020 530 0160

AP geeft duidelijkheid over de uitleg van de AVG

Gepubliceerd op 12 juli 2017 categorieën 

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (“AVG”) van kracht. Omdat de AVG net als de huidige Wet bescherming persoonsgegevens (“Wbp”) veel open normen bevat, is het niet altijd duidelijk hoe bepalingen uit de AVG moeten worden uitgelegd. De Autoriteit Persoonsgegevens (“AP”) kent een telefonisch spreekuur waar vragen over de AVG kunnen gesteld. De meest gestelde vragen worden, vergezeld van een antwoord, op de website van de AP gepubliceerd.

 

In de eerste week van juli 2017 was de meest gestelde vraag of onder de AVG nog persoonsgegevens van kinderen mogen worden verwerkt. De AP geeft aan dat dit in beginsel mag op basis van artikel 8 AVG, onder de voorwaarde dat toestemming is verleend door de ouders/voogd en vervolgens wordt gecontroleerd of die toestemming daadwerkelijk is gegeven. Het gebruik van gegevens van minderjarigen onder de AVG ligt echter iets genuanceerder dan de AP op haar website vermeldt.

 

In de eerste plaats lijkt de AP te suggereren dat voor alle verwerkingen van persoonsgegevens van minderjarigen toestemming is vereist. Dat is niet het geval. Artikel 8 lid 1 AVG bepaalt dat er sprake moet zijn van een rechtstreeks aanbod van diensten aan kinderen waarbij de grondslag voor de verwerking van persoonsgegevens toestemming is. Als gegevens van een minderjarige louter worden gebruikt voor bijvoorbeeld het aanmaken van een account is geen toestemming van de ouders/voogd vereist.

 

Overigens kent de Wbp op dit moment een bijna identieke bepaling in artikel 5. Dus ook op dit moment mogen persoonsgegevens van kinderen tot 16 jaar alleen worden verwerkt als toestemming door de ouders/voogd is gegeven en toestemming de grondslag voor verwerking is.  Bij bepaalde websites of applicaties dient een gebruiker daarom zijn/haar leeftijd op te geven en te verklaren dat, indien hij/zij jonger is dan 16 jaar, voor het gebruik van zijn/haar persoonsgegevens toestemming door zijn/haar ouders/voogd is verleend.

 

Nieuw is dat lid 2 van artikel 8 AVG expliciet bepaalt dat een aanbieder moet controleren of die toestemming ook daadwerkelijk is verleend. Indirect vloeit dit nu ook al voort uit de Wbp. De verantwoordelijke moet immers kunnen aantonen dat toestemming is verleend. Als de toestemming door ouders/voogd moet worden verleend, zou de aanbieder dus moeten kunnen aantonen dat dit is gebeurd. Een dergelijke controle vindt nu, zo is mijn inschatting, slechts beperkt plaats.

 

Het feit dat een controleplicht expliciet in de AVG is opgenomen, geeft aan dat er belang aan wordt gehecht. Echter, ook voor de controleplicht geldt dat deze niet onbeperkt is. Op basis van artikel 8 lid 2 moet een redelijke inspanning worden gedaan om te verifiëren of toestemming is verleend door de ouders/voogd waarbij rekening gehouden moet worden met de beschikbare technologie.

 

Wat precies een redelijke inspanning is, vermeldt artikel 8 niet. Onduidelijk blijft dus wanneer van een aanbieder mag worden verwacht dat hij bij de ouders zelf verifieert of toestemming is gegeven. Als het gaat om het plaatsen van een foto van een leerling op de website van de school is dit te overzien. De school kan verlangen dat de ouders toestemming geven door een document te ondertekenen. Aan de hand van die ondertekening kan de school de verleende toestemming verifiëren.

 

Voor online dienstverlening is dit vaak minder eenvoudig. Als een minderjarige een account aanmaakt op een website of binnen een app is het  niet eenvoudig om te verifiëren of de ouders toestemming hebben gegeven. Moet de aanbieder verlangen dat een bepaald document ondertekend door de ouders wordt teruggezonden voordat de dienst wordt verleend? Of moet de minderjarige de contactgegevens van zijn ouders verstrekken zodat de aanbieder contact kan opnemen? In de meeste gevallen lijkt dat daarmee een onredelijke inspanning van de aanbieder wordt verlangd.

 

In overweging 38 bij de AVG wordt aangegeven dat de specifieke bescherming van minderjarigen met name geldt voor diensten die direct aan minderjarigen worden geleverd en waarbij de persoonsgegevens worden gebruikt voor persoonlijkheids- of gebruikersprofielen. Partijen die hun diensten op kinderen richten en dergelijke profielen opstellen, zullen niet snel kunnen betogen dat het controleren of ouders toestemming hebben verleend, een onredelijke inspanning is. Zij zullen vóór 25 mei 2018 een proces binnen hun dienstverlening moeten inbouwen waarmee de door de ouders gegeven toestemming redelijkerwijs kan worden aangetoond. Dit voor zover zij op basis van artikel 5 Wbp niet al over dergelijke processen beschikken natuurlijk.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Thomas

publicaties

Gerelateerde artikelen