Dit artikel is onderdeel van een drietal artikelen, die wekelijks gepubliceerd zullen worden. Het artikel van vorige week benoemde kort welke rechten kinderen en ouders in Nederland hebben wanneer een ouder doet aan sharenting op basis van ouderlijke toestemming. Deze week wordt besproken of kinderen vanaf 12 tot 16 mee moeten kunnen beslissen over de verwerking van hun persoonsgegevens. De keuze voor deze leeftijdsgroep wordt toegelicht en de huidige regeling zal bekritiseerd worden. De huidige regeling heeft als doel het kind te beschermen, maar doet dit niet adequaat en gaat voorbij aan het belang van het betrekken van kinderen vanaf 12 tot 16 bij beslissingen over hun digitale identiteit. Tot slot zal in het derde en laatste artikel van deze reeks besproken worden welke maatregelen voorgesteld kunnen worden om kinderen vanaf 12 tot 16 jaar te laten deelnemen aan beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming in Nederland, zonder tussenkomst van de rechter.
Bescherming
De AVG benadrukt de noodzaak van specifieke bescherming voor kinderen vanwege hun kwetsbaarheid en benadrukt de potentiële risico's die verbonden zijn aan de verwerking van hun persoonsgegevens (1). De Groep gegevensbescherming artikel 29 (WP29) is van mening dat kinderen niet in staat zijn om zich bewust en weloverwogen te verzetten tegen of toestemming te geven voor gegevensverwerkingsactiviteiten (2). Daarom bepaalt de AVG dat het 'ouderlijk toestemmingsmechanisme' (3) van toepassing is op kinderen jonger dan 16 jaar (4). Ondanks het feit dat de AVG gericht is op de bescherming en waarborging van de privacy en persoonlijke identiteit van kinderen (5) , slaagt het er niet in het recht op privacy en persoonlijke identiteit van kinderen te waarborgen indien zij onderworpen worden aan sharenting (6). Bovendien vallen onder kwetsbare betrokkenen ook degenen die te maken hebben met een onevenwichtigheid in de verhouding tussen de voor de verwerking verantwoordelijke en de betrokkene (7). Dit is een typering die van toepassing is op de relatie tussen een ouder en een kind in het geval van sharenting, door de afhankelijkheid van het kind van de ouder, ongeacht of de ouder zich welwillend opstelt naar het kind wat betreft de verwerking van het kind zijn persoonsgegevens (8).
Deelname
WP29 erkent dat het belang van het kind in conflict kan komen met het vereiste van toestemming van hun wettelijke vertegenwoordigers (9). In geval van conflicterende belangen kunnen de algemene beginselen van het IVRK, in het bijzonder gericht op het belang van het kind, een oplossing bieden (10). Het IVRK stelt in onder andere artikel 18 dat het belang van het kind voorop staat. Het is voor een kind echter lastig dit af te dwingen.
Kinderen hebben recht op privacy, zoals bepaald in art. 16 IVRK (11). Dit artikel, in samenhang met art. 12 IVRK, benadrukt de noodzaak om het perspectief van kinderen te betrekken bij beslissingen die hen aangaan. Artikel 18 IVRK stelt bovendien dat het kind de allereerste zorg van de ouders is. Lidstaten worden aangespoord om hun wetgeving in overeenstemming te brengen met de interpretatie van het IVRK door de nodige maatregelen te implementeren (12). Aan de ene kant erkent WP29 dat de uitoefening van rechten door kinderen in overeenstemming moet zijn met hun lichamelijke en geestelijke ontwikkelingsfase (13). Anderzijds is WP29 van mening dat kinderen niet in staat zijn om zich bewust en weloverwogen te verzetten tegen of toestemming te geven voor gegevensverwerking.
In Nederland is de leeftijd van 16 jaar gekozen als de leeftijd waarop een kind geen ouderlijke toestemming meer nodig heeft voor gegevensverwerking (14). Tijdens de consultatie van het UAVG-voorstel merkten verschillende partijen op dat de leeftijdsgrens van 16 jaar mogelijk niet aansluit bij maatschappelijke opvattingen over het geven van toestemming aan kinderen, maar kozen destijds toch voor een neutrale implementatie van de AVG (15).
Kinderen vertonen doorgaans een toenemende mate van autonomie vanaf de middelbare schoolleeftijd, waarbij ze zich bezighouden met tal van diensten waarbij gegevens worden verwerkt (16). Op verschillende gebieden in de Nederlandse wetgeving is de leeftijd van twaalf jaar aangewezen voor kinderen om zelfstandig bepaalde persoonlijke keuzes te maken, terwijl ze dat op hun zestiende volledig kunnen (17). Deze leeftijdsgrens sluit aan bij recent wetenschappelijk onderzoek (18). Daarnaast suggereert onderzoek van Ofcom, de onafhankelijke Britse toezichthouder voor media en communicatie, dat de commerciële mediageletterdheid van kinderen geleidelijk toeneemt tussen de 12 en 15 jaar (19).
Ouders moeten rekening houden met de ontwikkelingsfase van een kind, vooral bij het creëren van een digitale identiteit vanwege de bijbehorende risico's (20). Kinderen moeten een cruciale rol spelen bij het beschermen van hun persoonsgegevens (21). Hun toenemende betrokkenheid bij gegevensbescherming, van raadpleging tot besluitvorming door hen toestemming te laten geven of in te trekken en zich te beroepen op het recht om te worden vergeten, moet actief worden geïmplementeerd. Daarom wordt in dit artikel de leeftijdsgrens van 12 jaar gekozen voor het intrekken van toestemming en het inroepen van het recht om vergeten te worden. Om deze reden zou een kind vanaf 12 bekwaam dan wel bevoegd moeten worden verondersteld om deze rechten uit te oefenen ten aanzien van het inroepen van deze rechten. Deze rechten stellen kinderen in staat om in de loop van de tijd van perspectief te veranderen (22) en niet gebonden te zijn aan keuzes die hun vertegenwoordigers in het verleden hebben gemaakt (23). In dit artikel is voor het geven van toestemming de leeftijdsgrens van 13 jaar gekozen en niet 12 jaar. Lidstaten mogen hiervoor een lagere leeftijd dan 16 jaar wettelijk vastleggen, mits deze niet lager is dan 13 jaar (24).
De AP gaf aan dat in 2019 slechts maximaal 1% van de klachten betrekking had op kinderen (25). De AP schaarde in 2020 zelfs klachten over de verwerking van persoonsgegevens van kinderen onder 'diverse categorieën' (26). Het is dus niet mogelijk om te achterhalen hoeveel klachten betrekking hadden op kinderen. Dit zou een positief signaal kunnen zijn, aangezien er misschien geen reden is om te klagen over inbreuken op de privacy van kinderen. Literatuur beweert echter dat het tegendeel waar is (27). Kinderen vormden in 2016 een derde van alle internetgebruikers (28). Het is begrijpelijk dat de AP middelen prioriteert op basis van de prevalentie van problemen, gezien het grote aantal andere klachten (29). Dit gaat voorbij aan het feit dat de AP toegankelijk zou moeten zijn voor privacyschendingen met betrekking tot kinderen. Doordat klachten hen niet bereiken, blijft het belang van dit thema onopgemerkt. De AP houdt deze paradox in stand (30). Bovendien zou de AP, gezien de eerdere conclusie over de behoefte van kinderen aan participatie, personen onder de 16 jaar niet uit moeten sluiten van het indienen van klachten.
Het wordt aanbevolen dat kinderen van 12-16 jaar deelnemen aan beslissingen over de verwerking van hun persoonsgegevens. De AVG en het IVRK benadrukken de noodzaak van specifieke bescherming voor kinderen en erkennen hun kwetsbaarheid. De huidige regeling is erop gericht kinderen te beschermen, maar slaagt daar niet in, en gaat voorbij aan het belang van het betrekken van kinderen bij beslissingen over hun digitale identiteit. Door het belang van het kind in aanmerking te nemen en kinderen van 12 en 13 jaar te laten deelnemen aan beslissingen, zou deze bescherming worden verbeterd. Gezien de toenemende autonomie van kinderen vanaf 12 jaar en maatschappelijke perspectieven zou Nederland een lagere leeftijdsgrens voor participatie op dit vlak wettelijk moeten vastleggen. Bovendien kan uitsluiting van personen jonger dan 16 jaar van het indienen van klachten door de AP de erkenning en oplossing van privacyschendingen met betrekking tot kinderen belemmeren, waarbij het belang van hun deelname aan dergelijke processen wordt genegeerd.
In deze reeks wordt onderzocht hoe kinderen tussen de 12 en 16 in Nederland de mogelijkheid kunnen krijgen om te participeren in beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming, zonder tussenkomst van de rechter. De keuze voor deze leeftijdscategorie wordt toegelicht in het tweede artikel in deze reeks. Deze reeks artikelen is gebaseerd op een analyse van de Algemene Verordening Gegevensbescherming (31) , het VN-Verdrag inzake de Rechten van het Kind (32) , de Uitvoeringswet Algemene Verordening Gegevensbescherming (33) , Europese en nationale privacy-autoriteitsrichtlijnen, en literatuuronderzoek. In dit artikel ligt in de definitie van sharenting besloten dat openbaargemaakt wordt aan een onbepaalde groep personen, zodat de huishoudexceptie niet van toepassing is en de AVG van toepassing is. Indien u hier meer over wil lezen, verwijs ik naar de volgende voetnoot (34).
De focus in dit artikel ligt op participatie van kinderen in beslissingen met betrekking tot sharenting op basis van ouderlijke toestemming op basis van bovenstaande wetgeving. Daarom heeft het beperkingen. Naast toestemming, worden geen alternatieve grondslagen uit de AVG onderzocht. Ook beperkt dit artikel zich tot kinderen die identificeerbaar zijn op de content die hun ouders van hen uploaden (35). Daarnaast blijft het portretrecht buiten scope, gezien de eerdergenoemde focus op de AVG, UAVG en IVRK. Tot slot wordt er in deze reeks slechts gewerkt naar de mogelijkheden die kinderen op papier rechtens zouden moeten hebben als er ‘gesharent’ wordt. Het daadwerkelijk afdwingen van de rechten waarvoor gepleit wordt in deze reeks artikelen, kan bewerkstelligd worden door een klacht in te dienen bij de AP. Zie hiervoor het laatste artikel van de reeks. De gang naar de rechter door kinderen zal niet worden besproken.
(1) Overweging 38, overweging 58, overweging 65, overweging 71, overweging 75, art. 6 lid 1 sub f, art. 8, art. 12, art. 40 lid 2 sub g en art. 57 lid 1 sub b AVG.
(2) Art 29 Working Party, ‘Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing Is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679’ (WP 248, 4 October 2017).
(3) Piasecki, S., Chen, J., Complying with the GDPR when vulnerable people use smart devices, International Data Privacy Law, Volume 12, Issue 2, May 2022, Pages 113–131.
(4) Art. 8 AVG;
Tikkinen-Piri, C., Rohunen, A., & Markkula, J. (2018). EU General Data Protection Regulation: Changes and implications for personal data collecting companies. Computer Law & Security Review, 34(1), 134-153.
(5) Donovan, S. (2020). ‘Sharenting’: The forgotten children of the GDPR. Peace Human Rights Governance, 4(Peace Human Rights Governance 4/1), 35-59
(6) Van der Hof, S. (2016). I agree, or do I: a rights-based analysis of the law on children's consent in the digital world. Wis. Int'l LJ, 34, 409.
(7) Art. 29 Working Party, ‘Guidelines on Data Protection Impact Assessment (DPIA)’ (n 9), p.10.
(8) Ibid 42.
(9) Art 29 Working Party, ‘Opinion 2/2009 on the protection of children’s personal data (General Guidelines and the special case of schools) (WP 160, 11 February 2009), p. 4.
(10) WP 160, 11 February 2009, p. 19.
(11) Verdoodt, V., & Lievens, E. (2017). De AVG bekeken vanuit een kinderrechtenperspectief: pluspunten, knelpunten & vraagstukken. Computerrecht 2017/155, Afl. 4, p. 230-236.
(12) WP 160, 11 February 2009, p. 19.
(13) WP 160, 11 februari 2009, p. 3.
(14) Art. 5 lid 1 UAVG.
(15) Kamerstukken II 2017/18, 34851, 3, p. 93 – 94.
(16) Zwenne, T. (2022). T&C Privacy- en gegevensbeschermingsrecht, commentaar op art. 5 UAVG: Toestemming van wettelijk vertegenwoordiger.
(17) Raad voor Volksgezondheid en Samenleving (2018). Summary Age limits: Better opportunities for vulnerable young people, p. 12.
(18) Bruning, M. R., Smeets, D. J. H., Bolscher, K. G. A., Peper, J. S., & De Boer, R. (2020). Kind in proces: van communicatie naar effectieve participatie-het hoorrecht en de procespositie van minderjarigen in familie-en jeugdzaken. Meijers-reeks.
(19) OfCom, U. K. (2016). Children and parents: Media use and attitudes report. London: Office of Communications London.
(20) De Klein, M. (2023). "Sharenting en de digitale voetafdruk van een kind – De juridische mogelijkheden voor het kind om de door de ouders gecreëerde online identiteit te laten wissen." Mediaforum 2023/3.
(21) WP 160, 11 februari 2009, p. 20.
(22) Overweging 65 AVG.
(23) Buitelaar, J.C., Child’s best interest and informational self-determination: what the GDPR can learn from children’s rights, International Data Privacy Law, Volume 8, Issue 4, November 2018, Pages 293–308.
(24) Art. 8 lid 1 AVG.
(25) AP (2020), ‘Klachtenrapportage: facts & figures. Overzicht 2019’, p. 4
(26) AP (2020), ‘Klachtenrapportage: facts & figures. Overzicht 2019’, p. 8
(27) Hannema, T., ‘Kinderen die klagen... worden overgeslagen, P&I 2020/113, Afl. 3, p. 98 – 102.
(28) Lievens, E. (2016). Wanted: evidence base to underpin a children’s rights-based implementation of the GDPR. LSE Media Policy Project Blog.
(29) Hannema, T., ‘Kinderen die klagen... worden overgeslagen, P&I 2020/113, Afl. 3, p. 98 – 102.
(30) Hannema, T., ‘Kinderen die klagen... worden overgeslagen, P&I 2020/113, Afl. 3, p. 98 – 102.
(31) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119/1) (AVG).
(32) Verenigde Naties. (1989). Verdrag inzake de Rechten van het Kind. Verdragsreeks, 1577, 3. (IVRK).
(33) Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene Verordening Gegevensbescherming) (UAVG).
(34) Wat volgens de preambule van de AVG onder een louter persoonlijke of huishoudelijke activiteit valt is bijvoorbeeld het bijhouden van een adresboek, het voeren van correspondentie, maar ook sociaal netwerken. Valt het delen van content over het kind, zonder commercieel oogmerk, dan onder sociaal netwerken en daarmee onder de uitzondering van ‘huishoudelijke en persoonlijke activiteit’? Het Hof van Justitie EU stelt in het Lindqvist-arrest dat geen sprake is van een louter huishoudelijke en persoonlijke activiteit als persoonsgegevens openbaar gemaakt worden op internet en deze gegevens vervolgens voor een onbepaald aantal personen toegankelijk zijn. Waar de precieze grens ligt bij toepassing van de AVG en de uitzondering van de zuiver huishoudelijke of persoonlijke activiteit op het toepassingsbereik, is lastig te bepalen. Van geval tot geval zal dus gekeken moeten worden of een ouder onder het toepassingsbereik van de AVG valt of dat de uitzondering op het delen van content door de ouder van toepassing is. Voor meer informatie, verwijs ik u naar https://www.mediaforum.nl/scripts/download.php?id=5696.
(35) Art. 4 lid 1 AVG.