Har innkalt TikTok til møte på tirsdag

Saken er endret 28.05 kl 10.55.

– Jeg ønsker klarhet i om data om norske brukere er overført til Kina.  Derfor har vi kalt TikTok inn til et møte på tirsdag. I møtet forventer jeg å få en fullstendig redegjørelse fra selskapet på hvilke tiltak de nå gjennomfører for å rette opp og sikre at slike feil ikke skjer igjen, sier Karianne Tung, digitaliserings- og forvaltningsminister. 

Det irske Datatilsynet har ilagt TikTok et overtredelsesgebyr på 530 millioner euro for brudd på personvernforordningens (GDPR) regler om overføring av personopplysninger til land utenfor EU/EØS.

GDPR krever at persondata som overføres ut av EU/EØS, skal ha samme vern etter overføring som de har under lagring i EU/EØS. I denne saken har TikToks ansatte i Kina hatt fjerntilgang til data om europeiske TikTok-brukere lagret i Singapore og USA. I tillegg har opplysninger om et begrenset antall europeiske brukere i perioder vært lagret i Kina. Gebyret er begrunnet i at TikTok ikke har kunnet bekrefte at dataene har vært underlagt tilnærmet samme personvernkrav etter overføring til Kina. Gebyret er også begrunnet i at TikTok ikke har gitt brukerne tilfredsstillende informasjon om at opplysningene deres ble overført til land utenfor EØS.

Møte finner sted på statsrådens kontor i regjeringskvartalet 27.mai klokken 1415 norsk tid. I tillegg til TikToks kontaktperson i Norge, deltar TikToks ansvarlige for myndighetskontakt i Europa via teams.

Ber om svar på spørsmål

I forkant av møte har digitalisering- og forvaltningsministeren Karianne Tung (Ap) mottatt en skriftlig redegjørelse fra TikTok. Statsråden har i etterkant av dette sendt følgende spørsmål til TikTok som hun ønsker å få belyst i møte:

1. I den skriftlige redegjørelsen vi har mottatt viser dere til Project Clover og investeringer på 30 milliarder kroner i prosjekter i Norge. Hvorfor foretar TikTok denne investeringen når dere samtidig hevder i redegjørelsen å ha fulgt personvernregelverket?
2. Dere mener at vedtaket fra det irske Datatilsynet (DPC) er feil og at dere vil anke denne avgjørelsen. Samtidig skriver dere i redegjørelsen at data om EØS-borgere ved en feil ble lagret på servere i Kina. Hvordan henger dette sammen, og kan dere garantere at liknende ikke skjer i fremtiden?
3. Opplysninger om at et begrenset antall europeiske TikTok-brukere i perioder har vært lagret i Kina. Dere sier ikke noe om norske brukere. Kan dere garantere at data om norske brukere ikke er overført til Kina? Og at det heller ikke vil skje i fremtiden?
4. Mer om Project Clover. Mener dere at denne investeringen vil sikre nødvendig beskyttelse og tiltak for å garantere datasikkerheten til de europeiske brukerne fremover? Og på hvilken måte vil det sikre etterlevelse av GDPR?
5. Videre gir dere uttrykk for at overføring av personopplysninger til tredjeland kun medfører en hypotetisk risiko. Samtidig vet vi at Kina har en helt annen standard for beskyttelse av personopplysninger og ivaretakelse av menneskerettigheter enn vi har. Kan dere utdype hva dere mener med at dette kun utgjør en hypotetisk risiko?
6. TikTok opplyser at det britiske cybersikkerhetsselskapet NCC Group er engasjert som en uavhengig tredjepart for å håndheve TikToks tilgangsregler og forhindre uautorisert tilgang til europeiske brukerdata. Hva innebærer det at NCC Group skal håndheve TikToks tilgangsregler? Hvordan sikrer dere at NCC er tilstrekkelig uavhengig av TikTok når NCCs håndheving er finansiert av TikTok?

Her er redegjørelsen fra TikTok: 

Irlands Databeskyttelseskommisjon (DPC) publiserte i dag sin endelige beslutning i undersøkelsene av TikToks overholdelse av GDPRs krav for "overføringer" av personopplysninger til Kina.

Undersøkelsen ble igangsatt i september 2021, og den endelige beslutningen gjelder hovedsakelig perioden fra juli 2020 til mai 2023, som er før implementeringen av vårt bransjeledende europeiske datasikkerhetsinitiativ, Project Clover. Project Clover er en investering på 12 milliarder Euro, som sikrer omfattende ekstra beskyttelser og tiltak for å forbedre datasikkerheten til våre 175 millioner europeiske brukere videre. 

TikTok har gått lenger enn noe annet selskap for å helhetlig ta tak i hypotetiske risikoer knyttet til overføringer til tredjeland, som Kina. Beslutningen fra DPC tar ikke tilstrekkelig hensyn til de omfattende datasikkerhetstiltakene vi har implementert gjennom Project Clover. Den korte analysen i beslutningen fra tilsynet, har også faktiske feil. Mens TikTok har fordelen av skaleringseffekter og ressurser til å investere i et så omfattende initiativ som Project Clover, vil det være svært vanskelig for de fleste andre selskaper i en lignende posisjon som vår å matche dette nivået av investering i europeisk datasuverenitet.

Det er også viktig å merke seg at "overføringer" i sammenheng med denne beslutningen er begrenset til fjerntilgang til personopplysninger fra EØS-brukere, som i TikTok tilfelle lagres i en europeisk enklave i EØS og USA. Vi er uenige i beslutningen fra DPC og har til hensikt å anke den. Jeg vil her mer detaljert forklare hvorfor.

Project Clover leverer allerede enestående beskyttelser for europeiske brukerdata

Det viktigste, er at beslutningen tydelig innehold det vi konsekvent har sagt:  vi har aldri mottatt en eneste forespørsel om denne typen data, og heller har aldri utlevert EØS-brukerdata som svar på noen slik forespørsel.

Likevel har vi lenge anerkjent bekymringer som har blitt uttrykt om potensielt uautorisert datatilgang fra Kina-baserte ansatte. Project Clover er delvis utviklet for nettopp å adressere disse bekymringene. Under Project Clover lagres europeiske brukerdata som standard i et spesifikt opprettet og dedikert sikkert miljø, kjent som den europeiske enklaven, i datasentre i Europa og USA. Tidligere denne uken kunngjorde vi at vi fortsetter å investere i europeiske datasentre, med en investering på 1 milliard Euro i Finland. TikTok har de siste årene investert over 30 milliarder kroner i datasenteret vårt på Hamar, som har 200 ansatte i dag og vil ha 350 ansatte når det er helt ferdigstilt. Som DPC selv anerkjenner i sin beslutning, gjelder ikke kinesisk lov for brukerdata lagret i enklaven.

I tillegg har vi lagt til enda strengere kontroller for og rundt disse dataene, ved å sette opp sikkerhetsportaler rundt enklaven. Tilgang til europeiske brukerdata er kun tillatt for godkjente ansatte, som trenger det for å utføre jobben sin. Det er behov for at visse typer data i enklaven, som offentlige videoer (kjent som tillatte data), kan flyte utenfor regionen, for at folk skal kunne se TikTok-innhold fra hele verden. Men ingen ansatte basert i Kina har tilgang til europeiske brukeres sensitive og avgrensede data, som telefonnumre eller e-postadresser. Tillatte data overført fra enklaven blir også de-identifisert ved hjelp av ulike teknikker, før det kan gis tilgang.

En ytterligere kritisk komponent i Project Clover er tredjepartstilsyn og -overvåking. TikTok har gått foran i bransjen og engasjert NCC Group, et britisk cybersikkerhetsselskap med kontorer over hele EU, for å uavhengig overvåke, sjekke og verifisere våre datakontroller og -beskyttelser. NCC Group gjennomfører også kontinuerlig overvåking av sikkerhetsportalene, for å håndheve tilgangsreglene våre og forhindre uautorisert tilgang til europeiske brukerdata i enklaven. Dette er et nivå av åpenhet og tilsyn som ingen annen online plattform matcher i dag.

TikTok har, uavhengig av DPCs undersøkelse, informert DPC om et problem vi selv oppdaget 

Som følge av det proaktive og løpende arbeidet med overvåkning i Project Clover, avdekket vi at ekstremt begrensede EØS-brukerdata ved en feil hadde blitt lagret på servere i Kina. Dette problemet ble oppdaget i ett bestemt internt system, hvor ansatte manuelt kunne sende inn ustrukturert, fritekstinformasjon som del av en 'ticket' for å få støtte med teknisk feilsøking. Vi anslår at omfanget av EØS-brukerdata som er berørt i denne sammenhengen er ekstremt begrenset. Vi handlet umiddelbart: slettet dataene, oppdaterte systemene våre og informerte straks DPC. Vår proaktive rapport til DPC understreker åpenheten TikTok forplikter seg til å ha. At dette problemet ble avdekket, er et eksempel på at Project Clover og teamene som støtter Clover, fungerer som planlagt.

TikTok har fulgt EUs egne regler

Dette er ikke DPCs første avgjørelse om dataoverføringer utenfor Europa. Tilsynet utstedte en rekordstor bot på 1,2 milliarder Euro til Meta i 2023, og beordret selskapet til å suspendere dataoverføringer til USA, med konklusjonen at USA ikke ga "tilstrekkelig" beskyttelse for europeiske personopplysninger.

Bare 15 land utenfor EØS anses som "tilstrekkelige" av EU. Dette betyr at utallige andre, både innenlandske og globale, selskaper som opererer i Europa, har stolt på standard kontraktsvilkår - EUs anbefalte juridiske mekanisme - for å gi fjerntilgang til data til ansatte basert i land som ikke anses som tilstrekkelige. Det inkluderer Kina, samt andre land som India, Sør-Afrika, Australia, Filippinene og Gulfstatene.

DPC hevder at TikTok ikke gjorde nødvendige vurderinger. Vi bestrider dette sterkt, etter å ha gjennomført detaljerte vurderinger med råd fra advokatfirmaer og andre eksterne eksperter. Som mange andre selskaper som ønsker å operere globalt, så vel som i Europa, har TikTok fulgt disse reglene for å gi strengt kontrollert, begrenset tilgang til ansatte i land uten denne tilstrekkelighetsavtalen.

Måten vi opererer under disse reglene er noe vi har vært transparente om. Og, i motsetning til noen andre selskaper, forklarer vi tydelig disse mekanismene i vår europeiske personvernpolicy og kommunikasjon med vårt europeiske samfunn, som nå teller over 175 millioner mennesker. Vi er skuffet over å ha blitt singlet ut, når vi bruker samme juridiske mekanisme som tusenvis av andre selskaper som tilbyr tjenester i Europa.

En trussel mot europeisk konkurranseevne

En beslutning som denne, kan også ha alvorlig innvirkning på den bredere europeiske økonomien på et tidspunkt der europeisk konkurranseevne allerede er under intenst press. Følger man logikken i denne beslutningen, kan ethvert land som ikke anses som "tilstrekkelig" lett komme under regulatorisk gransking og også anses som "usikkert" for dataoverføringer. Dette vil skape et nivå av usikkerhet som til slutt kan påvirke kritiske investeringer på et tidspunkt med økende økonomisk usikkerhet for regionen.

Dette er spesielt viktig gitt omfanget av Europas handel med land som ikke anses som tilstrekkelige: Kina er EUs tredje største datapartner (i følge Digital Europe), og handel med digitale tjenester mellom EU og India nådde 17 milliarder Euro i 2022 alene. I tillegg er mange europeiske selskaper avhengige av talent i Kina, India og Tyrkia innen områder som FoU, produksjon og ingeniørfag.

Hvis ikke Project Clover - hva da?

Hvis det ikke er tilstrekkelig med de omfattende tiltakene som er innført med Project Clover, som er blant de mest robuste og strenge datasikkerhetstiltakene i – og rundt - vår bransje, samt uavhengig, tredjeparts overvåking av NCC Group, er det rimelig å spørre: hva ville bli ansett som tilstrekkelig? Det er beklagelig at DPC ikke ser ut til å ha gitt disse omfattende beskyttelsene den vurderingen de fortjener og krever.