In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.
In dit blog: wat zijn de nieuwe regels bij het gebruiken van persoonsgegevens van kinderen?
Persoonsgegevens van kinderen in de AVG
Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) komen specifieke regels als het gaat om het gebruiken ("verwerken") van persoonsgegevens van kinderen.
Wanneer gelden kinderen als "kinderen" in de zin van de privacywet?
Met “kinderen” worden in deze context personen beneden de 16 jaar bedoeld.
Wat zijn de nieuwe regels?
Als u persoonsgegevens van kinderen gebruikt dan moet u, per 25 mei 2018, rekening houden met het volgende:
1. Vaker toestemming vragen
Wanneer uw organisatie zich wil beroepen op de gerechtvaardigd belang grondslag/rechtsgrond voor het gebruik van persoonsgegevens van kinderen moet uw organisatie een afweging maken tussen de belangen van uw organisatie of een derde bij het gebruik van de gegevens en de belangen van het kind. U moet daarbij de belangen van het kind zwaarder laten wegen dan wanneer het om een volwassene zou gaan.
In de praktijk betekent dit dat vaker toestemming zal moeten worden gevraagd als het gaat om persoonsgegevens van kinderen.
2. Toestemming van ouders in online context
Wanneer er in het kader van online diensten gegevens van kinderen worden verzameld en gebruikt, en er moet toestemming worden gevraagd voor het gebruik van de persoonsgegevens, dan moet in plaats van het kind de ouder(s) of voogd(en) toestemming of een machtiging geven.
Het is in een online context niet altijd makkelijk na te gaan of de ouders of voogden toestemming hebben gegeven, maar de basisregel is dat uw organisatie wel enige moeite moet doen om dit te controleren. Daarbij mag uw organisatie rekening houden met de status van de technische voorzieningen op het moment dat u het vraagt. U kunt bijvoorbeeld vragen in welk jaartal de persoon geboren is en, wanneer daaruit blijkt dat de persoon een kind is, et kind online laten aangeven dat hij of zij toestemming van diens ouders (of voogden) heeft gekregen voor het gebruik van zijn of haar persoonsgegevens voordat hij of zij online verder kan gaan.
Als het toepasselijk is, kunt u ook kinderen helemaal uitsluiten, dus door aan te geven dat ze niet verder kunnen als ze aangeven niet ouder te zijn dan 16 jaar.
Bij toestemming in een online context moet worden nagegaan of de ouders of voogden toestemming hebben gegeven.
3. Privacyverklaring afstemmen op kinderen
Als er persoonsgegevens van kinderen worden gebruikt en het aanbod van de producten of diensten is (ook) gericht op kinderen, dan moet de privacyverklaring worden afgestemd op het niveau van de kinderen. Dit betekent in de praktijk dat de privacyverklaring zo veel mogelijk in heldere, eenvoudige taal moet worden gemaakt.
4. Uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling bij kinderen
Verder staat in de privacywet dat kinderen (personen onder de 16 jaar) als uitgangspunt niet onderworpen moeten worden aan uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling daarvoor, die rechtsgevolgen hebben of een andere aanzienlijke impact.
Alleen als het écht noodzakelijk is (wat uw organisatie moet aan kunnen tonen), dan kan worden gekeken of het mogelijk is om een beroep te doen op één van de uitzonderingen.
Let op: als u hiervoor toestemming zou vragen in een online context, dan moet u nagaan of de ouders of voogden er toestemming voor geven (zie hiervoor). Ga er van uit dat u hier meer moeite moet doen om dit na te gaan, dan bij “gewoon” gebruik van de gegevens van de kinderen.
5. Eerder voldoen aan recht op verwijdering
Wanneer een persoon zijn of haar persoonsgegevens wil laten verwijderen en de persoon heeft de persoonsgegevens verstrekt toen hij of zij een kind was, zal eerder moeten worden voldaan aan dat verzoek om verwijdering dan wanneer de persoon de persoonsgegevens als volwassene gaf.
6. Risicoklassificatie: hoog
De AVG geeft aan dat kinderen een kwetsbare groep zijn en dat er extra voorzichtig met hun persoonsgegevens moet worden omgegaan. In die zin vallen persoonsgegevens van kinderen dus in een hogere risicoklasse en moet het beveiligingsbeleid daar op worden afgestemd.
Actiepunt: nagaan of er persoonsgegevens van kinderen worden verwerkt. Zo ja, rekening houden met hierboven genoemde punten.