19
Jun
2017

Verwerking persoonsgegevens van kinderen: hoe hoog ligt de lat?

Welke ouder heeft ooit meegemaakt dat een zoon of dochter permissie vroeg voor de verwerking van hun persoonsgegevens door aanbieders van internetdiensten: social media, spelletjes of apps? Klinkt een beetje als een utopisch ideaal: misschien wel een ideale wereld, maar volstrekt onrealistisch. Toch stelt de wetgever als voorwaarde voor de verwerking dat ouders geïnformeerd en uitdrukkelijk hun toestemming hebben verleend. Hoe zit dat eigenlijk? Mag een bedrijf dat persoonsgegevens verwerkt van kinderen onder de 16 jaar er gewoon van uitgaan dat het met de toestemming van de ouders wel goed zit?

Verwerking persoonsgegevens van kinderen

De Wet Bescherming Persoonsgegevens (WBP) stelt dat organisaties die persoonsgegevens verwerken hiervoor een goede reden moeten hebben (het doel van de verwerking) en een wettelijke grondslag. Toestemming van de betrokkene is zo’n wettelijke grondslag. Als het gaat om kinderen die nog geen 16 jaar oud zijn, is in artikel 5.1 van de WBP bepaald dat de toestemming van de ouders vereist is. Vanaf 25 mei 2018 geldt in plaats van de WBP de Algemene Verordening Gegevensbescherming (AVG). In artikel 8.1 AVG wordt dezelfde eis gesteld. Daarnaast wordt van de verwerkingsverantwoordelijke gevraagd dat hij een redelijke inspanning doet om te controleren of deze toestemming ook daadwerkelijk is gegeven.

Toestemming

Als de toestemming van betrokkene de grondslag is voor de verwerking van persoonsgegevens, wordt aan de manier waarop deze toestemming is gegeven, hoge eisen gesteld.

  • De toestemming moet uitdrukkelijk worden gegeven. Het is niet voldoende dat de betrokkene instemt met Algemene Voorwaarden waarin is opgenomen dat de toestemming wordt geacht te zijn verleend. Ook mag uit het enkele feit dat van een dienst gebruik wordt gemaakt nooit worden afgeleid dat de gebruiker toestemming heeft verleend.
  • De toestemming moet expliciet betrekking hebben op de verwerking van de gegevens. Toestemming voor de gegevensverwerking, in combinatie met een hele reeks andere voorwaarden, is niet voldoende.
  • Er is alleen sprake van rechtsgeldige toestemming als vooraf duidelijk is gemaakt waarop de verwerking van de gegevens precies betrekking heeft.
  • De verantwoordelijke voor de verwerking moet niet alleen kunnen aantonen dat de betrokkene toestemming heeft gegeven, maar ook dat deze vooraf voldoende is geïnformeerd.
  • Toestemming moet ten allen tijde kunnen worden ingetrokken.
  • Ten aanzien van kinderen < 16 jaar moeten de ouders toestemming geven.

Kinderen maken massaal gebruik van internetdiensten, zoals Snapchat, Spotify, spelletjessites, etc. Daarbij gaat het zeker niet alleen om activiteiten voor in hun vrije tijd. Op veel basisscholen en scholen voor middelbaar onderwijs is het volstrekt normaal om bij het onderwijs de hulp in te roepen van apps. Google maar eens op “apps voor het onderwijs”. Voor het leren van woordjes wordt verwezen naar bijvoorbeeld WRTS, ikleeralles.nl of een van de alternatieven. Bestanden worden uitgewisseld via Dropbox, presentaties voorbereid met Prezi, etc. De kans is groot dat leerkrachten deze apps vooral aanraden omdat ze educatief toegevoegde waarde hebben. Weinig docenten zullen zich hebben verdiept in de bijbehorende algemene voorwaarden en privacy-statements. Toch ligt daar wel een aandachtspunt. Het gaat niet alleen om informatie van leerlingen, maar ook vaak om informatie die iets zegt over de intelligentie en het kennisniveau van deze kinderen. Het is dus wel van belang om daar zorgvuldig mee om te gaan.

Een vluchtig onderzoek onder diverse privacy-verklaringen laat zien dat een aantal aanbieders zich al wel bewust is van de eisen die de wetgever stelt. Toch is het kennelijk nog volstrekt gebruikelijk om via Algemene Voorwaarden (impliciet) toestemming te vragen. Ook laat de transparantie vaak nog wel te wensen over: welke gegevens worden verwerkt, voor welk doel, welke partijen zijn hierbij betrokken? De Autoriteit Persoonsgegevens (AP), die in Nederland toezicht houdt op de naleving van de privacywetgeving, kan onderzoek doen naar de manier waarop organisaties invulling geven gaan het vereiste van toestemming.

Het is niet de bedoeling om door middel van dit artikel alle aanbieders in een ongunstig daglicht te plaatsen en onrust te zaaien. Wel is het goed om te bedenken dat de wetgever de lat ten aanzien van privacy van kinderen behoorlijk hoog heeft gelegd. Het is voor aanbieders van diensten via internet misschien niet eenvoudig om hieraan te voldoen, maar het lijkt er toch op dat het hier en daar nog wel wat beter kan. Zo kan bijvoorbeeld een privacy bijsluiter een goed hulpmiddel zijn om ouders en/of docenten snel en overzichtelijk inzage te geven in de privacyaspecten van de verwerking van gegevens. Transparantie is altijd belangrijk als privacygevoelige informatie wordt verwerkt, maar dat is zeker het geval bij diensten die zich richten op kinderen.

Advies nodig, of interesse in een privacy Quick-scan? Neem dan vrijblijvend contact met ons op.