TikTok schiet tekort op het vlak van privacy: boete van €530 miljoen voor gegevensoverdracht naar China
In mei 2025 ontving TikTok een recordboete van maar liefst €530 miljoen van de Ierse Data Protection Commission (DPC). De reden hiervoor was dat het platform op twee punten de Europese GDPR-regelgeving had geschonden. Het beschermde de gegevens van Europese gebruikers onvoldoende tegen toegang vanuit China en informeerde gebruikers daar onvoldoende over.
Hoe is dit gebeurd?
Het probleem lag in de manier waarop TikTok de persoonsgegevens van Europese gebruikers verwerkte. Jarenlang hadden medewerkers in China op afstand toegang tot gevoelige gegevens van EU-gebruikers, zoals namen, telefoonnummers, locatiegegevens en platformgedrag. Volgens de GDPR is dit alleen toegestaan wanneer het ontvangende land een beschermingsniveau biedt dat gelijkwaardig is aan dat binnen de EU.
TikTok kon een dergelijke bescherming echter niet garanderen. Volgens de DPC waren de gebruikte contractuele clausules onvoldoende, vooral in het licht van Chinese wetten inzake nationale inlichtingen en cyberbeveiliging, die in strijd zijn met Europese privacyprincipes.
De sanctie
De sanctie bestaat uit een aanzienlijke boete van €530 miljoen, opgesplitst in twee delen:
- €485 miljoen voor het schenden van de regels inzake internationale gegevensdoorgiften (Artikel 46 GDPR)
- €45 miljoen voor het gebrek aan transparantie richting gebruikers (Artikel 13 GDPR)
Juridische gevolgen
TikTok benadrukt dat het inmiddels maatregelen heeft genomen om de privacy van Europese gebruikers beter te beschermen. Sinds 2023 heeft het bedrijf geïnvesteerd in Project Clover, een initiatief om persoonsgegevens van EU-gebruikers uitsluitend op Europese servers op te slaan, onder strikte lokale controle. De Ierse toezichthouder oordeelde echter dat dit project te laat kwam om de eerdere overtredingen te rechtvaardigen of te herstellen. TikTok heeft inmiddels beroep aangetekend tegen de beslissing. Het bedrijf ontkent ooit gegevens aan de Chinese overheid te hebben overgedragen en stelt dat het nooit een verzoek van die aard heeft ontvangen.
Wat kunnen we hiervan leren?
Internationale gegevensdoorgiften vereisen meer dan juridische formaliteiten. Concrete waarborgen zijn essentieel, vooral wanneer gegevens worden doorgegeven aan landen met een ander juridisch kader.
Transparantie is cruciaal. Gebruikers hebben recht op duidelijke informatie over wie toegang heeft tot hun gegevens en vanuit welk land.
Vertrouwen is kwetsbaar. Zelfs als gegevens niet actief worden misbruikt, kan een gebrek aan controle of communicatie aanzienlijke reputatieschade veroorzaken.
Privacy by design is essentieel. Proactief handelen is beter dan achteraf problemen proberen op te lossen. Beveiligingsmaatregelen moeten vanaf het begin worden ingebouwd, niet pas worden toegevoegd als reactie op een crisis.
Hoe NormNest kan helpen
Wilt u meer informatie of deskundig advies? Maak vrijblijvend een afspraak met een van onze medewerkers.