Kinderen en privacy online

Hebben kinderen speciale bescherming binnen de privacywetgeving?
Online games, sociale media en videowebsites zijn niet meer weg te denken uit het leven van een kind. Smartphones besturen ze met speels gemak, internet is vrijwel altijd beschikbaar en het aanbod aan games en applicaties voor kinderen is enorm. Via deze interactieve media slaan kinderen zonder aarzelen veel data op bij diverse partijen en dat kan privacyrisico’s met zich meebrengen. Is er voor deze kwetsbare groep speciale bescherming onder de privacywetgeving in Nederland en Europa?

Verwerking van Persoonsgegevens
Bij het intensieve internetgebruik van kinderen hoort ook een intensieve verstrekking van persoonsgegevens. Kinderen vullen op diverse (sociale) sites, applicaties en games hun mailadres, naam, geboortedatum en adres in. Bijvoorbeeld om content binnen games vrij te spelen, om een account aan te maken of om prijzen te winnen. Tegelijkertijd kunnen (commerciële) partijen dankbaar gebruik maken van deze data en de activiteiten van kinderen in kaart brengen in een profiel. Het mogelijke gevolg? Een uitgebreid profiel over een kind dat verkocht kan worden aan een derde partij.

Nederlandse Wet bescherming persoonsgegevens
In Nederland zijn de belangrijkste regels voor de omgang met persoonsgegevens opgenomen in de Wet bescherming persoonsgegevens. De wet ziet erop toe dat partijen die persoonsgegevens verwerken dat doen op een zorgvuldige manier, voor duidelijke doelen en met de minst ingrijpende middelen. Informatie over deze verwerking moet helder zijn omschreven voor de persoon die de persoonsgegevens verstrekt, ook wel de ‘betrokkene’ genoemd. Daarbij moet de betrokkene onder andere op de hoogte zijn van het doel van de gegevensverwerking. Dat gebeurt online vaak door te informeren via bijvoorbeeld een privacy statement.
Wat een duidelijke omschrijving kan zijn voor volwassenen, is in veel gevallen (te) lastig voor kinderen. Een specifieke bepaling in de wet die een kindvriendelijke uitleg vereist is er in Nederlan d niet. Wel hebben we een bepaling waarin staat dat kinderen die nog geen zestien zijn, toestemming van hun wettelijke vertegenwoordiger moeten hebben als toestemming vereist is voor de verwerking van persoonsgegevens. Wil een applicatie iets weten over de gezondheid of de godsdienst van een kind? Dan moet het kind toestemming van de ouders hebben. In de praktijk zal iemand van twaalf niet zo snel toestemming vragen aan zijn ouders gegevens worden ingevuld bij een account. Bovendien blijkt dat diverse sociale netwerken zelf ook geen moeite doen om ook daadwerkelijke toestemming te krijgen van ouders.

De Europese regels en de concept Verordening Gegevensbescherming
De kwetsbare positie van kinderen online wordt op dit moment niet beschermd door Europese regelgeving. Staat er dan niets op de agenda? Ja, zeker wel. De Europese Commissie heeft in 2012 een voorstel aangenomen voor een Algemene Verordening Gegevensbescherming. Het Europees Parlement moet het voorstel nog formeel aannemen, dus wanneer deze regels precies van kracht zullen zijn is nog niet geheel duidelijk. Anders dan bij een richtlijn (die voor Privacyregels nu van kracht is) heeft een verordening directe werking in een lidstaat van de EU. Dat betekent dat de huidige Wet bescherming persoonsgegevens in zijn geheel vervangen zal worden door de verordening.
In de ontwerpverordening staan voorwaarden voor de verwerking van persoonsgegevens door (internet)diensten van kinderen jonger dan dertien jaar. Net als in Nederland moeten kinderen dus toestemming vragen aan hun ouder of voogd als zij toestemming moeten geven voor de verwerking van persoonsgegevens. Voor ons verandert hier in dit opzicht dus niet zoveel, behalve dat de leeftijdsgrens voor deze toestemming naar dertien jaar gaat.
Daarnaast benadrukt de verordening de kwetsbare positie die kinderen op internet hebben. Zo is te lezen dat er de noodzaak is om kinderen te beschermen tegen bijvoorbeeld gepersonaliseerde marketing, onnodige verstrekking van persoonsgegevens en de vage grens tussen echt en virtueel geld. Om deze redenen moeten (internet)diensten in de toekomst informatie over verwerking van persoonsgegevens duidelijk en toegankelijk opschrijven als deze relevant is voor kinderen. Dat zouden ze bijvoorbeeld kunnen doen door een duidelijke infographic te maken.

Conclusie
Op dit moment is er binnen de privacyregels nauwelijks aandacht voor de kwetsbare positie van kinderen op internet. In Nederland hebben we een bepaling die toeziet op toestemming van de ouders, in het geval dat toestemming voor de verwerking van persoonsgegevens nodig is. In de praktijk blijkt deze toestemming zelden gegeven te worden en is controle op de naleving door sites, games en applicaties van deze bepaling lastig. De huidige privacyregels in Europa bieden geen extra bescherming voor kinderen, maar daar gaat de aankomende Europese verordening (een klein beetje) verandering in brengen. Deze verordening heeft (eindelijk) aandacht voor de kwetsbare positie van kinderen online. Het zal echter waarschijnlijk nog even duren voor deze verordening in werking treedt. Tot die tijd is het de taak van websitehouders, gamemakers, maar ook scholen om kinderen te informeren over (online) privacy.

Door Bas Dijkmans van Gunst