WhatsApp verhoogt minimumleeftijd naar 16 jaar vanwege AVG

| AE 10559 | Privacy | 17 reacties

Gebruikers van chatdienst WhatsApp moeten voortaan minstens 16 jaar oud zijn, las ik bij Nu.nl. De aangepaste voorwaarden voor de chatapplicatie, die alleen in Europa worden doorgevoerd, eisen dat de gebruiker minimaal zestien is en maken afsluiting mogelijk van wie onder deze leeftijd blijkt. Er is vooralsnog geen informatie dat WhatsApp dit werkelijk gaat handhaven. En ja, dit is nieuws want AVG – hoewel het eigenlijk al sinds, oh, 2001 wettelijk zo geregeld was. Maar dat is onvermijdelijk bij berichtgeving over de AVG.

Onder de Wbp die sinds 2001 van kracht was, was het voor personen onder de 16 niet mogelijk om toestemming te geven voor verwerking van hun persoonsgegevens. In plaats daarvan was toestemming nodig van hun ouders of verzorgers. Dat gold voor chatdiensten, social media en andere dienstverleners – maar ook anderen, als je als dertienjarige je voorkeur voor chocoladepasta wilde opgeven bij zomerkamp dan had je formeel ouderlijke toestemming nodig om dat op een formulier te mogen zetten.

De AVG verandert niets aan de leeftijdsgrens, maar beperkt wel de scope. Internetdiensten moeten ouderlijke toestemming hebben van personen onder de zestien wiens persoonsgegevens ze willen gebruiken. Behalve voor persoonsgegevens die strikt noodzakelijk nodig zijn voor de dienst natuurlijk, of wanneer de gegevens wettelijk verplicht gebruikt moeten worden. Ook bij diensten onder een eigen gerechtvaardigd belang is geen ouderlijke toestemming nodig – er is dan immers helemáál geen toestemming nodig.

Het strengere uit de AVG is de eis dat “de verwerkingsverantwoordelijke redelijke inspanningen [pleegt] om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven”. De AVG vermeldt geen manieren waarmee de verwerkingsverantwoordelijke de bedoelde controle moet uitvoeren. De al langer bestaande Amerikaanse COPPA-wetgeving (15 U.S.C. §§ 6501-6506) over ditzelfde onderwerp vereist verifiable parental consent voordat men persoonlijke informatie van personen onder de dertien jaar verwerkt. De uitvoeringsregels (16 C.F.R. § 312.5(c)) noemen diverse opties: een getekend formulier, een geldige creditcard, een telefonisch contact met iemand die getraind is kinderstemmen te herkennen en, bij verwerkingen zonder derdenverstrekking, een reactie per mail van de ouder dat een en ander akkoord is.

WhatsApp doet dus het minimaal noodzakelijke om aan de AVG te voldoen. Verbied zestienminners toegang, houd de deur op een kier voor ouderlijke toestemming wanneer een kind wordt afgesloten en ga geen nadere controle uitvoeren. Eerlijk gezegd zou ik ook niet weten hoe een gratis dienst als WhatsApp kan nagaan of hun gebruikers onder de 16 jaar zijn.

Arnoud

Waarom moet je in Nederland 16 zijn om op LinkedIn te mogen?

| AE 5968 | Privacy | 14 reacties

linkedin-veranderde-voorwaarden.pngLinkedin wil zich meer richten op scholieren en studenten en verlaagt daarom per 12 september de leeftijdsgrens in Nederland van 18 naar 16 jaar, meldde Nu.nl vorige week. Maar die 16 jaar is specifiek voor Nederland: wie de geüpdatete algemene voorwaarden leest, ziet dat 13 jaar het uitgangspunt is en dat Nederland met China als enigen een hogere grens hanteert (China eist 18 jaar). Vanwaar die hogere grens?

LinkedIn legt het zelf niet echt uit, maar ik vermoed (met dank aan Bernard) dat het gaat om de leeftijdsgrens die onze Wet bescherming persoonsgegevens trekt: persoonsgegevens van minderjarigen onder de zestien jaar mogen alleen worden verwerkt met toestemming van hun ouders. Bovendien mogen ouders die toestemming altijd en zonder opgaaf van redenen intrekken. En dat is natuurlijk nogal een gedoe om te krijgen. Dan maar je minimumleeftijd op zestien als sociaal netwerk.

Die grens van zestien jaar is een Nederlandse toevoeging aan de Europese privacyregels. De privacyrichtlijn noemt geen leeftijdsgrens, en ook (bij mijn weten) andere Europese wetgeving harmoniseert niet wanneer iemand meerderjarig is of zelfstandig persoonsgegevens kan laten verwerken. De Privacyverordening die momenteel vanuit Europa is voorgesteld, zal een ondergrens van 13 jaar gaan bevatten specifiek voor informatiediensten.

Het blijft me irriteren dat we in het gewone recht een uitzondering hebben op de toestemmingsregel die niet geldt bij privacy. Is een rechtshandeling “in het maatschappelijk verkeer gebruikelijk” voor personen van die leeftijd, dan mogen de ouders de toestemming niet weigeren (art. 1:234 BW), maar de Wbp doet niet aan ‘gebruikelijk’ – ga je ouders maar vragen.

Je kunt hier als jonge ondernemer (die uiteraard op LinkedIn staat) tegenaan lopen. Als zestien- of zeventienjarige ondernemer is het mogelijk om ‘handlichting’ te krijgen. De rechtbank verklaart je dan meerderjarig zodat je zonder toestemming van je ouders contracten met je klanten kunt sluiten (art. 1:235 BW). Echter, die handlichting kan de Wbp niet passeren (tenzij je zegt dat dit onder “het uitoefenen van een beroep of bedrijf” valt). Maar goed, als je handlichting gaat vragen dan is even toestemming voor LinkedIn bedingen natuurlijk ook vast geen probleem.

Mensen vragen me wel eens waarom ik zo negatief doe over de Wbp. Nou, vanwege dit soort dingen dus. En omdat echt geen hónd zich eraan houdt, waardoor het voor mensen die het wél netjes willen doen hoogst frustrerend is dat zij de enigen lijken te zijn en de concurrent wegkomt met de meest grove overtredingen.

Arnoud

Welke leeftijdsgrens geldt er in Nederland voor internetdiensten?

| AE 5693 | Informatiemaatschappij | 12 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngEen lezer vroeg me

Bij veel Amerikaanse sites zie je dat expliciet wordt gezegd dat je minstens dertien jaar moet zijn om de dienst te mogen gebruiken. En bepaalde natuurlijk 18 of zelfs 21. Hoe zit dat bij ons? Welke leeftijdsgrenzen gelden er voor internetdiensten?

Die Amerikaanse grens van 13 jaar is gebaseerd op de COPPA-wet, die kort gezegd erop neerkomt dat je mensen onder de dertien alleen mag toelaten met toestemming van hun ouders. En door simpelweg “You must be at least 13” in de voorwaarden te zetten, denkt men te voldoen aan die wet. Immers geen dertienminner zou ooit liegen over zijn leeftijd, toch?

De grens van 18 of 21 gaat natuurlijk over pornografie. Je mag mensen onder de 18 geen porno laten zien. Bij ons is die grens 16 jaar (art. 240a Sr) en geldt deze ook voor extreem geweld en andere zaken die “schadelijk te achten” zijn voor minderjarigen. Met de Kijkwijzer en PEGI-gameclassificatie wordt hier een praktische invulling aan gegeven. Is een game 16+ dan is het dus strafbaar deze vanaf je site te laten spelen door een zestienminner.

Het equivalent van die 13 jaar is bij ons iets gecompliceerder. Er spelen namelijk twee grenzen: allereerst de handelingsbekwaamheid en ten tweede de Wet bescherming persoonsgegevens.

Een persoon onder de 18 is niet handelingsbekwaam: hij mag niet zelfstandig contracten sluiten of andere rechtshandelingen verrichten. Dit vereist toestemming van de ouders. Echter, er is een uitzondering: is de handeling “in het maatschappelijk verkeer gebruikelijk” voor personen van die leeftijd, dan mogen de ouders de toestemming niet weigeren (art. 1:234 BW). In theorie zou je dus best een site voor kleuters kunnen opzetten, mits je maar kunt hardmaken dat jouw soort dienst ‘gebruikelijk’ is voor kleuters en dat hun ouders daar dus niets over te zeggen hebben.

De Wet bescherming persoonsgegevens fietst hier dwars doorheen: persoonsgegevens van mensen onder de 16 mogen niet verwerkt worden zonder toestemming van hun ouders, punt (art. 5 Wbp). Er is geen vergelijkbare uitzondering voor de situatie dat de verwerking ‘gebruikelijk’ is voor personen van die leeftijd. Je kunt als vijftienjarige dus best een Twitter-account nemen, maar direct daarna houdt het op want je mag geen persoonsgegevens op je profiel zetten zonder toestemming van je ouders.

In de praktijk worden natuurlijk zowel de Nederlandse als de Amerikaanse wetgeving compleet genegeerd door zowel die minderjarigen als hun ouders. De enige situatie waarin dit een punt lijkt te zijn, is wanneer er credits of iets dergelijks worden gekocht. Daarbij speelt nog het probleem dat elke creditsaankoop een aparte transactie is, en hoe ongebruikelijk is het nou dat een kind een euro stukslaat in een spelletje? Dat hij dat tienduizend keer doet met mamma’s creditcard, ja dáár is 1:234 BW niet voor geschreven.

Arnoud