Kun je als Nederlandse Youtuber een boete krijgen vanwege COPPA?

| AE 11640 | Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me:

Per 1 januari 2020 zijn Youtube Creators zoals ik verplicht om te vertellen of de video’s voor kinderen zijn gemaakt of niet. Ik heb gehoord dat als ik dat niet goed doe, ik een boete tot 42.000 dollar kan krijgen van de Amerikaanse Federal Trade Commission (FTC). Mar hoe maak ik nu die afweging en kan zo’n Amerikaanse organisatie mij nu echt beboeten?

In september schikte Google voor 170 miljoen met de FTC vanwege privacyschendingen onder de COPPA wet. Deze wet verbiedt het volgen of profileren van kinderen (onder de dertien), en op Youtube gebeurde dat natuurlijk op grote schaal. Onderdeel van de schikking is dat Youtube een systeem optuigt om te voorkomen dat kinderen nodeloos gefilmd of geprofileerd worden.

In de kern komt het systeem erop neer dat kanalen gemarkeerd moeten worden als wel of niet bestemd voor kinderen. In het eerste geval schakelt Youtube de nodige features uit, waaronder dus dat profileren. Advertenties zijn dan ook niet meer gebaseerd op informatie van de bezoeker, maar enkel nog gerelateerd aan de video die je dan ziet.

Zeg je dat je kanaal niet voor kinderen is, dan blijft alles bij het oude – maar het is dus een strafbaar feit om dat te zeggen terwijl het kanaal wél voor kinderen is. De pijn van veel Youtubers zit hem dan ook in de vraag hoe je dat zeker weet. Want het gaat weliswaar om personen onder de dertien, maar die hebben ook interesse in games, makeup, dure auto’s of animatieseries.

De COPPA wet zelf spreekt van “directed” of “targeted” op kinderen. Daar is dan een hele lijst factoren bij die moet helpen:

In determining whether a Web site or online service, or a portion thereof, is directed to children, the Commission will consider its subject matter, visual content, use of animated characters or child-oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the Web site or online service, as well as whether advertising promoting or appearing on the Web site or online service is directed to children. The Commission will also consider competent and reliable empirical evidence regarding audience composition, and evidence regarding the intended audience.

maar ik lees dat als “je mikt op kinderen als je dingen doet die typisch zijn om kinderen binnen te hengelen als publiek” en dat voelt een tikje een cirkelredenering. Desondanks is dit denk ik zo’n geval “I know it when I see it” als uitgangspunt, maar ik snap goed de twijfel want wat moet je met je makeup-kanaal of je Fortnitespeeltips terwijl je denkt dat je op 15, 16, 17-jarigen mikt?

Dat gezegd hebbende, dit is Amerikaanse wetgeving van een organisatie die weinig boetes uitdeelt. De kans daarop lijkt me dus minimaal, of je moet wel heel duidelijk de regels overtreden. Het meer reële risico is dat Youtube je kanaal als toch voor kinderen aanmerkt en je account schorst, waar dan geen bezwaar of beroep tegen mogelijk is. Een praktijk die men vaker pleegt.

Helaas heeft Youtube geen duidelijke richtlijnen voor wat zij als de gevarenzone zien; erger nog ze gaan AI bots inzetten om video’s te classificeren als op kinderen gericht of niet. Dat maakt het dus erg spannend.

Maar een concreet advies “doe dit en je zit safe” is er niet. Iedereen die met disclaimerteksten komt is per direct af en ontvangt geen 200 euro, overigens. Grofweg zou voor mij de eerste vuistregel zijn of je wéét dat er 13-minners meekijken (meer dan een verdwaalde klik) en of je dan denkt “nou ja prima, die kunnen/mogen dit ook”. Als je dat denkt, dan zit je in de gevarenzone.

Je kop in het zand steken (bijvoorbeeld door nooit leeftijden na te gaan) is geen optie want je hebt juridisch gezien een zorgplicht. Zijn er aanwijzingen (zoals taalgebruik, foto’s, soort vragen) dan moet je verder kijken en kan het mogelijk zijn dat je je video of kanaal op “bestemd voor kinderen” zet.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Informatiemaatschappij, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Onder de 16 geen Facebook, geen Twitter, geen Instagram?

| AE 8617 | Privacy | 7 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngWie jonger is dan 16 jaar, mag zonder toestemming van zijn ouders geen sociale media gebruiken, meldde het AD maandag. De nieuwe Privacyverordening stelt strenge regels over persoonsgegevens van minderjarigen, en als gevolg daarvan mogen die straks (2018) niet meer op sociale media. Alleen, hoe is dat nieuws?

Het AD denkt van wel, want: “[t]ot op vandaag bestaat er geen aparte wet over de leeftijd waarop je als kind een account mag hebben op sociale media zoals Facebook, Twitter of Instagram.” Maar dat klopt eenvoudigweg niet. Al sinds 2001 bestaat er een wet, namelijk de Wet bescherming persoonsgegevens die precies dat zegt. (Ja, of ze bedoelen dat er geen Wet op de Sociale Media is die letterlijk wat over accounts zegt. Maar, eh, kom nou.)

De Wbp regelt in het algemeen hoe om te gaan met persoonsgegevens, en in artikel 5 staat dat bij personen onder de 16 toestemming van hun ouders nodig is om die gegevens te mogen gebruiken. Om een of andere reden is dat een gekke regel die periodiek nieuws is: in 2007 bleken Hyves en Sugababes illegaal, en sindsdien zie ik het bij elk nieuw social netwerk weer opduiken als nieuwtje. Maar goed, dat zal aan mij liggen.

De Verordening verruimt eigenlijk juist de mogelijkheden. Lidstaten mogen een lagere grens instellen dan zestien, mits die grens maar minimaal dertien is. Een grens die wij overigens niet hebben, wederom in tegenstelling tot wat het AD schrijft. Toegegeven, de regel wordt totaal niet gehandhaafd dus als je wilt spreken van gedoogbeleid dan is dat prima, maar het stáát nergens.

Arnoud

Ben ik aansprakelijk als mijn kinderen illegaal downloaden?

| AE 7604 | Intellectuele rechten, Ondernemingsvrijheid | 32 reacties

Een lezer vroeg me: Mijn kinderen blijken stiekem films te downloaden via Popcorn Time. Nu weet ik dat je hiermee uit illegale bron downloadt, dus ik heb het ze nogmaals verboden maar stel dat Brein hierachter komt, ben ik dan aansprakelijk voor hun downloadgedrag? Downloaden uit illegale bron is juridisch gezien een onrechtmatige daad, niet… Lees verder

Ouders klagen Facebook aan om extreme uitgaven kinderen

| AE 7513 | Informatiemaatschappij | 18 reacties

Facebook wordt in de Verenigde Staten aangeklaagd door ouders van kinderen die zonder toestemming hoge bedragen hebben uitgegeven in spelletjes op het sociale netwerk. Dat meldde Nu.nl vorige week. Het gaat om een massaclaim, geïnitieerd door twee ouders wier kinderen elk zo’n duizend dollar aan creditcardbestedingen hadden gedaan op Facebook. Kinderen kunnen volgens de wet… Lees verder

Mag je onder water filmen of fotograferen in het zwembad?

| AE 6035 | Informatiemaatschappij | 11 reacties

Diverse lezers vroegen me recent hoe het zit met onderwatercamera’s in het zwembad. Nu onderwatercamera’s steeds goedkoper worden, duiken (haha) ze op veel meer plaatsen op. En wat is er nou leuker dan ook in het zwembad eens foto’s van jezelf, je familie of vrienden of willekeurige zwemmers te maken? Eh, wacht even. Op zich… Lees verder

Welke leeftijdsgrens geldt er in Nederland voor internetdiensten?

| AE 5693 | Informatiemaatschappij | 12 reacties

Een lezer vroeg me Bij veel Amerikaanse sites zie je dat expliciet wordt gezegd dat je minstens dertien jaar moet zijn om de dienst te mogen gebruiken. En bepaalde natuurlijk 18 of zelfs 21. Hoe zit dat bij ons? Welke leeftijdsgrenzen gelden er voor internetdiensten? Die Amerikaanse grens van 13 jaar is gebaseerd op de… Lees verder

Geen gezag voor vader door Facebookberichten

| AE 4485 | Privacy, Uitingsvrijheid | 7 reacties

Een vader heeft geen gezag over zijn kind gekregen, omdat hij op zijn Facebook-pagina negatieve berichten over de moeder had geplaatst. Dat las ik bij Jurofoon. Deze berichten waren volgens de rechtbank zeer ongepast en alleen bedoeld om de moeder negatief weg te zetten. Daarmee had de man aangetoond zich onvoldoende rekenschap te geven van… Lees verder