De AVG in Beeld: Gegevensverwerking van kinderen (deel 1)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen zetten we de vereisten bij gegevensverwerking over kinderen uiteen. Deze blog beschrijft de toestemmingsvereisten bij een gegevensverwerking van kinderen tot zestien jaren oud. De volgende ‘AVG in Beeld’: Kinderen betreft de verplichting om de wettelijke vertegenwoordiger te informeren.

Welke ouder, oma, opa, tante, oom of andere wettelijke vertegenwoordiger heeft het meegemaakt dat een kind voor het gebruik van social media, app of computerspel om zijn of haar toestemming heeft gevraagd? Waarschijnlijk bijna niemand. Kinderen van tegenwoordig zijn immers geen digibeten. Zij kunnen gemakkelijk spelletjes, social media-accounts en applicaties openen zonder dat de ouders daartoe hebben ingestemd, ook al wordt er wel gevraagd om toestemming van hen.

Er bestaan een hoop cowboy-verhalen over de gegevensverwerking bij kinderen. De beruchtste is deze: om überhaupt gegevens van kinderen te mogen verwerken, moet men toestemming hebben van de ouders of wettelijk vertegenwoordiger. Niet waar! Zelfs niet als ook de AP op haar website die fout maakt:

“Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.”

In deze blog leggen we precies uit waarom bovenstaande onjuist is.

Een dergelijke zinsnede van de AP voedt ten onrechte de misvatting dat de AVG ‘kan niet-mag niet’ wetgeving betreft. Er wordt slechts beschreven dat de verwerking van persoonsgegevens niet in strijd met de wettelijke normen mag plaatsvinden. Indien u de gegevens van kinderen wil verwerken, dan is dat op grond van de AVG toegestaan mits er aan de specifieke wettelijke vereisten is voldaan. In de komende alinea’s worden alle (juridische) moeilijkheden met de toestemming in het kader van de AVG nader behandeld.


Toestemming bij kinderen

De hoofdnorm voor het vraagstuk is te vinden in artikel 8 AVG. In lid 1 van dat artikel staat dat wanneer artikel 6 lid 1 punt a (toestemming) van toepassing is (!), in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij, de verwerking van persoonsgegevens van een kind rechtmatig is wanneer het kind 16 jaar of ouder is. Is het kind jonger dan 16 jaar, én is er dus niet een van de andere grondslagen van toepassing, dan moet een ouder of wettelijk vertegenwoordiger toestemming geven. Gaat het om een gegevensverwerking die niets te maken heeft met apps, websites of andere diensten van informatiemaatschappij? Dan heeft u niets te maken met artikel 8 AVG.

De toestemming van ouders is vereist, aangezien zij beschermd dienen te worden tegen risico’s bij marketingdoeleinden, persoonlijkheids- of gebruikersprofielen en het gebruik van rechtstreeks aan kinderen gerichte diensten. Dan rest ons één vraag: wat houdt een rechtsgeldige toestemming van de wettelijke vertegenwoordiger precies in?

In artikel 4 lid 1 AVG wordt de ‘toestemming’ nader omschreven. Onder toestemming wordt verstaan: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Ten eerste dient er een verklaring of duidelijke actieve aanvaarding te hebben plaatsgevonden. Er is sprake van een duidelijke en actieve aanvaarding als de aanbieder kan aantonen dat de betrokkene iets heeft moeten doen om te kunnen aanvaarden. Hierbij kunt u denken aan het aanvinken of accorderen van een toestemmingsvraag.

Ten tweede dient er een geïnformeerde of ondubbelzinnige wilsuiting te zijn gedaan. Anders gezegd, de verwerkingsverantwoordelijke mag geen twijfel over de verkregen toestemming hebben. Indien twijfels over de gegeven toestemming bij de verwerkingsverantwoordelijke bestaan, volgt de regel uit artikel 8 lid 2 AVG. Dit wetsartikel beschrijft dat van de aanbieder in elk geval een redelijke inspanning wordt verwacht om in dergelijke gevallen te controleren dat de ouders toestemming hebben verleend. Maar hoe dient een bedrijf dit te controleren? En wanneer is er sprake van een dergelijk geval?

In het geval waarbij de verwerking betrekking tot kinderen heeft, dient men in elk geval zijn of haar systemen in te richten om de leeftijd van kinderen te verifiëren en de ouders over de verwerking te informeren. In welk geval dit gewenst is, dat zal uit de toekomstige jurisprudentie moeten blijken.

Ten derde dient men specifiek en informerend mede te delen. Dit wil zeggen dat alle correspondentie over de gegevensverwerking in Jip en Janneke-taal moet, zeker in het geval van kinderen is dat een vereiste. Anders gezegd, kinderen dienen over de gegevensverwerking in gemakkelijke en begrijpelijke taal volledig te zijn geïnformeerd.

Tot slot dient men rekening te houden met de wilsuiting. ‘Vrij’ betekent dat uw klant een echte keuze heeft en geen nadelige gevolgen mag ondervinden als hij toestemming weigert of intrekt. Uit de wetshistorie volgt dat  de wet hiermee beoogt personen te beschermen, zoals eerdergenoemd. Wanneer toestemming niet kan worden ingetrokken, voldoet de wilsuiting niet aan de norm ‘vrij’.


Samengevat

Als uw organisatie apps of websites voor kinderen ontwikkelt, waarbij persoonsgegevens van kinderen worden verzameld, kán het zijn dat u toestemming moet vragen. De AVG schrijft dit voor wanneer 1) er geen andere grondslag uit artikel 6 AVG van toepassing is dan lid 1 sub a: Toestemming, 2) het gaat om een dienst van de informatiemaatschappij en 3) het kind jonger is dan 16 jaar. Zijn bovenstaande 3 situaties allemaal van toepassing? Dan beschrijft de AVG vier regels die kinderen beogen te beschermen.

Ten eerste dient u toestemming aan de ouders of wettelijke vertegenwoordiger van het kind. Ten tweede dient u na te lopen of de ouders daadwerkelijk toestemming hebben verleend. Om dat te achterhalen wordt er een redelijke inspanning verwacht. Ten derde moet alle verstrekte informatie in voor kinderen begrijpelijk en gemakkelijke taal zijn omschreven. Dus kort maar bondig en met name begrijpelijk voor kinderen. Ten slotte moet het verlenen van toestemming ook makkelijk geweigerd of ingetrokken kunnen worden.

Wilt u meer over de toestemming te weten komen? Er zijn in het kader van ‘AVG in beeld’ eerder twee bloggen verschenen: toestemming – wat en hoe? en toestemming – wanneer (niet)? Wilt u daarnaast meer te weten komen over de nieuwe AVG-vereisten en geen blog meer missen? Abonneer u op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter, LinkedIn of Facebook.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *