Voor de burgers en bedrijven in Europa is essentieel dat wij ons nu teweer stellen tegen Chinese pogingen om met onze data invloed uit te oefenen op ons commercieel gedrag. Europeanen geven data uit handen zonder voldoende waarborgen over de bescherming van hun persoonlijke profielen tegen spiedende dictaturen. Wat we in Europa denken, zeggen en vastleggen, kan elders in de wereld tegen ons worden gebruikt; nu, of over tien jaar. Dat stellen juristen, politici en wetenschappers, die ook de middelen voor een tegenstrategie aanreiken. 

‘Als je als jongere in de toekomst afhankelijk wordt van een Chinees besluit, voor een studie, een verblijf of zakelijke doeleinden, dan heeft het land wellicht al een flink profiel van je via bijvoorbeeld TikTok en jouw openbare uitingen over China via Twitter en Facebook.’ Dat zegt Rogier Creemers, docent Modern China Studies aan de Universiteit Leiden, die eerder enige jaren in Beijing de Chinese digitale markt bestudeerde en de taal spreekt. Hij waarschuwt: ‘Zie wat er in Hongkong gebeurt onder de nieuwe veiligheidswet. Als jij als Nederlander als sympathisant van de opstand wordt geprofileerd, kun je het moeilijk gaan krijgen.’

In hun voorwaarden staat dat TikTok aan elke wettelijke vordering moet voldoen, niet enkel van de Nederlandse politie, maar ook die van China

TikTok heeft 4 miljoen Nederlandse gebruikers die zich akkoord hebben verklaard met het privacybeleid van de dienst, dat ruim 4000 woorden telt (oftewel een kwartier lezen). De gebruiksvoorwaarden tellen nog eens 8000 woorden. De meeste TikTokkers zetten het vinkje zoals ze dat gewend zijn, en tekenen daarmee een vergaande overeenkomst. Die geeft het Chinese bedrijf een onvoorwaardelijke gebruikslicentie op alle daar gedeelde uitingen en data (ook Facebook stelt die eis overigens). In het opsporingsbeleid staat dat TikTok aan elke wettelijke vordering moet voldoen, niet enkel van de Nederlandse politie, maar ook die van China.

TikTok is niet het enige Chinese platform dat zulke eisen stelt. Het conglomeraat Alibaba, AliExpress en Alipay, dat spotgoedkope spullen vanuit China verstuurt, heeft een soortgelijk privacybeleid waarbij Europese persoonsgegevens onder Chinese jurisdictie kunnen vallen. Nederlanders die van koopjes houden, zetten graag een vinkje bij de voorwaarden. Dat doen ze niet alleen als afnemer, maar soms ook als leverancier. Al ruim honderd Nederlandse bedrijven en merken, waaronder Philips, Heineken en retailer B&S, maken gebruik van het Alibaba’s AliExpress platform, verlokt door de kans op een mondiaal publiek. Ze boeken daar samen meer dan 1 miljard euro omzet, en delen hun klantinformatie met AliExpress: denk aan zoekinformatie en bestellingen. Deze gegevens zijn in principe op te eisen door de Chinese autoriteiten.

Rechter versterkt datadefensie

Op papier lijkt alles gewaarborgd. Zomaar persoonsgegevens van Europeanen naar een land buiten Europa doorgeven is niet toegestaan. Bedrijven moeten zich houden aan een Europees modelcontract, de Standard Contractual Clauses (SCC). Met zo’n contract verklaren bijvoorbeeld de Europese afdeling van Facebook in Ierland en die in de VS dat ze onderling veilig Europese persoonsgegevens uitwisselen. Ook TikTok en AliExpress hebben zulke contracten opgesteld en ondertekend.

Met de VS had de EU een bredere overeenkomst gesloten, het Privacy Shield, zodat Amerikaanse bedrijven zich met hun SCC’s altijd op legale export van Europese persoonsgegevens konden beroepen. Daar heeft de Europese rechter in juli 2020 een stokje voor gestoken: het Privacy Shield biedt onvoldoende waarborgen voor de bescherming van Europese persoonsgegevens en is buiten werking gesteld, omdat Amerikaanse inlichtingendiensten alle data kunnen opeisen. Het Europese Hof stelt eisen aan de SCC’s: de bedrijven moeten kunnen aantonen dat persoonlijke gegevens ook buiten de EU volgens de Europese privacy-standaarden beschermd blijven. Wanneer een overheid zonder beperkingen gegevens kan opeisen, is dat niet het geval. Nationale toezichthouders, zoals in Nederland de Autoriteit Persoonsgegevens, moeten de contracten toetsen.

De uitkomst van zo’n toetsing laat zich raden. Lokke Moerel, internationaal vermaard privacy-advocaat van Morrison & Foerster, dat onder meer voor multinationals en financiële instanties werkt, zegt tegen FTM: ‘De uitspraak van het Hof brengt een nieuwe realiteit. Als de SCC’s niet afdoende bescherming bieden aan Europese persoonsgegevens na doorgifte naar de VS, dan geldt dit ook voor datatransfers naar China, Rusland, India en Brazilië. Ook daar hebben de overheden vergaande bevoegdheden om de data te vorderen.’

Bedrijven worden verondersteld ieder voor zich te beoordelen of de regimes van de landen waarnaar ze Europese data doorgeven, wel veilig zijn. Moerel noemt dat absurd: ‘Hoe kunnen bedrijven beoordelen wat de Chinese overheid precies doet? Het brengt bedrijven in een onmogelijke positie, terwijl het onderliggende probleem – te vergaande toegang tot data van vreemde overheden – niet door hen kan worden opgelost.’

Ook Bart Schermer, privacy-expert aan de Universiteit Leiden en onder meer lid van de onafhankelijke Adviesraad Internationale Vraagstukken, vindt dat de nadruk ten onrechte ligt op de Amerikaanse modelcontracten: ‘De wetgeving in China is niet zo getoetst als die in de VS, en het lijkt me dat het regime niet veel beter is dan de VS; integendeel. Je mag je dus ernstig afvragen of SCCs nog een geldig mechanisme voor doorgifte naar China zijn.’

Maar concreet? Schermer: ‘Dat is politiek van hogere orde: zijn wij bereid van onze struisvogelpolitiek af te stappen en de economische relatie met China afhankelijk te maken van de bescherming van onze privacy? Dat heeft grote gevolgen. Waarschijnlijk willen toezichthouders deze beerput niet opentrekken, maar ze zijn wel verplicht dat te doen.’

Moerel: ‘Onze Autoriteit Persoonsgegevens kan dus optreden. Meestal zet zij onderzoek breed op en kan de AP datadoorgiftes daarin meenemen. Dan kan de AP ook oordelen dat de SCC, als die voorziet in export van persoonsgegevens naar China, niet afdoende is, aangezien de Chinese overheid teveel aftapbevoegdheden heeft.’

Mogelijke AVG-overtredingen van TikTok zijn momenteel in onderzoek bij de Autoriteit Persoonsgegevens; die zaak spitst zich toe op de verwerking van data van kinderen. Neemt de AP de recente uitspraak van het Hof over de export van data van Europese burgers mee in haar onderzoek? ‘We kunnen lopende het onderzoek niets zeggen, maar binnenkort volgen de uitkomsten,’ meldt woordvoerster Silvia Pilger op een toon die wat belooft. Veel partijen stappen overigens naar de rechter om maatregelen van de AP aan te vechten, voegt ze eraan toe.

Grootste datamisbruiker

Databescherming voor Europeanen tegen de informatiehonger van de VS en China hoort thuis op een ander niveau, vindt ook Europarlementariër Sophie in ’t Veld (D66), al jaren de belangrijkste pleitbezorger van privacy in het Europees Parlement: ‘Van bedrijven verwachten dat ze controleren of regeringen fatsoenlijk met persoonsgegevens omgaan, hoe krom is dat?’ Ze wijst op het ontstaan van multinationale datamakelaars als Facebook, Google, Amazon en nu ook TikTok, die inmiddels ongekend machtig zijn. Daarom pleit In ’t Veld voor een mondiaal privacy-akkoord, naar het voorbeeld van de klimaatakkoorden. En gezien de huidige situatie moet dat liefst sneller en effectiever gebeuren. ‘We kunnen niet doorgaan met de normale gang van zaken met betrekking tot privacy en gegevensbescherming. Zometeen is het misschien te laat en worden we met net zo'n dystopische visie op de toekomst geconfronteerd als nu met het klimaat.’

De Amerikaanse burgerrechtenbeweging Freedom House bestempelt China als grootste misbruiker van internet, nog erger dan Iran, Syrië en Cuba. De Chinese belangstelling voor data is niet alleen aan de voordeur zichtbaar, via SCC’s, sociale media en handel. De talloze publicaties over cyberaanvallen en hacking vanuit China zijn volgens privacy-advocaat Moerel reden genoeg voor Europese toezichthouders om doorgifte van data van Chinese bedrijven te beperken.

‘Als China de vergroting van zijn politieke of economische invloed noodzakelijk acht, worden posities met data en platforms belangrijk’

Ook universitair docent Creemers vindt strengere maatregelen te billijken: ‘Ze betalen geen Europese belastingen, maar halen hun hoge winsten ook dankzij data uit Europa. Het gaat bovendien om de integriteit van democratische processen. Nu zijn het de Russen die  westerse democratieën bedreigen, maar als China de vergroting van zijn politieke of economische invloed noodzakelijk acht, worden posities met data en platforms belangrijk.’

Het is daarom de hoogste tijd voor een Europese politieke strategie tegenover China, vindt Europarlementariër In ’t Veld; met handelspolitiek alleen kan de EU zich niet handhaven: ‘Af en toe roepen we iets over de onderdrukking van de Oeigoeren en nu is er algehele verwarring over Huawei. De notie dat je als Europa een geopolitieke koers uitdraagt, gegrondvest op je waarden en normen, ontbreekt volledig.’

Zonder zo’n koers op basis van burgerrechten en privacybescherming zet Europa de veiligheid van de democratie op het spel, stelt ze: ‘Met betrekking tot Rusland is dat belang doorgedrongen, maar de risico’s van China worden enkel gezien in relatie tot spionage van Huawei en niet tot de miljarden persoonsgegevens die van China een mondiale big datamacht maken.’