Persoonsgegevens naar China sturen mag niet, maar bedrijven doen het toch
China krijgt geregeld kritiek vanwege schendingen van de mensenrechten. De wet verbiedt daarom het delen van persoonsgegevens met dat land. Het gebeurt wel, bijvoorbeeld door KPN-start-up WeGoEU.
Bij bananen of koffie is het duidelijk: bedrijven zijn medeverantwoordelijk voor mensenrechtenschendingen in hun productieketen, ook aan de andere kant van de wereld. Hoe zit het met data? KPN werkt samen met Tencent, de Chinese internetgigant die in verband wordt gebracht met vergaande staatssurveillance en onderdrukking van minderheden in China. Het Nederlandse telecombedrijf heeft een app ontwikkeld voor het WeChat-platform gericht op Chinese reizigers.
De privacywet: Waarschuw gebruikers voor datadoorgifte naar China
De app WeGoEU van KPN helpt Chinezen in Europa op weg en wijst ze bijvoorbeeld op musea, restaurants, toeristenbureaus, openbaar vervoer en hulpdiensten. Omgekeerd volgt deze digitale reisgids de Chinezen bij alles wat ze doen. De app verzamelt persoonsgegevens, zoals locatie en betalingen, en bewaart die in Nederlandse datacentra.
Hierbij is de Europese privacywet van kracht. De Algemene verordening gegevensbescherming (AVG) garandeert sinds 2018 het recht van personen op bescherming van hun gegevens. Of je een Chinees of een Nederlands paspoort hebt, doet er niet toe.
De AVG trekt een virtuele grens rond de Europese Unie, die persoonsgegevens niet zomaar mogen passeren. “Persoonsgegevens de EU uit brengen, mag alleen als het land van bestemming een passend niveau van gegevensbescherming biedt”, zegt Els de Busser, als universitair docent verbonden aan het Institute of Security and Global Affairs van de Universiteit Leiden en gespecialiseerd in gegevensbescherming.
China staat niet op de lijst van goedgekeurde landen
Of een land voldoende bescherming biedt, bepaalt de Europese Commissie. Die kijkt daarvoor naar privacywetgeving, de bescherming van mensenrechten en de onafhankelijkheid van de rechtsstaat. China staat niet op de lijst met goedgekeurde landen. En dus mogen persoonsgegevens niet naar China worden verstuurd.
Er zijn uitzonderingen. Een daarvan is dat de app-gebruiker “uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden.” Zo staat het in de AVG. Een gebruiker moet dus in heldere taal worden gewezen op de risico’s van datadoorgifte naar China.
KPN werkt ook samen met Huawei
KPN is behalve van Tencent ook partner van telecombedrijf Huawei. KPN is nu druk bezig om het mobiele radio- en antennenetwerk te vernieuwen op honderden locaties. Dit gebeurt in samenwerking met Huawei. Het nieuwe netwerk moet het bedrijf voorbereiden op het 5G-tijdperk met razendsnel mobiel internet.
Huawei ligt onder vuur, omdat het Chinese spionage zou faciliteren. Huawei ontkent dit. Toch vinden deskundigen het geen goed idee om Huawei 5G-infrastructuur te laten aanleggen in Nederland. KPN zegt het risico te beperken door een westerse leverancier het kernnetwerk te laten aanleggen.
Vorig jaar onthulde Trouw dat Huawei voor KPN een ‘business-supportsysteem’ heeft gebouwd. Dit betreft onder meer de opslag van belgegevens: wie belt wie? Deze gegevens geven inzicht in sociale netwerken. Huawei onderhoudt de hardware en software van het systeem.
Afgaande op de privacyvoorwaarden verzamelt WeGoEU persoonlijke gegevens zoals naam, telefoonnummer, thuisadres en e-mail. Verder worden zoekopdrachten, bezochte websites en betalingen binnen WeChat Pay en binnen de WeGoEU-app opgeslagen. Ook kan de locatie van de smartphone worden bewaard.
“We kunnen uw persoonlijke data delen met een aantal derde partijen”, staat in de privacyverklaring, waarna Tencent als voorbeeld wordt genoemd. Tencent bewaart gegevens op servers in China, meldt de privacyverklaring ook. Waarschuwt KPN de gebruikers van de app voor de risico’s van datadoorgifte naar China?
De tekst van de privacyvoorwaarden zal worden verduidelijkt
In een reactie zegt een woordvoerder van KPN dat de privacyvoorwaarden een verkeerd beeld oproepen en dat deze tekst zal worden verduidelijkt. De KPN-start-up WeGoEU stuurt geen data naar China, zegt hij. Dat WeChat toegang heeft tot gebruikersdata komt doordat WeGoEU ‘als mini-programma binnen de grotere WeChat-omgeving draait, waar de Chinese toerist zelf een account heeft’.
Hoe zit dat? Is dit onderscheid tussen de app en het platform terecht? Of zoekt KPN de grens op van de AVG door een app te maken voor een Chinees platform, waardoor data direct naar China vloeien zonder tussenkomst van een Nederlandse computerserver? De Autoriteit Persoonsgegevens (AP) zegt op basis van de voorgelegde informatie en zonder zelf onderzoek te doen geen uitspraak te kunnen doen over dit dossier.
Wel verwijst de AP naar een ‘gezaghebbende opinietekst’ van het Europees Comité voor gegevensbescherming, het samenwerkingsorgaan van toezichthouders. Daarin staat dat een app-gebruiker grote risico’s kan lopen door gebrek aan transparantie bij de dataverwerking door een app. Dat komt door het grote aantal spelers dat bij een app is betrokken, zoals app-eigenaars, app-winkels, makers van besturingssystemen en apparaten. Hierdoor ontstaat versnippering, waarvan een gebruiker de dupe kan worden.
De ethicus: Westerse bedrijven moeten westerse waarden hooghouden
Als het wel zou mogen van de Europese privacywet, moet je het dan ook willen, zo’n samenwerking met Tencent? Voor mensenrechtenbeleid zegt KPN de richtlijnen van de VN voor bedrijven te onderschrijven. Daarin staat dat bedrijven niet mogen meewerken aan mensenrechtenschendingen. Data zijn handelswaar, een gewild ingrediënt voor analyse en onderdeel van de digitale productieketen.
De organisatie van ontwikkelde landen, Oeso, waarschuwde onlangs dat digitalisering kan bijdragen aan mensenrechtenschendingen. Zo kan surveillancetechnologie of kunstmatige intelligentie discriminatie bevorderen. Bedrijven moeten daarom onderzoek doen naar dit soort risico’s in hun bedrijfsvoering. De KPN-startup WeGoEU zegt geen invloed te hebben op wat Tencent met persoonsgegevens doet.
Dat het hier om een ethisch vraagstuk gaat, is evident, zegt Peter-Paul Verbeek, hoogleraar filosofie van mens en techniek aan de Universiteit Twente. “Dit vraagstuk zit in het hart van de problemen die we hebben met de digitale infrastructuur. Het is niet alleen een ethische kwestie, maar ook een politieke kwestie, die over de verhouding tussen China en het Westen gaat.”
Verbeek: “Welke digitale infrastructuur willen wij vormgeven? Tegenwoordig kun je niet functioneren in de samenleving zonder digitale producten te gebruiken. Daarbij zijn er twee uitersten. Enerzijds heb je het harde kapitalisme van bedrijven als Facebook of Google. Anderzijds het radicale centralisme van de Chinese staat. Europa probeert een derde weg te initiëren, gebaseerd op vrijheid, gelijkheid en solidariteit.” Dat betekent dat bedrijven zich aan de westerse kernwaarden houden, zegt Verbeek. “En dus geen data prijsgeven aan een regime dat onze waarden afwijst.”
Zorg dat de ethiek is ingebakken als je technologie ontwikkelt
De Europese privacywet of de boetes die Brussel uitdeelt aan techbedrijven zijn stappen in de juiste richting, zegt Verbeek. Ook heeft hij veel vertrouwen in het concept ethics by design. “Zorg dat de ethiek is ingebakken als je technologie ontwikkelt. Er moet een ontwerp mogelijk zijn, dat Nederlandse bedrijven in staat stelt de Chinezen te faciliteren zonder het Chinese surveillancesysteem te ondersteunen.”
Sommige werknemers van KPN hebben kritiek op de samenwerking. Ook bij andere techbedrijven laten werknemers van zich horen. Zo was er bij het Amerikaanse bedrijf Microsoft protest over de levering van slimme brillen aan het Amerikaanse leger en de samenwerking met de Amerikaanse immigratiedienst. Verbeek: “Zo’n discussie is ontzettend belangrijk binnen onze democratie. Ook in het geval van KPN is het goed dat dit gesprek wordt gevoerd. Ik ken KPN ook niet als een amoreel bedrijf, maar juist als een bedrijf dat over deze dilemma’s nadenkt.”
Ook de Efteling is op WeGoEU te vinden
Diverse Nederlandse toeristische attracties en ondernemingen dragen bij aan de app WeGoEU van KPN en Tencent. Volgens marketingbureau NBTC Holland Marketing zijn dat onder meer de Efteling, het Rijksmuseum, het Mauritshuis, de Bijenkorf, Het Nationale Park De Hoge Veluwe, Van Gogh Brabant, Batavia Stad, Visit Flevoland, VisitBrabant, Keukenhof en Royal Delft. Elke zakelijke partner heeft als het ware een eigen afdeling op het platform.
De Efteling biedt bezoekers bijvoorbeeld parkinformatie aan in het Chinees. Ook kunnen die met de app afrekenen. Voor vragen over de verwerking van persoonsgegevens door Tencent verwijst het pretpark naar NBTC Holland Marketing. Deze organisatie die toerisme in Nederland promoot, zegt in een reactie vooral expertise te leveren op het gebied van toerisme en te zorgen voor geschikte partners in de WeGoEU-app. Voor vragen over de verwerking van persoonsgegevens verwijst het weer naar KPN.
Je kunt zeggen dat het Rijksmuseum in Amsterdam voor vrije meningsuiting staat. Hoe ziet het Tencent als zakenpartner? Chinezen kunnen ook een kaartje kopen aan de kassa of op de Chinese landingspagina van de website, zegt een woordvoerder. “De keuze om WeGoEU wel of niet te gebruiken ligt bij de gebruiker.” Via WeChat kan het Rijksmuseum een miljard Chinezen bereiken, zegt de woordvoerder.
Lees ook:
KPN onder vuur door samenwerking met Tencent
Voor Chinese partner Tencent maakte KPN de app WeGoEU. Peking controleert daarmee Chinezen in Europa, waardoor het Nederlandse telecombedrijf betrokken kan zijn bij mensenrechtenschendingen. Medewerkers van het bedrijf uiten kritiek op de samenwerking: ‘Ons moreel kompas is de weg kwijt’.