Producten die zijn verbonden met het internet zijn niet meer weg te denken uit onze maatschappij. Niet alleen producten voor volwassenen, zoals connected auto’s, maar ook voor kinderen worden steeds meer producten ontwikkeld die ‘connected’ zijn – waarbij interactie is tussen gebruiker, product en de online wereld. Denk bijvoorbeeld aan een pratende barbiepop, een geavanceerde kindersmartwatch en een speelgoed tractor die te besturen is met een app of bluetooth.
Voor de speelgoedfabrikant biedt connected speelgoed een schat aan mogelijkheden. Zij leren hun gebruikersgroep beter kennen en kunnen monitoren hoe hun producten worden gebruikt. Ook geeft connected speelgoed inzicht in de verbeterpunten van de producten en hoe er aanvullende producten of diensten kunnen worden aangeboden. Voor de jonge gebruikers levert connected speelgoed niet alleen voordelen op. Er kleven diverse gevaren aan dergelijke connected producten, maar kinderen en hun ouders zijn zich vaak onvoldoende bewust van de risico’s.
De AVG en persoonsgegevens van kinderen
Bij het gebruik van connected speelgoed worden persoonsgegevens verwerkt. Wanneer dit speelgoed wordt aangeboden in de EU is hierop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG biedt extra waarborgen wanneer persoonsgegevens van kinderen op het spel staan.
Vanwege de kwetsbaarheid van de jonge doelgroep, zijn er in de AVG specifieke bepalingen opgenomen over het verwerken van persoonsgegevens van kinderen. Lidstaten mogen binnen de kaders van de AVG aanvullende regels aannemen om de rechten van betrokkenen beter te beschermen. Dit is een verandering ten opzichte van de voorganger van de AVG, de Privacyrichtlijn: daarin was niets specifieks over kinderen bepaald. Het was aan de lidstaten zelf om dit te regelen in hun lokale wetgeving – of dit na te laten. Hierna volgen een aantal belangrijke regels voor kinderen uit de AVG.
Toestemming ouders voor kinderen onder de 13-16 jaar
Om de persoonsgegevens van kinderen te mogen verwerken, moet er een wettelijke grondslag aanwezig zijn. Eén van die grondslagen is toestemming. Voor ‘diensten uit de informatiemaatschappij’ geldt dat kinderen vanaf 16 jaar zelf toestemming mogen geven. Voor de verwerking van persoonsgegevens van kinderen onder de 16 jaar moet een ouder of wettelijke vertegenwoordiger toestemming geven, anders is de toestemming niet geldig.
Lidstaten mogen zelf de leeftijd verlagen naar maximaal 13 jaar. Tussen de verschillende lidstaten bestaan hier dan ook verschillen in: Frankrijk hanteert bijvoorbeeld een leeftijd van 15 jaar, Cyprus 14 jaar, en in België, Denemarken en Zweden ligt de leeftijd op 13 jaar. Nederland houdt wel de leeftijd van 16 jaar aan.
Wanneer een verwerkingsverantwoordelijke (dus bijvoorbeeld een speelgoedfabrikant) toestemming vraagt aan een kind, moet hij zich inspannen om te controleren of de ouder/verzorger namens het kind toestemming heeft gegeven.
In de Verenigde Staten geldt een soortgelijke regel. Het overtreden daarvan heeft geleid tot een grote schikking. De populaire app TikTok, waarvan veel kinderen gebruik maken, moest recentelijk $5.7 miljoen betalen aan de Amerikaanse Federal Trade Commission wegens het verzamelen van persoonsgegevens van kinderen onder de 13 jaar zonder aantoonbare toestemming van ouders. Een app als TikTok is bij een uitstek een ‘dienst uit de informatiemaatschappij’ en vroeg direct toestemming aan kinderen.
Extra transparantie voor kinderen
Een betrokkene moet volgens de AVG op een duidelijke manier geïnformeerd worden als er persoonsgegevens worden verwerkt. Dit houdt in dat een betrokkene moet begrijpen waar toestemming voor wordt gevraagd of wat er met de persoonsgegevens gebeurt. In de AVG is hier extra aandacht aan besteed voor kinderen: wanneer de informatie voor hen is bedoeld, moet deze informatie óók voor hen helder zijn. Bij het opstellen van een Privacy Statement dient dus qua taal en opbouw rekening te worden gehouden met de doelgroep. Kinderen moeten dit ook kunnen begrijpen.
Recht op vergetelheid
Een jonge gebruiker zal misschien minder weloverwogen toestemming geven dan een volwassene, die zich bewuster is van de risico’s. Daarom biedt de AVG de mogelijkheid om vergeten te worden, met name wanneer toestemming is gegeven toen de betrokkene nog een kind was.
Kortom, bij het aanbieden van connected speelgoed of het ontwikkelen van applicaties voor een jongere doelgroep, zal rekening moeten worden gehouden met het bijzondere regime voor kinderen in de AVG en in de lokale uitvoeringswetten bij de AVG. Met name het aanbieden van begrijpelijke informatie, het vragen van toestemming door de ouders en het controleren hiervan vergt extra aandacht. Mocht u hier in de praktijk tegenaan lopen, dan adviseren Eva de Vries en Jacintha van Dorp u daar graag bij.