Dit artikel is onderdeel van een drietal artikelen, die per wekelijks gepubliceerd zullen worden. Het artikel van deze week benoemt kort welke rechten kinderen en ouders in Nederland hebben wanneer een ouder doet aan sharenting op basis van ouderlijke toestemming. Volgende week wordt besproken of kinderen vanaf 12 tot 16 mee moeten kunnen beslissen over de verwerking van hun persoonsgegevens. De keuze voor deze leeftijdsgroep wordt toegelicht en de huidige regeling zal bekritiseerd worden. Deze heeft als doel het kind te beschermen, maar doet dit niet adequaat en gaat voorbij aan het belang van het betrekken van kinderen vanaf 12 tot 16 bij beslissingen over hun digitale identiteit. Tot slot zal in het derde en laatste artikel van deze reeks besproken worden welke maatregelen voorgesteld kunnen worden om kinderen vanaf 12 tot 16 jaar te laten deelnemen aan beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming in Nederland, zonder naar de rechter te stappen.
De term 'sharenting', afgeleid van ‘share’ en ‘parenting, definieert de praktijk waarin ouders details over het leven van hun kinderen delen op sociale media (1). Dit wordt ingewikkelder naarmate kinderen hun vermogen ontwikkelen om inzicht te krijgen en onafhankelijke oordelen te vormen over de gedeelde inhoud.
Sharenting brengt risico's met zich mee voor kinderen. Kinderen kunnen een digitale voetafdruk ontwikkelen voordat ze in staat zijn om geïnformeerde beslissingen te nemen over hun online identiteit, wat hun toekomst kan beïnvloeden. Bovendien maakt generatieve AI de creatie van beelden en video's mogelijk op basis van beschikbare visuele gegevens (2). Zo kan identiteitsfraude gerelateerd aan sharenting in 2030 oplopen tot 7,4 miljoen incidenten (3). Bovendien vormen onschuldige foto's van kinderen, oorspronkelijk gedeeld op sociale media en familieblogs, tot wel 50% van de inhoud die wordt ontdekt op pedofiele websites (4). Tot slot stelt sharenting kinderen bloot aan veiligheidsrisico's zoals stalking en ontvoering (5).
De praktijk van sharenting is paradoxaal. Ouders dragen verantwoordelijkheid voor de bescherming van hun kind, en delen tegelijkertijd persoonlijke gegevens, waardoor de privacy van hun kind online wordt geschonden (6). In deze reeks artikelen wordt de definitie van 'sharenting' gedefinieerd als: 'Het openbaar maken van informatie door ouders voor een onbepaald aantal personen, met persoonlijke gegevens over hun geïdentificeerde of identificeerbare kinderen in de vorm van foto's, video's en berichten via sociale media (7).
Indien u interesse heeft in de methodologische verantwoording en nadere uitleg over de scope van de artikelen, verwijs ik naar het kopje ‘methodologische verantwoording’.
Door te doen aan sharenting treden ouders op als verwerkingsverantwoordelijke, nu zij het doel van en de middelen voor de verwerking van de persoonsgegevens van hun kind bepalen (8). Het kind, zijnde de identificeerbare of geïdentificeerde natuurlijke persoon, is de betrokkene (9). Hoewel sociale mediaplatforms in sommige gevallen ook als verwerkingsverantwoordelijke kunnen optreden (10), richt dit artikel zich op sharenting op basis van ouderlijke toestemming, waarbij de ouders als initiële verwerkingsverantwoordelijke worden aangemerkt.
De AVG en de UAVG definiëren het kind als betrokkene, maar definiëren niet wat een kind is (11). Het IVRK definieert een kind als iemand jonger dan 18 jaar (12). Onder de AVG is voor de verwerking van gegevens van kinderen op basis van toestemming echter toestemming van de ouders vereist als het kind jonger is dan 16 jaar (13). Daarom wordt in dit artikel met 'kind' verwezen naar personen jonger dan 16 jaar.
Toestemming van de betrokkene aan de verwerkingsverantwoordelijke is een van de rechtsgrondslagen vereist voor de verwerking van persoonsgegevens. Dit geldt ook voor bijzondere categorieën van persoonsgegevens, waarvoor uitdrukkelijke toestemming is vereist (14). Kinderen, die zich minder bewust zijn van de risico's die de verwerking van persoonsgegevens met zich meebrengt, hebben recht op specifieke bescherming (15). De UAVG biedt specifieke regels met betrekking tot toestemming voor de verwerking van persoonsgegevens van kinderen, welke van toepassing zijn op de praktijk van sharenting: een kind jonger dan 16 jaar heeft toestemming van een wettelijke vertegenwoordiger nodig voor de verwerking van zijn persoonsgegevens (16). In dit document wordt ervan uitgegaan dat de wettelijke vertegenwoordiger de ouder is.
Dit vertegenwoordigingsmechanisme, waarbij ouders zelf toestemming geven, biedt minderjarigen doorgaans bescherming tegen derden (17). Dit wordt echter tenietgedaan wanneer ouders zichzelf toestemming geven voor de verwerking van het kind zijn persoonsgegevens door te doen aan sharenting. In dit scenario zijn de ouders als veronderstelde beschermer van de minderjarige, mar ook de potentiële inbreukmaker, in dezelfde hoedanigheid verenigd (18). Dit wordt de 'sharenting-paradox' genoemd (19).
Door het intrekken van toestemming kan de verwerking van gegevens van kinderen worden beëindigd. Hoewel dit niet expliciet wordt vermeld in de AVG, lijkt het voor kinderen in Nederland echter onmogelijk om zich te beroepen op het intrekken van toestemming als rechtsgrondslag.
Op het eerste gezicht stelt art. 7 lid 3 AVG dat elke betrokkene het recht heeft om toestemming op elk moment in te trekken. Bij nader inzien geven meer specifieke artikelen alleen richtlijnen voor toestemming die namens het kind wordt gegeven en niet voor intrekking. Ouderlijke toestemming voor het kind als betrokkene wordt genoemd in art. 8 lid 1 AVG. Dit artikel is echter niet van toepassing in het geval van sharenting, aangezien sharenting geen rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind is, maar aan een ouder (20).
Art. 5 lid 1 UAVG vult deze leemte op door te stellen dat, in scenario's waar art. 8 lid 1 AVG niet van toepassing is, de toestemming van een wettelijke vertegenwoordiger nog steeds nodig is als het kind de leeftijd van 16 jaar nog niet heeft bereikt. Dit artikel, gelezen in combinatie met art. 5 lid 3 UAVG bepaalt dat toestemming te allen tijde kan worden ingetrokken door de wettelijke vertegenwoordiger van de betrokkene. De mogelijkheid voor een kind om zijn toestemming in te trekken wordt niet expliciet genoemd. Hier schiet het recht dus te kort.
Door de richtsnoeren over toestemming van het Europees Comité voor gegevensbescherming (EDPB) wordt deze lacune opgevuld, waarin staat dat het kind na het bereiken van de leeftijd voor digitale toestemming, zijnde 16 jaar, de mogelijkheid heeft om zelf zijn toestemming in te trekken (21). Als het kind jonger is dan de leeftijd waarop het digitaal toestemming kan geven, is het intrekken van de toestemming beperkt tot de ouder van het kind (22).
In de literatuur zou het intrekken van ouderlijke toestemming gebaseerd zijn op art. 5 lid 4 UAVG (23), waarin expliciet wordt gesteld dat de wettelijke vertegenwoordiger de rechten uitoefent zoals uiteengezet in hoofdstuk III van de AVG namens de betrokkene die jonger is dan 16 jaar. Het intrekken van toestemming wordt echter niet beschreven in hoofdstuk III, maar in hoofdstuk II van de AVG (24). Hoofdstuk III richt zich op de rechten van de betrokkene, zoals het recht om te worden vergeten.
Volgens de AVG heeft elke betrokkene het recht om vergeten te worden (25), waardoor hij of zij controle heeft over zijn of haar persoonlijke gegevens (26). Wanneer betrokkenen hun toestemming voor verwerking intrekken en de verwerking onrechtmatig wordt, kunnen betrokkenen een beroep doen op het recht om te worden vergeten (27). In Nederland oefent de ouder echter de rechten uit die zijn vastgelegd in hoofdstuk III van de AVG, zoals het inroepen van het recht om te worden vergeten op basis van het intrekken van toestemming, namens de betrokkene die jonger is dan 16 jaar en voor zover betrokkene onbevoegd dan wel onbekwaam is (28).
Het recht op vergetelheid kan door betrokkene niet ingeroepen worden op grond van artikel 17 lid 1 sub b AVG, waarbij betrokkene zijn toestemming intrekt. Zoals eerder vermeld, kan de ouderlijke toestemming alleen worden ingetrokken door de betrokkene nadat deze de leeftijd van 16 jaar heeft bereikt. In het geval van een conflict waarbij het kind het niet eens is met de verwerking en de toestemming wil intrekken, heeft het geen rechtsmiddelen om af te dwingen dat het deel uitmaakt van de besluitvorming. Intrekken van toestemming is uitsluitend voorbehouden aan de ouders. Bijgevolg kan het kind zich niet beroepen op het recht om te worden vergeten.
Alternatieve manieren om het recht om te worden vergeten in te roepen, zijn slechts mogelijk voor zover betrokkene bevoegd dan wel bekwaam is. Per individueel geval wordt bepaald of iemand bekwaam dan wel bevoegd is. De personen in de leeftijdscategorie 12 tot 16 is niet over één kam te scheren wat betreft bevoegd- en bekwaamheid, nu dit op individueel niveau bepaald dient te worden.
Kinderen onder de zestien mogen niet zelfstandig een klacht indienen bij de Autoriteit Persoonsgegevens (AP). De AP vermeldt expliciet op haar website dat als je jonger bent dan 16 jaar, je niet direct een klacht kunt indienen, maar dat een van je ouders of voogden ouderlijke toestemming moet geven of dit namens jou moet doen via de procedure voor het indienen van een klacht (29). Deze beperking van de mogelijkheid voor kinderen om zelfstandig een klacht in te dienen, sluit aan bij de eerder genoemde paternalistische benadering van minderjarigen, waarbij de privacyrechten van kinderen kunnen worden overschaduwd (30). Dit leidt tot de paradox dat de ouder die inbreuk maakt op de privacy van het kind, het recht draagt om namens het kind als zijn beschermer een klacht in te dienen.
Samengevat wordt de afhankelijkheid van de AVG van ouderlijke toestemming problematisch wanneer ouders zelf toestemming geven, waardoor de sharenting-paradox ontstaat. Kinderen missen autonomie wanneer ouders zelf toestemming geven voor sharenting, aangezien ouderlijke toestemming vereist is voor de verwerking van persoonsgegevens van een kind jonger dan 16 jaar. Dit geldt ook voor het intrekken van toestemming en het recht om vergeten te worden, dat pas toegankelijk is voor kinderen nadat het kind 16 is geworden. Daarnaast geven de beperkingen voor kinderen jonger dan 16 jaar om zelfstandig klachten in te dienen bij de AP aanleiding tot bezorgdheid over de effectieve bescherming.
Methodologische verantwoording
In deze reeks wordt onderzocht hoe kinderen tussen de 12 en 16 in Nederland de mogelijkheid kunnen krijgen om te participeren in beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming, zonder tussenkomst van de rechter. De keuze voor deze leeftijdscategorie wordt toegelicht in het tweede artikel in deze reeks. Deze reeks artikelen is gebaseerd op een analyse van de Algemene Verordening Gegevensbescherming (31), het VN-Verdrag inzake de Rechten van het Kind (32), de Uitvoeringswet Algemene Verordening Gegevensbescherming (33), Europese en nationale privacy-autoriteitsrichtlijnen, en literatuuronderzoek. In dit artikel ligt in de definitie van sharenting besloten dat openbaargemaakt wordt aan een onbepaalde groep personen, zodat de huishoudexceptie niet van toepassing is en de AVG van toepassing is. Indien u hier meer over wil lezen, verwijs ik naar de volgende voetnoot (34).
De focus in dit artikel ligt op participatie van kinderen in beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming op basis van bovenstaande wetgeving. Daarom heeft het beperkingen. Naast toestemming, worden geen alternatieve grondslagen uit de AVG onderzocht. Ook beperkt dit artikel zich tot kinderen die identificeerbaar zijn op de content die hun ouders van hen uploaden (35). Daarnaast blijft het portretrecht buiten scope, gezien de eerdergenoemde focus op de AVG, UAVG en IVRK. Tot slot wordt er in deze reeks slechts gewerkt naar de mogelijkheden die kinderen op papier rechtens zouden moeten hebben als er ‘gesharent’ wordt. Het daadwerkelijk afdwingen van de rechten waarvoor gepleit wordt in deze reeks artikelen, kan bewerkstelligd worden door een klacht in te dienen bij de AP. Zie hiervoor het laatste artikel van de reeks. De gang naar de rechter door kinderen zal niet worden besproken in dit artikel.
Autenrieth U. (2018). Family photography in a networked age: Anti-sharenting as a reaction to risk assessment and behaviour adaption. In Mascheroni G., Ponte C., Jorge A. (Eds.), Digital parenting: The challenges for families in the digital age (pp. 219–232). The International Clearinghouse on Children, Youth and Media; Damkjaer M. S. (2018). Sharenting=good parenting? Four parental approaches to sharenting on Facebook. In Mascheroni G., Ponte C., Jorge A. (Eds.), Digital parenting: The challenges for families in the digital age (pp. 209–218). The International Clearinghouse on Children, Youth and Media; Steinberg Stacey B. (2017), “Sharenting: Children’s Privacy in the Age of Social Media,” Emory Law Journal, 66, 839–83.
Chadha, A., Kumar, V., Kashyap, S., & Gupta, M. (2021). Deepfake: an overview. In Proceedings of Second International Conference on Computing, Communications, and Cyber-Security: IC4S 2020 (pp. 557-566). Springer Singapore.
Coughlan, S. (2018). “'Sharenting' puts young at risk of online fraud,” BBC News, 21 May 2018.
Battersby, L. (2015). Millions of social media photos found on child exploitation sharing sites. The Sydney Morning Herald.
Barnes, R., & Potter, A. (2021). Sharenting and parents’ digital literacy: an agenda for future research. Communication Research and Practice, 7(1), 6-20.
Blum-Ross, A., & Livingstone, S. (2020). “Sharenting,” parent blogging, and the boundaries of the digital self, Popular Communication, 15/2, p. 110-125.
Brosch, A. (2018). Sharenting–Why do parents violate their children’s privacy?. The New Educational Review, 54, p. 78-85.
Art. 4 lid 7 AVG.
Art. 4 lid 1 AVG.
Art. 4 lid 7 AVG.
Milkaite, I., Verdoodt, V., Martens, H., & Lievens, E. (2017). The General Data Protection Regulation and children’s rights: questions and answers for legislators, DPAs, industry, education, stakeholders, and civil society. Roundtable Report.
Art. 1 IVRK.
Art. 8 lid 1 AVG.
Art. 6 lid 1 sub a, art. 9 lid 2 sub a AVG.
Overweging 38 AVG.
Art. 5 lid 1 UAVG.
Steinberg Stacey B. (2017), “Sharenting: Children’s Privacy in the Age of Social
Media,” Emory Law Journal, 66, 839–83.
Ní Bhroin, N., Dinh, T., Thiel, K., Lampert, C., Staksrud, E., & Ólafsson, K. (2022). The privacy paradox by proxy: Considering predictors of sharenting. Media and Communication, 10(1), 371-383.
Blum-Ross, A., & Livingstone, S. (2020). “Sharenting,” parent blogging, and the boundaries of the digital self, Popular Communication, 15/2, p. 110-125.
EDPB, ‘Guidelines 05/2020 on consent under Regulation 2016/679, 4 May 2020 (Version 1.1), p. 27.
EDPB, ‘Guidelines 05/2020 on consent under Regulation 2016/679’, 4 May 2020 (Version 1.1), p. 29
Zwenne, T. (2022). T&C Privacy- en gegevensbeschermingsrecht, commentaar op art. 5 UAVG: Toestemming van wettelijk vertegenwoordiger.
De Klein, M. (2023). "Sharenting en de digitale voetafdruk van een kind – De juridische mogelijkheden voor het kind om de door de ouders gecreëerde online identiteit te laten wissen." Mediaforum 2023/3.
Art. 7 lid 3 AVG.
Overweging 65 en art. 17 AVG.
Ausloos, J. (2020) The right to erasure in EU data protection law Oxford, United Kingdom: Oxford University Press 2020.
Art. 17 lid 1 sub b AVG.
Art. 5 lid 4 UAVG.
AP, Zo dien jij jouw klacht in bij de AP.
Link: https://www.autoriteitpersoonsgegevens.nl/jij-en-jouw-online-gegevens/zo-dien-jij- jouw-klacht-in-bij-de-ap.
Hannema, T., ‘Kinderen die klagen... worden overgeslagen, P&I 2020/113, Afl. 3, p. 98 – 102.
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119/1) (AVG).
Verenigde Naties. (1989). Verdrag inzake de Rechten van het Kind. Verdragsreeks, 1577, 3. (IVRK).
Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene Verordening Gegevensbescherming) (UAVG).
Wat volgens de preambule van de AVG onder een louter persoonlijke of huishoudelijke activiteit valt is bijvoorbeeld het bijhouden van een adresboek, het voeren van correspondentie, maar ook sociaal netwerken. Valt het delen van content over het kind, zonder commercieel oogmerk, dan onder sociaal netwerken en daarmee onder de uitzondering van ‘huishoudelijke en persoonlijke activiteit’? Het Hof van Justitie EU stelt in het Lindqvist-arrest dat geen sprake is van een louter huishoudelijke en persoonlijke activiteit als persoonsgegevens openbaar gemaakt worden op internet en deze gegevens vervolgens voor een onbepaald aantal personen toegankelijk zijn. Waar de precieze grens ligt bij toepassing van de AVG en de uitzondering van de zuiver huishoudelijke of persoonlijke activiteit op het toepassingsbereik, is lastig te bepalen. Van geval tot geval zal dus gekeken moeten worden of een ouder onder het toepassingsbereik van de AVG valt of dat de uitzondering op het delen van content door de ouder van toepassing is. Voor meer informatie, verwijs ik u naar https://www.mediaforum.nl/scripts/download.php?id=5696.
Art. 4 lid 1 AVG.
Erdos, D. (2018). Intermediary publishers and European data protection: Delimiting the ambit of responsibility for third-party rights through a synthetic interpretation of the EU acquis. International Journal of Law and Information Technology, Volume 26, Issue 3, Autumn 2018, p. 189–225.
