Gastblog van Bas Dijkmans van Gunst (Law Incubator Clinic).
Op dit moment is er binnen de privacyregels nauwelijks aandacht voor de kwetsbare positie van kinderen op internet. Online games, sociale media en videowebsites zijn niet meer weg te denken uit het leven van een gemiddelde twaalfjarige. Smartphones besturen zij met speels gemak, internet is vrijwel altijd beschikbaar en het aanbod aan games en applicaties voor kinderen is enorm. Door gebruik van deze interactieve media slaan kinderen zonder aarzelen veel data op bij diverse partijen. En dat kan privacyrisico’s met zich meebrengen.
Wie is de Baas op Internet?
Achter de schermen zijn Clinic, Netwerk Democratie, Bits of Freedom en Waag druk bezig met het vervolg van Cryptokids, een project waarbij we kinderen bewust maken van de principes achter het internet en van het belang van privacy. Het doel is een lespakket te ontwikkelen dat op school kan worden gebruikt. Tijdens een projectmeeting vroegen wij ons af: is er voor kinderen een aparte plaats binnen de privacyregels?
Bij het intensieve internetgebruik van kinderen hoort ook een intensieve verstrekking van persoonsgegevens. Kinderen vullen op diverse (sociale) sites, applicaties en games hun mailadres, naam, geboortedatum en adres in. Bijvoorbeeld om content binnen games vrij te spelen, om een account aan te maken of om prijzen te winnen. Tegelijkertijd kunnen (commerciële) partijen dankbaar gebruik maken van deze data en de activiteiten van kinderen in kaart brengen in een dataprofiel. Het gevolg? Een gepersonaliseerde aanbieding, om maar iets te noemen.
Nederlandse wet bescherming persoonsgegevens
Wat een duidelijke omschrijving is voor volwassenen, is in veel gevallen (te) lastig voor kinderen. Immers, kinderen steken waarschijnlijk meer op van nieuws via het Jeugdjournaal, dan via het gewone Journaal. Een specifieke bepaling die toeziet op een kindvriendelijke uitleg is er in Nederland niet. Wel hebben we een bepaling waarin staat dat kinderen die nog geen 16 zijn, toestemming van hun wettelijke vertegenwoordiger moeten hebben als toestemming vereist is voor de verwerking van persoonsgegevens. Dat gebeurt online vaak door te informeren via bijvoorbeeld een privacy statement, een cookiebanner, of een tekst die achter ‘een vinkje’ zit.
Wil je als 12-jarige een account aanmaken op Instagram? Dan moet je dus toestemming van je ouders hebben. In de praktijk zal iemand van 12 niet zo snel toestemming vragen aan zijn ouders voor een social media account. Bovendien blijkt dat diverse sociale netwerken zelf ook geen moeite doen om ook daadwerkelijke toestemming te krijgen van ouders. NRC schreef daar al eerder een goed stuk over dat je hier kunt lezen.
Hoe zit het in de rest van Europa?
De Nederlandse wet bescherming persoonsgegevens is een implementatie van de Europese Privacyrichtlijn 95/46/EG, die de verwerking van persoonsgegevens in de Europese Unie regelt. In de Privacyrichtlijn is geen enkele bepaling opgenomen die specifiek toeziet op kinderen. De kwetsbare positie van kinderen online wordt op dit moment dan ook niet beschermd door Europese regelgeving. Gezien de tijdsgeest waarin deze Europese richtlijn is aangenomen, half jaren 90, is dat logisch te verklaren: begrippen als data-mining, social networks en web 2.0 zaten in die tijd nog niet in ons vocabulair. Overigens geldt wel dat de algemene Europese privacyregels van toepassing zijn op alle ‘natuurlijke personen’, dus ook op kinderen.
Nieuwe voorwaarden
De huidige privacyregels in Europa bieden geen extra bescherming voor kinderen, maar daar gaat de aankomende Europese verordening verandering in brengen. Het Europees Parlement moet het voorstel nog formeel aannemen, dus wanneer deze regels precies van kracht zullen zijn is nog niet duidelijk.
In de ontwerpverordening staan voorwaarden voor de verwerking van persoonsgegevens door (internet)diensten van kinderen jonger dan dertien jaar. In navolging van de Nederlandse regel moeten kinderen toestemming vragen aan hun ouder of voogd als zij toestemming moeten geven voor de verwerking van persoonsgegevens. Bovendien benadrukt de verordening de kwetsbare positie die kinderen op internet hebben.
Zo is te lezen dat er de noodzaak is om kinderen te beschermen tegen bijvoorbeeld gepersonaliseerde marketing, onnodige verstrekking van persoonsgegevens en de vage grens tussen echt en virtueel geld. Om deze reden moeten (internet)diensten in de toekomst informatie over gegevensverwerking duidelijk en toegankelijk opschrijven als deze relevant is voor kinderen. Dat zouden ze bijvoorbeeld kunnen doen door een duidelijke infographic te maken.
Het goede nieuws is dat deze verordening (eindelijk) aandacht geeft aan de kwetsbare positie van kinderen online, maar het zal nog wel even duren voordat deze in werking treedt. Tot die tijd is het de taak van websitehouders, game makers, maar ook scholen om kinderen te informeren over (online) privacy.
