Kinderspel

OpenRecht-blog 2019#1

Mag mijn zoon op Instagram? 
Als ik over de schouder van mijn 11-jarige zoon meekijk op zijn tablet, zie ik dat hij op Instagram bezig is. Na vele en heftige discussies ging ik als ouder over stag. Het argument: “Iedereen mag het behalve ik en dan ben ik de nerd van de klas en dat komt door jou mam” had uiteindelijk succes. Mijn zoon mocht op Instagram. Uiteraard na een goed gesprek over wat wel en niet gepast is op Instagram, wat de gevaren en risico’s zijn van sociale media en onder voorbehoud van mijn recht om mee te mogen kijken en te mogen controleren indien daar reden toe is. Onder voorwaarden heb ik mijn zoon dus toestemming gegeven om op Instagram te gaan. Maar ik heb nooit toestemming gegeven aan Instagram voor het verwerken van zijn persoonsgegevens. Op grond van artikel 6 van de AVG is de verwerking van persoonsgegevens rechtmatig indien de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Uit de algemene voorwaarden van Instagram en het gegevensbeleid blijkt dat Instagram de verwerking van gegevens niet baseert op de grondslag contract (het zou een argument kunnen zijn dat met het aanmaken van een account een contract gesloten wordt op basis waarvan gegevens verwerkt mogen worden). Echter, om meer gegevens te mogen verwerken dan strikt noodzakelijk is voor het aanbieden van de dienst, wordt de verwerking van persoonsgegevens uitdrukkelijk gestoeld op het geven van toestemming.  

Minderjarigen en de AVG 
Hier doet zich echter een probleem voor, want artikel 8 van de AVG bepaalt immers het volgende:

1.   Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt.

2.   Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.

3.   Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.”

Ook op grond van artikel 5 van de UAVG is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist, indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt. Bovenstaande roept bij mij als moeder en jurist de nodige vragen op. Het nalezen van de algemeen voorwaarden op Instagram leert dat jongeren onder de 13 helemaal geen Instagram account mogen aanmaken. Met het oog op de inwerkingtreding van de AVG zijn er ook aanbieders die de leeftijdsgrens zelfs bij 16 jaar hebben neergelegd, zoals bijvoorbeeld Whatsapp. Maar heeft dit enig effect?

Iedereen 20 op Instagram! 
Om mij heen zie ik alle kinderen gebruik maken van Whatsapp en Instagram. Als ik bij mijn zoon navraag doe hoe het kan dat hij als 11-jarige gewoon op Instagram zit, is zijn haast hilarische antwoord: “Mam, op Insta zijn we allemaal 20!” Het simpelweg invullen van een andere geboortedatum is dus blijkbaar voldoende om een account aan te maken. Maar dan is er toch geen sprake van een rechtsgeldige toestemming voor de verwerking van persoonsgegevens? En ook lijkt er geen invulling gegeven te worden aan het tweede lid van artikel 8 AVG dat een verwerkingsverantwoordelijke redelijke inspanningen moet verrichten om te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven. Door het invullen van een verkeerde geboortedatum lijkt er immers geen noodzaak voor het vragen van toestemming van een ouder, laat staan om dit te verifiëren.

Wettelijk kader aanpassen? 
Maar zou het wettelijk kader dan niet moeten vereisen dat er inspanningen geleverd moeten worden om de correctheid van een geboortedatum te verifiëren wanneer een dienst wordt uitgesloten voor een bepaalde leeftijdscategorie? En hoe zou dit dan gecontroleerd moeten worden? Interessant in dit verband is een blogpost op Tweakers van een tijdje geleden onder de kop “Microsoft blokkeert accounts van kinderen en ontgrendelt ze alleen via een ouder”. In een poging de AVG na te leven heeft Microsoft bepaalde accounts van kinderen geblokkeerd. De oplossing dat ouders deze blokkering ongedaan kunnen maken door 50 cent te betalen met een creditcard lijkt een redelijke oplossing, maar vraagt zeker om nader onderzoek naar de mogelijke risico’s hiervan. Een andere manier die wordt aangeboden is om een foto van het paspoort, identiteitskaart of het geboortebewijs van het kind naar Microsoft te sturen. Dit lijkt me nu typisch een voorbeeld van “het middel is erger dan de kwaal”. Het opzetten van databanken vol met kopieën van paspoorten van kinderen bij aanbieders van online diensten lijkt me alles behalve wenselijk vanuit een oogpunt van privacy, en ook in strijd met het beginsel van subsidiariteit. Bovendien lijkt er ook sprake te zijn van schending van de AVG. Er is immers geen sprake van data minimalisatie en ook de beginselen van privacy by design en privacy by default lijken in het geding. Het derde lid van artikel 8 AVGroept vervolgens ook nog vragen op, want hoe verhoudt het niet naleven van de algemene voorwaarden zich vervolgens tot de verantwoordelijkheden van de aanbieder van de dienst? Kan de dienst zich erop beroepen dat zij niet konden weten dat er toestemming van een ouder nodig was? En is dit dan een rechtvaardiging om de gegevens zonder toestemming van de ouder te verwerken? Dit lijkt me niet, contract breekt immers geen wet, maar dit roept wel veel vragen op in relatie tot de praktische implementatie van de AVG in een context waarin kinderen nu eenmaal volop actief zijn, en het ook maar de vraag is of het wenselijk is de participatie van kinderen te verbieden.

En in een loot box is iedereen 18! 
Als ouder ervaar ik zeker niet alleen de nadelen, maar ook de voordelen van het kunnen communiceren met mijn kinderen, ook via algemeen gangbare online diensten en apps. De problematiek rondom toestemming van minderjarigen en het gebrek aan controle op leeftijdsgrenzen speelt overigens niet alleen bij sociale media. Bij gaming speelt momenteel de discussie over zogenaamde “loot boxes” en of deze zijn toegestaan onder de kansspel wetgeving. Ook bij games waarin dit soort loot boxes worden aangeboden is in de algemene voorwaarden veelal bepaald dat deze alleen gekocht mogen worden door personen van 18 jaar en ouder. Echter ook hier zijn de leefdtijdseisen eenvoudig te omzeilen door simpelweg een andere geboortedatum in te geven. Hier moet je als ouder mogelijk nog voorzichtiger zijn, aangezien een koppeling met je eigen account en vooraf ingevulde creditcard gegevens er in dit scenario toe kunnen leiden dat je als ouder een flinke rekening gepresenteerd krijgt.

Ouderlijk toezicht dan maar?! 
De achterliggende gedachte om de verwerking van persoonsgegevens op basis van toestemming met meer waarborgen te omkleden - zeker in geval van minderjarigen – is toe te juichen. Zoals uit bovenstaande blijkt roept dit vraagstuk in de praktijk echter nog zeer vele vragen op. Vooralsnog is het kinderspel om leeftijdsbeperkingen te omzeilen en is het niet duidelijk wat de consequenties hiervan zijn voor de verschillende betrokken partijen. Bovendien is het nog verre van duidelijk hoe de AVG op deze punten praktisch geoperationaliseerd moet worden, zonder meer kwaad dan goed te doen. Als jurist een interessant onderwerp om nader onderzoek naar te doen. Als moeder reden genoeg om voorlopig toch maar gewoon een oogje in het zeil te houden en het gemopper van zoonlief op de koop toe te nemen: “Mam, ik heb toch ook recht op privacy!”

Colette Cuijpers 
Associate professor, Tilburg University 
Lector Recht en digitale technologie
Juridische Hogeschool Avans & Fontys