TikTok krijgt AVG-boete van 530 miljoen euro wegens datatransfers naar China

TikTok heeft een boete van 530 miljoen euro opgelegd gekregen van de privacytoezichthouder in Ierland. Die zegt dat het socialemediaplatform de gegevens van Europese gebruikers doorstuurde naar China, waarmee het bedrijf de AVG heeft overtreden. TikTok gaat in hoger beroep.

De boete volgt op een onderzoek naar de doorgifte van Europese gebruikersgegevens naar China, schrijft de Ierse Data Protection Commission. Daaruit is gebleken dat TikTok de gegevens van gebruikers heeft verstuurd naar China. Het bedrijf kon niet aantonen dat de gegevens daar net zo goed beveiligd zijn als binnen de Europese Unie. Volgens de Ierse DPC heeft TikTok daarmee artikel 46 van de Europese privacywet overtreden, die in Nederland bekendstaat als de AVG.

De toezichthouder stelt onder andere dat TikTok onvoldoende heeft beoordeeld wat de implicaties van de Chinese surveillancewetten zijn voor de data van Europeanen. Daarnaast was het platform tussen 2020 en 2022 niet transparant genoeg over het feit dat gegevens van gebruikers naar andere landen als China gestuurd konden worden. In 2022 veranderde TikTok zijn beleid, waaruit bleek dat de gegevens van Europese gebruikers bekeken konden worden door medewerkers in China.

Het is niet duidelijk of de gegevens van Nederlandse gebruikers daadwerkelijk op Chinese servers opgeslagen hebben gestaan. TikTok zelf zei dat Chinese medewerkers alleen op afstand toegang konden krijgen tot de gegevens van Europeanen, maar dat die gegevens zelf niet in China opgeslagen zijn. Afgelopen maand liet TikTok aan de Ierse toezichthouder weten dat er toch wel 'beperkte' Europese gebruikersgegevens op Chinese servers stonden opgeslagen.

485 miljoen euro boete voor datatransfers, 45 miljoen voor transparantie

De DPC legt TikTok een boete van 485 miljoen euro op voor de datatransfers naar China, met nog eens 45 miljoen voor het gebrek aan transparantie in zijn privacybeleid. Het totaal komt daarmee neer op 530 miljoen euro. De boete is gegeven door de privacytoezichthouder in Ierland omdat het Europese hoofdkwartier van TikTok zich in dat land bevindt. TikTok krijgt verder zes maanden de tijd om zijn gegevensverwerkingspraktijken in lijn te brengen met de Europese wet en de datatransfers in kwestie te staken.

TikTok laat in een reactie weten dat het bedrijf in hoger beroep gaat tegen de boete. Volgens het platform heeft het besluit van de DPC 'vooral betrekking op een bepaalde periode van enkele jaren geleden'. Het bedrijf verwijst naar Project Clover, waarmee het bedrijf twaalf miljard euro investeert in de bouw van datacenters binnen de EU, waar het de gegevens van Europese gebruikers gaat opslaan. Het bedrijf heeft al een datacenter in Ierland in gebruik genomen en kondigde onlangs een nieuw datacenter in Finland aan. TikTok zegt ook dat het nooit een verzoek van de Chinese overheid heeft ontvangen om Europese gebruikersgegevens over te dragen en dat het bedrijf dergelijke gegevens nooit aan hen heeft overgedragen.

Het is niet de eerste privacyboete die TikTok in Europa krijgt. In 2023 legde de Ierse Data Protection Commission het bedrijf een AVG-boete van 345 miljoen euro op wegens het schenden van de privacy van kinderen. De Britse ICO gaf het platform 14,5 miljoen euro boete voor een vergelijkbaar vergrijp en de Nederlandse Autoriteit Persoonsgegevens gaf het platform 750.000 euro boete wegens het gebrek aan een Nederlandstalige privacyverklaring.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 02-05-2025 12:48
87 • submitter: Meg

02-05-2025 • 12:48

87

Submitter: Meg

Lees meer

Bloomberg: TikTok krijgt half miljard euro AVG-boete voor dataverwerking China
Bloomberg: TikTok krijgt half miljard euro AVG-boete voor dataverwerking China Nieuws van 3 april 2025
Trump beveelt OM om wettelijk verbod op TikTok niet te handhaven
Trump beveelt OM om wettelijk verbod op TikTok niet te handhaven Nieuws van 21 januari 2025
ByteDance haalt TikTok offline in VS na ingang verbod
ByteDance haalt TikTok offline in VS na ingang verbod Nieuws van 19 januari 2025
Noyb dient Europese privacyklacht in over TikTok, AliExpress en Xiaomi
Noyb dient Europese privacyklacht in over TikTok, AliExpress en Xiaomi Nieuws van 16 januari 2025
TikTok krijgt 2,2 miljoen euro boete voor vertraagd reageren op dataverzoek
TikTok krijgt 2,2 miljoen euro boete voor vertraagd reageren op dataverzoek Nieuws van 25 juli 2024
EU begint zaak tegen TikTok wegens beloningsfunctie in TikTok Lite
EU begint zaak tegen TikTok wegens beloningsfunctie in TikTok Lite Nieuws van 23 april 2024
Italië geeft TikTok miljoenenboete wegens 'Franse littekens'-video's - Update
Italië geeft TikTok miljoenenboete wegens 'Franse littekens'-video's - Update Nieuws van 14 maart 2024
TikTok krijgt AVG-boete van 345 miljoen euro vanwege schending kinderprivacy
TikTok krijgt AVG-boete van 345 miljoen euro vanwege schending kinderprivacy Nieuws van 15 september 2023
TikTok krijgt Britse boete van 14,5 miljoen euro voor schenden privacy kinderen
TikTok krijgt Britse boete van 14,5 miljoen euro voor schenden privacy kinderen Nieuws van 4 april 2023
TikTok krijgt AVG-boete van 750.000 euro voor Engelstalige privacyverklaring
TikTok krijgt AVG-boete van 750.000 euro voor Engelstalige privacyverklaring Nieuws van 22 juli 2021
Meer producten en artikelen
Websites en community's Politiek en recht Privacy algemene verordening gegevensbescherming Europa Europese unie gdpr Ierland tiktok

Reacties (87)

-Moderatie-faq
87
85
26
3
0
50
Wijzig sortering
Slavy 2 mei 2025 12:52
Het zou bij wet verboden moeten zijn dat techgiganten minder dan 1 miljard boete kunnen krijgen voor dit soort taferelen. Van die miljoenen merken ze niets, van miljarden wel.
Reageer
Piggen @Slavy2 mei 2025 12:56
Wat mij betreft niet alleen hogere boetes, maar op een gegeven moment gewoon ophoepelen. Strike 1: hoge boete. Strike 2: nog hogere boete. Strike 3: out, je mag niet meer actief zijn in de betreffende markt.
Reageer
qbig1970 @Piggen2 mei 2025 13:01
Nieuwe term geboren? Bedrijfskundig Recidivisme?

Bij burgerzaken wordt ook gekeken of er sprake is van recidive... is kans op herhaling van overtreden of misdrijf aanwezig... zo, ja dan moet verdachte langer gestraft worden... danwel levenslang!

Zou inderdaad bij bedrijven ook moeten gebeuren (hoe groot of hoe klein dan ook)

[Reactie gewijzigd door qbig1970 op 2 mei 2025 13:04]

Reageer
BobzT @qbig19702 mei 2025 13:10
Mooi idee, probleem is natuurlijk dat een bedrijf dat dan potentieel kan verdedigen met: nieuwe eigenaar/nieuw management, dus niet dezelfde "overtreder".....
Reageer
NoTechSupport @BobzT2 mei 2025 14:54
Als de wet zegt dat het bedrijf verantwoordelijk is en het is een nieuwe eigenaar dan nam die nieuwe eigenaar de overtredingen en juridische problemen mee over.

Al zou je in de wet kunnen opnemen dat management en eigenaars van het moment waarop de overtreding gebeurde persoonlijk verantwoordelijk zijn voor bepaalde types overtredingen.

Momenteel staan bedrijven de facto al te vaak boven de wet.
Reageer
Cerberus_tm @NoTechSupport3 mei 2025 01:05
Dit lijkt een goeie. Het probleem is vaak dat de degenen die de beslissingen nemen, daarvoor niet gestraft worden. Vaak zijn ze zelfs al weg bij het bedrijf. Dat kan anders.
Reageer
MKWS @Piggen2 mei 2025 13:07
In de avg, of GDPR, is ook vastgelegd dat een boete tot wel 4% (geloof ik) van de wereldwijde jaarlijkse omzet kan bedragen. Dat voelt een bedrijf wel.

Edit: ik lees dat TikTok een wereldwijde omzet had van 23 miljard in 2024. Dan zou 4% uitkomen op 920 miljoen en dan is dit zo ongeveer de helft, dus ongeveer 2%. Ik denk dat TikTok dat niet beschouwt als kleingeld. Dat is een halve datacenter.

[Reactie gewijzigd door MKWS op 2 mei 2025 13:15]

Reageer
Thonz @MKWS2 mei 2025 13:21
Als ik tiktok was zou ik dit gewoon zien als de kosten die verbonden zijn aan zaken doen.

Deze boete is dermate groot dat ze die echt wel hebben aan zien komen of in ieder geval hebben kunnen bedenken. Blijkbaar levert TikTok in Europa, ze meer op dan de boete die ze krijgen ze pijn doet.

Ik kan enkel speculeren over de beweegredenen, maar je enkel op het monetaire aspect richten lijkt me een geval van niet verder kijken dan de neus lang is.
Reageer
CAPSLOCK2000
@Thonz2 mei 2025 13:57
Als ik tiktok was zou ik dit gewoon zien als de kosten die verbonden zijn aan zaken doen.
Tot op zekere hoogte wel maar daarmee is het nog niet zinloos.

Je weet hoe aandeelhouders zijn, die willen altijd meer verdienen. Iedere cent die naar boetes gaat is een cent die ze zelf hadden kunnen hebben. De aandeelhouders maakt het niet waar het geld vandaan komt als het maar komt. De bedrijfsleider/CEO zal dus niet (alleen) te horen krijgen "Wat goed dat je X miljard winst hebt gemaakt" maar "Wat jammer van die Y miljoen boete... Volgende jaar aub net zo veel winst maar dan zónder die boete!". Als de CEO dan zegt dat het niet kan, dan staan er drie potentiele opvolgers klaar die beweren dat zij het wel kunnen. Zo'n CEO zal dus moeten beloven dat er iets gedaan gaat worden om boetes te voorkomen (of dat ook werkt is een tweede vraag).
Dat een CEO het in het verleden goed heeft gedaan geeft geen vrijstelling. De aandeelhouders zijn vooral geinteresseerd in de winst die ze in de toekomst kunnen maken, het verleden is al voorbij.

Ik vind het zelf belangrijker om veel en vaak boetes op te leggen dan één grote boete. Één grote boete wordt een soort gok waarbij een bedrijf tot het bittere eind zal vechten om de boete ongedaan te maken. Met genoeg geld kunnen ze haast eindeloos in beroep gaan en echte gevolgen jaren uitstellen door een paar grote uitspraken aan te vechten. Dan heb ik liever een hoop kleinere boetes die iedere keer een steentje uit de muur trekken zodat zo'n bedrijf in beweging moet komen.
Dat past ook beter bij de situatie. Het is niet één grote overtreding maar een hele serie aan vergelijkbare situaties, meer een mindset dan een losse vergissing.

[Reactie gewijzigd door CAPSLOCK2000 op 2 mei 2025 14:02]

Reageer
Cerberus_tm @CAPSLOCK20003 mei 2025 01:08
Een probleem is dat zo'n bestuurder vaak al weg is, tegen de tijd dat die boete daadwerkelijk betaald moet worden. Dus de aandeelhouders moeten dan de nieuwe baas aanspreken. En...vaak zijn de aandeelhouders ook al weg. Voor een groot deel gaat het allemaal om kortetermijnwinst maken met aandelen, en jobhoppen voor bestuurders.
Reageer
gielie @Piggen2 mei 2025 13:12
helemaal mee eens, dat tiktok is zeer verderfelijk en onze jeugd kan prima zonder, zou prima zonder moeten kunnen.
Reageer
kdekker @Slavy2 mei 2025 12:57
Een wet is er niet om een bedrijf kapot te maken. En jurdisch heb je ook nog iets als proportionaliteit. Zou de burger rechter worden, dan hadden al heel wat Barbertjes gehangen. Rechtspraak houdt afstand en zou ongeacht de rechter tot een soortgelijjke strafeis moeten komen. Binnen de countouren van de wet zijn er maximale strafeisen, waar over nagedacht is. En daar moet een rechter het mee doen.

Wat je nu doet is een zuiver populistisch standpunt verkondigen. Nonsens dus.
Reageer
DropjesLover @kdekker2 mei 2025 13:16
Aan de andere kant komen de grote jongens er al tientallen jaren mee weg. Onderzoeken duren lang, dan meermaals beroep en uiteindelijk een boete die eigenlijk peanuts is.
Boetes zijn geen doel opzich, het doel is dat bedrijven (allemaal!) hun gedrag aanpassen. Aangezien dat maar niet gebeurt betekent het dat de huidige gang van zaken geen indruk maakt, of ingecalculeerd wordt in het businessmodel.
Reageer
wjn @DropjesLover2 mei 2025 13:22
Aan de andere kant komen de grote jongens er al tientallen jaren mee weg.
Daarom zijn de boetes conform de huidige (nieuwere) wetten ook best hoog (als zijnde percentage gebaseerd op wereldwijde omzet).
Reageer
NoTechSupport @kdekker2 mei 2025 13:15
Minimale boetes slaan nergens op, maar de huidige boetes zijn gezien de herhaaldelijke overtredingen duidelijk te goedkoop.

Er zijn verschillende opties:
- ofwel gaan we door zoals we bezig zijn en bestraffen we de techgiganten, maar veel te laag om gedragsverandering te bewerkstelligen, dan vervallen de boetes tot een soort van belasting en schijnbeleid.
- ofwel schrijven we echte boetes uit, wat tot een strijd zou leiden met de techgiganten. Ze gaan harder proberen die boetes te negeren (niet betalen, procedurefouten zoeken, lobbyen om de wet aan te passen), burgers proberen op te zetten tegen de EU (zie gedrag Apple nu al).
- ofwel maken we wetten die diensten voor een bepaalde termijn blokkeren bij het niet naleven van de wetten (Tiktok, FB, X, ...). De wet moet daarbij streng genoeg zijn. Bvb:
1. x moderators per x aantal posts per taalgebied
2. actief in een land waar de overheid sowieso te veel invloed heeft (Rusland, China, VS in de toekomst?)

Persoonlijk denk ik, gezien de enorme schade die desinformatie (opkomst extremisme wereldwijd) en jarenlange privacyschendingen nu al hebben, we resoluut voor het laatste moeten kiezen.
Reageer
CivLord
@NoTechSupport3 mei 2025 11:30
Minimale boetes slaan nergens op, maar de huidige boetes zijn gezien de herhaaldelijke overtredingen duidelijk te goedkoop.
Die boetes zijn een eerste waarschuwing.
Die herhaaldelijke overtredinge zijn er juist niet. Altans, Niet dezelfde overtreding in dezelfde jurisductie. Overtreding X en overtreding Y staan los van elkaar, net als overtreding X in land A en overtreding in land Y.

Wanneer er na een boete geen verbetering volgt, kan er een zwaardere boete volgen (tot maximaal 4% van de wereldomzet). Doen ze daarna nog niets kan er zelfs strafrechtelijke vervolging plaatsvinden, met uiteindelijk strafrechtelijke vervolging van de verantwoordelijke personen.
Reageer
Marzman @Slavy3 mei 2025 08:53
Ik zou ze gewoon 100 euro boete geven voor een eerste overtreding. En bij herhaling loopt het op (300 euro de tweede keer, 1000 eu en daarna mag je geen diensten meer aanbieden in de EU).

100 euro x 175 miljoen gebruikers in de EU, 17,5 miljard moeten ze dan overmaken.
Reageer
CivLord
@Marzman3 mei 2025 11:39
Er wordt ook zeker wel rekening gehouden met recidive. Maar dat komt bijna niet voor (ze leren wel degelijk van de boetes).

Punt is dat recidive alleen geldt wanneer ze dezelfde overtreding in dezelfde jurisdictie maken. Deze grote bedrijven doen veel verschillende dingen in veel verschillende landen. Wanneer je het nieuwe leest zie je dat ze voor veel verschillende overtredingen in veel verschillende landen worden vervolgd, maar tot nu toe nog niet voor exact dezelfde overtreding in hetzelfde land.
Wanneer ze voor verkeersovertredingen hogere boetes bij herhaling van de overtreding kunnen uitdelen, dan zou dat ook alleen gelden wanneer je bv. twee keen fout parkeert in Amsterdam. Niet wanneer je een keer fout parkeert in Amsterdam, een keer door rood rijdt in Rotterdam en een keer te hard rijdt in Utrecht.
Reageer
MacorgaZ 2 mei 2025 13:35
Amerika innoveert, China imiteert en Europa reguleert. Hopelijk kunnen we als Europa nog een keer zelf innoveren om geld te verdienen in plaats van alleen boetes uitdelen.
Reageer
Transferno @MacorgaZ2 mei 2025 13:49
Ik vrees dat dit toch al achterhaalt is. China doet tegenwoordig ook best veel aan innovatie. Ze hebben uiteraard veel gekopieerd en daar flink geld aan verdiend, maar zijn ook best sterk geworden in bepaalde sectoren. Een voorbeeld is huawei met hun 5G tech.
Reageer
divvid @Transferno2 mei 2025 15:34
prima dat ze innoveren, maar vooralsnog mogen die huawei dingen niet in de EU. Uiteindelijk is al die data net zo veel waard als de Chinese investeringen in Afrikaanse mijnen. Als een één of andere warlord daar de boel overneemt kunnen ze fluiten naar hun investering. Zelfde voor data. Leuk dat ze het hebben, maar als 'men' (die domme Europeaan dus) uiteindelijk iets anders doet dan de data voorspelt, heb je er geen barst aan. Dit zou je het 'reclame' effect kunnen noemen. We worden zo doodgegooid met reclame, dat we het niet meer geloven (wast nu nog witter, geloof jij dat nog?) en gewoon ons ding doen.
Reageer
Nas T @Transferno2 mei 2025 17:33
Vergeet ook accutechnologie niet. CATL (acculeverancier van Mercedes-Benz, Ford, Volkswagen, BMW en Tesla) belooft 500km in 5 minuten bijladen. Daarnaast willen ze een natrium-ion accu uitbrengen (goedkoper, ook technisch goed).

Nou weet ik niet wat dit soort beweringen waard zijn, maar ik geloof wel dat ze in China verder zijn op accu-gebied dan in Europa.
Reageer
Marzman @MacorgaZ3 mei 2025 08:58
China innoveert veel meer dan de VS tegenwoordig en wil de rol van de VS in de wereld graag overnemen. Trump wil dat keren, maar ik denk dat hij het eerder versneld. Kijk eens wat voor auto's China tegenwoordig maakt. Wat voor steden ze bouwen, hoe de metrostations er uit zien (mooier dan onze mooie luchthavens, en het zijn metrostations geen luchthavens). Ik weet niet wat de kwaliteit is, maar de innovatie ligt zeker hoger. Daarom is de VS waarschijnijk ook zo vijandig (Tiktok, Huawei, invoertarieven, uitvoer chips verbieden etc).

China heeft ook geen schulden. De VS leeft op het geld dat ze morgen hopen te verdienen, China heeft heel veel opgepot en deels uitgeleend aan de VS.

[Reactie gewijzigd door Marzman op 3 mei 2025 09:00]

Reageer
Henk1827 2 mei 2025 13:03
Deze data die Tiktok naar China heeft gesluist is zo veel meer waard in intelligence dan €500 miljoen. Persoonlijke informatie, fotos, videos, kijkgedrag. Niet-gunstig gestemde mensen zijn zo op te sporen. Waarom laten we dit toch gebeuren?
Reageer
blorf @Henk18272 mei 2025 13:33
Het is geen realistisch probleem. Als je je registreert op een Chinese website hebben ze op dezelfde manier alle data die je daar achter laat. Een app is niet anders.
De EU verdoezelt (helaas nog steeds) het probleem: het OS dat zich alle permissies toe-eigent en vervolgens doet alsof het data-minen en profileren van buitenlandse bedrijven een technisch probleem is klopt niet helemaal.
Reageer
n4m3l355 @blorf2 mei 2025 14:35
Ze krijgen een bekeuring niet vanwege het minen maar vanwege dat data naar het buitenlans vertekt en vervolgens niet kan aantonen dat de data conform Europese regels wordt opgeslagen. Dat deze data verder bewerkt wordt is niet relevant.

Overigens saillant detail, TikTok CEO Shou Zi Chew gaf voor het senaat aan dat gebruikers data in de VS niet naar China ging. Mag duidelijk zijn dat wat TikTok claimed zelden tot nooit waar is.

[Reactie gewijzigd door n4m3l355 op 2 mei 2025 14:36]

Reageer
Transferno @blorf2 mei 2025 13:44
Maar delen mensen niet veel meer via tiktok dan pakweg aliexpress? Massa's foto's en filmpjes maar ook opinies en interesse?
Onderschat de macht niet wat zulke bedrijven potentieel in handen hebben indien zij of een 3e partij dit misbruiken.
Reageer
blorf @Transferno2 mei 2025 14:08
De EU zou Tik Tok gerechtelijk kunnen dwingen om de communicatie tussen de app en China volledig inzichtelijk te maken. Dat is alles wat er zou moeten gebeuren. Laat iedereen zien wat ze doen.
Reageer
litebyte @blorf2 mei 2025 14:35
Exact, en dit eisen bij alle 'digitale kolonisten, onafhankelijk van het land. De unie is inmiddles al een data-pretland gwworden voor alles van buiten de unie...we zijn feitelijk als EU-consumenten al in de uitverkoop gegooid door onze zogenaamde volksvertegenwoordigers.

En die boete van 500+ miljoen zou dus ook persoonlijk ten goede moeten komen aan de EU-gebruikers van dit soort digitaal chemisch afval...niet aan de 'unie' dat verrotte bedrijven zoals Meta of TikTok zien als een soort van lobby & en verdienmodel.

Daarnaast verbieden als ze zich niet aan de regels houden! Dat is de enige werkelijke boete die prima kan worden doorgevoerd, als je ook als 'unie' wat voorstelt.

[Reactie gewijzigd door litebyte op 2 mei 2025 14:37]

Reageer
Memori @Henk18272 mei 2025 13:15
Om nog maar niet over de brainrot te beginnen. Vele potentiele slimme koppen gaan eraan verloren...
Reageer
Henk1827 @Memori2 mei 2025 13:55
Eens, het is een ziekelijke verslaving. Jonge kinderen swipen de hele dag reclames en posten dansjes in weinig verhullende kleding van zichzelf. Alles om maar aandacht te krijgen. Je moet actief je kinderen beschermen tegen deze rommel want de overheid doet het niet voor je.
Reageer
resma @Henk18272 mei 2025 15:30
Waarom laten we dit toch gebeuren?
Dat laten we gebeuren omdat we allerlei gratis diensten willen afnemen en allerlei gratis apps willen gebruiken. We betalen met onze gegevens. Hier is niets nieuws aan; de voorbeelden zijn legio.

Problematisch is als niet transparant is welke gegevens worden verzameld, hoe die gegevens worden verwerkt/opgeslagen en wat daarmee wordt gedaan.

En omdat 'niet transparant' betekent dat niet kan worden geverifieerd dat e.e.a. conform Europese regelgeving wordt gedaan, wordt hier een boete opgelegd.
Reageer
Kecin 2 mei 2025 12:53
Dat is voor zo'n partij gewoon kleingeld. Jammer dat er geen vele hogere boetes en impact geregeld kan worden...

[Reactie gewijzigd door Kecin op 2 mei 2025 13:47]

Reageer
Wazzim @Kecin2 mei 2025 13:51
Half miljard is echt geen kleingeld.
Reageer
litebyte @Wazzim2 mei 2025 14:30
Als ze het al betalen na etterlijke langdurige rechtzaken.

TikTok had net zoals facebook (schuilnaam Meta) veel meer moeten investeren in lobbyen, hun lobby budget (voor de EU) is nu slechts een magere 1.5 miljoen Euro per jaar dat is een schijntje vergeleken bij smerigheden zoals Meta (ruim 7 miljoen per jaar.)

Dat is dan natuurlijk het officiele openbare lobbybrdrag...buiten alle andere....'pr kosten'
Reageer
lDDQD @Wazzim2 mei 2025 14:36
Wel voor ByteDance.

Trek je af van je omzet, merk je niks van. En ze gaan in hoger beroep dus ze stellen het nog uit over paar jaar en misschien hoeven ze niet (alles) te betalen.

https://www.dutchitleader...ert-omzetcijfers-van-meta
Reageer
Kecin @Wazzim2 mei 2025 15:08
Perspectief. Voor jou is het veel geld. Bytedance niet zo zeer.
Reageer
Dutchzilla 2 mei 2025 13:21
Er wordt vaak gezegd dat TikTok-gegevens op servers in China staan, maar de vraag is: is dat gebaseerd op feiten of slechts aannames?

Is er daadwerkelijk onafhankelijk en gedegen onderzoek naar gedaan? Want dát is precies waar het in Europa vaak misgaat — er wordt sneller geschreeuwd dan gecontroleerd. En dan wordt beleid gebouwd op onderbuikgevoel in plaats van bewijs.
Reageer
Geim @Dutchzilla2 mei 2025 13:28
Er wordt vaak gezegd dat TikTok-gegevens op servers in China staan, maar de vraag is: is dat gebaseerd op feiten of slechts aannames?
Dit staat er letterlijk in het artikel :
"Afgelopen maand liet TikTok aan de Ierse toezichthouder weten dat er toch wel 'beperkte' Europese gebruikersgegevens op Chinese servers stonden opgeslagen."
Reageer
Quintiemero @Geim2 mei 2025 14:05
En wat blijkt uit het onderzoek? Microsoft heeft ook allemaal mooie praatjes.
Reageer
Geim @Quintiemero2 mei 2025 18:12
Ehh, ik snap je niet. De vraag is “Waaruit blijkt dat er gegevens van Europese burgers op chinese servers staat?” Antwoord “Omdat Tiktok dat zelf toegeeft.”
Reageer
Quintiemero @Geim2 mei 2025 18:21
Bedoelde het juist andersom, “beperkte gegevens”, wie zegt dat het alleen beperkte gegevens zijn. Daarom ben ik meer benieuwd wat uit de data is gebleken dan wat zo’n partij als Tiktok zegt.
Reageer
Geim @Quintiemero3 mei 2025 08:32
Top, ja, kan ik me helemaal in vinden.
Maar beperkt, of heel veel. Beperkt is al te veel.
Reageer
Jason X @Dutchzilla2 mei 2025 13:29
Als je de eerste zin van het artikel had gelezen: De boete volgt op een onderzoek naar de doorgifte van Europese gebruikersgegevens naar China, schrijft de Ierse Data Protection Commission. Daaruit is gebleken dat TikTok de gegevens van gebruikers heeft verstuurd naar China.
Reageer
wjn 2 mei 2025 13:26
Kan iemand die meer inhoudelijk van de GPDR weet, hier op inspringen? Is dit niet een ongelofelijk groot gat in de wet? Of is op afstand toegang toch ook verboden, aangezien doel van de wet "data bescherming" is?
Het is niet duidelijk of de gegevens van Nederlandse gebruikers daadwerkelijk op Chinese servers opgeslagen hebben gestaan. TikTok zelf zei dat Chinese medewerkers alleen op afstand toegang konden krijgen tot de gegevens van Europeanen, maar dat die gegevens zelf niet in China opgeslagen zijn.
Edit:
Samengevat uit de reacties hieronder, als de data bekeken kan worden vanuit een land waar volgens de GDPR geen data opgeslagen mag worden, maar het is wel een medewerker van de EU entiteit en de GDPR wordt verder gewaarborgd, dan mag dat dus wel. Wordt de data bekeken door een medewerker in dienst van een entiteit buiten de GDPR toegestane landen, dan is er dus een overtreding. Duidelijk.

[Reactie gewijzigd door wjn op 3 mei 2025 10:54]

Reageer
Triblade_8472 @wjn2 mei 2025 13:34
Het gaat om de data, niet waar de medewerkers vandaan komen. De GPDR zegt niks over de afkomst van medewerkers.

En het gaat om medewerkers (van)uit China, niet de Chinese overheid.
Reageer
mjtdevries @Triblade_84722 mei 2025 13:53
Helaas heb je het precies verkeerd om.

Het is wel degelijk belangrijk waar de medewerkers vandaan komen.
De data fysiek in Europa plaatsen is niet afdoende. Op het moment dat de data in de EU word bekeken door een medewerker vanuit China, dan is er sprake van een gegevensverwerking buiten de EEA.

Dat is in de GDPR niet zomaar toegestaan, tenzij het gebeurd vanuit een land waar de data net zo veilig is als in de EU. Dat is maar een beperkt aantal landen en China hoort daar uiteraard niet bij.
https://commission.europa...ion/adequacy-decisions_en

Je zult dan extra maatregelen moeten treffen om te zorgen dat de data alsnog net zo veilig is. Maar in de praktijk is dat natuurlijk onmogelijk als het risico de overheid in dat betreffende land is.

Dus @wjn lang verhaal kort: Er is geen gat in de wet. Op afstand toegang vanuit China is niet toegestaan.
Reageer
Quintiemero @mjtdevries2 mei 2025 14:07
Er is wel een kleine gat in de wet. Als die medewerkers van dezelfde juridische entiteit waren, was het geen data-transfer.
Reageer
mjtdevries @Quintiemero2 mei 2025 14:42
Kun je me het artikel aanwijzen waar dat staat?
(is het uberhaupt mogelijk dat dezelfde juridische entiteit in meerdere landen zit?)
Reageer
Quintiemero @mjtdevries2 mei 2025 14:51
Niet, staat in guidelines van EDPB. https://www.edpb.europa.e...v_of_the_gdpr_v2_en_0.pdf

Dus als ik als medewerker in china ga werken. Is er geen sprake van een data transfer. Zelfde als jij leverancier inschakelt en een medewerker daarvan gaat in China werken.

Maar als dan een Chinese entiteit wel toegang krijgt tot de data, is er geen data transfer.
Reageer
mjtdevries @Quintiemero2 mei 2025 15:40
Dat document gaat over de definitie van een data transfer. Dat is iets tussen een controller en processor, maar zijn er niet binnen dezelfde entiteit.
Maar ook al is er geen "data transfer", er is wel sprake van een "data verwerking / data processing". En die mag je alleen doen als je kunt garanderen dat het voldoet aan de voorwaarden van de GDPR.

Dat is wat dat document dan ook duidelijk aangeeft.
pagina 15:
In light of the criteria identified above, if the same controller or processor is processing data outside
the EU without disclosing it to another controller or processor (e.g. where an employee of an EU
controller travels abroad and has access to the data of that controller while being in a third country or
in case of direct collection from individuals in the EU under Article 3(2) GDPR), the processing activity
should not be regarded as a transfer under Chapter V of the GDPR. In this context, it should however
be kept in mind that the controller must comply with the GDPR and remains accountable for its
processing activities, regardless of where they take place. This also means that the controller or
processor should pay particular attention to the legal frameworks of the third country that may have
an impact on its ability to respect the GDPR. I
en
Following from its obligation to be responsible for, and be able to demonstrate compliance with the
data protection principles (Article 5) and to implement technical and organisational measures taking
into account, inter alia, the risks with respect to the processing under Article 32 of the GDPR, a
controller may very well conclude that extensive security measures are needed – or even that it would
not be lawful – to conduct or proceed with a specific processing operation in a third country although
there is no transfer situation.
Dus gelukkig geen gaatje in de wet.
Reageer
Quintiemero @mjtdevries2 mei 2025 16:50
Precies wat ik zeg. Dus er is een mogelijkheid om data buiten eer te verwerken zonder dat data transfer wordt getriggerd. Het gat is dat een leverancier data in China mag verwerken mits het een werknemer is. Ja de rest van de AVG geldt, maar niet hoofdstuk 5. In de praktijk aantal situaties gehad dat leverancier plotseling werknemers buiten EER had. Inderdaad, alle randvoorwaardm gelden maar dus niet onder de noemer van data transfers.
Reageer
mjtdevries @Quintiemero2 mei 2025 19:15
Het gat is dat een leverancier data in China mag verwerken mits het een werknemer is.
Nee, absoluut niet.

Er staat nou juist duidelijk in die quotes dat je nog steeds aan de GDPR moet voldoen. Ook al is er geen data transfer onder de definitie van hoofdstuk 5, het blijft nog steeds een data verwerking onder alle andere hoofdstukken. En al die andere hoofdstukken verbieden het omdat China geen veilig land is om die activiteiten in uit te voeren.
In this context, it should however be kept in mind that the controller must comply with the GDPR and remains accountable for its processing activities, regardless of where they take place.
Als die leverancier van jou data laat verwerken door een werknemer van die leverancier in China, dan moeten ze nog steeds aan de GDPR voldoen. Ben je het er mee eens dat dat in de quote staat?
En ze kunnen niet aan de GDPR voldoen vanwege de wet en regelgeving van China.

Jij staart je blind op de term data transfer. De GDPR is niet alleen voor data transfers. Sterker nog, dat is maar een heel klein onderdeel van de GDPR. De GDPR is van toepassing op alle data verwerkingen.
Reageer
Quintiemero @mjtdevries2 mei 2025 22:25
Juist, dat zei je eerder ook al. Heb ik ergens gezegd dat de rest van de AVG niet relevant is? Alleen dat in die situatie niet sprake is van een data transfer en dat H5 niet relevant is. Dat was mijn punt, niet meer en niet minder.
Reageer
mjtdevries @Quintiemero2 mei 2025 22:38
Ja dat heb je gezegd ja. Je claimt namelijk:
een leverancier data in China mag verwerken mits het een werknemer is.
En dat is simpelweg niet waar.
En of iets een data transfer is of niet is daarbij totaal niet relevant.
Reageer
Triblade_8472 @mjtdevries2 mei 2025 15:31
Uh, nee. De link gaat over "International Data Flows"

Dus data, niet medewerkers.

Het antwoord wat ik aan @wjn gaf staat alsnog.

[Reactie gewijzigd door Triblade_8472 op 2 mei 2025 15:32]

Reageer
mjtdevries @Triblade_84722 mei 2025 15:49
Als iemand in China zit en met zijn ogen op een beeldscherm kijkt naar data die in de EU staat, dan is er al sprake van een "dataverwerking".

Je antwoord aan wjn blijft fout.

Zie ook mijn antwoord hierboven aan quintiemero waar de EDPD aangeeft dat niet alleen een chinese medewerker (ook als ie niet van de overheid is) een probleem vormt. Maar zelfs als een Nederlandse medewerker naar China gaat en van daaruit toegang heeft tot de data, dat dat een probleem vormt en zelfs onwettig kan zijn.

[Reactie gewijzigd door mjtdevries op 2 mei 2025 15:50]

Reageer
Triblade_8472 @mjtdevries2 mei 2025 17:00
En als de data niet daadwerkelijk is China is, blijft de dataverwerking, ongeacht of de persoon in China woont, in Europa.

Dus nog steeds is mijn antwoord de juiste.

Agree to disagree.
Reageer
mjtdevries @Triblade_84722 mei 2025 19:27
Nee, dat is absolute onzin die je verkondigd.

Op het moment dat jij als persoon data opvraagt waarin persoonsgegevens staan, dan doe jij als persoon op dat moment een dataverwerking.

En als jij als persoon op dat moment in China bent, dan doe je dus een dataverwerking in China!
Data verwerken is een super ruim begrip in de AVG.

In de definitie van een data verwerking speelt de lokatie van de data geen enkele rol. De definitie kijkt naar de handeling.

Artikel 4 van de GDPR: definities:
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Als het zo makkelijk was om onder de GDPR uit te komen zoals jij denkt, dan hadden we geen Schrems I en Schrems II gehad.

[Reactie gewijzigd door mjtdevries op 2 mei 2025 19:27]

Reageer
Triblade_8472 @mjtdevries2 mei 2025 20:52
Als een Chinees inlogt op een database in Europa, dan schiet je de verwerking in de servers hier.

Ofwel, je maakt m'n punt voor mij, waarvoor dank.

Alsnog, agree to disagree.
Reageer
mjtdevries @Triblade_84722 mei 2025 23:04
Agree to disagree doe je bij een verschil van mening waarbij er geen goed of fout is.

Het gaat hier echter over wat de wet zegt. En wat jij roept is in tegenspraak met de wettekst.
Als een chinees inlogt op een database in Europa, dan doet de Chinees de verwerking.
Nogmaals: de definitie gaat duidelijk over de handeling en zegt niets over de lokatie. De verwerking word gedaan door de Chinees. En de GDPR stelt voorwaarden in welke situatie je zo'n verwerking mag doen.

Wat je niets schijnt te snappen is dat een verwerking niet perse iets software of hardwarematigs is. Er hoeft niets in een database verwerkt te worden.
Als jouw ogen een persoonsgegeven zien, dan is dat een verwerking! Ook zonder dat jij daar iets over noteert.

Maar denk eens na over het volgende: Zoals iedereen wel bekend heeft de overheid aangegeven dat de M365 niet geschikt is voor overheids data omdat het niet voldoet aan de AVG eisen.

Hoe kan dat nou als volgens jou het enige wat van belang is, dat de data op een server in de EU staat? Geen enkel probleem als de Amerikanen er bij kunnen, want de database staat immers hier.
Dat is wat jij beweert!
Reageer
Triblade_8472 @mjtdevries2 mei 2025 23:38
Nee, ook hier zit je fout. :)

Je komt overeen dat je niet overeenkomt. Daarmee sluit je de discussie.

Maar goed, dan disagree to disagree, wat jij wil 8)7
Reageer
Quintiemero @mjtdevries2 mei 2025 22:53
Je spreekt jezelf tegen. Opvragen is nou met geen verwerking. Vragen mag, dat we het versturen en jij het mag ontvangen is wat anders. Dat is geen verwerking….
Ontvangen en versturen is een verwerking. Opvragen mag altijd.
Reageer
mjtdevries @Quintiemero2 mei 2025 23:06
OMG. Lees de definitie hierboven opnieuw. "opvragen" staat er letterlijk vermeld als verwerking!!!
opslaan, bijwerken of wijzigen, opvragen, raadplegen
Reageer
Quintiemero @mjtdevries2 mei 2025 23:14
Je hebt gelijk als het gaat om versturen en ontvangen, dus er gaat data over de lijn. Ik dacht aan organisatie vraagt per mail data op bij partij B. Dan gebeurt er niks, ze “vragen” alleen.
Reageer
Triblade_8472 @Quintiemero2 mei 2025 23:41
Wat mjt weigert toe te geven is dat wanneer je remote werkt, je werk... - tja- remote is.

Er is geen data, opvraging èn geen verwerking in een derde land.
Reageer
mjtdevries @Triblade_84723 mei 2025 19:51
Ik weiger dat toe te geven omdat het simpelweg niet waar is.
En de wettekst geeft dat ook zonneklaar aan. Maar jullie negeren gewoon wat er letterlijk in de wettekst staat. Dat is echt ongelooflijk. En dat maakt een verdere discussie ook totaal zinloos.

Ik hoop dat jullie in je werk helemaal niks te maken hebben met de GDPR wetgeving. Ik heb dat wel en juist met verwerkingen in een derde land.

Als jullie verzinsels de waarheid zouden zijn, dan zou mijn werk zoooooo veeeel makkelijker zijn.
Reageer
Triblade_8472 @mjtdevries3 mei 2025 20:22
Ik quote (waarin mijn gelijk staat)
The EDPB sets out the example of George, who travels from Poland to India for a meeting and accesses personal data on his company’s databases to finish a memo. The EDPB says that “this remote access of personal data from a third country does not qualify as transfer of personal data, since George is not another controller, but an employee”. George is not a separate entity from his employer, who is the controller/processor of the personal data. Without a second entity to transfer the personal data to, there cannot be an international data transfer, as all the processing is taking place within the same controller/processor.
Bron

Als je zelfs de European Data Protection Board (EDPB) Niet gelooft, en mij gelijk geeft, dan wil je het gewoon niet begrijpen.
Reageer
Quintiemero @Triblade_84722 mei 2025 16:51
Ik heb het over wanneer een data verwerking een data transfer wordt ;) dus data verwerking is in china prima zolang het een werknemer betreft. Krijgt een andere instantie toegang, dan wordt het pas een data transfer.
Reageer
Triblade_8472 @Quintiemero2 mei 2025 16:59
Niet eens toegang, maar pas als de data overgehaald wordt. Ik neem aan dat toegang voor niet-werknemers (sowieso) ergens als een verbod staat.
Reageer
Quintiemero @Triblade_84722 mei 2025 17:03
Precies!
Reageer
yevgeny 2 mei 2025 13:36
Ondertussen heeft EU een Enhanced Border Security Partnership agreement met USA en gaan alle persoonlijk (biometrische gegevens) van reizigers naar USA. Maar ja china is slecht ...
Reageer
Antonius @yevgeny2 mei 2025 13:52
Dat is een non-argument, beter bekend als whataboutism.
Reageer
yevgeny @Antonius2 mei 2025 15:29
Nee antonius, het is hypocriet.
Reageer
Antonius @yevgeny2 mei 2025 15:52
Een andere zaak praat niet goed wat TikTok/Bytedance/China gedaan heeft (of mogelijk nog gaat doen) met data van Europese burgers. Verder zijn het niet dezelfde gegevens. Appels en peren.
Reageer
Lawyerson @Antonius3 mei 2025 06:08
Het punt is denk ik dat de EU dit soort regulatie niet invoert uit goede wil om onze privacy te beschermen maar als economisch wapen. Het kan hen niet echt schelen dat jouw gegevens de wereld rondreizen, enkel dat ze passeren bij iemand die strategisch interessant is om te sanctioneren. Als het doel echt zou zijn om te voorkomen dat vreemde mogendheden inzicht krijgen in jouw gegevens faalt het beleid in beide gevallen.

[Reactie gewijzigd door Lawyerson op 3 mei 2025 06:09]

Reageer
mjtdevries @yevgeny2 mei 2025 13:56
En wat denk jij dat er in die agreement staat? Dat de VS carte-blanche krijgt om te doen wat ze willen?
Reageer
vinkjb 2 mei 2025 13:45
Blijkbaar is de data die ruim 530 miljoen meer dan waard dus doe de boete maar het levert wel weer wat op
Reageer
Antonius 2 mei 2025 13:59
TikTok zegt ook dat het nooit een verzoek van de Chinese overheid heeft ontvangen om Europese gebruikersgegevens over te dragen en dat het bedrijf dergelijke gegevens nooit aan hen heeft overgedragen.
Dat klinkt mooi, maar is dat inderdaad aantoonbaar waar (beide punten)?
En vooral: het zegt alleen iets over het verleden terwijl het niets uitsluit over de toekomst.
Reageer
mjtdevries @Antonius2 mei 2025 15:58
Uiteraard niet aantoonbaar, want zeker ook in China kan de overheid TikTok gewoon opdragen om die verzoeken geheim te houden.

Net zoals in de VS, hoewel Microsoft daar een keer een truuk heeft kunnen uithalen om zo'n verzoek via een rechtzaak naar buiten te laten komen. Maar ook dan weet de klant het pas lang achteraf.
Reageer
litebyte 2 mei 2025 14:23
Er is maar 1 soort 'boete' dat werkelijk helpt....een verbod op smerige bedrijven zoals Meta en TikTok....klopt natuurlijk, dan kun je niet je EU-kas spekken, maar maak je wel waar wat je altijd echoed...bescherming van de EU- (niet Europa) consument
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq