© Rosa Snijders

Tijd voor Europa om datadefensie in te zetten tegen China

Tiktok, de app van de grappige filmpjes, is volgens critici een fluwelen handschoen die de Chinese strategie vergemakkelijkt om een technologische en culturele wereldmacht te worden. President Trump eist dat TikTok uiterlijk op 15 september een Amerikaanse eigenaar krijgt, en dreigt anders met een ‘ban’ op het Chinese platform. Dit omdat TikTok gebruikers veel gevoelige data ontfutselt. Hoe beschermt Europa zijn eigen bevolking tegen de honger van de wereldmachten naar persoonsgegevens?

Voor de burgers en bedrijven in Europa is essentieel dat wij ons nu teweer stellen tegen Chinese pogingen om met onze data invloed uit te oefenen op ons commercieel gedrag. Europeanen geven data uit handen zonder voldoende waarborgen over de bescherming van hun persoonlijke profielen tegen spiedende dictaturen. Wat we in Europa denken, zeggen en vastleggen, kan elders in de wereld tegen ons worden gebruikt; nu, of over tien jaar. Dat stellen juristen, politici en wetenschappers, die ook de middelen voor een tegenstrategie aanreiken. 

‘Als je als jongere in de toekomst afhankelijk wordt van een Chinees besluit, voor een studie, een verblijf of zakelijke doeleinden, dan heeft het land wellicht al een flink profiel van je via bijvoorbeeld TikTok en jouw openbare uitingen over China via Twitter en Facebook.’ Dat zegt Rogier Creemers, docent Modern China Studies aan de Universiteit Leiden, die eerder enige jaren in Beijing de Chinese digitale markt bestudeerde en de taal spreekt. Hij waarschuwt: ‘Zie wat er in Hongkong gebeurt onder de nieuwe veiligheidswet. Als jij als Nederlander als sympathisant van de opstand wordt geprofileerd, kun je het moeilijk gaan krijgen.’

In hun voorwaarden staat dat TikTok aan elke wettelijke vordering moet voldoen, niet enkel van de Nederlandse politie, maar ook die van China

TikTok heeft 4 miljoen Nederlandse gebruikers die zich akkoord hebben verklaard met het privacybeleid van de dienst, dat ruim 4000 woorden telt (oftewel een kwartier lezen). De gebruiksvoorwaarden tellen nog eens 8000 woorden. De meeste TikTokkers zetten het vinkje zoals ze dat gewend zijn, en tekenen daarmee een vergaande overeenkomst. Die geeft het Chinese bedrijf een onvoorwaardelijke gebruikslicentie op alle daar gedeelde uitingen en data (ook Facebook stelt die eis overigens). In het opsporingsbeleid staat dat TikTok aan elke wettelijke vordering moet voldoen, niet enkel van de Nederlandse politie, maar ook die van China.

TikTok is niet het enige Chinese platform dat zulke eisen stelt. Het conglomeraat Alibaba, AliExpress en Alipay, dat spotgoedkope spullen vanuit China verstuurt, heeft een soortgelijk privacybeleid waarbij Europese persoonsgegevens onder Chinese jurisdictie kunnen vallen. Nederlanders die van koopjes houden, zetten graag een vinkje bij de voorwaarden. Dat doen ze niet alleen als afnemer, maar soms ook als leverancier. Al ruim honderd Nederlandse bedrijven en merken, waaronder Philips, Heineken en retailer B&S, maken gebruik van het Alibaba’s AliExpress platform, verlokt door de kans op een mondiaal publiek. Ze boeken daar samen meer dan 1 miljard euro omzet, en delen hun klantinformatie met AliExpress: denk aan zoekinformatie en bestellingen. Deze gegevens zijn in principe op te eisen door de Chinese autoriteiten.

Rechter versterkt datadefensie

Op papier lijkt alles gewaarborgd. Zomaar persoonsgegevens van Europeanen naar een land buiten Europa doorgeven is niet toegestaan. Bedrijven moeten zich houden aan een Europees modelcontract, de Standard Contractual Clauses (SCC). Met zo’n contract verklaren bijvoorbeeld de Europese afdeling van Facebook in Ierland en die in de VS dat ze onderling veilig Europese persoonsgegevens uitwisselen. Ook TikTok en AliExpress hebben zulke contracten opgesteld en ondertekend.

Met de VS had de EU een bredere overeenkomst gesloten, het Privacy Shield, zodat Amerikaanse bedrijven zich met hun SCC’s altijd op legale export van Europese persoonsgegevens konden beroepen. Daar heeft de Europese rechter in juli 2020 een stokje voor gestoken: het Privacy Shield biedt onvoldoende waarborgen voor de bescherming van Europese persoonsgegevens en is buiten werking gesteld, omdat Amerikaanse inlichtingendiensten alle data kunnen opeisen. Het Europese Hof stelt eisen aan de SCC’s: de bedrijven moeten kunnen aantonen dat persoonlijke gegevens ook buiten de EU volgens de Europese privacy-standaarden beschermd blijven. Wanneer een overheid zonder beperkingen gegevens kan opeisen, is dat niet het geval. Nationale toezichthouders, zoals in Nederland de Autoriteit Persoonsgegevens, moeten de contracten toetsen.


Lokke Moerel

"Als de modelcontracten Europese persoonsgegevens niet voldoende beschermen na doorgifte naar de VS, dan geldt dit ook voor China, Rusland, India en Brazilië"

De uitkomst van zo’n toetsing laat zich raden. Lokke Moerel, internationaal vermaard privacy-advocaat van Morrison & Foerster, dat onder meer voor multinationals en financiële instanties werkt, zegt tegen FTM: ‘De uitspraak van het Hof brengt een nieuwe realiteit. Als de SCC’s niet afdoende bescherming bieden aan Europese persoonsgegevens na doorgifte naar de VS, dan geldt dit ook voor datatransfers naar China, Rusland, India en Brazilië. Ook daar hebben de overheden vergaande bevoegdheden om de data te vorderen.’

Bedrijven worden verondersteld ieder voor zich te beoordelen of de regimes van de landen waarnaar ze Europese data doorgeven, wel veilig zijn. Moerel noemt dat absurd: ‘Hoe kunnen bedrijven beoordelen wat de Chinese overheid precies doet? Het brengt bedrijven in een onmogelijke positie, terwijl het onderliggende probleem – te vergaande toegang tot data van vreemde overheden – niet door hen kan worden opgelost.’

Ook Bart Schermer, privacy-expert aan de Universiteit Leiden en onder meer lid van de onafhankelijke Adviesraad Internationale Vraagstukken, vindt dat de nadruk ten onrechte ligt op de Amerikaanse modelcontracten: ‘De wetgeving in China is niet zo getoetst als die in de VS, en het lijkt me dat het regime niet veel beter is dan de VS; integendeel. Je mag je dus ernstig afvragen of SCCs nog een geldig mechanisme voor doorgifte naar China zijn.’


Bart Schermer

"De wetgeving in China is niet zo getoetst als die in de VS, en het lijkt me dat het regime niet veel beter is dan de VS; integendeel"

Maar concreet? Schermer: ‘Dat is politiek van hogere orde: zijn wij bereid van onze struisvogelpolitiek af te stappen en de economische relatie met China afhankelijk te maken van de bescherming van onze privacy? Dat heeft grote gevolgen. Waarschijnlijk willen toezichthouders deze beerput niet opentrekken, maar ze zijn wel verplicht dat te doen.’

Moerel: ‘Onze Autoriteit Persoonsgegevens kan dus optreden. Meestal zet zij onderzoek breed op en kan de AP datadoorgiftes daarin meenemen. Dan kan de AP ook oordelen dat de SCC, als die voorziet in export van persoonsgegevens naar China, niet afdoende is, aangezien de Chinese overheid teveel aftapbevoegdheden heeft.’

Mogelijke AVG-overtredingen van TikTok zijn momenteel in onderzoek bij de Autoriteit Persoonsgegevens; die zaak spitst zich toe op de verwerking van data van kinderen. Neemt de AP de recente uitspraak van het Hof over de export van data van Europese burgers mee in haar onderzoek? ‘We kunnen lopende het onderzoek niets zeggen, maar binnenkort volgen de uitkomsten,’ meldt woordvoerster Silvia Pilger op een toon die wat belooft. Veel partijen stappen overigens naar de rechter om maatregelen van de AP aan te vechten, voegt ze eraan toe.

Grootste datamisbruiker

Databescherming voor Europeanen tegen de informatiehonger van de VS en China hoort thuis op een ander niveau, vindt ook Europarlementariër Sophie in ’t Veld (D66), al jaren de belangrijkste pleitbezorger van privacy in het Europees Parlement: ‘Van bedrijven verwachten dat ze controleren of regeringen fatsoenlijk met persoonsgegevens omgaan, hoe krom is dat?’ Ze wijst op het ontstaan van multinationale datamakelaars als Facebook, Google, Amazon en nu ook TikTok, die inmiddels ongekend machtig zijn. Daarom pleit In ’t Veld voor een mondiaal privacy-akkoord, naar het voorbeeld van de klimaatakkoorden. En gezien de huidige situatie moet dat liefst sneller en effectiever gebeuren. ‘We kunnen niet doorgaan met de normale gang van zaken met betrekking tot privacy en gegevensbescherming. Zometeen is het misschien te laat en worden we met net zo'n dystopische visie op de toekomst geconfronteerd als nu met het klimaat.’

De Amerikaanse burgerrechtenbeweging Freedom House bestempelt China als grootste misbruiker van internet, nog erger dan Iran, Syrië en Cuba. De Chinese belangstelling voor data is niet alleen aan de voordeur zichtbaar, via SCC’s, sociale media en handel. De talloze publicaties over cyberaanvallen en hacking vanuit China zijn volgens privacy-advocaat Moerel reden genoeg voor Europese toezichthouders om doorgifte van data van Chinese bedrijven te beperken.

‘Als China de vergroting van zijn politieke of economische invloed noodzakelijk acht, worden posities met data en platforms belangrijk’

Ook universitair docent Creemers vindt strengere maatregelen te billijken: ‘Ze betalen geen Europese belastingen, maar halen hun hoge winsten ook dankzij data uit Europa. Het gaat bovendien om de integriteit van democratische processen. Nu zijn het de Russen die  westerse democratieën bedreigen, maar als China de vergroting van zijn politieke of economische invloed noodzakelijk acht, worden posities met data en platforms belangrijk.’

Het is daarom de hoogste tijd voor een Europese politieke strategie tegenover China, vindt Europarlementariër In ’t Veld; met handelspolitiek alleen kan de EU zich niet handhaven: ‘Af en toe roepen we iets over de onderdrukking van de Oeigoeren en nu is er algehele verwarring over Huawei. De notie dat je als Europa een geopolitieke koers uitdraagt, gegrondvest op je waarden en normen, ontbreekt volledig.’

Zonder zo’n koers op basis van burgerrechten en privacybescherming zet Europa de veiligheid van de democratie op het spel, stelt ze: ‘Met betrekking tot Rusland is dat belang doorgedrongen, maar de risico’s van China worden enkel gezien in relatie tot spionage van Huawei en niet tot de miljarden persoonsgegevens die van China een mondiale big datamacht maken.’

China als uitdager van de VS

China maakt geen geheim van zijn ambitie om de mondiale technologische dominantie van de VS over te nemen. Informatie over het gedrag van burgers en bedrijven benutten is essentieel in dit strijdperk. Een recente analyse van het Clingendael Instituut voor Internationale Betrekkingen over de digitale zijderoute beschrijft China’s strategie om de economie technologie- en innovatie-gedreven te maken (Made in China 2025). Het langetermijnplan China Standards 2035 is gericht op mondiale technologische dominantie. Naast deze economische en politieke doelstellingen richt China zich ook op de ‘harten van de mensen’: de wereldbevolking winnen voor de Chinese politiek-economische benadering. Om dat te kunnen doen, heeft het regime gegevens nodig over het gedrag van mensen buiten het eigen land.

Het Institut Montaigne in Parijs beschrijft hoe dit werkt voor de Chinese strategie inzake big data in de medische sector. De elders verzamelde gezondheidsgegevens verbeteren de zorg in China, maar helpen Chinese farmaceutische bedrijven ook om hun mondiale marktpositie te versterken. ‘Er zijn weinig mogelijkheden om dit te voorkomen, en China probeert buitenlandse bedrijven het hof te maken om voortaan zijn vaag gereguleerde omgeving voor grote hoeveelheden gegevens te gebruiken,’ schrijft François Godement, Senior Advisor for Asia van Institut Montaigne.

Bedrijven en netwerken met hun massale dataverzameling zijn de voorpost. Waar dat niet lukt, schrikt China niet terug voor bedrijfsspionage. Ook op andere fronten zoeken Chinese bedrijven de grenzen op. TikTok is een goed voorbeeld. Gebruikers moeten volgens de voorwaarden 13 jaar of ouder zijn, terwijl de privacywet AVG toestemming van de ouders vereist voor de verwerking van persoonsgegevens van kinderen onder de 16 jaar.

Ook andere landen nemen TikTok op de korrel. De gebrekkige bescherming van kinderen bij de dienst is onderwerp van onderzoek van de VS, er loopt een claim in Illinois vanwege verzameling van biometrische gegevens van kinderen, en Australië en Groot-Brittannië doen onderzoek naar privacyschending. Ook in Nederland wordt gepoogd een collectieve claim tegen TikTok te organiseren: de stichting Somi vertegenwoordigt nu 350 klagers en diende eerder deze week een formele klacht in bij TikTok in Londen.

Lees verder Inklappen
Peter Olsthoorn
Peter Olsthoorn
Peter Olsthoorn zwierf na een studie Geschiedenis aan de Erasmus Universiteit rusteloos door het Oostblok, waar zijn journali...
Gevolgd door 102 leden
Miro Lucassen
Miro Lucassen
Fileert voor FTM kwesties rond lokaal bestuur en houdt ervan om ingewikkelde zaken terug te brengen tot de kern.
Gevolgd door 348 leden