Advocaten van TikTok waarschuwden leidinggevenden herhaaldelijk dat ze mogelijk datawetten zouden overtreden
Privacy experts binnen de organisatie maakten zich zorgen dat het ontbreken van een bedrijfsbeleid voor het bewaren van data, die in strijd met de Amerikaanse en Europese wetgeving zouden kunnen zijn. Jaren later heeft het bedrijf er nog steeds geen.
Het moederbedrijf van TikTok, ByteDance, heeft mogelijk in de VS en de EU wetten overtreden omdat het geen intern beleid heeft voor het bewaren van bedrijfsgegevens, volgens zeven huidige en voormalige werknemers van ByteDance en honderden interne documenten en chatlogs, die door Forbes zijn bekeken.
Uit het interne materiaal blijkt dat juridische en beleidsdeskundigen van TikTok topmanagers, waaronder Global Chief Security Officer Kim Albarella, duidelijk waarschuwden dat het ontbreken van een beleid voor het beheer van interne data bij ByteDance een bedreiging kon vormen voor het voortbestaan van het bedrijf in de VS en de EU. In één van de documenten, uit het voorjaar van 2023, spreekt een interne deskundige privacybeleid zijn opluchting uit over het feit dat de toezichthouders het gebrek aan naleving door het bedrijf nog niet hadden opgemerkt.
Medewerkers toonden zich bezorgd dat het bedrijf mogelijk niet voldeed aan de Amerikaanse FTC Act en de Europese privacyregelgeving GDPR. Regels voor het bewaren en het verwijderen van bedrijfsdocumenten, hoewel ogenschijnlijk alledaags, zijn van cruciaal belang omdat ze voorkomen dat bedrijven hun dossiers schoonvegen van bewijs van wangedrag en omdat ze de privacy beschermen van mensen, wier informatie in bedrijfsdocumenten is opgeslagen.
De zeven bronnen vertelden Forbes dat ByteDance al jaren niet over een dergelijk beleid beschikte, een onoplettendheid met mogelijk ernstige gevolgen voor een bedrijf dat al wordt onderzocht door de Amerikaanse overheid en wereldwijd in opspraak is vanwege zijn privacybeleid. Sommigen maken zich zorgen dat het ook de snelgroeiende e-commerce business van het bedrijf in gevaar kan brengen, met als middelpunt de TikTok Shop, die afgelopen september in de VS is gelanceerd en mikt op een omzet van $17,5 miljard dit jaar.
In berichten die Forbes heeft gezien, legden werknemers uit dat het niet hebben van een dataretentiebeleid het bedrijf niet in overeenstemming bracht met de International Payment Card Industry (PCI) Data Security Standard, wat – als het ontdekt was – het bedrijf volledig had kunnen uitsluiten van het verwerken van creditcardtransacties. In een document van eind 2022 stond dat TikTok Live was “gelanceerd zonder rekening te houden met de PCI-compliance”.
Uit intern materiaal dat door Forbes is onderzocht en dat grotendeels vertrouwelijk is, blijkt dat er haast was bij het opstellen en introduceren van een noodbeleid voor creditcard-specifieke documenten begin 2023 om ervoor te zorgen dat het bedrijf aan de vereisten voldeed. Maar in maart 2023 vertelde Albarella haar werknemers dat ze geen haast gingen maken met een specifiek beleid voor creditcardgegevens en in plaats daarvan verder zouden gaan met het opstellen en het lanceren van een alomvattend beleid, zo blijkt uit het materiaal. Het probleem: haar medewerkers zeiden dat het 1-2 jaar zou duren om dat proces operationeel te maken en in de tussentijd voldeed het bedrijf nog steeds niet aan de vereisten, zo blijkt uit het materiaal.
In antwoord op een gedetailleerde lijst met vragen over het interne materiaal, stuurde TikTok woordvoerder Alex Haurek de volgende verklaring: “Wij geloven dat deze beweringen gebaseerd zijn op verouderde documenten, die voornamelijk door werknemers zijn opgesteld, die niet langer bij het bedrijf werken, die geen zicht hadden op al ons werk op dit gebied en die nu proberen een agenda te bevorderen zonder rekening te houden met de feiten.” Haurek zei dat de tijdlijn van 1-2 jaar “afkomstig was uit een document dat was opgesteld door één enkele voormalige werknemer en niet was gevalideerd.”
In reactie op het interne document over de PCI-compliance van TikTok Live schreef Haurek: “Deze ongeautoriseerde verklaring geeft geen accurate weergave van de PCI-compliance status van deze producten. Het werd in het rapport opgenomen – na een laatste controle – door een werknemer, die het bedrijf inmiddels heeft verlaten.” ByteDance woordvoerder Mike Hughes voegde toe: “We volgen de industriestandaarden voor apps, die aan PCI-standaarden onderhevig zijn.” Op de directe vraag of ByteDance vandaag de dag voldoet aan de FTC Act en GDPR, schreef Hughes: “We streven er continu naar om te voldoen aan onze wettelijke verplichtingen met betrekking tot data governance.”
Geen van beide woordvoerders reageerde op vragen in welk land of welke landen hun bedrijfsgegevens zijn opgeslagen.
Hillary Sale, een professor of leadership and corporate governance aan de Georgetown Law School, vertelde Forbes dat elk bedrijf van de grootte van TikTok een bewaarbeleid zou moeten hebben en dat dit systemen zijn die elke startup zou moeten implementeren als ze groeien. Bedrijven moeten “begrijpen hoe en wanneer ze documenten moeten bewaren en ervoor zorgen dat mensen in het hele bedrijf dat belang begrijpen” vertelde ze Forbes in een interview.
Het bewaren van bedrijfsdocumenten – en de toegankelijkheid van die documenten voor ambtenaren van de Amerikaanse overheid – is van groot belang voor TikTok, aangezien het bedrijf midden in meerjarige onderhandelingen zit met de Committee on Foreign Investment in de Verenigde Staten. De regering Biden dreigde vorig jaar ByteDance te dwingen om TikTok te verkopen of de app in de VS te verbieden (Disclosure: in een vorig leven heb ik beleidsfuncties bij Facebook en Spotify bekleed).
TikTok wordt ook strafrechtelijk onderzocht door het Amerikaanse ministerie van Justitie voor het in de gaten houden van journalisten, waaronder deze verslaggever en kreeg eind vorig jaar een dagvaarding voor documenten met betrekking tot dat onderzoek. Eerder meldde Forbes dat de eigen antifraude-experts van ByteDance het bedrijf waarschuwden dat het niet in staat was om ervoor te zorgen dat hun antwoorden op verzoeken van wetshandhavers, zoals dagvaardingen, accuraat waren, deels vanwege de onregelmatige manier waarop het bedrijf gegevens verdraait. Destijds zei het bedrijf het volgende: “Dit document is bijna twee jaar geleden gemaakt binnen één afdeling, is nooit verder intern gepresenteerd en is grotendeels onnauwkeurig, met verouderde details, die irrelevant zijn gemaakt door regelmatige updates van onze praktijken in de jaren sindsdien.”
In de herfst van 2022 vertelde een advocaat van TikTok aan collega’s dat hij met een productteam aan een functie voor elektronische ontdekking werkte waarmee het bedrijf beter zou kunnen reageren op verzoeken om bedrijfsgegevens, maar hij waarschuwde zijn collega’s dat het een langdurig proces zou worden, volgens documenten die door Forbes zijn bekeken. Destijds was de taak om een beleid te ontwikkelen gegeven aan het team Data Defense and Access Assurance van TikTok, maar dat team gaf er geen prioriteit aan ten gunste van dringender werkzaamheden. Het project werd vervolgens overgedragen aan datacompliance-experts binnen de Global Security Organization (GSO) van het bedrijf.
Eveneens in 2022 huurde ByteDance Redgrave LLP in, een bedrijf dat gespecialiseerd is in corporate information governance, om te helpen bij het opstellen van een beleid voor het bewaren van documenten. Eén van de eerste vragen, die de externe advocaten stelden, was of het beleid alleen betrekking moest hebben op TikTok of op ByteDance als geheel. Tijdens een interview medio 2022 vertelde de voormalige Global Lead for Security Compliance van TikTok aan Albarella, de waarnemend Chief Security Officer van het bedrijf, dat het beleid voor ByteDance als geheel moest gelden omdat “het interne systeem van ByteDance niet kan worden gescheiden tussen producten”.
Conceptbeleidsregels van begin 2023, opgesteld door de adviseurs van Redgrave, laten zien dat hoewel de advocaten oorspronkelijk van plan waren om het conceptbeleid alle interne ByteDance-documenten te laten omvatten, ze het vervolgens beperkten tot alleen documenten die eigendom waren van TikTok. (Redgrave reageerde niet op een verzoek om commentaar.)
Toch blijft het onduidelijk of er nu wel een specifiek TikTok-beleid is voor het bewaren van gegevens. Forbes vroeg zowel TikTok als ByteDance of ze tegenwoordig een uitgebreid, gehandhaafd dataretentiebeleid hebben.
“Zoals elk bedrijf bewaren we gegevens om aan wettelijke verplichtingen te voldoen” antwoordde Hughes. Haurek voegde eraan toe: “We hebben beleid en procedures, die het bewaren van persoonlijke gegevens van TikTok-gebruikers regelen.”
Geen van beiden beantwoordde een vervolgvraag om te verduidelijken of TikTok en ByteDance vandaag de dag een bedrijfsbeleid hebben voor het bewaren van gegevens.