Connected speelgoed: hoe zit het met de privacy van kinderen?

Producten die zijn verbonden met het internet zijn niet meer weg te denken uit
onze maatschappij. Niet alleen producten voor volwassenen, zoals connected
auto’s, maar ook voor kinderen worden steeds meer producten
ontwikkeld die ‘connected’ zijn – waarbij interactie is tussen gebruiker,
product en de online wereld. Denk bijvoorbeeld aan een pratende barbiepop, een geavanceerde
kindersmartwatch en een speelgoed tractor die te besturen is met
een app of bluetooth.

Voor de speelgoedfabrikant biedt connected speelgoed een schat
aan mogelijkheden. Zij leren hun gebruikersgroep beter kennen en kunnen
monitoren hoe hun producten worden gebruikt. Ook geeft connected speelgoed inzicht
in de verbeterpunten van de producten en hoe er aanvullende producten of
diensten kunnen worden aangeboden. Voor de jonge gebruikers levert connected
speelgoed niet alleen voordelen op. Er kleven diverse gevaren aan dergelijke
connected producten, maar kinderen en hun ouders zijn zich vaak onvoldoende
bewust van de risico’s.

De AVG en persoonsgegevens van kinderen

Bij het gebruik van connected speelgoed worden
persoonsgegevens verwerkt. Wanneer dit speelgoed wordt aangeboden in de EU is
hierop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG
biedt extra waarborgen wanneer persoonsgegevens van kinderen op het spel staan.

Vanwege de kwetsbaarheid van de jonge doelgroep, zijn er in
de AVG specifieke bepalingen opgenomen over het verwerken van persoonsgegevens
van kinderen. Lidstaten mogen binnen de kaders van de AVG aanvullende regels
aannemen om de rechten van betrokkenen beter te beschermen. Dit is een
verandering ten opzichte van de voorganger van de AVG, de Privacyrichtlijn:
daarin was niets specifieks over kinderen bepaald. Het was aan de lidstaten
zelf om dit te regelen in hun lokale wetgeving – of dit na te laten. Hierna volgen
een aantal belangrijke regels voor kinderen uit de AVG.

Toestemming
ouders voor kinderen onder de 13-16 jaar

Om de persoonsgegevens van kinderen te mogen verwerken,
moet er een wettelijke grondslag aanwezig zijn. Eén van die grondslagen is
toestemming. Voor ‘diensten uit de informatiemaatschappij’ geldt dat kinderen vanaf
16 jaar zelf toestemming mogen geven. Voor de verwerking van persoonsgegevens
van kinderen onder de 16 jaar moet een ouder of wettelijke vertegenwoordiger
toestemming geven, anders is de toestemming niet geldig.

Lidstaten mogen zelf de leeftijd verlagen naar maximaal 13
jaar. Tussen de verschillende lidstaten bestaan hier dan ook verschillen in:
Frankrijk hanteert bijvoorbeeld een leeftijd van 15 jaar, Cyprus 14 jaar, en in
België, Denemarken en Zweden ligt de leeftijd op 13 jaar. Nederland houdt wel
de leeftijd van 16 jaar aan.

Wanneer een verwerkingsverantwoordelijke (dus bijvoorbeeld
een speelgoedfabrikant) toestemming vraagt aan een kind, moet hij zich
inspannen om te controleren of de ouder/verzorger namens het kind toestemming
heeft gegeven.

In de Verenigde Staten geldt een soortgelijke regel. Het
overtreden daarvan heeft geleid tot een grote schikking. De populaire app
TikTok, waarvan veel kinderen gebruik maken, moest recentelijk $5.7
miljoen betalen aan de Amerikaanse Federal Trade Commission
wegens het verzamelen van persoonsgegevens van kinderen onder de 13 jaar zonder
aantoonbare toestemming van ouders. Een app als TikTok is bij een uitstek een ‘dienst
uit de informatiemaatschappij’ en vroeg direct toestemming aan kinderen.

Extra
transparantie voor kinderen

Een betrokkene moet volgens de AVG op een duidelijke manier
geïnformeerd worden als er persoonsgegevens worden verwerkt. Dit houdt in dat
een betrokkene moet begrijpen waar
toestemming voor wordt gevraagd of wat er met de persoonsgegevens gebeurt. In
de AVG is hier extra aandacht aan besteed voor kinderen: wanneer de informatie
voor hen is bedoeld, moet deze informatie óók
voor hen helder zijn. Bij het opstellen van een Privacy Statement dient dus
qua taal en opbouw rekening te worden gehouden met de doelgroep. Kinderen
moeten dit ook kunnen begrijpen.

Recht
op vergetelheid

Een jonge gebruiker zal misschien minder weloverwogen toestemming
geven dan een volwassene, die zich bewuster is van de risico’s. Daarom biedt de
AVG de mogelijkheid om vergeten te worden, met name wanneer toestemming is
gegeven toen de betrokkene nog een kind was.

Kortom, bij het aanbieden van connected speelgoed of het
ontwikkelen van applicaties voor een jongere doelgroep, zal rekening moeten
worden gehouden met het bijzondere regime voor kinderen in de AVG en in de
lokale uitvoeringswetten bij de AVG. Met name het aanbieden van begrijpelijke
informatie, het vragen van toestemming door de ouders en het controleren
hiervan vergt extra aandacht. Mocht u hier
in de praktijk tegenaan lopen, dan adviseren Eva de Vries en Jacintha
van Dorp u daar graag bij.

https://www.solv.nl/weblog/connected-speelgoed-hoe-zit-het-met-de-privacy-van-kinderen/21787

Platform Informatie Technologie en Recht

Connected speelgoed: hoe zit het met de privacy van kinderen?

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis