 2019, C-708/18, ECLI:EU:C:2019:1064 (Asociaţia de Proprietari bloc M5A-ScaraA), par. 58); Autoriteit Persoonsgegevens, ‘Normuitleg grondslag ‘gerechtvaardigd belang’’, 1 november 2019, p. 4.
000 XX00, Xxxxxxxxxxxx inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, rev.01 (WP251), blz. 17.
173 EDPB, Guidelines 8/2020 on the targeting of social media users, version 2.0, adopted on 13 April 2021, par 16.
(artikel 6 lid 1 sub c AVG), algemeen belang (artikel 6 lid 1 sub e) en vitale belangen van de betrokkene (artikel 6 lid 1 sub d):
“Om te voldoen aan onze wettelijke verplichtingen en waar nodig om taken die in het algemeen belang zijn uit te voeren of om de vitale belangen te beschermen van onze gebruikers en andere mensen, gebruiken wij jouw gegevens voor het voorkomen van en reageren op misbruik, fraude, illegale activiteiten en ander mogelijk schadelijke content op het Platform.”
292. Dit is onvoldoende specifiek. TikTok is gehouden voorafgaand aan een verwerking een rechtsgrond vast te stellen en betrokkenen hierover informeren. Niet alleen vermeldt TikTok niet welke persoonsgegevens worden verwerkt, ook groepeert zij zowel doeleinden als grondslagen. Wat betreft de grondslag “algemeen belang” is niet duidelijk hoe TikTok zich hier op kan baseren nu deze grondslag is voorbehouden aan organisaties die op basis van wetgeving een publieke taak hebben.
5.3.5.5 TikTok verwerkt bijzondere persoonsgegevens
293. Op grond van artikel 9 AVG is de verwerking van bijzondere categorieën van persoonsgegevens verboden, tenzij een wettelijke uitzondering van toepassing is (dit vereiste komt bovenop het vereiste dat de verwerking gebaseerd moet zijn op een van de grondslagen genoemd in artikel 6 AVG). Onder bijzondere categorieën persoonsgegevens vallen onder meer gegevens over ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
294. Hoewel het privacybeleid hier niets over zegt, is duidelijk dat XxxXxx bijzondere persoonsgegevens verwerkt. Niet alleen zullen veel van de filmpjes op de TikTok Dienst bijzondere persoonsgegevens bevatten,174 bijzondere persoonsgegevens worden kennelijk ook meegenomen bij de werking van het algoritme van TikTok. In het onderzoek van The Wall Street Journal175 is onder meer te zien hoe het algoritme van TikTok razendsnel doorheeft of iemand geïnteresseerd is in (en het aanbod daarop afstemt) bijvoorbeeld filmpjes over bijvoorbeeld droevigheid en depressie, seksuele machtsdynamiek, complottheorieën over verkiezingen, en QAnon.176 Ook onderzoek van Netzpolitik toont aan dat TikTok bijzondere persoonsgegevens verwerkt bij de werking van het algoritme. Het ging daar eveneens om persoonsgegevens over politieke opvattingen.177 Door het verwerken van deze gegevens zuigt TikTok de gebruiker steeds dieper in niches van dergelijke onderwerpen. De aanbevelingen om bepaalde gebruikers te volgen, zijn verder mede gebaseerd op het ras van gebruikers die al gevolgd worden.
174 Voor zover de gebruiker de content op een publiek profiel plaatst, zou eventueel de wettelijke uitzondering van artikel 9 lid 2 sub e van toepassing kunnen zijn (“de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt”). Dit geldt echter niet voor bijzondere persoonsgegevens die filmpjes op privé accounts voorkomen, of wanneer deze gegevens worden afgeleid uit andere persoonsgegevens. In die situatie zou alleen uitdrukkelijke toestemming van de betrokkene de verwerking van bijzondere persoonsgegevens kunnen rechtvaardigen (artikel 9 lid 2 sub a).
175 xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxx-xxxxx-xxxxxxxxxx-xxxxxx-xxxxxxx-xxxxx-xx-00-0-xxxxxxx-00000000000; productie
22.
176 Een extreemrechtse complottheorie over een “deep state” (een staat binnen een staat) gericht tegen Xxxxxx Xxxxx.
177 xxxxx://xxxxxxxxxxx.xxx/0000/xxxxxxxxxxxx-xxx-xxxxxxxxxx/.
295. Daarnaast heeft onderzoek van The Guardian aangetoond dat TikTok de content op het platform modereert en censureert, onder meer door verwijdering van materiaal over de protesten in Hong Kong.178 Materiaal over LGTBQI lijkt eveneens te worden verwijderd.179 Verder voorziet het zogenaamde Ugly Content Policy in verwijdering van content met daarin, onder meer, personen met obesitas of “disabilities”. Ook daarmee verwerkt TikTok bijzondere persoonsgegevens van betrokkenen.
296. Op de verwerking van deze bijzondere categorieën persoonsgegevens door TikTok is geen wettelijke uitzondering van toepassing. De enige uitzondering die hiervoor in aanmerking zou komen is de uitdrukkelijke toestemming van de betrokkene (artikel 9 lid 2 sub a AVG). TikTok geeft echter aan dat profilering en het tonen van gepersonaliseerde content op basis daarvan plaatsvindt op basis van de uitvoering van de overeenkomst en/of het gerechtvaardigd belang. TikTok vraagt aldus geen toestemming voor de verwerking van deze bijzondere categorieën persoonsgegevens, laat staan uitdrukkelijke. Bovendien wordt, zoals hierboven beschreven, de toestemming die TikTok wel vraagt (voor gepersonaliseerde reclame) niet rechtsgeldig verkregen.
297. TikTok overtreedt hiermee artikel 9 AVG.
5.3.5.6 TikTok verwerkt gevoelige persoonsgegevens
298. Voorzover TikTok geen bijzondere persoonsgegevens verwerkt, verwerkt zij gevoelige gegevens.
299. De gegevens die TikTok verwerkt over het kijk-, klik- en likegedrag van de gebruikers van haar Dienst geven een indringend beeld van iemands communicatiegedrag. Wat iemand bekijkt, beoordeeld en bevingerd zegt veel over de (karakter)eigenschappen van die persoon. Dat is natuurlijk ook precies het doel van TikTok: wie is deze persoon?
300. Toen de smart TV zijn intrede deed in Nederlandse huishoudens maakt de Nederlandse toezichthouder zich al ernstige zorgen over de mogelijkheden die het apparaat biedt om kijkgedrag te volgen. In 2013 deed het College bescherming persoonsgegevens (“Cbp”), de voorloper van de Autoriteit Persoonsgegevens, onderzoek naar TP Vision, dat gegevens verzamelde van kijkers naar smart TV’s van Philips. Het Cbp oordeelde dat gegevens over kijkgedrag kwalificeren als “gevoelige gegevens”.
“De persoonsgegevens over het onlinekijkgedrag van betrokkenen zijn bovendien
gegevens van gevoelige aard, omdat zij veel over personen zeggen.”180
301. Deze gevoelige gegevens betreft een categorie persoonsgegevens die op zichzelf geen
bijzondere persoonsgegevens zijn in de zin van artikel 9 AVG, maar “waarvan de verwerking
178 xxxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxxxxx/0000/xxx/00/xxxxxxxx-xxx-xxxxxx-xxxxxxx-xxxxxx-xxxx-xx-xxx-xxxxxx-xxxxxxx.
179 xxxxx://xxxxxxxxxxx.xxx/0000/xxxxxxxxxxxx-xxx-xxxxxxxxxx/.
180 CBP, Rapport definitieve bevindingen van 2 juli 2013,
grote impact op betrokkenen kan hebben”. Het Cbp concludeerde dat de gegevens gebruikt
zouden kunnen worden op gedetailleerde profielen op te bouwen.
“Op grond van de gegevens over bekeken uitzendingen, gebruikte apps en bezochte websites kunnen gedetailleerde profielen worden opgebouwd van iemands interesses, sociale achtergrond, inkomen of gezinssamenstelling, inclusief voorspellingen die worden afgeleid uit het gedrag van andere, vergelijkbare mensen.”181
302. Wat de toezichthouder in 2013 als gedetailleerde profielen beschouwde, is kinderspel in vergelijking tot de mate van detail van de profielen die TikTok samenstelt. De dienst van TP Vision was niet uitgerust met een algoritme geprogrammeerd met behulp van kunstmatige intelligentie.
303. Het voorgaande betekent dat alle gegevens die TikTok verwerkt in ieder geval moeten kwalificeren als gevoelige gegevens.
5.3.6 Schending transparantie
304. TikTok handelt in strijd met het transparantiebeginsel. De informatie die zij verstrekt is onvolledig, bevat niet alle vereiste elementen (laat staan op een begrijpelijke manier) en voldoet niet aan de vereisten die artikel 12 AVG stelt. Overigens heeft TikTok in de afgelopen jaren haar privacybeleid talloze keren gewijzigd, zonder dat er een archief is gepubliceerd. Dit maakt een goede evaluatie van conformiteit met de (informatieverplichtingen uit de) AVG onmogelijk.
305. Transparantie is al lang een kernbeginsel van het EU-recht.182 Transparantie moet ervoor zorgen dat burgers vertrouwen hebben in de processen die hen raken, helpt hen die processen te begrijpen en stelt hen, indien nodig, in staat bezwaar te maken. Ook is transparantie een uitdrukking van het beginsel van eerlijkheid in verband met de verwerking van persoonsgegevens zoals vervat in artikel 8 van het Handvest. Het is derhalve een essentieel grondrechtelijk beginsel.
306. Transparantie is als fundamenteel beginsel voor de bescherming van persoonsgegevens opgenomen in artikel 5 lid 1 sub a AVG.183 Het transparantievereiste ligt ook ten grondslag aan de hierboven besproken eisen voor geïnformeerde toestemming, maar heeft een bredere toepassing. Het geldt voor iedere verwerking, onafhankelijk van de grondslag. Het vereiste
181 CBP, Rapport definitieve bevindingen van 2 juli 2013,
55.
182 In artikel 1 van het Verdrag betreffende de Europese Unie (“VEU”) wordt bepaald dat besluiten “in zo groot mogelijke openheid en zo dicht mogelijk bij de burger worden genomen”; Artikel 11, lid 2, van het VEU luidt als volgt: “De instellingen voeren een open, transparante en regelmatige dialoog met representatieve organisaties en met het maatschappelijk middenveld”; en in artikel 15 van het Verdrag betreffende de werking van de Europese Unie (“VWEU)” wordt onder meer bepaald dat burgers van de Unie recht hebben op toegang tot documenten van de instellingen, organen en instanties van de Unie, met als doel dat deze instellingen, organen en instanties van de Unie zorgen voor transparantie in hun werkzaamheden. 183 Artikel 29 werkgroep, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/69, 29 november 2017, zoals laatstelijk gewijzigd en vastgesteld op 11 april 2018, WP260rev.01 en zoals bekrachtigd door de EDPB op 25 mei 2018 (‘WP260 Transparantie’), p.5, par. 2.
geldt eveneens om bij gebruik van cookies in overeenstemming met de AVG informatie te verstrekken op grond van artikel 11.7a lid 1 sub a Tw.
307. Het transparantievereiste heeft meerdere aspecten, waaronder het verstrekken van informatie over de verwerking van persoonsgegevens, het geven van uitvoering aan de rechten van betrokkenen en de meldplicht datalekken. De verplichtingen in het kader van informatieverstrekking aan betrokkenen over de verwerking van persoonsgegevens worden nader uitgewerkt in onder meer artikel 12, 13 en 14 en overweging 39 en 58 AVG.
308. Artikel 12 AVG bevat een aantal algemene regels voor het verstrekken van informatie aan de betrokkene. Zo moet de informatie onder meer beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn en in duidelijke en eenvoudige taal worden verstrekt. Dit geldt volgens overweging 58 in het bijzonder voor situaties, waarin het vanwege het grote aantal actoren en de technologische complexiteit voor een betrokkene moeilijk is om te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld. Online advertenties worden hier specifiek als voorbeeld genoemd van een dergelijke situatie. Wanneer een verwerking op een kind gericht is, moet de informatie verder dusdanig eenvoudig en duidelijk zijn, dat het kind deze kan begrijpen.
Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullend visualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen.
309. De artikelen 13 en 14 AVG beschrijven meer concreet welke informatie aan een betrokkene moet worden verstrekt en wanneer. Artikel 13 ziet op gevallen waarin de persoonsgegevens direct bij de betrokkenen zijn verzameld, artikel 14 op gevallen waarin de gegevens uit een andere bron worden verkregen. De te verstrekken informatie omvat onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van en de grondslag voor de verwerking, de betrokken categorieën persoonsgegevens, de ontvangers of categorieën ontvangers van de persoonsgegevens, bijzonderheden over doorgiften naar derde landen en de gehanteerde bewaartermijnen. De betrokkene moet ook worden ingelicht over het bestaan van profilering en de onderliggende logica, alsmede het belang en de verwachte gevolgen daarvan. Die informatie moet worden verstrekt vóórdat met de verwerking van persoonsgegevens wordt gestart.
310. TikTok informeert haar (jonge) gebruikers onvoldoende en handelt daarmee in strijd met artikelen 13 en 14 AVG.
Persoonsgegevens, verwerkingsdoeleinden en rechtsgronden onduidelijk
311. Het is onduidelijk welke persoonsgegevens TikTok precies verwerkt voor welk doel en op basis van welke grondslag.
312. Het privacybeleid omschrijft in hoofdstuk 1 een groot aantal “soorten persoonsgegevens” die door TikTok worden verwerkt. Het gaat onder meer om profielgegevens, om gegevens over de wijze waarop de gebruiker de TikTok Dienst gebruikt en de daaruit afgeleide interesses en voorkeuren van de gebruiker, de (inhoud van de) berichten van de gebruiker, locatiegegevens en bewijs van de identiteit en leeftijd van de gebruiker. Verder omschrijft het privacybeleid een groot aantal doeleinden waarvoor persoonsgegevens worden verwerkt. In hoofdstuk 3 (“Hoe gebruiken wij jouw Persoonsgegevens?”) staan 23 verschillende doeleinden vermeld, die zijn ondergebracht onder twee verschillende grondslagen (uitvoering overeenkomst en gerechtvaardigd belang). Aan het einde van het kopje wordt nog vermeld “Met jouw toestemming gebruiken we jouw informatie om jou gepersonaliseerde advertenties te tonen”. Onder hoofdstuk 4, dat verwarrend genoeg eveneens de titel “Hoe gebruiken wij jouw Persoonsgegevens?” draagt, staan verder een aantal partijen opgesomd waarmee TikTok persoonsgegevens deelt. Het gaat dan onder meer om zakelijke partners, dienstverleners, leveranciers van analyses en metingen, adverteerders en bedrijven binnen de TikTok groep.
313. De opsommingen onder hoofdstuk 1, 3 en 4 zijn echter niet aan elkaar gekoppeld, waardoor onduidelijk is welke persoonsgegevens precies voor welke doeleinden worden verwerkt en met welke derden worden gedeeld (artikel 13/14 lid 1 sub c AVG). Het is daardoor voor de betrokkene ook niet mogelijk om te controleren of de verwerking/het delen van bepaalde (categorieën van) persoonsgegevens wel noodzakelijk is voor een bepaald doeleinde en of dat rechtmatig gebeurt.184
314. Daar komt bij dat sommige doeleinden die genoemd zijn onder verschillende grondslagen elkaar overlappen. Dit geldt bijvoorbeeld voor het personaliseren en optimaliseren van content, een doeleinde dat zowel genoemd wordt onder “uitvoering van de overeenkomst” als “gerechtvaardigd belang”. Dat is problematisch, omdat TikTok een bepaalde verwerking niet op meerdere grondslagen kan baseren.
315. Ook bij de informatie over al dan niet gepersonaliseerde advertenties is sprake van overlap en zelfs tegenstrijdigheid. Zo staan onder de grondslag gerechtvaardigd belang onder meer de volgende doeleinden vermeld:
• niet-gepersonaliseerde advertenties te laten zien, waardoor veel van onze diensten gratis blijven;
184 Zie ook BEUC, ‘Confusing by Design’, februari 2021, p. 7-8.
• jouw interesses af te leiden voor het optimaliseren van ons advertentieaanbod, dat, als je toestemming hebt gegeven voor gepersonaliseerde advertenties, gebaseerd kan zijn op de informatie die onze advertentiepartners aan ons geven;
• de effectiviteit te meten van de advertenties die je ziet op het Platform;
316. Deze tekst suggereert dat de gebruiker te allen tijde gepersonaliseerde en geoptimaliseerde advertenties te zien krijgt en dat toestemming enkel relevant is voor de vraag of die gepersonaliseerde advertenties ook gebaseerd kunnen zijn op informatie verkregen van advertentiepartners. Elders in het privacybeleid schrijft XxxXxx echter “met jouw toestemming gebruiken we jouw informatie om jou gepersonaliseerde advertenties te tonen. Zie ook de onderdelen over in Informatie van derden voor meer informatie.”
317. Indien de gebruiker de App voor het eerst opstart en er om toestemming gevraagd wordt voor gepersonaliseerde advertenties, wordt vermeld: “Gebruikers die zich afmelden, krijgen nog wel niet-gepersonaliseerde advertenties te zien.” Door deze onduidelijke en tegenstrijdige informatie is het, kortom, volstrekt onduidelijk of gebruikers die geen toestemming geven wel of geen gepersonaliseerde reclame te zien krijgen.
318. Ook geeft XxxXxx bij meerdere verwerkingen aan dat het afhankelijk is van de lokale wetgeving of die verwerking plaatsvindt. Dit geldt onder meer voor de verwerking van GPS-gegevens: “[i]n bepaalde rechtsstelsels kunnen we ook Global Positioning System (gps) gegevens verzamelen” en voor de inhoud van berichten: “[w]aar de lokale wetten ons dat toestaan verzamelen en verwerken wij jouw berichten, met inbegrip van het scannen en analyseren van de informatie in die berichten, via de messagingfunctie van het Platform.” Uit deze informatie is voor de Nederlandse gebruiker niet duidelijk of en in welke mate erg gevoelige informatie, zoals precieze locatiegegevens en de inhoud van berichten, van hem door TikTok wordt verwerkt.185
319. Het privacybeleid van TikTok bevat niet de vereiste informatie. Dit geldt bijvoorbeeld voor informatie over bewaartermijnen (artikel 13/14 lid 2 sub a AVG). Vermeld wordt enkel hoelang verwijderde accounts bewaard worden. Voor alle overige doeleinden en verwerkingen verstrekt TikTok slechts zeer algemene informatie, waar de gebruiker niet veel wijzer van wordt:
Wij bewaren jouw gegevens zo lang als nodig is om jou de diensten te bieden waardoor wij kunnen voldoen aan onze contractuele verplichtingen aan jou en om onze rechten uit te oefenen in verband met de betrokken gegevens. Als wij de gegevens niet langer nodig hebben om de diensten aan jou aan te bieden, bewaren wij die gegevens alleen zolang wij een legitiem zakelijk belang hebben om die gegevens te bewaren.
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 9.
Als je ons vraagt om jouw account te verwijderen dan krijgt dit account eerst 30 dagen een inactieve status (zodat je kunt vragen om het account weer te herstellen), gevolgd door verwijdering van dat account.
320. De EDPB heeft duidelijk aangegeven dat dergelijke algemene informatie niet volstaat:
De opslagperiode (of de criteria om die te bepalen) kan (kunnen) worden gedicteerd door factoren als wettelijke vereisten of sectorale richtsnoeren, maar zou(den) altijd zodanig moeten worden geformuleerd dat de betrokkene, op basis van zijn of haar eigen situatie, kan beoordelen wat de bewaringstermijn voor specifieke gegevens/doeleinden is. Het is niet voldoende dat de verwerkingsverantwoordelijke in algemene zin verklaart dat persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking. Indien relevant zouden de verschillende opslagperioden voor verschillende categorieën van persoonsgegevens en/of verschillende verwerkingsdoeleinden moeten worden vermeld, met inbegrip van, waar passend, de archiveringsperioden.186
321. TikTok is ook niet transparant over welke informatie zij van derden verkrijgt en welke gegevens zij doorstuurt naar of deelt met derden. TikTok noemt in het privacybeleid slechts als voorbeeld het “mobiele advertentie-ID” en “informatie die wij hebben afgeleid uit de gegevens die deze partners ons leveren”. Onduidelijk is bovendien welke “derden” het betreft (artikel 13/14 lid 1 sub e AVG). De algemene verwijzing naar “adverteerders” en “partners” is onvoldoende om de betrokkene betekenisvol te informeren, aldus ook de EDPB.187 Uitgangspunt is dat ontvangers met name genoemd moeten worden. Als dat niet mogelijk is, moet het type ontvanger in ieder geval een stuk specifieker worden geduid.
In overeenstemming met het behoorlijkheidsbeginsel moeten verwerkingsverantwoordelijken informatie over de ontvangers verstrekken die voor de betrokkenen het meest betekenisvol is. In de praktijk zullen dit doorgaans met name genoemde ontvangers zijn, zodat betrokkenen precies weten wie hun persoonsgegevens heeft. Indien verwerkingsverantwoordelijken ervoor kiezen om de categorieën van ontvangers te verstrekken, dient de informatie zo specifiek mogelijk te zijn door aanduiding van het type ontvangers (d.w.z. door vermelding van de activiteiten die die ontvangers verrichten) en de industrie, de sector, de subsector en de locatie van de ontvangers.188
322. Bovendien geldt dat de uitwisseling van informatie met, bijvoorbeeld, sociale mediaplatforms voor het targetten van gebruikers, in vrijwel elke situatie zal resulteren in gezamenlijke
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 47.
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 43-44.
188 WP29, Richtsnoeren inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals
verantwoordelijkheid van TikTok en het desbetreffende platform.189 Verzuimd wordt echter dit te vermelden, laat staan dat de essentie van de overeenkomst inzake gezamenlijke verantwoordelijkheid ter beschikking wordt gesteld overeenkomstig artikel 26, lid 2, AVG.
323. Uit het privacybeleid volgt verder duidelijk dat TikTok persoonsgegevens doorgeeft aan derde landen, maar TikTok veronachtzaamt voldoende details daarover te verstrekken (artikel 13/14 lid 1 sub f). Voor betrokkenen is het een raadsel waar hun persoonsgegeven worden opgeslagen. TikTok schrijft namelijk slechts:
De persoonsgegevens die wij van jou verzamelen worden doorgegeven aan en
opgeslagen op een bestemming buiten de Europese Economische Ruimte (“EER”).
324. Uitgangspunt is echter dat het derde land moet worden genoemd.190 TikTok noemt elders in het beleid weliswaar de VS, maar mede gezien haar bedrijfsstructuur en het in China gevestigde moederbedrijf is het onwaarschijnlijk dat het daarbij blijft.
Wij delen jouw gegevens ook met zakelijke partners, andere bedrijven in dezelfde groep als TikTok (met inbegrip van TikTok Inc. in de Verenigde Staten dat bepaalde diensten levert in verband met het Platform) (…).
325. Naast de al genoemde punten, ontbreken ook de volgende elementen in TikTok’s
privacybeleid, terwijl dit op grond van artikel 13 en 14 AVG wel vereist is:
a. De specifieke gerechtvaardigde belangen waar TikTok de verwerkingen die zij stoelt op artikel 6 lid 1 sub f AVG, op baseert. In plaats van specifieke belangen te identificeren, zoals vereist (artikel 13 lid 1 sub d, artikel 14 lid 2 sub b AVG), baseert TikTok maar liefst
13 verwerkingen op “onze gerechtvaardigde belangen om een goed werkend en dynamisch Platform te bieden”;
c. De verwerking van bijzondere categorieën persoonsgegevens. Zoals hiervoor aangegeven (onder 5.3.5.4), verwerkt TikTok ook bijzondere categorieën persoonsgegevens. TikTok maakt hiervan geen enkele melding in haar privacybeleid, terwijl zij informatie zou moeten verstrekken over de wettelijke uitzonderingen (artikel 9 AVG) waar zij deze verwerking(en) op baseert.
189 EDPB, Guidelines 8/2020 on the targeting of social media users, version 2.0, adopted on 13 April 2021.
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals
5.3.6.2 Niet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk
326. Het privacybeleid van TikTok voldoet ook niet aan het vereiste dat de verstrekking van informatie aan betrokkenen “in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm” moet geschieden (artikel 12 AVG).
327. Wat “begrijpelijke” informatie is, hangt af van het publiek voor wie de informatie bestemd is. Deze vereisten houden onder meer in dat de informatie wordt verstrekt in de taal van het publiek. Dit is vooral belangrijk wanneer het publiek bestaat uit kinderen, een kwetsbare groep van betrokkenen.191
328. Als hiervoor aangegeven was het privacybeleid van TikTok tot juni 2020 alleen in de Engelse taal beschikbaar, zelfs voor kinderen. Dit is een duidelijke schending van het vereiste om informatie in een begrijpelijke vorm te verstrekken. Daarmee is de overtreding van de transparantieverplichting door TikTok gegeven. Het feit dat XxxXxx inmiddels wel een Nederlandse vertaling van het beleid beschikbaar heeft, doet niet af aan deze vastgestelde overtreding in het (recente) verleden.
5.3.6.3 Geen duidelijke en klare taal
329. Het privacybeleid bevat evenmin duidelijke en heldere taal, zoals de EDPB-richtsnoeren voorschrijven. In haar richtsnoeren inzake transparantie heeft de EPDB een aantal "slechte praktijkvoorbeelden" en "goede praktijkvoorbeelden" gepubliceerd. Het verschil zit hem in de duidelijkheid die de betrokkene wordt geboden over de concrete verwerkingsactiviteit en de persoonsgegevens waar het om gaat. 192
330. De EDPB geeft onder meer het volgende voorbeeld van ontoereikend taalgebruik, omdat dit onvoldoende duidelijkheid verschaft over de doeleinden van de verwerking:
“We kunnen uw persoonsgegevens gebruiken om gepersonaliseerde diensten aan te bieden” (omdat het onduidelijk is wat de “personalisering” inhoudt).
331. TikTok houdt er vergelijkbare open en vage formuleringen op na.
"We kunnen uw informatie gebruiken om (…) onze algoritmen te informeren, zodat we u de meest relevante inhoud kunnen leveren."
332. De EDPB overweegt ook dat aan een betrokkene verstrekte informatie geen overdreven legalistische, technische of gespecialiseerde taal of terminologie mag bevatten. Indien de informatie in een of meer andere talen wordt vertaald, moet de voor de verwerking verantwoordelijke ervoor zorgen dat alle vertalingen correct zijn en dat de zinsbouw en
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 7.
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 9.
syntaxis in de tweede taal/talen zinvol zijn, zodat de vertaalde tekst niet ontcijferd of opnieuw geïnterpreteerd hoeft te worden.193
333. Vooral op het gebied van behavioural advertising zijn betrokkenen zich niet bewust van wat er eigenlijk met hun persoonsgegevens gebeurt, zeker niet wanneer de Nederlandse tekst als volgt luidt:
"Jouw interesses af te leiden voor het optimaliseren van ons advertentieaanbod, dat, als je toestemming hebt gegeven voor gepersonaliseerde advertenties, gebaseerd kan zijn op de informatie die onze advertentiepartners aan ons geven."
334. Zoals hiervoor aangegeven is het privacybeleid verder onduidelijk over de verwerking van onder meer (de inhoud) van berichten en gedetailleerde locatiegegevens, door gebruik van teksten als: “Waar de lokale wetten ons dat toestaan (…)” en “In bepaalde rechtsstelsels kunnen we (…)”.
335. Bovendien is de informatie slecht (vermoedelijk geautomatiseerd) in het Nederlands vertaald, waardoor het nog onduidelijker en onbegrijpelijker is geworden.
336. Uit artikel 12 AVG en overweging 58 volgt dat, wanneer persoonsgegevens van kinderen worden verwerkt, de informatie in een zodanige duidelijke en heldere taal moet zijn gesteld dat het kind deze gemakkelijk kan begrijpen.
337. Het is duidelijk dat dat niet het geval is. Het taalgebruik, de toon en de stijl van het privacybeleid is voor volwassenen al moeilijk te begrijpen, laat staan voor kinderen.
338. TikTok heeft voor kinderen wel een “samenvatting” van het privacybeleid opgesteld (productie 35). De samenvatting is enkel vindbaar in de App onder het tabblad privacybeleid en wordt dus niet tijdens de registratie onder de aandacht gebracht. Voor kinderen die de Website bezoeken, is de samenvatting überhaupt niet beschikbaar.
“Als je tussen 13 en 18 jaar oud bent, hebben we ook een aparte samenvatting gemaakt van dit beleid en wat het voor jou betekent. Deze is beschikbaar in de app onder het tabblad 'privacybeleid'.”
339. Los daarvan, bevat de samenvatting geen informatie die kinderen daadwerkelijk in staat stelt de verwerking van hun persoonsgegevens door XxxXxx te begrijpen. De samenvatting is opgesteld in dezelfde ingewikkelde en juridische taal als de rest van het document. Het betreft bovendien een onvolledige en slechte vertaling.
340. Dat de informatie niet in "klare en duidelijke" taal wordt gegeven, blijkt wel uit het volgende voorbeeld:
000 XX00, Xxxxxxxxxxxx inzake transparantie in het kader van Verordening 2016/679, Vastgesteld op 29 november 2017, Zoals laatstelijk herzien en vastgesteld op 11 april 2018 (WP260 rev.01), blz. 10.
"Wij verzamelen en verwerken informatie die je ons geeft wanneer je een account creëert en gebruikmaakt van het Platform. Dit omvat ook technische en gedragsinformatie over jouw gebruik van het Platform. Wij verzamelen ook informatie over jou als je de app downloadt en het Platform gebruikt zonder een account te creëren. Klik hier voor meer informatie.."
341. Ten slotte vermeldt de samenvatting niet (duidelijk) dat TikTok informatie over voorkeuren, geslacht en leeftijd verwerkt voor advertentiedoeleinden, terwijl dit nu juist de kern van haar dienst is en de meest belangrijke en problematische verwerking. Vermeld wordt slechts dat TikTok “technische en gedragsinformatie over jouw gebruik van het Platform” verzamelt, hetgeen voor kinderen volstrekt onbegrijpelijk is.
5.3.7 Schending dataminimalisatie en privacy by design en privacy by default
5.3.7.1 Dataminimalisatie
342. TikTok schendt door de hierboven beschreven handelwijze het beginsel van dataminimalisatie, ook wel minimale gegevensverwerking, zoals opgenomen in artikel 5, lid 1, onder c) AVG:
"Persoonsgegevens moeten:
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt ("minimale gegevensverwerking");
343. Het beginsel van dataminimalisatie houdt in:
• een verplichting tot minimale gegevensverwerking; en
• een verplichting om gegevensbescherming door ontwerp (data protection by design) en standaardinstelling (data protection by default) toe te passen.
344. Uit het feitelijke kader volgt dat de activiteiten van TikTok zijn gericht op het verzamelen van zoveel mogelijk informatie over gebruikers van de TikTok Dienst om gepersonaliseerde content te kunnen tonen en zo de aandacht van gebruikers zo lang mogelijk vast te houden en gerichte advertenties te kunnen tonen. Deze praktijk staat haaks op het beginsel van dataminimalisatie.
5.3.7.2 Privacy by design en privacy by default
345. Op grond van artikel 25 AVG moeten de verwerkingsverantwoordelijken privacy by design en privacy by default (samen ook data protection by design and by default, “DPbDD”) toepassen. TikTok voldoet niet aan deze verplichting.
346. Privacy by design houdt in dat de verantwoordelijke er bij het bepalen van de middelen voor verwerking en gedurende de verwerking steeds voor moet zorgen dat passende maatregelen en waarborgen in het ontwerp van de verwerking zijn ingebouwd om aan de verordening te voldoen. Die maatregelen en waarborgen dienen erop gericht te zijn dat aan de beginselen van gegevensbescherming wordt voldaan. Daarbij wordt in de tekst van artikel 25 “minimale
gegevensverwerking” uitdrukkelijk genoemd. De waarborgen en maatregelen die in het ontwerp van de verwerking moeten worden meegenomen, moeten dus onder meer gericht zijn op het verzekeren van een minimale gegevensverwerking.194
347. Privacy by default houdt in dat de verantwoordelijke maatregelen moet nemen om ervoor te zorgen dat de standaardinstelling zo zijn dat alleen gegevens worden verwerkt die noodzakelijk zijn. De maatregelen dienen de hoeveelheid gegevens die wordt verzameld, de omvang van de verwerking van die gegevens, de duur van de opslag en de toegankelijkheid tot de gegevens waar mogelijk te beperken. Standaard dienen dus zo min mogelijk gegevens verwerkt te worden, zo kort mogelijk, etc. terwijl de betrokkene wel de keuze mag hebben een uitgebreidere verwerking actief toe te staan.195
348. Overweging 78 bepaalt (onderstreping advocaat):
“Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
349. Belangrijke elementen om te implementeren in het ontwerp en standaardinstellingen zijn volgens de Europese toezichthouders onder meer:
1. Data avoidance: het überhaupt vermijden van het verwerken van persoonsgegevens wanneer dit mogelijk is voor het doeleinde van de verwerking.
2. Relevantie: het beperken van de verwerking tot de gegevens die relevant zijn voor de verwerking. De verantwoordelijke moet dit kunnen aantonen.
3. Noodzakelijkheid: elk onderdeel van de dataset moet nodig zijn voor de gespecificeerde doeleinden van de verwerking en gegevens mogen niet worden verwerkt als het doeleinde ook op andere wijze kan worden bereikt.
4. Beperking: het beperken van de hoeveelheid verzamelde gegevens tot dat wat nodig is.
194 EDPB Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, 13 november 2019, (“EDPB 4/2019 DPbDD”) p. 6, par. 7-8.
195 Vgl. Autoriteit Persoonsgegevens, ‘Microsoft Windows 10 – De verwerking van persoonsgegevens via telemetrie’, 29 augustus 2017.
5. Data flow: de gegevensstromen moeten efficiënt zijn zodat geen onnodige kopieën van de gegevens worden gemaakt en niet meer punten van gegevensverzameling worden gebruikt dan nodig.196
350. Volgens de Europese toezichthouders moeten verantwoordelijken in dit kader ten eerste beoordelen of het überhaupt noodzakelijk is om persoonsgegevens te verwerken. Ze hebben de plicht om te controleren of er technologie, processen of methodes bestaan die de verwerking van persoonsgegevens overbodig maken.197
351. TikTok heeft de TikTok Dienst zo ingericht dat zij, teneinde zoveel mogelijk advertentie- inkomsten te genereren, gericht is op:
• Het maximaliseren van tijd op het platform (de aandacht van de gebruiker zo lang mogelijk vasthouden door onder meer content op basis van kijkgedrag te personaliseren);
• Het maximaliseren van gebruik van het platform (het creëren van content en interactie voor de gebruiker zo aantrekkelijk en gemakkelijk mogelijk maken).198
352. Het bereiken van deze doeleinden gaat gepaard met het verzamelen van zoveel mogelijk persoonsgegevens. Naast de verslavende werking van het algoritme, zijn enkele voorbeelden van concrete ontwerpkeuzes in dit kader:
• De mogelijkheid van likes en comments. Gebruikers zijn geneigd om informatie op grote schaal openbaar te maken om meer sociale beloning te ontvangen. Het delen van persoonlijke informatie wordt versterkt door likes en comments.199 Met name jonge tieners delen meer persoonlijke informatie in ruil voor deze feedback.200
• Het oneindig kunnen scrollen draagt bij tot meer gebruik van de app.201 Uit onderzoek blijkt dat wanneer een sociaal netwerk het mogelijk maakt om eindeloos te scrollen door een feed, dit verslavend werkt.202 Hoe langer de TikTok Dienst gebruikt wordt, hoe meer informatie kan worden verzameld.
353. Om de resultaten te optimaliseren wordt er op massale schaal getest. In een rapport van 5Rights wordt een anonieme design director van een socialemediabedrijf geciteerd:
“TikTok is basically just a mass A/B test. It feeds you in 15-second drips, the volume of content, something about how short it is – it’s such a tight fit. But what are the
196 EDPB 4/2019 DPbDD, p. 19, par. 71.
197 EDPB 4/2019 DPbDD, p. 19, par. 69.
198 5Rights, Pathways: How Digital Design Puts Children at Risk, juli 2021, xxxxx://0xxxxxxxxxxxxxxxx.xxx/xxxxxxx/Xxxxxxxx- how-digital-design-puts-children-at-risk.pdf, productie 36, p. 7.
199 W.A.A. Xx Xxxxx, X. Xxxxxx & X. Xxxxxxxxx, ‘Users’ information disclosure determinants in social networking sites: a
systematic literature review’, International Journal of Computer and Information Engineering 2021/15, afl. 5, p. 317.
200 X. Xxxx & B.C. Tan, ‘Self-disclosure on online social networks: motives, context feature, and media capabilities’, Thirty Third International Conference on Information Systems 2012, p. 8.
201 X. Xxx & X. Xxx, ‘Facebook versus Instagram: How perceived gratifications and technological attributes are related to the change in social media usage’, The social science journal 2019/56, afl. 2, p. 156, 159-160 & 163.
202 B. Noë, L.D. Xxxxxx, X.X. Xxxxxx, X.X. Xxxxx, X. Xxxxxxx & R.M. Xxxxxxxx, ‘Identifying indicators of smartphone addiction through user-app interaction’, Computers in human behavior 2019/99, p. 61.
long run implications of people devoting so much time to it? How will it impact [on]
public health, teen development, identity, social connection?”203
354. Ook overigens ziet XxxXxx af van het toepassen van effectieve maatregelen om te voldoen aan de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
• Het is niet mogelijk enige controle uit te oefenen in de mate van personalisatie van content, bijvoorbeeld om de “For you”-pagina te beperken tot enkel opgegeven interesses;
• TikTok is niet transparant met betrekking tot de werking van het algoritme of het ecosysteem van advertentiepartners;
• Wat betreft meerderjarige gebruikers staan de meeste privacy-instellingen standaard op
“iedereen”.
355. Door bovengenoemde handelwijze handelt TikTok in strijd met artikel 25 AVG. Privacy by design en privacy by default en kinderen
356. In de AVG wordt een coherente risicogebaseerde benadering gehanteerd. Dit geldt ook voor artikel 25 AVG. EDPB stelt dat de verwerkingsverantwoordelijke bij het uitvoeren van de risicoanalyse voor de naleving van artikel 25 de risico’s voor de rechten van betrokkenen moet identificeren die schending van de beginselen met zich meebrengt, en moet bepalen hoe waarschijnlijk en hoe ernstig deze zijn, teneinde maatregelen uit te voeren waarmee de vastgestelde risico’s op doeltreffende wijze worden beperkt.204 In dit kader wordt specifiek aandacht besteed aan kinderen:
“Verwerkingsverantwoordelijken, verwerkers en producenten moeten hun verplichtingen in acht nemen om kinderen tot 18 jaar en andere kwetsbare groepen van specifieke bescherming te voorzien bij de naleving van DPbDD.”205
357. De EDPB geeft enkele voorbeelden, bijvoorbeeld in het kader van transparantie:
“Begrijpelijk – betrokkenen hebben een goed begrip van wat zij kunnen verwachten met betrekking tot de verwerking van hun persoonsgegevens, in het bijzonder wanneer de betrokkenen kinderen of andere kwetsbare groepen zijn.”206
358. Over toestemming wordt de positie van kinderen in het kader van DPbDD benoemd:
“Toestemming verkrijgen – toestemming moet vrijelijk worden gegeven en specifiek, geïnformeerd en ondubbelzinnig zijn. Er moet bijzondere aandacht worden besteed aan het vermogen van kinderen en jongeren om geïnformeerd toestemming te geven.”207
203 5Rights, Pathways: How Digital Design Puts Children at Risk, juli 2021, xxxxx://0xxxxxxxxxxxxxxxx.xxx/xxxxxxx/Xxxxxxxx- how-digital-design-puts-children-at-risk.pdf, p. 31.
204 EDPB 4/2019 DPbDD, p. 19, par. 69
205 Idem, p. 34.
206 Idem, par. 66.
207 Idem, par. 68.
359. Voor zover een gegevensverwerking op gerechtvaardigd belang gebaseerd is, moet aandacht besteed worden aan het machtsverschil bij kinderen tot 18 jaar:
“Belangenafweging – wanneer gerechtvaardigd belang de rechtsgrond is, voert de verwerkingsverantwoordelijke een gewogen belangenafweging uit en besteedt hij daarbij bijzondere aandacht aan het machtsverschil, met name bij kinderen tot 18 jaar en andere kwetsbare groepen. Er worden maatregelen en waarborgen ingesteld om de negatieve gevolgen voor de betrokkenen te beperken.”208
360. TikTok heeft enkele maatregelen genomen ten aanzien van kinderen. Deze zijn echter gericht op veiligheid ten aanzien van andere gebruikers en niet op bescherming tegen de schadelijke effecten van profilering voor commerciële doeleinden van TikTok zelf:
• Voor de groep 13 tot en met 15 jaar staat het profiel standaard op “privé”, staan reacties automatisch op “alleen vrienden” en is er geen mogelijkheid tot directe berichten;
• Voor de groep van 16-17 jaar wordt bij aanmelding de keuze geboden om voor “privéaccount” te kiezen of op “overslaan” te klikken en is het alleen mogelijk van vrienden directe berichten te krijgen (reacties staan overigens automatisch op “iedereen”).
361. Ook heeft TikTok de functionalitateit “Family Pairing” toegevoegd waardoor ouders enige controle kunnen uitoefen onder meer door middel van het instellen van een tijdlimiet voor hun kind. Door middel van deze functionaliteit verlegt TikTok verantwoordelijkheid voor gebruik van de dienst door minderjarigen naar de ouders, die op hun beurt verplicht zijn een account aan te maken, terwijl XxxXxx zelf geen beperkingen aanbrengt in de kern van de (verslavende) dienst die gericht is op het profileren voor commerciële doeleinden.
362. In plaats van ontwerpkeuzes die leiden tot het verzamelen van zoveel mogelijk informatie over de gebruiker om deze zo specifiek mogelijke content te laten zien, zou TikTok tal van maatregelen kunnen nemen om de privacy van kinderen beter te beschermen ten opzichte van TikTok en haar advertentiepartners en op deze manier uitvoering te geven aan de beginselen van DPbDD.209 Een aantal voorbeelden:
• Allereerst zou XxxXxx kunnen besluiten kinderen niet bloot te stellen aan het algoritme maar hen enkel video’s te tonen op basis van door hen zelf aangegeven interesses, eventueel aangevuld met de personen die zij volgen. Op deze manier zou TikTok geen misbruik maken van de menselijke (of kinderlijke) vooringenomenheid en zou de “voor jou”-pagina op een voor kinderen en hun ouders transparante manier werken.
• Voor zover het al toegestaan zou zijn kinderen te profileren voor commerciële doeleinden dan zou TikTok in ieder geval op een kindgerichte manier transparant moeten zijn over de werking van het algoritme en de gevolgen die dit kan hebben voor kinderen zodat zij zelf een autonome keuze kunnen maken al dan niet van de dienst gebruik te maken.
208 Idem.
209 Xxxxxx xxx xxx Xxx e.a., ‘The child right to protection against economic exploitation in the digital world, Submission to the Committee on the Rights of the Child in view of their intention to draft a General Comment on children’s rights in relation to the digital environment’ (May 2019), p. 4-5.
• Een ander voorbeeld van een eenvoudige maatregel die TikTok kan nemen om uitdrukking te geven aan de beginselen als vervat in artikel 25 AVG, is het aanbieden een “schone lei”- knop op een prominente plek in de interface of op geregelde momenten actief overgaan tot het begin met een schone lei.
363. Door actief ontwerpkeuzes te maken die leiden tot datamaximalisatie en af te zien van effectieve maatregelen om risico’s voor kinderen te beperken, handelt TikTok in strijd met artikel 25 AVG.
5.3.8 Schending verbod op geautomatiseerde besluitvorming waaronder profilering
364. In het feitelijk kader is al toegelicht dat een van de belangrijkste activiteiten van TikTok bestaat uit het creëren van gedetailleerde profielen van gebruikers van de TikTok Dienst. Met name door gedrag op de “Voor jou” pagina, ontstaat een gedetailleerd en indringend profiel, waardoor gebruikers in korte tijd in rabbit holes terecht kunnen komen. Als adverteerder is het vervolgens mogelijk te selecteren op tal van variabelen, zoals geslacht, leeftijd, locatie, interesses, gedrag en type en prijs van de mobiele telefoon.
365. De AVG bevat specifieke nieuwe bepalingen ter bestrijding van risico's die voortvloeien uit het opstellen van profielen en geautomatiseerde besluitvorming. In artikel 4, lid 4 AVG wordt "profilering" als volgt gedefinieerd:
“elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;”
366. Dit is precies de activiteit die TikTok verricht. Het gaat immers om een vorm van geautomatiseerde verwerking die dagelijks op grote schaal plaatsvindt. Zoals EDPB in haar Richtsnoeren aangeeft is een zekere mate van geautomatiseerde verwerking voldoende; menselijke tussenkomst betekent niet dat de activiteit niet onder de definitie valt.210 De gegevensverwerking van TikTok heeft bovendien betrekking op persoonsgegevens (het tweede vereiste). In de derde plaats heeft deze tot doel van persoonlijke aspecten van een natuurlijk persoon te evalueren.
367. EDPB verwijst in haar Richtsnoeren over profilering naar een onderzoek waarin xxxxxxx Facebook-likes worden gecombineerd met gegevens uit andere bronnen. De onderzoekers waren in staat om in 88% van de gevallen de seksuele geaardheid van mannelijke gebruikers vast te stellen. In 95% van de gevallen was de etnische afkomst goed in te schatten. In 82%
210 WP251 Profilering, 7.
maakten de onderzoekers een juiste voorspelling of de internetgebruiker christen of moslim was.211
368. WG29 geeft in haar Richtsnoeren diverse risico’s van profilering, onder meer het ondermijnen
van de keuzevrijheid voor bepaalde producten of diensten en discriminatie:
“Het kan er ook voor zorgen dat personen in 'hokjes' worden geplaatst en zo worden vastgepind op hun veronderstelde voorkeuren. Hierdoor kan hun vrijheid om te kiezen, bijvoorbeeld bepaalde producten of diensten zoals boeken, muziek of nieuwsberichten, worden ondermijnd. In sommige gevallen kan profilering tot onjuiste voorspellingen leiden. In andere gevallen kan profilering tot weigering van dienstverlening en goederen en tot ongerechtvaardigde discriminatie leiden.”
212
369. In het feitelijk kader is beschreven hoe snel geprogrammeerde bots op TikTok in contentniches terechtkwamen die niet overeenstemden met actief opgegeven interesses. Door het gedrag op een aanvankelijk breed maar versmallend aanbod van video’s precies te analyseren kan TikTok snel een uitgebreid profiel opstellen, waaronder tevens informatie over seksuele voorkeuren, geestelijke gezondheid of politieke interesses. Zoals in de feiten toegelicht, werkt het algoritme bovendien stigmatisering en onderscheid op basis van ras/etniciteit in de hand, onder meer door aanbevelingen te doen op basis van het ras van gebruikers die al gevolgd worden.
5.3.8.2 Verbod op uitsluitend geautomatiseerde besluitvorming
370. Met 22 lid 1 AVG heeft de Europese wetgever niet minder dan een verbod geïntroduceerd om besluiten te nemen die uitsluitend zijn gebaseerd op een geautomatiseerde verwerking van persoonsgegevens, als die besluiten rechtsgevolgen hebben of de betrokkene anderszins in aanmerkelijke mate treffen.213 Artikel 22 lid 1 AVG luidt als volgt:
“De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”
371. EDPB stelt in de richtsnoeren uitdrukkelijk dat online reclame, wanneer daarbij gebruik wordt gemaakt van geautomatiseerde hulpmiddelen, de betrokkenen in aanzienlijke mate kan treffen en onder het verbod kan vallen. Bij de beslissing of online reclame onder het verbod valt, zijn de bijzondere kenmerken van het geval doorslaggevend, waaronder:
211 Artikel 29 werkgroep, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, WP251rev.01, p. 18 (‘WP251 Profilering’).
212 WP251 Profilering, p. 6.
213 Hoewel de tekst van artikel 22 lid 1 is geformuleerd als recht (“De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat het anderszins in aanmerkelijke mate treft.”), is dit niet een recht dat de dient in te roepen maar een verbod. Zie ook WP251 Profilering, p. 23: “Het woord "recht" in deze bepaling betekent niet dat artikel 22, lid 1, alleen van toepassing is wanneer de betrokkene er specifiek een beroep op doet. Artikel 22, lid 1, voorziet in een algemeen verbod op uitsluitend op geautomatiseerde verwerking gebaseerde besluitvorming. Dit verbod is van toepassing, ongeacht of de betrokkene wel of niet actie onderneemt met betrekking tot de verwerking van zijn persoonsgegevens.”
• de indringendheid van het profileringsproces, met inbegrip van het volgen van personen op verschillende websites, apparaten en diensten;
• de verwachtingen en wensen van de betrokken personen;
• de manier waarop de advertentie wordt geleverd; of
• gebruik te maken van de kennis over de kwetsbaarheden van de beoogde betrokkenen.214
372. Toepassing van deze criteria op TikTok maakt duidelijk dat de online reclame TikTok gebruikers inderdaad in aanzienlijke mate treft:
• TikTok maakt gebruik van een lange lijst van commerciële advertentiepartners, waaronder partners die actief zijn op het gebied van Real Time Bidding en Data Management Platforms en TikTok volgt gebruikers over meerdere apparaten;
• TikTok is niet transparant over het “behavioural targeting”-proces of over de wijze waarop de selectie van groepen plaatsvindt. Specifiek geeft TikTok geen informatie over de producten “custom audiences" en "lookalike audiences", waarmee bedrijven lijsten met bijvoorbeeld e-mailadressen van klanten naar TikTok kunnen uploaden om hun klanten op de TikTok Dienst te targeten of een vergelijkbaar publiek te vinden. TikTok heeft hierbij de mogelijkheid het algoritme en het profiel met deze informatie van haar klant te verrijken.
• TikTok moedigt haar klanten aan advertenties te maken op een "native-feeling" en "authentieke" manier ("Make TikToks, not Ads"), en influencers worden niet effectief beperkt in het promoten van goederen en diensten in de content die zij publiceren.
• Advertentiegroepen kunnen op een zeer gedetailleerd niveau worden geselecteerd, onder meer op basis van interesses, gedrag, leeftijd, locatie en prijs van de mobiele telefoon van de betrokkene.
373. Op het verbod op geautomatiseerde besluitvorming, waaronder profilering, worden drie uitzonderingen gemaakt in artikel 22 lid 2 AVG. Op geen van deze uitzonderingen kan TikTok een beroep doen. Vooropgesteld zij dat volgens vaste rechtspraak van het HvJEU uitzonderingen op de AVG strikt moeten worden uitgelegd, aangezien zij de bescherming waarin de verordening voorziet opzij zetten en daarmee afwijken van het met de AVG beoogde doel, de bescherming van fundamentele rechten.215
374. De eerste uitzondering is van toepassing wanneer de verwerkingsverantwoordelijke kan aantonen dat profilering noodzakelijk is om de overeenkomst aan te gaan of uit te voeren, bijvoorbeeld een abonnement op een streamingdienst die zo specifieke mogelijke suggesties doet aansluitend bij de interesses van de abonnee op basis van een profiel. Hiervan is geen sprake. TikTok wekt de indruk veel waarde te hechten aan de interesses die de gebruiker zelf opgeeft. Uit het onderzoek dat in het feitelijk kader is beschreven, blijkt dat juist de actief opgegeven interesses niet beslissend zijn maar het gedrag naar aanleiding van de bekeken video’s. Niets belet TikTok content te tonen op basis van actief opgegeven interesses.
214 WP251 Profilering, p. 26.
215 HvJEU 14 februari 2019, C-345/17, ECLI:EU:C:2019:122, (Buivids), r.o. 41 en de daar aangehaalde jurisprudentie.
375. De tweede uitzondering is van toepassing wanneer geautomatiseerde besluitvorming en profilering uitdrukkelijk is toegestaan bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Een voorbeeld is een wet die geautomatiseerde besluitvorming toestaat om belastingfraude op te sporen. Van een dergelijke wettelijke uitzondering is wat de praktijk van TikTok betreft geen sprake.
376. De derde uitzondering geldt wanneer de betrokkene uitdrukkelijke toestemming heeft gegeven voor de geautomatiseerde besluitvorming en profilering. Zoals hierboven beschreven is, is geen sprake van geldige uitdrukkelijke toestemming specifiek ten aanzien van de geautomatiseerde besluitvorming en profilering.
377. Voor zover de eerste (overeenkomst) of derde (uitdrukkelijke toestemming) al in aanmerking komt, kan van deze uitzonderingen slechts gebruik worden gemaakt indien de verwerkingsverantwoordelijke passende maatregelen heeft genomen ter bescherming van de betrokkene. In elk geval moet specifieke informatie over de verwerking worden verstrekt aan de betrokkene (overweging 71 AVG). De betrokkene moet zich bij het aangaan van de overeenkomst bewust zijn van het eventuele gebruik van geautomatiseerde besluitvorming en profilering.216 Verder moet de betrokkene de mogelijkheid hebben om iemand daarbij te betrekken (“recht op menselijke tussenkomst”), om zijn of haar standpunt kenbaar te maken, om uitleg over het aldus genomen besluit te krijgen en om het besluit aan te vechten.
378. Voorzover TikTok zich al succesvol op een van bovengenoemde uitzonderingen zou kunnen beroepen, dan is bijvoorbeeld aan de specifieke informatieplicht al niet voldaan zoals hierboven is toegelicht. Zoals ook in paragraaf 5.3.6.1 aan de orde is gekomen, verstrekt TikTok nauwelijks informatie over het gebruik van geautomatiseerde besluitvorming en profilering.
379. Zoals al blijkt uit de hiervoor geciteerde passage van EDPB over Facebook-likes, is aan de grootschalige en fijnmazige profilering overigens welhaast inherent dat bijzondere persoonsgegevens zullen worden verwerkt, voor zover dit niet al doelbewust gebeurt. Door de werking van het algoritme en koppeling met andere bronnen zijn dusdanige juiste voorspellingen te doen over bijvoorbeeld seksuele of religieuze voorkeuren of gezondheid, dat het intensieve actieve handelingen zal vereisen bijzondere persoonsgegevens niet te verwerken.
380. Voorzover TikTok al gebruik kan maken van de uitzonderingen op het verbod op geautomatiseerde besluitvorming en profilering geldt dat geen gebruik mag worden gemaakt van bijzondere gegevens, tenzij sprake is van de uitdrukkelijke toestemming van de betrokkene (artikel 9 lid 2 sub a AVG) of er sprake is van een zwaarwegend algemeen belang (artikel 9 lid
2 sub g AVG). Aan deze voorwaarden voldoet TikTok niet. In beide gevallen moet de verwerkingsverantwoordelijke overigens passende maatregelen treffen om de rechten en vrijheden en het gerechtvaardigde belang van de betrokkene te waarborgen.
216 Memorie van Toelichting bij de Uitvoeringswet Algemene verordening gegevensbescherming, Kamerstukken II 2017-2018, 34 851, nr. 3, p. 46. Zie ook Rb Amsterdam 11 maart 2021, CLI:NL:RBAMS:2021:1018, r.o. 4.13.
5.3.8.3 Profilering en kinderen
381. Op basis van artikel 22 AVG heeft de betrokkene het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit. In overweging 71 is bepaald dat dergelijke maatregelen in geen geval betrekking mogen hebben op kinderen, zoals ook in paragraaf 5.2.2.1 aan bod is gekomen. TikTok schendt dit. Bij de profilering is immers geen sprake van een afzonderlijke, persoonlijke of menselijke afweging. TikTok neemt voortdurend verboden geautomatiseerde beslissingen van deze aard. Het feit dat de profielen worden gebruikt voor online marketingdoeleinden, raakt de betrokkene in aanzienlijke mate, zoals wordt bevestigd door de EDPB. Er geldt geen uitzondering die geautomatiseerde besluiten toestaat.
382. De EDPB heeft aangegeven dat, aangezien kinderen een kwetsbare groep in de samenleving vormen, organisaties in het algemeen moeten afzien van het opstellen van profielen van kinderen voor marketingdoeleinden. Voorts bepaalt overweging 38 van de AVG dat de specifieke bescherming van kinderen met name moet gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. Zelfs indien artikel 22 AVG niet van toepassing zou zijn, is het aanmaken van profielen van kinderen door XxxXxx niet toegestaan.
383. TikTok maakt geen uitzondering op profilering waar het kinderen betreft. Integendeel, er worden uitgebreide profielen van minderjarigen aangemaakt en gebruikt voor commerciële doeleinden zonder de mogelijkheid tot opt-out. In de privacy-instellingen is de enige mogelijkheid “afmelden” voor gepersonaliseerde advertenties. Gebruikers kunnen geen stappen ondernemen tegen het feit dat zij worden geprofileerd en/of tegen het feit dat deze profielen worden gebruikt om gepersonaliseerde content te tonen en te promoten.
384. Gelet op het voorgaande handelt TikTok in strijd met artikel 22 AVG.
385. Het feit dat sprake is van profilering in de zin van artikel 4 lid 4 AVG brengt met zich mee dat de overige voorwaarden van de AVG extra stringent zullen moeten worden beoordeeld, zoals de beginselen van rechtmatigheid, transparantie en gegevensminimalisering.
386. Naast de hierboven besproken beginselen van rechtmatigheid, transparantie en dataminimalisatie, bevat de AVG nog andere beginselen en daarop gebaseerde regels. TikTok handelt gezien het voorgaande tevens in strijd met de hierna te bespreken beginselen en regels.
5.3.9.1 Het beginsel van behoorlijkheid
387. Artikel 5 lid 1 sub a AVG bepaalt dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. In het voorgaande is al gebleken dat de verwerkingen die TikTok uitvoert niet aan de beginselen van
rechtmatigheid en transparantie voldoen. Uit de behandeling van het transparantiebeginsel volgde reeds dat aan het beginsel van behoorlijkheid evenmin wordt voldaan (paragraaf 5.3.6). De beginselen van behoorlijkheid en transparantie zijn immers nauw met elkaar verbonden.
388. Ook overigens is gebleken dat geen sprake is van een behoorlijke gegevensverwerking, nu TikTok niet aan de maatschappelijke zorgvuldigheidseisen voldoet. Dat bij de maatschappelijk zorgvuldigheid in het kader van de onrechtmatige daad moet worden aangesloten voor de beoordeling van de behoorlijkheid van een verwerking, volgt ook uit de Memorie van Toelichting bij artikel 6 van de Wet bescherming persoonsgegevens, de voorloper van de AVG, waarin het vereiste was opgenomen dat persoonsgegevens op een behoorlijke en zorgvuldige wijze moeten worden verwerkt.
“Belangrijker is in deze aansluiting te zoeken bij reeds bestaande Nederlandse wetgeving. Het voorschrift dat gegevens op een behoorlijke en zorgvuldige wijze moeten worden verwerkt, sluit beter aan bij de vereiste maatschappelijke zorgvuldigheid die men in acht heeft te nemen ten einde een onrechtmatige daad te voorkomen.”217
389. De onbehoorlijkheid van de gegevensverwerking door TikTok blijkt ook uit de vele controverses die ontstaan zijn rond haar gegevensverwerking. Verder blijkt onder meer dat TikTok persoonsgegevens verwerkte om “ugly, poor and disabled” gebruikers te censureren (paragraaf 5.3.5.4). Daarnaast heeft onderzoek van The Guardian aangetoond dat TikTok onder meer materiaal verwijderde over de protesten in Hong Kong. Netzpolitiek rapporteerde dat LGTBQI materiaal werd gecensureerd (paragraaf 5.3.5.4). Deze verwerkingen zijn in strijd met de behoorlijkheid. TikTok handelt hiermee in strijd met artikel 5 lid 1 sub a AVG.
5.3.9.2 Het beginsel van doelbinding
390. Artikel 5 lid 1 sub b AVG bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en vervolgens niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze. Dit is het beginsel van doelbinding. Aan dit beginsel voldoet TikTok niet.
391. Het beginsel van doelbinding bevat twee elementen. In de eerste plaats mogen gegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Eerder is al aangegeven dat de doeleinden niet welbepaald en uitdrukkelijk zijn omschreven (paragraaf 5.3.6). Ook is in het voorgaande al besproken dat er geen rechtmatige grondslag bestaat voor de verwerking door TikTok (paragraaf 5.3.5). Alleen al hierom kan dan ook geen sprake zijn van een gerechtvaardigd doel.218 Hierbij is tevens van belang dat het doeleinde dat TikTok nastreeft met de verwerking zuiver commercieel is (paragraaf 5.3.5.3).
392. In de tweede plaats mogen persoonsgegevens niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden. Als persoonsgegevens verder worden verwerkt voor andere doeleinden, dan zullen die nieuwe doeleinden allereerst ook weer voldoende specifiek
217 Kamerstukken II 1997-98, 25 892, nr. 3, p. 78 (MvT).
218 Artikel 29 werkgroep, Advies 03/2013 over doelbinding, 2 april 2013, WP203, p. 19 (WP203 Purpose limitation).