Europese toezichthouder onderzoekt TikTok om verkeerde info tijdens onderzoek

Er loopt een onderzoek naar TikTok vanwege onjuiste informatie die moederbedrijf ByteDance verstrekte tijdens een eerder onderzoek. TikTok beweerde dat er geen data van Europese gebruikers op Chinese servers stond, maar moest later toegeven dat dat wel was gebeurd.

De Ierse toezichthouder Data Protection Commission richt het onderzoek op de vraag of ByteDance met zijn verkeerd verstrekte informatie regels van de Algemene verordening gegevensbescherming heeft overtreden. Die verplicht onder meer bedrijven om transparant te zijn over waar data staat en verplicht medewerking aan onderzoeken.

Dit onderzoek komt bovenop de boete van eerder dit jaar wegens het overbrengen van data naar China. Die boete kwam uit een ander, inmiddels afgesloten onderzoek. Daaruit bleek al dat TikTok de gegevens van gebruikers heeft verstuurd naar China. Het bedrijf kon niet aantonen dat de gegevens daar net zo goed beveiligd zijn als binnen de Europese Unie. Dat mag niet volgens de AVG.

TikTok ging al in beroep tegen de boete. Volgens het platform heeft het besluit van de DPC 'vooral betrekking op een bepaalde periode van enkele jaren geleden'. Het bedrijf verwijst naar Project Clover, waarmee het bedrijf twaalf miljard euro investeert in de bouw van datacenters binnen de EU, waar het de gegevens van Europese gebruikers gaat opslaan.

Door Arnoud Wokke

Redacteur Tweakers

12-07-2025 • 09:02

29

Submitter: wildhagen

Reacties (29)

Sorteer op:

Weergave:

In de tijd dat het nog Musical.ly heete - 2017 - is er door het Jeugdjournaal een item gemaakt over hoe de data - toen zelfs in plain text - naar China werd verstuurd.
https://jeugdjournaal.nl/...super-makkelijk-te-hacken

Hier het bericht er na over de naamsverandering:
https://jeugdjournaal.nl/...tok-maar-waarom-eigenlijk
Is wel een typische fout voor een app zoals dat, de CDN voor grote content (zoals videos) niet over https laten lopen waardoor je de URL kan sniffen. Op het randje van acceptabel voor publieke content (al kan je wel iemand zijn kijkgedrag er mee zien), maar natuurlijk totaal niet ok voor niet publieke videos.

Dit word soms gedaan om CPU te besparen omdat gigabits aan data per seconde merkbare CPU Cycles kosten, helemaal in 2017. Nowadays is dit trouwens wel gewoon over HTTPS, en verschillende calls zitten nu zelfs achter complexere sessie tokens. (Al verwacht ik dat dit meer is om scrapers tegen te gaan)

[Reactie gewijzigd door smiba op 12 juli 2025 18:59]

Weet niet precies hoe Joost Schellevis in het filmpje vh jeugdjournaal het deed, maar als het alleen over de URL sniffing ging (kan dan ook HTTPS zijn) werkt dat vaak niet in moderne infrastructuur. Het kan ook dat hij upload TCP packets onderschepte.

Moderne apps droppen vaak upload media in een upload-bucket die via een processing pipeline (thumbnailing, recompressing) naar een CDN geserveerde (download) bucket worden doorgezet. Natuurlijk allemaal via HTTPS/TLS. Vanuit de upload bucket kun je (meestal) niet eens downloaden.
Van wat ik kan zien op zijn scherm in die video is het gewoon Wireshark waar ie de URL ziet waar het CDN request naar gedaan word
Afgezien van het feit dat TikTok geen schoonheidsprijs verdient met deze gang van zaken, is het wel bewijs dat Europese regelgeving werkt en impact heeft.

Ook grote bedrijven doen steeds vaker hun best om zich aan o.a. de AVG te houden en non-compliance wordt in dit geval zelfs spontaan gemeld. Daardoor zijn wij net even iets minder overgeleverd aan de grillen van grote bedrijven. Dat is een positieve ontwikkeling.
Ik werk in dit gebied en voor mij is het bewijs dat Europese handhaving niet werkt en beperkte impact heeft. AVG is inmiddels 9 jaar oud en nog steeds houden veel grote organisaties zich niet aan basiseisen van de wet. Het is een risk-based approach en ik heb vaak genoeg in vergaderingen gezeten waarbij bewust wordt gekozen om de AVG te negeren, omdat het winstgevender is.

 

Dezelfde bedrijven durven dat absoluut niet te doen in China. De maximale boetes zijn daar hoger, management kan persoonlijk aansprakelijk worden gesteld, winst door de wet te negeren kan worden afgepakt en (buitenlandse) bedrijven kunnen hun licenties kwijtraken om in China te mogen opereren. China handhaaft ook strenger.
management kan persoonlijk aansprakelijk worden gesteld
Ik denk dat dit de meest effectieve oplossing is. Je zult zien hoe snel compliance overal wordt doorgedrukt zodra de C-levels zelf het risico lopen om een paar jaar een bezoekje te brengen aan de gevangenis.

Wat TikTok betreft: simpelweg dezelfde regels toepassen als die waar Europese bedrijven in China zich aan moeten houden.
Ik zie een paar ontwikkelingen in China. Iets te kort door de bocht. Ze zijn bezig met een eigen starlink systeem, dat bovendien ook nog iets heel slims bevat. Direct To Cell Streaming, naast Direct To Cell Internet Connectivity. De komende jaren staan grote hoeveelheden lanceringen op de planning. Het lijkt er op dat China en o.a. China Telecom, er een flink budget voor over hebben. Als ze de prijsstelling aanhouden van het huidige "interne" satelliet systeem, ligt dat een stuk lager dan de Nederlandse telco's. De streaming mode zou best gratis kunnen worden, als ware een soort open tv satelliet. Dat werkt dan met een reguliere smartphone als je buiten staat. Over de dekking binnenshuis, in een auto, lijken tegenstrijdige verklaringen te zijn.

Als TikTok het nog een jaartje of zes volhoudt zou het zomaar kunnen dat ze lekker gaan "streamen" op dat Chinese starlink en verder met niemand iets te maken hebben.
Direct-to-Cell (D2C) is a new service that allows regular smartphones — yes, even your old Android — to make satellite calls and send texts from just about anywhere on Earth. 
https://gulfnews.com/technology/call-me-maybe-even-in-the-middle-of-nowhere-what-to-know-about-elon-musks-starlink-direct-to-cell-service-1.500128365

Bestaat al bij Starlink , maar is volgens mij nog niet overal uitgerold ( volgens mij maandje terug nog iets over op tweakers in de US).
China en o.a. China Telecom, er een flink budget voor over hebben.
Dit is oneerlijke concurrentie: staatsbedrijven ( want dat zijn die 2 die je net noemde ;) ) die tegen kunstmatig lage rentes of zo niet gratis kunnen lenen van hun eigen banken .. failliet gaan is niet mogelijk want vadertje staat spring wel bij. — tarieven en voorwaarden waar Elon Musk jaloers op zou zijn.
Geen idee of de Chinese versie van hun wereldwijde satellietnetwerk hetzelfde d2c systeem zal gebruiken als het Amerikaanse starlink. Als ze er (ook) iets in zetten wat als streaming gezien wordt, zeg maar net als de ouderwetse tv satellieten, zou dat nieuwe toepassingen opleveren. Deze zijn dan niet per land te blokkeren, het zijn gewoon "open" uitzendingen. Maar dit is speculatie van mij.

Dat China goedkoop internet overal wil lijkt mij op zich niet zo vreemd. Kort door de bocht, de Chinees kan niets zonder hun versie van internet. Dat gaat zelfs zo ver dat klanten een powerbank voor een uurtje of twee kunnen huren in bijvoorbeeld een winkelcentrum, zodat ze vooral niet zonder komen.

Het is natuurlijk ook een perfect middel om het Chinees beleid duidelijk te maken aan hun inwoners. Voor de Chinees wereldwijd zal het een ideaal communicatiemiddel zijn omdat ze niet meer afhankelijk zijn van buitenlandse telco's en goedkoop contact kunnen onderhouden met het moederland.

Dat China dus wat miljarden wil kapotslaan op wereldwijde dekking van hun internet lijkt mij niet zo vreemd. Een soortgelijk iets kun je vinden in hun hogesnelheidstreinen netwerk, dat waanzinnig snel groeit. Schijnbaar wordt daar al winst op gemaakt.
TikTok doet een Meta'tje...
Het is een beetje ongelukkig geformuleerd in dit artikel. Vaak wordt "moest later toegeven dat dat wel was gebeurd" gebruikt in de context van een onderzoek door een andere partij.

Bron artikel vermeldt: "However, in April 2025, TikTok informed the DPC of an issue that it had discovered in February 2025, namely that limited EEA user data had in fact been stored on servers in China, contrary to TikTok’s evidence to the previous inquiry." , het is dus TikTok geweest die dus zelf dit probleem heeft gevonden en gemeld. Niet omdat ze geconfronteerd zijn met bewijs o.i.d. tijdens een onderzoek door DPC.
logisch toch dat zijn toch dat moederbedrijf ByteDance ontkende, dit zijn toch dagelijkse zaken geworden, eerst ontkennen .....maar moest later toegeven dat dat wel was gebeurd.

Er loopt een onderzoek naar TikTok vanwege onjuiste informatie die moederbedrijf ByteDance verstrekte tijdens een eerder onderzoek. TikTok beweerde dat er geen data van Europese gebruikers op Chinese servers stond, maar moest later toegeven dat dat wel was gebeurd.
Ik vind het ook wel weer mooi verzachtend uitgedrukt: moest later toegeven dat dat wel was gebeurd. Alsof het ze overkomen is.

Wat dachten we van: moest toegeven dat het daarover gelogen had.

[Reactie gewijzigd door vickypollard op 12 juli 2025 09:17]

TikTok (en vergelijkbare Bigtech) doen steeds vaker doet alsof ze 'het niet wisten' dat hun data zo-en-zo werd gebruikt of daar-en-daar stond. Dit soort partijen zijn alleen maar zo groot geworden door uitstekende beheersing van (interne) bedrijgsprocessen en kosten.

Je kunt het gewoon niet niet doorhebben dat de data van alle gebruikers van een heel continuent ergens staat opgeslagen. De immense storage, peering, ingress en egress kosten kun je onmogelijk over het hoofd zien.

Ik vind dit soort gedrag een belediging jegens de toezichthouders, en ook zó doorzichtig.
Zolang toezichthouders het gedrag accepteren en niet zwaar bestraffen, zullen BigTech het gedrag blijven vertonen.

De toezichthouder kan Bydance een boete van 4% van hun omzet (een boete van 5,3 miljard euro) geven. Maar in plaats daarvan geven ze een boete van 530 miljoen miljoen en de Ierse toezichthouder staat er om bekend dat ze een partij zijn waar je mee kunt onderhandelen over boetes. Dat doen ze graag voor Amerikaanse bedrijven, maar wellicht niet voor Chinese.
Dat doen ze ook voor Chinese. De Ieren willen een "zacht land" zijn want er gaat veel omzet door Ierland heen.
Sterker nog de CEO mag dan wel verklaren dat iets zo is, maar vergis je niet wat hij verklaart is opgesteld door peperdure advocaten. Juridisch kan het best kloppen wat hij zegt. Maar dat betekend niet dat de waarheid een leugen op zichzelf is. Tiktok kan perfect data binnen de EU opslaan, maar dat betekend niet dat een Chinese data miner toevallig toegang heeft tot dezelfde data.

Wanneer bedrijven zoals Tiktok maar ook Google en Apple verklaringen geven zeker omtrend privacy van gebruikers, dan moet je je echt wel afvragen wat men nou precies zegt en of dit ook alles is.

Ik heb het meermaals aangegeven, maar Tiktok een onderdeel van een Chinees bedrijf maakt geen fouten in China, doet geen double-speak in China omdat de CEO dan opzij wordt geschoven en het bedrijf wordt genationaliseert. Echter dezelfde Chinese bedrijven die stuk voor stuk onder Chinese staatscontrole staan, liegen tot het barst in het Westen. China lacht zich dood hoe wij ons laten manipuleren zowel op bedrijfs niveau maar ook via social media. En dan mag China wel klagen hoe het Westen zich soms opstelt, maar als Chinese wetten niet compatible zijn met Westerse wetten heeft China twee opties, of het Westen verlaten of zich aan te passen. Het is toch wel heel raar dat wij altijd naar de Wetten van China dansen wanneer we daar zaken willen doen, maar omgekeerd blijkbaar niet?
dat bedoel ik, eerst ontkennen, later toegeven
En zo spelen er heel wat zaken wat niet alleen over X of tik tok .
Wordt echt tijd dat hier een de hele regel wetgeving wordt aangepast.
Dezelfde grapjes van google en Co die keer op keer de fout ingaan.

Wat ik niet helemaal begrijp is ( moest toegeven dat het daarover gelogen had.) Dus hebben ze daar zeer zeker zitten liegen. dus zijn ze geconfronteerd met bewijs ?? Of hadden ze nog weinig keuze

Flink afstraffen, loopt inmiddels allemaal de spuigaten uit , data en privacy, gegevens is inmiddels ook big business geworden.

[Reactie gewijzigd door Jeroen hofman op 12 juli 2025 09:27]

Of nog beter: 'heeft willens en wetens kehard staan liegen'
Liegen impliceert een bewuste actie. Zolang niet officieel duidelijk is of het bewust was of onbewust was hoort de media dus een neutrale berichtgeving aan te houden.
Recent voorbeeld in nederland:
https://nos.nl/artikel/2561280-defensie-vindt-alsnog-zoek-gewaande-beelden-hawija-minister-wil-onderzoek

Minister Brekelmans (Defensie) noemt het in een brief aan de Tweede Kamer "buitengewoon ongewenst dat deze beelden pas tien jaar na dato en na het onderzoek van de commissie-Sorgdrager worden getraceerd, ondanks eerdere inspanningen om deze beelden te achterhalen". Brekelmans laat intern en extern onderzoek doen hoe het zo heeft kunnen lopen.
offtopic:
Niet geheel ontopic, maar het raakt wel iets wat in een eerder artikel ter discussie kwam.

@TijsZonderH vroeg zich in een ander artikel af waar het wantrouwen richting bedrijven toch vandaan kwam (bij een artikel rondom DPG). Keer op keer zie je dit soort verschijnselen, waar een bedrijf ten behoeve van eigenbelang liegt, misleid en uiteindelijk zijn beloftes breekt.

Hier vind je de oorsprong: bedrijven zoals dit verpesten het imago van alle bedrijven en het straalt eenvoudigweg af. Het onderlinge vertrouwen tussen consument en bedrijf is weg.
TikTok ging al in beroep tegen de [eerdere]boete. Volgens het platform heeft het besluit van de DPC 'vooral betrekking op een bepaalde periode van enkele jaren geleden'.
De formulering die TikTok hier gebruikt is veelzeggend: met het woordje ‘vooral’ geeft TikTok duidelijk aan dat het niet alleen om overtredingen van ‘enkele jaren geleden’ ging, maar blijkbaar ook daarna nog. Als het daarna geen overtredingen had gepleegd, had TikTok nooit het woord ‘vooral’ aan zijn verklaring toegevoegd.

Het feit dat TikTok nu weer een onderzoek aan zijn broek heeft hangen omdat het keihard heeft gelogen tegen de toezichthouder geeft wel aan dat je bij TikTok totaal niet kunt vertrouwen op geruststellende woorden dat je data bij deze club veilig zouden zijn.
is de formulering hetzelfde in het engelse bron artikel ?
De DSA, DMA en GDPR missen één strafmaat - eeuwigdurende dns-blokkade. Die is volgens mijn bescheiden mening op een aantal sociale media uitvoerbaar (tiktok, x, facebook, instagram...).

Onze bescherming is te belangrijk om geen ruzie te maken met de oranje <censored>.
Het bedrijf kon niet aantonen dat de gegevens daar net zo goed beveiligd zijn als binnen de Europese Unie. Dat mag niet volgens de AVG.
Klopt dit wel?

Volgens mij eist de AVG dat het land in kwestie waar de data bewaard wordt minimaal dezelfde wettelijke privacywaarborgingen biedt als de Europese Unie.

Op dit item kan niet meer gereageerd worden.