Kinderen overzien vaak niet de risico’s van het verwerken en gebruiken van hun persoonsgegevens door anderen. Als een kind een rare foto van zichzelf op social media plaatst, zal het zich mogelijk niet realiseren dat zo’n foto hem of haar nog lang kan achtervolgen. De Algemene Verordening Gegevensverwerking (AVG) zal per 25 mei 2018 van toepassing zijn en de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Wat zegt de AVG over de positie van het kind?
Algemene regels AVG gelden ook voor kinderen
De AVG geldt net zo goed voor de verwerking van persoonsgegevens van kinderen als van volwassenen. Dat betekent dat alle basisbeginselen voor het verwerken van persoonsgegevens zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, dataminimalisatie, juistheid van de gegevens, opslagbeperking, integriteit en vertrouwelijkheid op kinderen van toepassing zijn. Net als bij volwassenen kunnen ook de persoonsgegevens van kinderen alleen rechtmatig worden verwerkt als dit is gebaseerd op één van de zes rechtvaardigingsgronden uit artikel 6 van de AVG. Op een aantal punten richt de AVG zich specifiek op extra bescherming van kinderen. Deze zal ik hierna benoemen.
Online moet kind minimaal 16 jaar oud zijn om toestemming te geven
Eén van de zes rechtvaardigingsgronden voor het verwerken van persoonsgegevens is het geven van toestemming. Artikel 8 AVG geeft specifieke regels voor toestemming van kinderen als dit is gerelateerd aan diensten van de informatiemaatschappij. Social media, online-games en webwinkels zijn voorbeelden van diensten van de informatiemaatschappij.
Artikel 8 van de AVG bepaalt dat een kind van 16 jaar of ouder in een online omgeving rechtsgeldig toestemming kan geven voor het gebruik van zijn persoonsgegevens. Bijvoorbeeld als het op internet een spel speelt of als het een social media account opent. Is het kind jonger dan 16 jaar, dan moet zijn of haar wettelijke vertegenwoordiger toestemming geven of het kind machtigen om toestemming te geven. Ontbreekt dit, dan kunnen de persoonsgegevens van het kind niet rechtmatig worden verwerkt door de verkrijger.
DE AVG biedt de lidstaten de mogelijkheid deze leeftijdsgrens te verlagen, zolang die leeftijd niet onder de 13 jaar ligt. Volgens het ontwerp voor de Uitvoeringswet Algemene Verordening Gegevensbescherming dat ter consultatie is gepubliceerd (sluiting 20 januari 2017), houdt Nederland het op een leeftijdsgrens van 16 jaar, omdat de huidige Wbp deze leeftijdsgrens hanteert en er geen aanleiding is dit te wijzigen.
Degene die in een online omgeving de persoonsgegevens van kinderen op basis van toestemming wenst te verkrijgen (in de AVG de verwerkingsverantwoordelijke genoemd) moet redelijke inspanningen verrichten om te controleren of de wettelijke vertegenwoordiger toestemming heeft gegeven of een machtiging heeft verleend. Hoe dat in de praktijk werkt, is nog wel een lastige. Wellicht kan gekeken worden naar methoden genoemd in de Amerikaanse COPPA regeling (Children’s Online Privacy Protection Rule ). Voorbeelden zijn:
- het laten tekenen van een toestemmingsformulier, dat per post, fax of als elektronische scan naar de verwerkingsverantwoordelijke wordt gestuurd
- het instellen van een gratis telefoonnummer dat door een ouder kan worden gebeld
- via video conferencing
- via e-mail van de ouder in combinatie met een andere methode van verificatie, bijvoorbeeld door het opvragen van het telefoonnummer van de ouder dat de verwerkingsverantwoordelijke ter verificatie kan bellen of het opvragen van het (email)-adres van de ouder waarheen een bevestigingsbrief kan worden gestuurd
De verwerkingsverantwoordelijke zal altijd moeten kunnen aantonen dat hij de benodigde toestemming heeft verkregen.
Geven van toestemming door kinderen anders dan in een online omgeving
De huidige Wbp bepaalt dat als persoonsgegevens van een kind op basis van toestemming worden verwerkt, de wettelijke vertegenwoordiger toestemming moet geven als het kind jonger is dan 16 jaar. De Wbp beperkt dit voorschrift dus niet tot toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij, zoals in artikel 8 van de AVG gebeurt. Dat betekent niet zonder meer dat kinderen straks in alle andere gevallen rechtsgeldig toestemming kunnen geven voor de verwerking van hun persoonsgegevens.
In 2009 heeft de Groep Gegevensbescherming artikel 29 een advies uitgebracht over de bescherming van persoonsgegevens van kinderen. De Groep is een belangrijk Europees adviesorgaan op het gebied van privacy. Volgens dit advies moet bij het geven van toestemming rekening worden gehouden met de ontwikkeling van een kind. Dat zal vaak van zijn of haar leeftijd afhangen.
De oplossing kan variëren van raadpleging van het kind samen met toestemming van de wettelijke vertegenwoordiger, gezamenlijke toestemming van het kind en de wettelijke vertegenwoordiger, tot de enkele toestemming van het kind. In de praktijk is het wellicht lastig steeds zo’n afweging te maken en is het een veilige route voor alle gevallen de leeftijdsgrens van 16 jaar te hanteren, net zoals nu vereist is onder de Wbp.
Bij verwerking op basis van ‘afweging belangen’ weegt belang kind extra zwaar
Een andere rechtvaardigingsgrond voor het verwerken van persoonsgegevens is de afweging van belangen. Hierbij worden de belangen gewogen van de verwerkingsverantwoordelijke of een derde aan de ene kant en die van de betrokkene -dat is degene van wie de persoonsgegevens worden verwerkt- aan de andere kant. Als de belangen van de betrokkene in een concreet geval niet zwaarder wegen dan die van de verwerkingsverantwoordelijke, mag de verwerkingsverantwoordelijke zijn of haar persoonsgegevens verwerken. Op grond van artikel 6 lid 1 sub f van de AVG prevaleren de belangen van een kind eerder boven die van de verwerkingsverantwoordelijke dan wanneer het om een volwassene zou gaan. Bij kinderen moet dus kritischer worden getoetst.
Verstrekken van informatie aan kinderen
Een belangrijke pijler van de AVG is het transparantiebeginsel. Degene van wie persoonsgegevens worden verwerkt, moet kort gezegd weten wie zijn gegevens verwerkt, wat er gebeurt met zijn gegevens en wat zijn rechten zijn. Dit beginsel is in artikel 12 van de AVG uitgewerkt. Hierin staat dat informatie en communicatie in duidelijke en eenvoudige taal moet plaatsvinden, vooral als de ontvangers hiervan kinderen zijn. Ook hier geldt dus weer een kritischer toets voor kinderen.
Recht op vergetelheid
De AVG regelt in artikel 17 in welke gevallen een betrokkene het recht heeft dat zijn of haar gegevens worden gewist. Dit wordt the right to be forgotten of het recht op vergetelheid genoemd. Eén van de situaties waarin dit recht op vergetelheid bestaat, is als iemand als kind toestemming heeft gegeven voor verwerking van zijn persoonsgegevens in verband met geleverde diensten van de informatiemaatschappij, maar er later voor kiest deze toestemming in te trekken. De verwerkingsverantwoordelijke moet dan andere verwerkingsverantwoordelijken aan wie betreffende persoonsgegevens zijn geopenbaard, informeren dat zij op hun beurt de gegevens ook moeten wissen. De inspanningen om andere verwerkingsverantwoordelijken in te lichten, moeten wel redelijk zijn in relatie tot de kosten en de technische mogelijkheden.
Gedragscodes en taak Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens kan gedragscodes goedkeuren, waarin bijvoorbeeld een branchevereniging de specifieke toepassing van de AVG voor haar branche nader toelicht. Volgens artikel 40 van de AVG is het verstrekken van informatie aan kinderen en de wijze waarop toestemming van kinderen of hun wettelijke vertegenwoordigers wordt verkregen, een belangrijk onderwerp om in dergelijke gedragscodes te regelen. Verder bepaalt artikel 57 van de AVG dat voorlichting één van de taken van de Autoriteit Persoonsgegevens is en dat daarbij ook specifieke aandacht aan kinderen moet worden besteed.
Als u vragen hebt over het verwerken van persoonsgegevens van kinderen, neem dan gerust contact op. Wij helpen u graag verder.