Op 15 maart lanceerde Google in de Verenigde Staten hun nieuwste toepassing “Family Link”. Deze toepassing laat voor het eerst toe om een Google account aan te maken voor kinderen onder 13 jaar, door de ouders. Tot nu toe was het zo dat heel veel diensten en toepassingen simpelweg niet werden aangeboden aan deze doelgroep. De reden daarvoor is te vinden in de Children Online Privacy Protection Act (COPPA), die ouderlijke toestemming vereist wanneer bedrijven persoonsgegevens van min-dertienjarigen willen verzamelen en verwerken. Omdat dit veel inspanningen en kosten vergt sluiten bedrijven kinderen uit van het gebruik van hun diensten. Uiteraard wordt dit in de praktijk lustig omzeild, en weten we uit onderzoek dat heel veel kinderen binnen deze leeftijdscategorie wel degelijk actieve sociale media gebruikers zijn. Volgens Apestaartjaren heeft in Vlaanderen bijvoorbeeld 38% van de 9 tot 12-jarigen een Facebook-profiel, 23% zit op Snapchat en 20% op Instagram.  

Dit artikel wordt u aangeboden dankzij de steun van Larcier, Advocatennet.be en KnopsPublishing

De AVG: ouderlijke toestemming voor het verwerken van gegevens van kinderen

Vanaf 25 mei 2018, wanneer de Algemene Verordening Gegevensbescherming (AVG) zal worden toegepast, zal ook in Europa een vergelijkbaar systeem worden gehanteerd. Artikel 8 van deze Verordening vereist dat wanneer toestemming wordt gebruikt als grond voor rechtmatige verwerking (er zijn ook andere gronden mogelijk, art. 6), in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt toestemming zal moeten verlenen wanneer het kind jonger is dan 16 jaar. Lidstaten krijgen wel de mogelijkheid om deze leeftijd te verlagen naar 15, 14 of 13 jaar. De verwerkingsverantwoordelijke moet redelijke inspanningen leveren om te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt wel degelijk de toestemming heeft verleend. Hoewel dit een artikel is in de (zeer omvangrijke) AVG dat tot nu toe weinig aandacht heeft gekregen, zijn er wel degelijk een aantal belangrijke fundamentele en praktische implicaties die een zorgvuldige overweging vereisen door de wetgever, toezichthoudende autoriteiten en verwerkingsverantwoordelijken.

Welke leeftijd?

Nationale wetgevers hebben dus de optie om de leeftijdsgrens te verlagen. Dit kan tot gevolg hebben dat, in tegenstelling tot de harmonisatie die werd beoogd met de keuze voor een verordening, verschillende leeftijden zullen worden gehanteerd in de 28 lidstaten. Voor aanbieders van diensten doorheen Europa is dit een situatie die extra inspanningen en investeringen zal vragen, zeker voor kleinere spelers. In ieder geval is het essentieel dat wetgevers deze beslissing heel zorgvuldig afwegen, en kiezen voor een leeftijd die de realiteit van het dagdagelijkse digitale leven van minderjarigen erkent. Daarbij is een belangrijke overweging dat bedrijven, net zoals in de VS, hun diensten mogelijks niet (meer) zullen aanbieden aan minderjarigen onder de gekozen leeftijd. Dit kan een significante en ongewenste impact hebben op hun participatierechten, hun recht op vrijheid van meningsuiting en vrijheid van vereniging, gegarandeerd door het Kinderrechtenverdrag. Denk maar aan 15-jarigen die plots Facebook niet meer zouden kunnen gebruiken. Maar ook wanneer de diensten wel worden aangeboden, en dus ouderlijke toestemming zal nodig zijn, zal dit niet altijd noodzakelijk in het belang van het kind zijn. In bepaalde situaties is het denkbaar dat geen ouderlijke toestemming zal kunnen worden verkregen, omdat ouders niet online zijn, niet geïnteresseerd zijn of omdat kinderen worden opgevangen buiten het gezin. Het is trouwens ook niet noodzakelijk zo, zeker wanneer het gaat om complexe dataverwerkingsprocessen, dat volwassenen per se ook een beter begrip zullen hebben van waarmee wordt ingestemd. Hoewel de insteek, het beschermen van de persoonsgegevens van kinderen en hun recht op privacy, uiteraard relevant is, is het systeem zoals het nu is opgevat dus zeker niet probleemloos en zal daarnaast ook stevig moeten worden ingezet op het verhogen van mediawijsheid en kritisch bewustzijn, zowel bij ouders als kinderen.

Welke mechanismen?

Bovendien zullen verwerkingsverantwoordelijken nood hebben aan concrete richtlijnen in verband met de mechanismen die zullen worden aanvaard om de toestemming van ouders te verifiëren. Daarvoor kan inspiratie gehaald worden in de VS bij het COPPA-systeem (bijvoorbeeld het gebruik van kredietkaartgegevens), en wordt ook in de AVG aangehaald dat dit een mogelijk onderwerp is voor een gedragscode (art. 40). Ook toezichthoudende autoriteiten, en het Europees Comité voor Gegevensbescherming, kunnen hierbij een belangrijke richtinggevende rol spelen.

Vooruitblik

Op dit moment is het niet duidelijk voor welke leeftijd in België zal worden geopteerd. Zowel de Vlaamse Kinderrechtencommissaris als het Kenniscentrum Kinderrechten hebben reeds gepleit om in België de (zeker verdedigbare) leeftijd van 13 te hanteren. De Privacycommissie heeft zich nog niet uitgesproken. In Nederland wordt in een voorstel van Uitvoeringswet bevestigd dat de leeftijdsgrens van 16 uit de AVG zal worden gerespecteerd. In het Verenigd Koninkrijk heeft de Information Commissioner’s Office weldra richtlijnen beloofd in verband met de rechtmatige verwerking van de persoonsgegevens van kinderen en mechanismen om toestemming te bekomen. Ook in Ierland, en in Frankrijk werden onlangs consultaties gelanceerd. Hoewel langzaamaan dus het bewustzijn groeit dat hierover goed moet worden nagedacht, hebben verwerkingsverantwoordelijken op relatief korte termijn nood aan duidelijkheid, zodat de implementatie goed kan worden voorbereid.  Werk aan de winkel dus, want 25 mei 2018 zal er snel zijn…

Eva Lievens – docent Recht & Technologie

Over het onderwerp van deze bijdrage ging in januari 2017 aan de Faculteit Rechtsgeleerdheid een 4-jarig onderzoeksproject van start: “Een kinderrechtenperspectief op privacy en gegevensbescherming in het digitale tijdperk: een kritische en toekomstgerichte analyse van de Algemene Verordening Gegevensbescherming en de implementatie daarvan met betrekking tot kinderen en jongeren”.

Op zaterdag 13 mei 2017 vormen de gebouwen van de Gentse rechtsfaculteit het terrein voor  het “TIJGERfeest” (Tweehonderd Intrigerende Jaren GEntse Rechtsfaculteit), waarbij de faculteit haar deuren opent voor studenten, alumni en andere belangstellenden (Registreer u alvast voor dit feest).

Bevoorrechte partners van het Tijgerfeest: