Linkedin wil zich meer richten op scholieren en studenten en verlaagt daarom per 12 september de leeftijdsgrens in Nederland van 18 naar 16 jaar, meldde Nu.nl vorige week. Maar die 16 jaar is specifiek voor Nederland: wie de geüpdatete algemene voorwaarden leest, ziet dat 13 jaar het uitgangspunt is en dat Nederland met China als enigen een hogere grens hanteert (China eist 18 jaar). Vanwaar die hogere grens?
LinkedIn legt het zelf niet echt uit, maar ik vermoed (met dank aan Bernard) dat het gaat om de leeftijdsgrens die onze Wet bescherming persoonsgegevens trekt: persoonsgegevens van minderjarigen onder de zestien jaar mogen alleen worden verwerkt met toestemming van hun ouders. Bovendien mogen ouders die toestemming altijd en zonder opgaaf van redenen intrekken. En dat is natuurlijk nogal een gedoe om te krijgen. Dan maar je minimumleeftijd op zestien als sociaal netwerk.
Die grens van zestien jaar is een Nederlandse toevoeging aan de Europese privacyregels. De privacyrichtlijn noemt geen leeftijdsgrens, en ook (bij mijn weten) andere Europese wetgeving harmoniseert niet wanneer iemand meerderjarig is of zelfstandig persoonsgegevens kan laten verwerken. De Privacyverordening die momenteel vanuit Europa is voorgesteld, zal een ondergrens van 13 jaar gaan bevatten specifiek voor informatiediensten.
Het blijft me irriteren dat we in het gewone recht een uitzondering hebben op de toestemmingsregel die niet geldt bij privacy. Is een rechtshandeling “in het maatschappelijk verkeer gebruikelijk” voor personen van die leeftijd, dan mogen de ouders de toestemming niet weigeren (art. 1:234 BW), maar de Wbp doet niet aan ‘gebruikelijk’ – ga je ouders maar vragen.
Je kunt hier als jonge ondernemer (die uiteraard op LinkedIn staat) tegenaan lopen. Als zestien- of zeventienjarige ondernemer is het mogelijk om ‘handlichting’ te krijgen. De rechtbank verklaart je dan meerderjarig zodat je zonder toestemming van je ouders contracten met je klanten kunt sluiten (art. 1:235 BW). Echter, die handlichting kan de Wbp niet passeren (tenzij je zegt dat dit onder “het uitoefenen van een beroep of bedrijf” valt). Maar goed, als je handlichting gaat vragen dan is even toestemming voor LinkedIn bedingen natuurlijk ook vast geen probleem.
Mensen vragen me wel eens waarom ik zo negatief doe over de Wbp. Nou, vanwege dit soort dingen dus. En omdat echt geen hónd zich eraan houdt, waardoor het voor mensen die het wél netjes willen doen hoogst frustrerend is dat zij de enigen lijken te zijn en de concurrent wegkomt met de meest grove overtredingen.
Arnoud
die grens zorgt er ook voor dat mijn dochter, jonger dan 16, geen apple account voor haar iphone kon openen en dat ze geen google account voor haar android apparaat kon openen (of beter, dat deze ineens werd geblokkeerd en ze dus ook niet meer bij haar e-mail en alles kon. en alleen het versturen van een kopie van een identificatiebewijs hielp met het deblokkeren, en bellen kun je ze niet.). allemaal vanaf 16. Of te wel, waarom verkopen winkels wel dat soort apparaten voor gebruik door kinderen, maar kun je ze vervolgens niet zonder ‘liegen’ gebruiken? Want beide bedrijven hebben geen mogelijkheid om als ouders je kind te machtigen o.i.d.
Je zegt “persoonsgegevens van minderjarigen onder de zestien jaar mogen alleen worden verwerkt met toestemming van hun ouders”. Dat is volgens mij niet helemaal juist, maar correct me if I’m wrong. De Wbp zegt in art. 5 dat bij personen onder de 16 “in plaats van” de toestemming van de betrokkene zelf de toestemming van de ouder of voogd nodig is. Dit ziet dus alleen op het geval dat toestemming als grondslag wordt gebruikt. Bij de andere grondslagen (zoals uitvoering van een overeenkomst of een gerechtvaardigd belang van de verantwoordelijke) is dus volgens mij helemaal geen toestemming van de ouders nodig.
Dat is correct. Ik had daar niet bij stilgestaan om dat m.i. bij LinkedIn (en andere sociale netwerke) alleen de toestemming een adequate grondslag kan zijn voor de verwerking. Er is geen overeenkomst waaruit een noodzaak volgt en een dringende eigen noodzaak van LinkedIn al helemaal niet. Maar inderdaad, als een 14-jarige iets koopt bij Bol dan is die verwerking onder sub b (overeenkomst) gerechtvaardigd en kunnen de ouders niets met artikel 5.
Ik zie niet in waarom de gebruiker geen overeenkomst met LinkedIn zou hebben. Voor de uitvoering van die overeenkomst (het maken en publiceren van een profiel en het maken van connecties) is het noodzakelijk dat LinkedIn bepaalde gegevens van je verwerkt. Volgens mij kunnen die verwerkingen prima gebaseerd worden op de grondslag van uitvoering van een overeenkomst.
De overeenkomst met LinkedIn gaat volledig over het verwerken van persoonsgegevens; het is geen verwerking van persoonsgegevens die gerelateerd is aan een andere overeenkomst. Als ik een koelkast bestel moet de leverancier een bezorgadres hebben (persoonsgegeven) en een telefoonnummer (persoonsgegeven) om de bezorgafspraak te bevestigen. Zonder deze gegevens kan de hoofdovereenkomst (de levering van een Koelkast) niet goed worden uitgevoerd.
Een overeenkomst met LinkedIn betreft alleen verwerking (publicatie) van persoonsgegevens; als deze verwerking niet meer mag is alle grond onder de overeenkomst wegevallen.
Er is een overeenkomst, zeker. Maar dan zeg je “er is een overeenkomst dus mag ik alles verwerken dat ik wil verwerken binnen die overeenkomst”. En dat is niet waar sub b voor bedoeld is. Er moet een dienst of zo zijn en daarbij is het nodig dat je persoonsgegevens verwerkt.
Ik koop een boek en dan móet Bol wel mijn adres aan DHL geven (en eventueel aan incassobureau). Daarom is dat gerechtvaardigd onder sub b. Ik review dat boek en dat publiceren ze met mijn naam. Dat vereist toestemming want dat is niet nodig voor de uitvoering van de koopovereenkomst.
Laat ik anders zo zeggen: waarom is sub a überhaupt relevant bij internetdiensten, als iedereen een EULA of andere overeenkomst hanteert? Dan zet je toch gewoon alles dat je wilt kunnen doen in die EULA en beroep je je op sub b.
“Dan zet je toch gewoon alles dat je wilt kunnen doen in die EULA en beroep je je op sub b” Zo simpel lijkt het me inderdaad niet. In het geval van LinkedIn zou ik zeggen dat de dienst eruit bestaat dat je een profiel kan aanmaken en dat LinkedIn dat profiel host. Dat is dus niet púúr het verwerken van persoonsgegevens, maar het verwerken van persoonsgegevens is wel noodzakelijk om die dienst te kunnen bieden. Ik zal niet zeggen dat álle verwerkingen van LinkedIn gebaseerd kunnen worden op de overeenkomst, maar in de kern zie ik niet zoveel verschil met de Bol.com casus.
Ik snap wat je bedoelt. Voor mij is het criterium bij sub b of de verwerking de kern van de overeenkomst is (à la het kernbeding) dan wel een afgeleid iets. Bij Bol voelt het meer afgeleid, dat moet nu eenmaal, dan bij Linkedin. Ik ga eens nadenken over een harder criterium dat het onderscheid kan maken.
Bij Bol.com kan je nog zeggen dat het afgeleverd moet worden bij de AH en dus kan Bol.com de overeenkomst gewoon doen zonder persoonsgegevens. Bij LinkedIn is dat onmogelijk omdat er zonder verwerking van de persoonsgegevens geen dienst geleverd kan worden.
Volgens mij moet dát het criteria zijn. Kan de dienst (theoretisch) ook zonder persoonsgegevens geleverd worden. Als dat kan is het afgeleid en anders is het een kernbeding.
Inderdaad. Het is gelukkig meer mensen opgevallen dat de twee hoofddoelstellingen van de EU-Privacyrichtlijn waarop onze Wbp gebaseerd is niet bereikt zijn: het heeft maar zeer beperkt tot betere bescherming van burgergrondrechten geleid en van een ‘level playing field’ (waardoor landgrensoverschrijdende commercie en onderzoek gefaciliteerd zou worden) is het ook niet echt gekomen. Daarom is nu een nieuwe EU-Verordening in de maak.
Op een aantal vlakken zal dat grote verbetering betekenen: – het level playing field is direct een feit, want een Verordening is direct geldend recht in alle lidstaten, zonder noodzaak van vertaling in nationale wetten. – het toezicht wordt verbeterd en de waakhonden krijgen ACM-achtige sanctiebevoegdheden (boetes van een miljoen of 2% van de wereldwijde jaaromzet bijvoorbeeld). – de systematiek wordt gekanteld: waar nu regels van toepassing werden verklaard op situaties en de praktijk afhangt van deugdelijke handhaving ad hoc en achteraf, ligt in het nieuwe stelsel grote nadruk op borging in systemen, processen en organisatie. Dat betekent bureaucratie van protocolleren, maar ook dat bij het aanleggen van ieder gegevensbestand vooraf alle eventualiteiten aantoonbaar doorakkerd moeten zijn. Handhaving daarop is veel eenvoudiger.
Als toch niemand zich eraan houd….. dan moeten er forse boetes komen en een goed controleapparaat in worden gericht.. en geen geitenharensokken figuren die wazig orakelen. Hier in het dorp houd ook niemand (nou ja bijna niemand) zich aan 30km/uur. Daar staat dus regelmatig een oom (of tante) agent met olijke glimlach te lasergunnen aldus de staatskas (aan)vullend.
Je mag jezelf daarnaast afvragen of je toe moet staan dat op een website die pretendeerd zakelijk te zijn 16jarige uberhaupt toe moet laten… En wat je als echt zakelijk gebruiker daar dan van moet vinden cq mee aan moet vangen..
Hoe zijn de regels eigenlijk voor personen die mentaal een “uitdaging” hebben en daardoor hun gehele leven onder curatele staan van een andere volwassene? Stel dat een zekere Diederik een IQ heeft van 64 en zich geestelijk op het niveau van een 8-jarige bevindt. Stapelgek, eigenlijk. 😉 In hoeverre kan hij dan een LinkedIn account, Twitter-account en Facebook account hebben en eventueel ook online aankopen doen, buiten zijn begeleider om? En wie draagt het risico indien Diederik voor 500 euro aan snoepgoed koopt bij een online snoepwinkel, zonder toestemming van zijn begeleider? In hoeverre zijn de persoonsgegevens van Diederik eigenlijk beschermd?
En mag ‘ie een hypotheek afsluiten? Of trouwen? Een kind verwekken? Maar adopteren dan? En heeft zo iemand stemrecht? Ook passief?
http://nl.wikipedia.org/wiki/Handelingsbekwaamheid
Eigenlijk is het wel heel logisch dat je pas vanaf 16 jaar een LinkedIn profiel mag hebben. Daarvoor heb je waarschijnlijk maar beperkte werkervaring met wat aardbeienplukken en folders rondbrengen. Ik zie maar heel weing 13 jarigen die zo de arbeidsmarkt op kunnen op een aantal hoogbegaafde kinderen na. Maar die zullen meestal nog aan het studeren zijn. LinkedIn is ook niet bedoeld voor kinderen, maar is gericht voor de zakelijke markt.