De Ierse privacywaakhond heeft een nieuw onderzoek geopend naar TikTok vanwege mogelijke overtredingen van de Europese privacyregels. De focus ligt op de verwerking en opslag van gegevens van EU-gebruikers in China. Eerder dit jaar kreeg TikTok al een recordboete van 530 miljoen euro opgelegd.

De Data Protection Commission (DPC) van Ierland is opnieuw een officieel onderzoek gestart naar TikTok, dat in Europa onder Iers toezicht valt omdat het zijn Europese hoofdzetel in Dublin heeft. De aanleiding is een recent toegegeven fout door TikTok zelf: het bedrijf gaf toe dat een beperkt aantal persoonlijke gegevens van EU-gebruikers in China was opgeslagen. Dat staat haaks op eerdere verklaringen van het bedrijf, waarin het stelde dat er weliswaar toegang tot data vanuit China mogelijk was, maar dat de gegevens er niet fysiek bewaard werden.

Deze contradictie heeft geleid tot bezorgdheid bij de Ierse DPC, die intussen ook andere Europese privacyautoriteiten heeft geraadpleegd over mogelijke vervolgstappen.

Naleving van GDPR bij gegevensoverdracht

Het centrale punt in het onderzoek is of TikTok de Europese Algemene Verordening Gegevensbescherming (GDPR) heeft nageleefd bij het overdragen van gebruikersgegevens naar een zogeheten “derde land” buiten de EU. In het geval van TikTok gaat het daarbij om China, een land dat géén adequaatheidsbesluit heeft van de Europese Commissie, wat betekent dat het niet automatisch als veilig wordt beschouwd voor dataverwerking volgens Europese normen.

TikTok zegt zelf dat het “proactief” heeft ontdekt dat er toch een beperkte hoeveelheid data in China was opgeslagen. Het bedrijf stelt dat het deze gegevens onmiddellijk heeft verwijderd en de Ierse toezichthouder daar transparant over heeft geïnformeerd.

Privacykwesties blijven TikTok achtervolgen

Dit nieuwe onderzoek komt amper drie maanden nadat TikTok een boete van 530 miljoen euro kreeg voor eerdere overtredingen, waaronder onvoldoende bescherming van persoonlijke data tijdens overdrachten naar China. Dat was toen de hoogste boete ooit voor TikTok in de EU.

De zaak onderstreept hoe gevoelig het onderwerp dataoverdracht naar niet-EU-landen blijft, zeker wanneer het om China gaat. Zolang China niet erkend wordt als een land met een gelijkwaardig beschermingsniveau voor persoonsgegevens, blijft elke overdracht naar daar onder een vergrootglas liggen.