Miljoenen kinderprofielen illegaal wegens schending privacywet

Alle profielen met persoonsgegevens van kinderen tot 16 jaar op sites als Sugababes/Superdudes, Hyves en Cu2 zijn in feite illegaal, meldt Planet naar aanleiding van een symposium over sociale netten, tieners en privacy gisteren. Inderdaad.

<BR/>Privacy
Planet citeert artikel 37 van de Wet Bescherming Persoonsgegevens, maar veel relevanter is en ook het hoofdartikel artikel 5. Dit artikel bepaalt dat de voor verwerking noodzakelijke toestemming door de ouders gegeven moet worden als de persoon in kwestie nog geen zestien jaar is. Artikel 37 gaat alleen over verzoeken tot verwijderen of corrigeren van gegevens.

Hyves, Habbo en al die anderen schenden dus de privacywet omdat ze de ouders niet om toestemming vragen om profielen van minderjarige deelnemers aan te maken en te publiceren.

In Nederland is het namelijk alleen toegestaan om iets te doen met persoonsgegevens als er toestemming is van de betrokkene, de persoon om wiens persoonsgegevens het gaat. Zonder toestemming persoonsgegevens verwerken mag alleen onder strenge voorwaarden en in hele specifieke gevallen. Een krant mag bijvoorbeeld iemands naam publiceren als dat relevant is voor een verhaal. Een site mag persoonsgegevens verwerken in het kader van beveiliging, bijvoorbeeld door IP-adressen en gebruikersnamen te loggen.

Als de betrokkene dus nog geen zestien is, moeten de ouders die toestemming geven. Zoals Sjaak Nouwt van de Universiteit van Tilburg al uitlegde, zijn de regels hier strenger dan bij kinderen die iets kopen in de winkel. Ook daarvoor is formeel toestemming van de ouders nodig, maar die wordt geacht te zijn gegeven als de aankoop “normaal” is voor een kind van die leeftijd. Bij de privacywet moeten ouders echt elke keer expliciet die toestemming geven, en mag de site niet aannemen dat deze gegeven is omdat vrijwel alle kinderen online zitten.

Arnoud

3 reacties

  1. Tsja, maar dan zijn er veel meer sites illegaal bezig. Dit houdt feitelijk in dat een 16 minner zich maar zeer beperkt op internet mag begeven. In hoeverre is het legaal als een 16 minner een transactief doet op internet (waarbij bijna nooit naar leeftijd wordt gevraagd)? In hoeverre is Schoolbank legaal bezig door klassenfoto’s online te plaatsen met plaatjes van kinderen die jonger zijn dan 16 en daarvoor niet eens zelf toestemming hebben gegeven en hun ouders evenmin. Als je deze wet strikt gaat toepassen moet feitelijk bijna elke website waar de gebruiker mee kan interacteren op slot voor 16 minners. Uit ervaring kan ik overigens melden dat 16 minners regels op website als ‘Je moet minimaal 16 jaar zijn’ en masse negeren. Ze geven gewoon een andere leeftijd op waardoor er een averechts effect onstaat. Nu kunnen moderators kinderen nog speciale aandacht schenken. Zodra zij op website gedwongen gaan liegen over hun leeftijd krijgen zij deze speciale aandacht niet langer. Als we de wet volgens de letter gaan volgen krijgen wij volgens mij bizarre situaties. Bovendien vind ik eigenlijk dat toestemming van ouders eigenlijk impliciet is gegeven, de kinderen zijn immers online. Als je online bent geef je hoe dan ook persoonsgegevens over jezelf weg. Een ip adres is een persoonsgegeven, als een 16 minder over het web surft moeten dus al die sites kennelijk ruiken dat dit niet mag. Of ben ik nu ernstig de zaak aan het overdrijven?

  2. De wet hobbelt hier wel heel erg achter de feiten aan. De Europese richtlijn waar dit uit komt, dateert uit 1995. In die tijd was het voor zestienjarigen misschien iets minder gebruikelijk om hun hele hebben en houden op internet te zetten. In ieder geval vonden de wetgevers dat toen 🙂

    Er is veel kritiek, ook vanuit juridische hoek, op de zeer uitgebreide definities in de WBP. Moet elke foto, elk IP-adres en elk pseudoniem wel een ‘persoongegeven’ zijn, en moet daarvoor het strenge regime van de WBP gaan gelden? Ik zou toch graag een stapje terug doen en kijken naar het soort verwerkingen waar we moeite mee hebben. Koppelen van gegevensbestanden, direct marketing of het opsporen van klokkenluiders bijvoorbeeld. En onschuldige situaties laat je dan vrij, met hooguit het recht op inzage, correctie en verwijdering van persoonsgegevens achteraf.

    Maar ja, je zult altijd gevallen tegenkomen waarin een schijnbaar onschuldige actie toch pijnlijk blijkt. Stel iemand duikt met haar kind onder, maar de klassenfoto met dat kind erop komt -met naam van de school- online en de vader waarvoor men gevlucht was, komt deze tegen. De regel met uitdrukkelijke toestemming had dat voorkomen.

    Geen idee eerlijk gezegd hoe je daar een zinvol compromis bij zou kunnen bereiken.

    Aan IP-adressen had ik nog niet eens gedacht. Dat gaat net goed: je mag ook persoonsgegevens van minderjarigen verwerken als daar een aantoonbare noodzaak voor is. Beveiliging en beheer van netwerken valt daaronder. Maar gebruik je die logfiles om direct marketing te doen naar je bezoekers, dan heb je toestemming nodig van de ouders ja.

    Arnoud

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.