Tech

TikTok houdt je in de gaten – ook als je zelf geen account hebt

TikTok Data Privacy

2020 was het grote jaar van TikTok. Eind 2018 was het ook al populair, maar vorig jaar kon het platform dankbaar profiteren van het feit dat we ons collectief de pleuris verveelden. Ook kreeg TikTok aardig wat media-aandacht, vooral doordat het zich midden in een geopolitiek gevecht bevond tussen China en de Verenigde Staten.

Er waren zorgen ontstaan over welke gegevens TikTok van ons verzamelt, of eigenlijk vooral moederbedrijf ByteDance. De regering-Trump beweerde dat China via deze app gebruikers bespioneert, maar er is geen bewijs dat je persoonlijke gegevens bij TikTok veel onveiliger zijn dan bij Amerikaanse namen als Facebook en Amazon. Sterker nog, in juli 2020 verklaarde het Europees Hof van Justitie het EU-VS-privacyschild nog ongeldig, een privacy-overeenkomst tussen de EU en de VS, omdat het niet voldeed aan de vereisten van de Algemene verordening gegevensbescherming (AVG).

Videos by VICE

Ik was benieuwd hoe dit precies zat, en vroeg TikTok om me alle gegevens te sturen die het bedrijf van me had verzameld. Dat kan iedereen die in de EU woont immers gewoon doen, dankzij de AVG. Je kunt daar dit template voor gebruiken en het naar dit e-mailadres sturen.

Ik heb nooit een profiel op TikTok gehad. Je kunt er gewoon door filmpjes scrollen zonder een account aan te maken. Je hebt er alleen een nodig als je ook wil reageren, accounts wil volgen en zelf content wil uploaden. Tenminste, dat geldt voor sommige gebruikers, zoals ik. Anderen moeten juist wel een account aanmaken als ze de app willen gebruiken. TikTok heeft niet gereageerd op onze vraag waarom er zo’n verschil bestaat. Als je wel een account hebt, kun je aan de hand van deze instructies je gegevens downloaden.

Hoewel ik me dus nooit heb aangemeld, heb ik de app wel even twee maandjes gebruikt – bijna dagelijks. Uit mijn gegevens bleek dat ik ongeveer dertig video’s per dag bekeek. Aardig wat, maar alsnog onder het gemiddelde: de gemiddelde gebruiker brengt 46 minuten per dag door op het platform, en als je bedenkt dat de meeste video’s 15 seconden duren, kom je uit op zo’n 184 stuks.

User data and activity sheets. 36 excel sheets lined up in rows
DE GEBRUIKERSGEGEVENS EN -ACTIVITEIT DIE TIKTOK NAAR DE AUTEUR STUURDE. SCREENSHOT DOOR DE AUTEUR.

TikTok wil nog weleens beweren dat je gegevens niet geïdentificeerd kunnen worden, omdat de persoon achter het verzoek niet kan worden geverifieerd. Ook mijn verzoek werd in eerste instantie afgewezen. “We kunnen helaas geen account vinden met dit e-mailadres,” kreeg ik te horen. Ze vroegen me om meer informatie, zoals mijn gebruikersnaam of “een ander e-mailadres of telefoonnummer dat gebruikt is voor een account”.

In de privacyvoorwaarden van TikTok staat dat het informatie verzamelt die je geeft wanneer je een account aanmaakt, maar ook als je “het platform gebruikt zonder een account te creëren”. Dit gaat onder meer om je IP-adres, mobiele provider en tijdzone.

Ik stond voor een raadsel: TikTok verzamelde dus gegevens waarvan ze wisten dat het van mijn persoonlijke toestel kwam, dat je kunt identificeren aan de hand van een lange cijferreeks. Maar aangezien ik geen account had waarmee ik mijn identiteit kon aantonen, wilden ze niks met me delen. En ondertussen bleven ze mijn gegevens op allerlei manieren gebruiken. Ik kon bijvoorbeeld zien dat ze 595 keer informatie hadden uitgewisseld met Facebook, toen ik de activiteit buiten Facebook bekeek. Mijn gegevens van TikTok zijn dus verbonden met mijn facebookprofiel.

The Off-Facebook Activity section.
BIJ MIJN ‘ACTIVITEIT BUITEN FACEBOOK’ KON IK ZIEN DAT TIKTOK 595 KEER GEGEVENS MET FACEBOOK HAD UITGEWISSELD. SCREENSHOT DOOR DE AUTEUR.

Uiteindelijk kon ik bewijzen dat ik de rechtmatige eigenaar van mijn eigen gegevens was, door mijn IP-adres en de code waarmee je mijn iOS-toestel kunt identificeren te vermelden, mijn ID For Vendors (IDFV). Met deze code kunnen app-ontwikkelaars een toestel herkennen vanaf verschillende apps. Als op één telefoon bijvoorbeeld vier apps geïnstalleerd zijn van dezelfde ontwikkelaar (zoals bijvoorbeeld Facebook, WhatsApp, Instagram en Messenger), dan kan diegene alle profielen aan dezelfde gebruiker aan elkaar linken.

Met deze informatie ging TikTok akkoord om me mijn gegevens te sturen. Ik werd doorverwezen naar de supportpagina, moest naar ‘een probleem aangeven’ en al deze informatie vermelden in de feedbacksectie.

The author's request to download his data.
HET VERZOEK VAN DE AUTEUR OM ZIJN GEGEVENS TE DOWNLOADEN. SCREENSHOT VAN DE AUTEUR.

Binnen twee maanden na mijn eerste verzoek kreeg ik twee Excel-bestanden die beschermd waren met een wachtwoord, dat in een aparte mail zat. Het eerste bestand bestond uit een tabel met bijna 1900 rijen, waarin mijn hele kijkgeschiedenis stond uitgeschreven. Het andere bestand, mijn gebruikersgegevens en -activiteit, was een tabel met 15.886 rijen en 24 kolommen, waarin mijn bescheiden gebruik tot in het kleinste detail was samengevat.

De kijkgeschiedenis was niet echt een verrassing, maar ik was geschokt door de hoeveelheid gegevens die werden bijgehouden terwijl ik gewoon wat filmpjes zat te bekijken. Het bestand hield al mijn acties in de app bij, inclusief tijdstippen. Ook kon ik zien wat voor toestel ik had gebruikt, welke schermresolutie, provider, besturingssysteem en IP-adres ik had, en zag ik nog een identificatiecode (een andere dan die ik in mijn verzoek had vermeld).

TikTok hield bij wanneer ik video’s zocht of afspeelde, en nog veel meer variabelen die het bedrijf niet vermeldt op de privacypagina. In 2018 vroeg ik ook aan Amazon om mijn eigen gegevens, en kreeg ik een soortgelijke tabel met alles waarop ik had geklikt, en alles dat ik had opgezocht, gekocht of opgeslagen.

An excel sheet showing the user actions recorded by the author.
EEN AANTAL GEBRUIKERSACTIES DIE TIKTOK BIJHOUDT. SCREENSHOT DOOR DE AUTEUR.

Het is makkelijk om met het vingertje te wijzen naar TikTok, Facebook of Amazon, maar uiteindelijk doet elke app of website dit. Of je nu midden in de nacht op Tinder swipet of in je middagpauze een filmpje op TikTok kijkt: alles wordt bijgehouden. Dat is het internet dat we nu gebruiken. Terwijl bedrijven natuurlijk niet zoveel gegevens hoeven te verzamelen, of het voor eeuwig op hoeven te slaan.

Op de privacypagina’s rechtvaardigen dit soort bedrijven het verzamelen van gegevens vaak door te zeggen dat het om veiligheid draait: door je activiteiten bij te houden kunnen ze frauduleuze accounts vinden en verwijderen. Onze gegevens zouden niet tegen ons belang in worden gebruikt, maar zelfs als dat echt zo is, dan is het alsnog ergens opgeslagen, vatbaar voor cyberaanvallen of aanpassingen in de privacyvoorwaarden waar je mee instemt zonder dat je het doorhebt. Het kan ook worden opgevraagd voor politieonderzoek. Onderzoek van het Amerikaanse journalistieke platform The Intercept liet bijvoorbeeld zien dat de FBI TikTok-gegevens verzamelde en bijhield van tientallen Black Lives Matter-demonstranten.

An excel sheet showing the author's watch history. Some videos were deleted from TikTok.
DE KIJKGESCHIEDENIS VAN DE AUTEUR. SOMMIGE VIDEO’S ZIJN NOG STEEDS TE ZIEN, ANDERE ZIJN VERWIJDERD. SCREENSHOT DOOR DE AUTEUR.

Aangezien TikTok vooral populair is bij Gen Z’ers, zijn er zorgen over wat er met de gegevens gebeurt van minderjarige gebruikers. Op 13 januari kondigde TikTok aan dat accounts van gebruikers onder de zestien jaar voortaan als standaard worden ingesteld op privé. Dat besluit kwam nadat een twaalfjarige jongen uit het Verenigd Koninkrijk het platform had aangeklaagd, omdat het gegevens van kinderen onwettelijk had gebruikt om het algoritme mee te voeden.

We weten allemaal dat sociale netwerken over een flinke database van onze activiteiten beschikken. Of je TikTok wilt gebruiken is verder natuurlijk aan jou – maar onthoud wel dat je niet anoniem bent, zelfs als je niet eens een eigen account hebt.

Dit artikel verscheen oorspronkelijk bij VICE Italië.

Volg VICE België en VICE Nederland ook op Instagram.