Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

28 reacties

  1. Echt wel dat ze al jaren fout zitten, net als de de rest van alle grote multinationals, maar dat is gewoon bedrijfstechnisch de beste keuze. Elk bedrijf zal ‘legal’ altijd als risico indexeren. Als de claims beperkt zijn, en de aanklagers niet zulke diepe zakken hebben, dan zul je als bedrijf altijd de grenzen van het acceptabele opzoeken. Bedrijven die dat niet doen zijn al lang en breed kapot geconcurreerd.

    Ik heb dit zelf ook meegemaakt. Tot begin dit jaar werkte ik bij een bedrijf dat een systeem maakt voor het verwerken van grote hoeveelheden persoonsgegevens. In dit systeem zitten fouten, welke ook wel eens tot problemen hebben geleid, maar dit was fiscaal altijd het risico waard.

    Nu begint dat langzaam te verschuiven omdat de boete clausules steeds hoger worden en omdat er meer mogelijkheden zijn om te procederen. Als individu kun je weinig inbrengen omdat je niet het kapitaal bezit voor ellelange rechtszaken, maar consumentenbonden die samenwerken zullen die slagkracht wel hebben.

      1. Nog strengere regels betekent dat je direct sterker staat. David met een ballista ipv. met enkel een kleine katapult. Maar je hebt gelijk dat er niet spontaan een nieuw gerechtsorgaan of een nieuwe misdaadvorm is bijgekomen waar je je op kan beroepen.

        1. @SpacyRicochet: “sterker staan” impliceert dat je überhaupt iets te zeggen hebt. Maar: er bestaat helemaal geen direkte mogelijkheid voor individuen om een gegevensverwerker te dwingen zich aan de AVG te houden. Je moet eerst maar eens bewijzen dat je schade hebt geleden (en hoeveel geld je precies kwijt bent).

              1. Dat was altijd al zo. Het nadeel is dat een verbodsvordering van onbepaalde waarde is, en je dus niet zelf bij de kantonrechter kunt procederen maar vertegenwoordigd moet zijn door een advocaat. Een dwangsom maakt deel uit van een verbodsvordering, anders heeft de vordering geen enkel nut (het is immers al onrechtmatig om iets te doen dat onrechtmatig is).

                1. Voor een vordering van onbepaalde waarde kan je ook bij de kantonrechter terecht, mits er duidelijke aanwijzingen bestaan dat de vordering geen hogere waarde vertegenwoordigt dan € 25.000.

            1. Ik meen me te herinneren dat een Nederlander ooit eens een spammer aanklaagde en toen van de rechter het deksel op de neus kreeg, omdat het aan (destijds) Opta was om spammers achterna te zitten, niet burgers.

              Waarom zou je dan wel voor inbreuk op de privacy kunnen aanklagen?

  2. Het staat er echt:

    Vanuit deze wetgeving heeft Microsoft onder andere voor het gebruik van zijn diensten en producten door kinderen jonger dan 16 jaar toestemming nodig van de ouders.
    De auteur van het stuk is Martin Vliem, de “National Security Officer” (https://pulse.microsoft.com/nl-nl/author/martin-vliem/). Wellicht kan hij toelichten waarom Microsoft tot een andere conclusie is gekomen over de noodzaak van toestemming van ouders dan Arnoud.

  3. Dus een kind mag van alles met snail-mail (de gewone post) versturen maar o wee als dat digitaal gaat dan moet een kind opeens toestemming hebben omdat het verschrikkelijk onveilig zou zijn (hoe dan?). Zien MS en Facebook/Whatsapp trouwens ook nu zelf niet in hoe krom dat is? (mijn kinderen zijn btw ook hun hele leven al meerderjarig om dit soort gezeur met Sony en EA te voorkomen).

    1. Dus een kind moet digitaal een eigen ‘postbus’ kunnen nemen zonder toestemming van de ouders waar geen zicht is op wat er aan rommel en erger binnenkomt, terwijl het voor een minderjarige, zeker zonder identificatie maar waarschijnlijk zonder medewerking van een ouder, niet mogelijk is om een postbus te huren waar snail mail binnenkomt?

      1. Dat klopt, maar ouders hebben via de algemene wettelijke regels wel de mogelijkheid in te grijpen bij bestellingen die niet gebruikelijk zijn voor een kind van die leeftijd. Een tienjarige kan dus geen postbus afnemen bij PostNL, maar zou wel een kleurplaat mogen opsturen (met naam & hobby’s en of hij drop lekker vindt) die bij de Donald Duck zit om een kortingsbon voor de Jamin te ontvangen. De online editie van die enquête mag hij niet invullen zonder toestemming van de ouders.

      2. Bovendien is het bij het versturen van gewone post veel anoniemer als we even uitgaan van normale brievenbussen. Immers, een kind (of volwassene) dat en brief op de post doet, loopt naar de brievenbus, gooit hem erin en weg is ie. Volledig anoniem. Ja, je kunt natuurlijk herkend worden op een camera of door omwonenden, maar laten we even uitgaan van een goed opgevoed kind dat een normaal poststuk op de brievenbus doet waarbij het niet nodig is dat kind in de gaten te houden/te identificeren. Online is dat een ander verhaal, want bedrijven als Microsoft weten precies wat kinderen wel en niet versturen via e-mails.

  4. Mogelijk heeft Microsoft helemaal geen zin in het vragen aan ouders of hun kind wel een account mag hebben. En Microsoft verzamelt natuurlijk allemaal data over hun gebruikers die privacy-gevoelig is. Immers, naam en geboortedatum zijn al persoonsgegevens. Dus in plaats van extra stappen te nemen om die toestemming te vragen is het gewoon eenvoudiger om alle accounts te blokkeren van personen jonger dan 16. Op zich ook best logisch want dat scheelt een hoop gezeur en veel kinderen gaan dan gewoon smokkelen met hun leeftijd en beweren dat ze 16 zijn. Microsoft kan dat toch niet controleren…

    Eigenlijk zorgt dit dus voor een vorm van burgerlijk verzet omdat jongeren die nog steeds Skype en Outlook willen gebruiken dan gewoon liegen over hun leeftijd. Er zijn toch geen validatie-mogelijkheden voor leeftijden op het Internet. 🙂

    1. Er zijn toch geen validatie-mogelijkheden voor leeftijden op het Internet.

      Ik zou dat willen nuanceren tot: Er zijn niet zoveel werkbare/praktische validatie-mogelijkheden voor leeftijden op het Internet. Een onpraktische is alle dienstafnemers persoonlijk bezoeken en ze vragen hun id-bewijs te tonen. Een werkbare mogelijkheid is het laten verrichten van een creditcard-betaling, ervan uitgaande dat jongeren geen creditcard hebben. Of iDIN (https://www.idin.nl/).

      1. Er zijn niet zoveel werkbare/praktische validatie-mogelijkheden voor leeftijden op het Internet.

        Nee, er zijn totaal geen betrouwbare methodes op het Internet. Je kunt namelijk niet zomaar om een foto van een paspoort, BSN nummer of andere privacy-gevoelige informatie vragen. Je kunt zelfs geen validatie doen via credit card betalingen simpelweg omdat veel mensen geen creditcard hebben en omdat kinderen gewoon de creditcard van hun ouders kunnen gebruiken.

        Zelfs het vragen van ID gegevens is al enorm gevoelig en mogelijk niet toelaatbaar als het alleen om een leeftijdscheck gaat. Daarnaast is dat enorm lastig indien je bezoekers van over de gehele wereld komen.

        Ik weet dat Second Life (spel, geen dating site!) in het verleden een systeem heeft geprobeerd om spelers toegang to onthouden tot de meer “volwassen” onderdelen. Dat was gebaseerd op het gebruik van een BSN nummer of rijbewijsnummer in Nederland en vergelijkbare systemen elders maar de privacy-wetgeving gooide roet in het eten. Het bedrijf dat deze controles uitvoerde mocht deze gegevens niet eens gebruiken voor dat doel! En dus is die validatie weer verdwenen. Ze probeerden het nog door alle adult toepassingen te verbieden en verloren vervolgens nog veel meer leden. Maar tegenwoordig hebben ze weer een adult sectie in hun virtuele wereld en geen bijzondere leeftijd validatie meer. Het werkt namelijk niet! Minderjarigen zijn erg slim in het omzeilen van dergelijke beschermingen terwijl volwassenen zich er enorm aan storen…

        1. Tja, ik blijf bij wat ik vorige keer zei bij dat WhatsApp-verhaal: het zou mogelijk moeten zijn om in 1 keer toestemming te geven na verificatie bij de gemeente. Nu heb je bijv. verificatie van goed gedrag voor een VoG op te halen en aan je werkgever te geven. Als we nu ook zoiets doen voor toestemming van online diensten, dan is het heel simpel want de gemeente kan dan gewoon de verklaring afgeven en als ouder stuur je dan een kopie naar alle online diensten. Ja, het is wat omslachtig maar daarmee is alles wél mooi gedekt en de gemeente heeft je persoonsgegevens nu ook al en verwerken die volgens de wettelijke regels, dus ook die controle is wettelijk legaal gedekt.

  5. Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod.

    Ik ben geen jurist, maar ik snap je interpretatie van de term rechtstreeks totaal niet. Rechtstreeks betekent dat het niet via tussenpartijen gaat maar een directe overeenkomst tussen beide partijen is. Als Microsoft Skype rechtstreeks aanbiedt aan een kind, betekent dat, dat er een overeenkomst tussen Microsoft en dat kind tot stand komt, en niet tussen bijvoorbeeld Microsoft en de ouders van dat kind op basis waarvan dat kind de dienst mede mag gebruiken. Dat laatste zou een onrechtstreeks aanbod zijn.

    Dat zou ik aannemen dat er bedoeld is. Aan welke anderen dezelfde dienst ook nog wordt geleverd, en of dat kinderen of volwassenen zijn, heeft er dan niets mee te maken. Waar het om gaat is dat het aanbod niet eigenlijk een aanbod aan iemand anders (de ouders) is.

    Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis.

    Is dat zo? Als je op het formulier zegt: voor deze dienst moet je minstens 16 zijn, kan ik als 15-jarige dat formulier wel invullen, en de facto de dienst afnemen en er zelfs voor betalen, maar is dan die overeenkomst wel echt tot stand gekomen? Je accepteert immers niet dat ik als 15-jarige van de dienst gebruik maak, ook al is dat moeilijk te verhinderen. Of moet je dan meteen een strenge controle bij afsluiting doen, bijvoorbeeld een kopie van een identiteitsbewijs vragen? Of helpt zelfs dat niet?

    Hoe zit dat eigenlijk in de analoge wereld? Als ik een verkoop houd aan een specifieke doelgroep, laten we zeggen, inwoners van mijn gemeente, of kinderen, of zo, en later blijkt iemand iets gekocht te hebben die niet in de doelgroep viel, kan ik dan achteraf eisen dat die koop ongedaan wordt gemaakt omdat de koper bedrog heeft gepleegd?

    1. Kopietje identiteitsbewijs mag meestal niet. Dan heb je wel hele zware redenen nodig om die op te vragen. En omdat er een BSN nummer en andere gevoelige informatie op kan staan mag je die ID gegevens ook niet langer bewaren dan minimaal noodzakelijk is.

      Maar als een minderjarige iets heeft gekocht wat niet mocht dan is dat niet jouw probleem indien de minderjarige jou heeft misleid. Als de ouders de koop ongedaan willen maken dan is dat op zich prima, maar dan kun je wel schade verhalen op die ouders want je loopt dan de winst mis van die verkoop. Dus een koop terugdraaien zal er niet snel in zitten. Wat wel kan is als je een loterij hebt georganiseerd en de minderjarige heeft een prijs gewonnen. Dan hoef je die volgens mij niet uit te betalen en is het even de vraag of het geld voor het lot terugbetaald moet worden of niet. Toch, @Arnoud?

  6. “En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent.” Niet delen door nul, maar deelbaarheid definiëren als wanneer er een uitkomst in R is. Zo zou dan 3,7 een deler zijn 14,25, omdat de uitkomst 3,85… is. Het begrip ‘deelbaar’ heeft alleen zin, wanneer er getallen binnen en buiten dit begrip vallen.

  7. Dit blokkeer gedrag is niet uniek aan Microsoft. Google doet het net zo goed. Wij onderhouden omgevingen bij beide voor scholen en google blokkeert accounts als ze denken dat je jonger dan 13 bent. Heel irritant als je bedenkt dat google (en microsoft) weten dat het eductieve omgevingen (Scholen krijgen licenties gratis) met jonge kinderen betreft. Ik heb zelf nog geen blokkeringen van Microsoft gehad in de schoolomgevingen alleen van Google.

    1. Dat viel mij laatst ook op. Volgens mij is de Uitvoeringswet onverbindend in dat artikel, omdat de AVG geen ruimte laat aan lidstaten om strengere regels te stellen aan toestemming door minderjarigen. Ik zie in de AVG alleen een bevoegdheid om te zeggen vanaf welke minimumleeftijd kinderen bij een rechtstreeks aanbod aan informatiediensten toestemming kunnen geven. De MvT geeft daar geen antwoord op.

  8. opmerkelijk. denk inderdaad dat je gelijk hebt. ik lees dus ook niet zo goed terug wat er nu met dat rechtstreekse aanbod wordt bedoeld. alhoewel jouw redenering op het eerste gezicht niet vreemd voorkomt, heeft Reinier op zich een goed punt zo lijkt het. waarom zou ‘rechtstreeks’ in dit verband niet betekenen zonder tussenkomst van een derde?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.