Een op de drie Britse kinderen heeft een socialemedia-account voor volwassenen, mag dat?

Om beschermingsmaatregelen van sociale media te omzeilen, liegt een op de drie Britse kinderen bij het aanmelden over de eigen leeftijd, las ik bij Nu.nl. De Britse toezichthouder Ofcom (zeg maar de ACM) laat dit in onderzoek zien. Het gaat dan zowel om kinderen onder de dertien als kinderen in de groep dertien tot achttien. En, zoals een juridisch correct handelende zeventienjarige me vroeg, wanneer mag dat dan wel, op sociale media als kind?

Ik was een klein beetje verrast dat het de Ofcom was die het onderzoek had uitgevoerd. De Ofcom is de markttoezichthouder, dus eerlijke mededinging, misleidende reclame, oneerlijke handelspraktijken, dat werk. Die leeftijdsgrenzen komen uit de AVG, en daarover gaat collega-toezichthouder ICO. Maar het onderzoek komt uit de taak van de Ofcom om mediawijsheid te stimuleren, en gedrag van minderjarigen op accounts voor volwassenen valt daar zeker wel onder.

Socialemediadiensten hanteren vrijwel allemaal een absolute ondergrens van dertien jaar, dat volgt namelijk uit de Amerikaanse COPPA wetgeving. Als je site zich richt op kinderen onder die leeftijd, of daadwerkelijk weet dat er kinderen onder die leeftijd zijn, dan moet je harde leeftijdscontroles en toezicht toepassen én mag je een hoop dingen niet meer (zoals invasief tracken). Bijgevolg heeft Amerikaans internet massaal besloten “dan mogen die kinderen er gewoon niet op”.

In Europa, waar we het perfide Albion dan ook maar even onder rekenen, is die grens van dertien jaar alleen terug te vinden in de AVG. En dan ook nog eens als een keuze voor lidstaten: artikel 8 AVG bepaalt dat kinderen onder de zestien jaar niet zelf toestemming kunnen geven als een bedrijf dat vraagt, maar ook dat landen zelf die grens lager mogen leggen. In Engeland is dat ook gebeurd en wel bij het minimum van dertien jaar.

Dat is natuurlijk mooi en aardig, maar aan de handhaving schort het nogal, om het zachtjes te zeggen. Als er al op wordt gecontroleerd dan is dat “vul je geboortedatum in” of een vinkje bij “ik verklaar meerderjarig te zijn”. En ook op jonge leeftijd weten kinderen heus wel de “ie-aag ree” knop te vinden. Waarna vervolgens niets gebeurt ter verificatie (wat in theorie van COPPA en AVG wel zou moeten, dus).

Die juridisch correct handelende zeventienjarige had overigens schriftelijke toestemming van zhaar ouders om alle wettige handelingen uit te voeren op bekende sociale media die een volwassene zou kunnen of willen doen. Ik geef toe: uitzondering.

Somebody please think of the parents, hoor ik achterin. Want die ouders die moeten toch op hun kinderen online letten? Ja leuk, maar dit is een juridische blog, en de juridische verantwoordelijkheid ligt dus bij die socialemediaplatforms. Dus laten we het daar eens over hebben.

Arnoud

19 reacties

  1. Eerlijk gezegd zie ook niet een goede mogelijkheid, althans op dit moment, om leeftijdscontrole met zekerheid én op een aanvaardbare manier uit te voeren. Praktisch de enige methode is om mensen te verzoeken een scan van een identificatie document toe te sturen, en daar zit niemand logischerwijs op te wachten.

    Dan rest nog het achteraf controleren bij een vermoeden van, maarja dat kost arbeidskracht en dat wil dus geen van de platforms.

    1. Het zou kunnen via een check bij de overheid of banken, log eenmaal in via digid of ideal en de website krijgt een ja/nee op de vraag “ouder dan 16”. Het enige probleem is dan dat de overheid of de bank kan zien wie er een account aanmaakt op welke website (al zien ze niet welke account dat is). Dat zal niet zo erg zijn als het gaat om facebook, linkedin, tweakers of dit blog, maar pornhub is ook social media.

      1. Maar is dat iets dat werkt met alle banken? En ondersteunen alle Europese overheden dit? Voor zover mij bekend werkt dit al niet bij digid om die te gebruiken voor dit soort validaties voor reguliere bedrijven. Daar moet dan een betrouwbaar iets voor zijn. Dat kan dan ook gelijk werken voor het kopen van alcohol online. Bij bezorging moet gekeken worden, maar dat gebeurd vaak niet.

        Daarnaast moet er dan ook een procedure zijn als de ouders zeggen van ja het is goed (en dan moet je ook controleren of degene die dat roept daar het recht toe heeft). Zelfs voor een partij die enkel in Nederland werkt heb je hier al een leuke hindernis.

        1. Toen ik een paar weken geleden de postnl app configureerde werdt daar ook een ideal login gebruikt voor het bevestigen van het huisadres. Dus de infrastructuur hiervoor bestaat in Nederland en is iets waar zo goed als alle Nederlanders gebruik van kunnen maken. En de banken moeten die informatie toch hebben om te bepalen welke producten je mag gebruiken.

          Voor minderjarigen zou je een dubbele check kunnen gebruiken. Eerst inloggen via de ideal van het kind om de leeftijd te bevestigen, dan inloggen via de ideal van de ouder om de toestemming te bevestigen. Aangezien het normaal gesproken de ouders zijn die een bankrekening voor hun kinderen openen zou een bank moeten weten wie er een kind/ouder relatie heeft. https://www.ing.nl/particulier/klantenservice/gegevens-wijzigen/beheer-bankzaken-ouderlijkemacht

        2. Is het wel iets dat we als maatschappij zouden moeten willen? Wat mij betreft niet. Ik vind dat er veel maatschappelijke waarde zit in de mogelijkheid om je online min of meer anoniem, of in elk geval nergens direct gekoppeld aan je echte identiteit, te kunnen bewegen. Een of andere gedwongen identiteits-verificatie bij een instelling zoals een overheid of bank geeft denk ik een behoorlijk zgn Chilling Effect.

          Als je al minderjarigen wil weren om een of andere reden dan moeten er toch betere oplossingen denkbaar zijn waarbij je niet bij je bank of overheid hoeft te registreren dat je actief bent op een forum voor, bijvoorbeeld, zaken waarvan sommige partijen in de Tweede Kamer vinden dat het strafbaar zou moeten zijn, of aan wie banken geen diensten willen verlenen.

          Ik ben op een website, helaas vergeten welke, wel eens een soort kennis-quiz tegen gekomen met vragen uit het nieuws van een jaar of 8 daarvoor, zoiets vormt in elk geval een soort drempel.

      2. Via DigiD mag het op dit moment niet (social media bedrijven hebben geen grond om aansluiting te verzoeken). En banken doen het op dit moment ook niet.

        Tbh, zie ik de overheid niet graag in de leeftijdsverificatie stappen. In principe is dat iets dat de markt prima zelf kan oplossen, wat natuurlijk pas gebeurt als er commerciële vraag naar is (i.e.: er wordt wél actief gehandhaafd met boetes e.d. en de kosten voor verificatie zijn lager dan de kosten van een boete). Dan kom je nog wel in de knel als ouderlijke toestemming nodig is, dat is uiteraard regio afhankelijk omdat de regels niet uniform zijn én je zit met haken en ogen als gescheiden ouders waar mogelijk beide ouders de ouderlijke macht hebben én beide toestemming moeten geven (of juist niet).

        1. Ik als ouder bepaal zelf wel of mijn kinderen ergens bij mogen, en als een bedrijf daar belemmeringen voor opwerpt die ik onredelijk vindt, dan help ik bij die te omzeilen. Ik heb, voordat zij 18 jaar waren, een paar keer accounts voor gebruik door mijn kinderen aangemaakt (betaalde accounts voor Spotify, bijvoorbeeld). Het is een onderdeel van de opvoeding dat jongeren leren omgaan met de enorme bulk aan rommel die op het internet op je af komt, en daarin te defensief willen zijn werk averechts.

    2. Uit eigen ervaring voeren ze sporadisch (automatische) controles uit over bestaande acccounts. Mijn Instagram account waar ik enkel foto’s van mijn, toen pasgeboren, kinderen op plaats is tweemaal gedeactiveerd (1x in Korea en 1x in Nederland), met het verzoek om een identificatie document op te sturen ter verificatie van mijn leeftijd. Toegegeven, dit account heb in Korea aangemaakt en de mails waren telkens in het Koreaans.

      1. Er zijn meer van dit soort apps, zoals de Ockto app, die zo’n beetje alle gegevens die je met je digid kunt benaderen kan opzuigen, en doorgeven bij bijvoorbeeld een hypotheek offerte. (https://www.ockto.nl/).

        Ik weet niet of ik dit een goede ontwikkeling vindt. Zou het liever toch weer iets anders zien, namelijk dat een derde partij die dergelijke gegevens wenst te ontvangen, ze alleen mag ontvangen na een vergunning (met bebehorende voorwaarden over het op orde hebben van je data beheer; compliant met AVG, enz.), of dat die in een versleutelde wallet geplaatst worden, waar zij dan alleen dat gene uit kunnen pakken waar zij aantoonbaar belang bij hebben.

        Het probleem bij dit soort toepassingen is namelijk: je geeft wel toestemming, maar het geven van toestemming is niet echt vrij te noemen: geen toestemming, geen hypotheek, bank-rekening, of straks misschien, toegang tot een website of dienst. Dat moeten we niet willen.

        Je zou het ook kunnen omdraaien. Bedrijven krijgen gegevens rechtstreeks van klanten, maar zonder enige garantie dat die uit overheidssystemen komen, en kunnen, onder voorwaarden, die laten attesteren door de overheid. Die zegt dan alleen “klopt” of “klopt niet” als het bedrijf recht heeft de gegevens te verwerken.

  2. Ik zie er niets mis mee om te liegen over je leeftijf, in dit soort gevallen. Sterker nog, ik heb het zelf gedaan om (als ik me goed herinner) toen mijn kinderen nog niet oud genoeg waren voor een Apple account te zorgen dat ze er toch een kregen.

    Wat dat betreft stel ik me, kort gezegd, op het standpunt dat of de kinderen iets mogen, primair een zaak van de ouders is, en dat enige randvoorwaarde die een sociaal medium platform stelt wat betreft leeftijd nietig is, en dat daar dus best over gelogen mag worden als dat nodig is om hun aanmeldingsprocedure te voltooien.

  3. Hadden alle websites en apps maar de cookie-wall van donaldduck.nl met een “Ik ben een kind” knop en de tekst: “Ben jij een kind? Klik dan op de button “Ik ben een kind”. We gebruiken dan alleen maar cookies die we nodig hebben om deze website (beter) te laten werken.”

  4. In Europa, waar we het perfide Albion dan ook maar even onder rekenen, is die grens van dertien jaar alleen terug te vinden in de AVG.

    De termen AVG en perfide Albion deden bij mij een lichtje opgaan: het betreft niet Europa maar de Europese Unie. En of de AVG nu nog steeds geldig is in het Verenigd Koninkrijk weet ik niet.

    1. Indien ze de AVG in lokale wetgeving omgezet hebben (en vziw moesten ze dat) dan is die wetgeving geldig tot die aangepast is of weggestemd. Dat zal zo zijn met alle EU richtlijnen die omgezet zijn in lokale wetgeving.

      1. De AVG is geen richtlijn maar een verordening, een direct in de hele EU (EER) effectieve wet. Er is dus géén noodzaak een lokale wet te maken waar je de AVG in opneemt. Er zijn wel uitvoeringswetten maar dat zijn voor de toegestane afwijkingen (zoals minimumleeftijd) of aanvullende zaken (zoals wanneer je wel of geen biometrie wil toestaan). De Britten hebben inderdaad een UK GDPR, dat is op dit moment een wet die gelijk is aan de AVG maar waar ze fors aan willen sleutelen om de industrie te helpen: lees om de dataprivacy van mensen te vernaggelen.

  5. Als een leerkracht zijn leerlingen een opdracht geeft die afwijkt van wat ze gewend zijn en dat niet eerst een tijdje regelmatig controleert bij alle leerlingen, dan kan je ervanuit gaan dat de meesten het niet zullen doen. Ook al dreig je met straf. Die structurele controle in het begin is nodig, anders veranderen hun gewoontes niet. Dat is een intensief proces, wat je zorgvuldig moet doen. Want als je te vaak dingen verwacht, zonder controle, dan is het resultaat dat ze je niet meer serieus nemen in wat je verwacht. Beter is het om vooraf aan te geven hoe het moet, zodat ze het in één keer goed aanleren.

    Ik herken hierin het gedrag van bedrijven en de overheid en wetten zoals de AVG. Maar ook met consumenten (meer- en minderjarig) en ICT-bedrijven. Er verandert te veel doordat de overheid te laat is met reguleren. En er is veel te weinig capaciteit om hand te haven.

    De meeste bedrijven en consumenten nemen daardoor denk ik de vele wetten niet meer serieus.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.