30 mei 2018 door Charlotte Meindersma

Kinderen en de AVG: online dienstverlening

Dit is deel 1 van onze serie over de nieuwe privacywetgeving (AVG), die op 25 mei 2018 van kracht is geworden. Hieronder bespreekt Charlotte Meindersma de basisprincipes bij online dienstverlening, waaronder het verschil tussen 'toestemming geven' en 'een overeenkomst aangaan'.

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om onze persoonsgegevens te beschermen. Dus ook de persoonsgegevens van onze kinderen. In hoeverre worden hún persoonsgegevens vanaf 25 mei beter beschermd?

Kinderen tot 16 jaar

Het begrip 'kinderen' is onder de AVG een beetje anders dan we gewend zijn. Het gaat namelijk om kinderen tot de leeftijd van 16 jaar, die extra bescherming moeten krijgen. Kinderen van 16 jaar en ouder worden op dezelfde manier behandeld als volwassenen.

Overigens mogen de EU-lidstaten de speciale regels voor kinderen beperken tot de toepassing op kinderen tot 13 jaar (in plaats van 16). Nederland heeft daar niet voor gekozen, maar België wel.

Toestemming

Bedrijven, overheid en andere organisaties mogen persoonsgegevens alleen verwerken als ze daar een juridische grondslag voor hebben. Dat is voor de persoonsgegevens van kinderen niet anders. Het is daarom niet zo dat er in álle gevallen strengere regels gelden voor het verwerken van persoonsgegevens van kinderen. Dat is alleen zo wanneer er toestemming nodig is om de persoonsgegevens te mogen verwerken.

Dus: als er toestemming nodig is...

  • om 'een dienst van de informatiemaatschappij' te leveren (zoals online diensten, apps, verkoop via een webwinkel, etc.)
  • die direct aan het kind wordt aangeboden...

dan:

  • moet de toestemming zijn verleend door de ouders
  • en moet de organisatie een redelijke inspanning leveren om te controleren of die toestemming door de ouders is verleend.

Bovendien moet in zo'n geval de privacyverklaring zo zijn opgesteld dat het kind hem kan begrijpen. Apps voor een telefoon of een tablet, en spelletjes voor op de computer, die speciaal bedoeld zijn voor kinderen, moeten dus op het niveau van kinderen kunnen uitleggen wat ze met hun persoonsgegevens doen. Dat ouders alsnog toestemming moeten geven om bijvoorbeeld zo'n app te mogen gebruiken, en dat ouders ingewikkeldere taal begrijpen, doet er niet toe.

Toestemming niet altijd vereist

De AVG is een verordening met regels. Zo'n verordening begint altijd met overwegingen – de zogenaamde 'preambule' – waarop de regels zijn gebaseerd. De preambule van de AVG zegt dat kinderen recht hebben op specifieke bescherming, maar dat toestemming niet altijd vereist is [witregel ingevoegd voor betere leesbaarheid – red.]:

"Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens.

Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist." (AVG, overweging 38)

Het is dus zeker niet zo dat er altijd toestemming van de ouders vereist is, al wil de Autoriteit Persoonsgegevens ons wellicht anders doen geloven.

Toestemming of overeenkomst?

Je kunt je in sommige gevallen afvragen of er sprake is van 'een overeenkomst' of misschien zelfs van 'een gerechtvaardigd belang', waarbij dus geen toestemming van een ouder nodig is. Of dat zo'n grondslag niet mogelijk is, en er juist wel om toestemming gevraagd moet worden.

Veel bedrijven nemen het zekere voor het onzekere. Zo is de leeftijdsgrens voor het gebruik van WhatsApp verhoogd naar 16 jaar. Voor Facebook en Instagram ligt het iets ingewikkelder. [Zie verder: Deel 2 van onze serie – red.]

Bij al dat soort sociale-mediakanalen kan ik me nog voorstellen dat het eigenlijk geen overeenkomst is, en dat er vooral sprake is van toestemming.

Maar bij Microsoft ligt dat toch anders. Zelfs wanneer je de gratis versie van Outlook gebruikt. Dat zou je toch wel kunnen kwalificeren als 'een overeenkomst', denk ik.

Toch eist Microsoft toestemming van de ouders, wanneer een kind van jonger dan 16 een of meer diensten van Microsoft wil gebruiken. Die toestemming wil Microsoft vervolgens verifiëren door 50 cent van een credit card af te schrijven, of door een kopie van een identiteitsbewijs te ontvangen. Daar zijn niet alle ouders even blij mee.

Microsoft is de toegang gaan blokkeren voor kinderen waarvan de toestemming nog niet geregeld was. Ook dat vindt niet iedereen even tof. Feit is echter wel dat Microsoft steeds heeft aangekondigd dat deze toestemming en de bijbehorende verificatie nodig was.

Dat kinderen die mededelingen hebben genegeerd, is wellicht vervelend, maar maakt misschien ook wel duidelijk waarom het zo belangrijk is dat ouders meekijken bij wat kinderen doen. Kinderen nemen niet alles even serieus, of beseffen niet altijd goed wat de gevolgen zijn van hun doen en (na)laten.

Alleen toestemming als toestemming vereist is

Natuurlijk moeten organisaties voorzichtig omgaan met gegevens van kinderen. Maar heel veel beter zal de bescherming onder de AVG niet opeens worden. Ook onder de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, waren er al specifieke regels voor kinderen. Vooral de verificatieplicht is nieuw.

Ouders hoeven dus pas toestemming te geven als een kind überhaupt alleen maar op basis van de juridische grondslag toestemming persoonsgegevens aan een organisatie of bedrijf zou mogen geven.

Alle delen in deze serie over kinderen en de AVG

Daar waar u (nog) geen link ziet, is sprake van een deel dat nog in voorbereiding is.

  • Deel 1 – over online dienstverlening
  • Deel 2 – over sociale media
  • Deel 3 – over (web)mail, zoals Gmail en Hotmail
  • Deel 4 – over de jeugdgezondheidszorg (JGZ)
  • Deel 5 – over scholen
  • Deel 6 – over sportclubs en reisorganisaties
  • Deel 7 – over passend onderwijs