Toelichting
De persoonsgegevens van kinderen mag je alleen verwerken voor zover dat gebeurt in overeenstemming met de wet. Daarin staan, naast de algemene regels die gelden ongeacht de leeftijd van de gebruiker, ook regels die specifieke bescherming bieden aan kinderen. Dat geldt voor het gegevensbeschermingsrecht, maar ook voor het consumentenrecht. Die specifieke beschermingsregels zijn er omdat kinderen extra kwetsbaar kunnen zijn. Bijvoorbeeld omdat ze minder goed begrijpen wat er onder de motorkap van een app of game gebeurt met persoonsgegevens of omdat ze makkelijker kunnen worden beïnvloed bij het maken van keuzes in digitale diensten.
Om de bijzondere, op kinderen gerichte regels goed te kunnen toepassen is het noodzakelijk om te weten wie van de gebruikers minderjarig is. En om die regels met het oog op een voor de – mogelijk verschillende – leeftijden van de minderjarige gebruikers geschikte manier te implementeren, is het belangrijk om te weten in welke leeftijdscategorie een kind valt. Jongere kinderen kunnen om een andere implementatie vragen dan oudere kinderen. In het eerste geval kan het bijvoorbeeld nodig zijn om de ouders te betrekken bij beslissingen of bepaalde keuzes standaard af te schermen.
Implementatie
Hanteer het principe van dataminimalisatie: verwerk zo min mogelijk gegevens van het kind.
- Stel van elk separaat onderdeel van je dienst vast welke persoonsgegevens je nodig hebt om deze te kunnen aanbieden. Ga voor elk individueel onderdeel van jouw dienst afzonderlijk na welke persoonsgegevens je nodig hebt en voor hoe lang om het betreffende onderdeel te kunnen aanbieden. Vraag en verwerk in principe alleen de hoogst noodzakelijke gegevens. Geef het kind vervolgens waar mogelijk de keuze welke onderdelen ze van hun dienst willen gebruiken.
- Verzamel alleen de persoonsgegevens wanneer het kind actief en bewust dat betreffende onderdeel van jouw dienst gebruikt. Voor elk aanvullend doeleinde moet de keuze worden voorgelegd aan de gebruiker als de wettelijke grondslag toestemming is.
- De verzameling van persoonsgegevens om de online ervaring van jouw gebruikers buiten de kerndienst te personaliseren, verbeteren, optimaliseren (enzovoort) mag niet zomaar gecombineerd worden met de persoonsgegevens die je gebruikt voor de kerndienst.
- Sluit bepaalde diensten niet uit voor gebruikers die ervoor kiezen een deel van hun gegevens niet te delen, bijvoorbeeld door niet een persoonlijke profielfoto of exacte geolocatie te vereisen (tenzij noodzakelijk voor het functioneren van de dienst).
- Wees terughoudend met het gebruik van webformulieren. Vraag alleen gegevens die nodig zijn voor het gebruik van een dienst. Anonimiseer waar mogelijke deze data, of pas ‘datafading’ toe (anonimiseer data geleidelijk: anonimiseer data na verwerking alsnog). Een andere optie is pseudonimisering; er zijn meerdere opties om de persoonsgegevens van de gebruikers met technische en organisatorische maatregelen te beschermen.
- Moedig het gebruik van adblockers aan, zoals Junkbuster, CookieCooker of de Firefox Add-on: Self-Destructing Cookies, waardoor cookies direct worden verwijderd wanneer een webpagina is afgesloten. Zie voor meer ontwerpoplossingen gericht op o.a. minimale gegevensverwerking: https://privacypatterns.org/
In lijn met het principe van dataminimalisatie is het raadzaam je af te vragen of het relevant is om de leeftijd-(categorie) van jouw gebruikers te verifiëren, zeker wanneer het gaat om diensten die geen risico’s met zich mee brengen (blijkens bijvoorbeeld het kind impact assessment uit beginsel 1 of de privacy impact assessment uit beginsel 5). Wanneer het gebruik van de dienst wel risico’s met zich meebrengt, houd dan waar nodig rekening met de mogelijke leeftijd van jouw gebruikers. Neem daarbij de jongste leeftijd als uitgangspunt. De tabel over leeftijdscategorieën die de Age Appropriate Design Code ook gebruikt (te raadplegen in de downloadbare PDF of via deze link) kunnen daarbij helpen.
Er zijn verschillende maatregelen te treffen om in dat geval de leeftijdscategorie van de gebruiker te verifiëren. Met verifiëren bedoelen we dat je achterhaalt of een kind jonger is dan een bepaalde leeftijd (bijvoorbeeld 16 of 18) of in een bepaald leeftijdscategorie valt (bijvoorbeeld 12-15 jaar) zonder dat je precies hoeft te weten hoe oud het kind is. Voorbeelden van maatregelen voor leeftijdsverificatie zijn:
- Eigen opgave. Vraag de gebruiker of jonger is dan een bepaalde leeftijd dan wel zich in een bepaalde leeftijdsgroep bevindt, zonder daar bewijs van te overleggen. Deze vorm van leeftijdsverificatie past bij de verwerking van gegevens met een laag risico of kan gebruikt worden in combinatie met een andere (bijvoorbeeld onderstaande) verificatietechniek.
- Technische maatregelen. Om valse leeftijdsopgave te ontmoedigen en/of op te sporen en het openen van accounts door minderjarigen onmogelijk te maken, bijvoorbeeld bij digitale diensten die schadelijk kunnen zijn voor kinderen (bijvoorbeeld goksites), kunnen ook technische maatregelen worden genomen. Denk daarbij aan een neutrale presentatie van de vensters waarin gebruikers moet aangeven in welke leeftijdscategorie ze zitten (en daarmee niet aansporen tot het kiezen van andere leeftijdscategorieën), of die er bijvoorbeeld voor zorgen dat gebruikers niet direct een andere leeftijdscategorie kunnen opgeven wanneer blijkt dat ze met de eerder opgegeven leeftijdscategorie geen toegang krijgen tot de dienst.
- Derde partijen. Je kunt de leeftijdscontrole ook uitbesteden aan een derde partij. Dit soort diensten werken met attributen (‘Attribute-Based Credentials’): je vraagt om bevestiging van een bepaald gebruikersattribuut (in dit geval de leeftijdscategorie) en de dienst antwoordt hierop met ‘ja’ of ‘nee’. Vanzelfsprekend moet deze dienst voldoen aan de eisen voor gegevensbescherming en je moet gebruikers duidelijke informatie verstrekken over het feit dat je gebruik maakt van deze dienst. Overigens kan zo’n verificatie ook privacyvriendelijk op het apparaat van de gebruiker gebeuren. De derde partij faciliteert dan enkel de leeftijdsverificatie maar verwerkt geen persoonsgegevens. Een voorbeeld van zo’n dienst is IRMA.
- Bevestiging via e-mail- of SMS-link. Vraag bijvoorbeeld de ouder de leeftijd van het kind te bevestigen door te klikken op een link die wordt verstrekt in een e-mailbericht of een SMS-bericht.
Zorg ervoor dat de ingewonnen gegevens niet gebruikt worden voor doeleinden anders dan leeftijdsverificatie en verwerk dus niet meer gegevens dan absoluut noodzakelijk is. Pas ook de rest van de beginselen in deze code uitsluitend toe op de laagst geïdentificeerde leeftijdscategorie.
Neem een LIA (Legitimate Interests Assessment) af wanneer je gegevens wilt verzamelen op grond van het ‘legitiem belang’. Een voorbeeld van een LIA vind je hier. Een LIA is een eenvoudigere vorm van risicobeoordeling (dan een PIA) die je ertoe aanzet het doel van verwerking vast te stellen en na te denken over de gevolgen voor personen. Een LIA kan een aanleiding zijn om een (diepgravender) PIA (beginsel 5) uit te voeren maar ga er vanuit dat een PIA sowieso nodig is als een dienst waarschijnlijk door kinderen wordt gebruikt.
Verstrek alleen gegevens aan derde partijen of aan andere afdelingen binnen jouw organisatie wanneer daarvoor een aantoonbaar dwingende reden is (zoals wet- en regelgeving), rekening houdend met de belangen van het kind. Commercieel hergebruik van persoonsgegevens is (waarschijnlijk) geen aantoonbaar dwingende reden. Gebruik hiervoor de PIA (beginsel 5) en onderzoek de problemen en de risico’s die daaruit voortgekomen zijn. Zorg ervoor dat je een garantie hebt van de derde partij dat deze de persoonsgegevens niet zal inzetten op een manier die schadelijk is voor het welzijn van het kind.
Maak het voor kinderen even gemakkelijk om zich in te schrijven als uit te schrijven van een digitale dienst. Zorg er dan ook voor dat persoonsgegevens die niet langer noodzakelijk zijn worden gewist.
Relevante wet- en regelgeving
Kinderrechtenperspectief
Het Kinderrechtencomité geeft aan dat het IVRK en met name artikel 16 over het recht op privacy een recht van kinderen op gegevensbescherming bevat. Europese burgers, waaronder kinderen, hebben een fundamenteel recht op gegevensbescherming (artikel 8 (1) Handvest van de grondrechten van de Europese Unie (EU Handvest), artikel 16 (1) Verdrag betreffende de werking van de Europese Unie hebben). Het fundamentele recht op gegevensbescherming is in de Europese Unie uitgewerkt in de Algemene Verordening Gegevensbescherming (AVG): “De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht” (overweging 1 AVG) en de AVG “eerbiedigt alle grondrechten alsook de vrijheden en beginselen […], met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid” (overweging 4 AVG). “Alle grondrechten” omvat ook de rechten van kinderen en in het bijzonder het belang van het kind (artikel 3 IVRK, artikel 24 EU Handvest) (zie beginsel 1) en het recht van kinderen om gehoord te worden (artikel 12 IVRK) (zie beginsel 2).
De AVG onderkent nadrukkelijk dat het kinderrechtenperspectief van belang is: “[k]inderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens” (overweging 38 AVG).
Gegevensbeschermingsrecht
De grondbeginselen van het gegevensbeschermingsrecht
Aanbieders van digitale diensten die persoonsgegevens verwerken moeten voldoen aan de regels van de AVG. Wanneer hun diensten een impact hebben op kinderen dan zijn er bijzondere aandachtspunten voor de bescherming van de persoonsgegevens van kinderen onder de AVG. Dat begint al bij de toepassing van de zeven grondbeginselen van het gegevensbeschermingsrecht. Dit zijn de beginselen van behoorlijkheid, transparantie, doelbinding, dataminimalisatie, juistheid, opslagbeperking, integriteit, vertrouwelijkheid en de verantwoordingsplicht (artikel 5 (1) (a) – (f) AVG). De grondbeginselen van gegevensbescherming in artikel 5 van de AVG zijn heel belangrijk omdat ze ten grondslag (vandaar ook grondbeginselen) aan de rechten en plichten in de AVG. Bovendien kan het schenden van deze beginselen tot hogere boetes leiden dan wanneer in strijd wordt gehandeld met sommige verplichtingen in de AVG (artikel 83 (5) (a) AVG).
Deze grondbeginselen kunnen hogere eisen stellen aan de gegevensverwerking bij kinderen, bijvoorbeeld omdat nadrukkelijk rekening moet worden gehouden met het belang van het kind (zie beginsel 1). Zo is bij de toepassing van het behoorlijkheidsbeginsel relevant of er een onevenwichtige machtsrelatie bestaat tussen de aanbieder van een digitale dienst en de gebruiker. Bij kinderen kan vanwege hun kwetsbare positie eerder sprake zijn van onevenwichtigheid of sprake zijn van een grotere evenwichtigheid. Ook zal de leeftijd van kinderen een rol kunnen spelen bij de vraag naar de mate van onevenwichtigheid in de machtsrelatie tussen hen en het bedrijf. Verder kan bijvoorbeeld de verantwoordingsplicht – dat wil zeggen de verplichting om aan te tonen dat een bedrijf aan de AVG voldoet (artikel 5 (2) AVG) – een zwaardere invulling krijgen bij kinderen vanwege hun kwetsbare positie en bijzondere behoefte aan bescherming.
De uitwerking van het beginsel van rechtmatigheid van de verwerking van persoonsgegevens vraagt ook om speciale aandacht bij kinderen. Het beginsel vereist dat de verwerking rechtmatig is (artikel 5 (1) (a) AVG). De verwerking van persoonsgegevens is in ieder geval niet rechtmatig als deze niet is gebaseerd op een van de zes wettelijke grondslagen als genoemd in artikel 6 van de AVG: toestemming, overeenkomst, wettelijke verplichting, algemeen belang, vitale belangen van de betrokkene of gerechtvaardigde belangen van de verantwoordelijke (artikel 6 (1) (a)-(f) AVG).
Wettelijke grondslagen
Persoonsgegevens mogen alleen worden verwerkt als er een wettelijke grondslag is. De wettelijke grondslagen staan uitputtend vermeld in artikel 6 (1) (a)-(f) van de Avg. Om te kunnen bepalen wat de meeste geschikte grondslag is vanuit het oogpunt van behoorlijkheid zul je eerst moeten bepalen met welk specifieke doel de gegevens worden verwerkt. Ieder specifieke doel vraagt om een afzonderlijke wettelijke grondslag. Hier wordt aandacht besteedt aan drie van deze grondslagen: toestemming, noodzakelijk voor de uitvoering van een overeenkomst, gerechtvaardigd belang.
Toestemming (artikel 6(1)(a) AVG, artikel 7 AVG, artikel 8 AVG))
De verwerking van persoonsgegeven kan rechtmatig zijn als de gebruiker toestemming heeft gegeven voor de verwerking van deze gegevens voor een of meer specifieke doeleinden. Geldige toestemming wordt door gebruikers gegeven met een duidelijke actieve handeling (schriftelijke/ mondelinge verklaring, ook met elektronische middelen), waaruit blijkt dat zij vrijelijk, specifiek, geïnformeerd en ondubbelzinnig de betreffende verwerking van persoonsgegevens aanvaarden (artikel 7 AVG). Bij digitale diensten die door kinderen worden gebruikt zal specifiek moeten worden onderzocht of aan voorwaarden voor toestemming is voldoen. Is er bijvoorbeeld een voor kinderen geschikte manier gekozen om hen te informeren over de gegevensverwerking (geïnformeerde toestemming) (zie beginsel 4)? Is de toestemming wel vrijelijk gegegeven gelet op het feit dat de machtsrelatie tussen kinderen en een aanbieder van digitale diensten mogelijk onevenwichtiger is (vrije toesteming)? Toestemming is niet vrijelijk gegeven als er geen daadwerkelijke keuze is. De reden kan contextueel zijn (bijvoorbeeld voor de burger of scholier verplichte gegevensverwerkingen door de overheid respectievelijk in het onderwijs) of er zijn economische overwegingen (zoals verdienmodellen gebaseerd op datagedreven marketing waarbij er met persoonsgegevens moet worden “betaald” om de digitale dienst te gebruiken (zie artikel 7 (4) AVG)) (zie beginsel 8). Een daadwerkelijk keuze ontbreekt dus bijvoorbeeld als het gebruik van een dienst afhankelijk is van privacyvoorwaarden ten aanzien van verwerkingen die daarvoor niet strikt noodzakelijk zijn. In al dat soort gevallen – toestemming is geen vrije keuze – kan toestemming niet de wettelijke grondslag zijn, maar zal een andere geschikte grondslag moeten worden gevonden in artikel 6 AVG. Specifieke toestemming betekent dat er moet worden ingestemd met de verwerking van een bepaald soort, specifieke activiteit. De toestemming die wordt gegeven moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of doelen dienen. Als er meerdere doelen zijn voor de verwerking, moet iemand ook afzonderlijk instemmen met ieder van deze doelen of er moet een andere wettelijke grondslag van toepassing zijn. Ook moet de toestemming ondubbelzinnig zijn, wat inhoudt dat hetgeen waarmee de persoon instemt duidelijk moet zijn, de tekst waarmee de persoon instemt moet maar vatbaar zijn voor één uitleg. Deze voorwaarde houdt in dat bijvoorbeeld het gebruik van aangekruiste vakjes of inactiviteit niet als toestemming mag gelden. Iemand die toestemming heeft gegeven voor gegevensverwerking moet die toestemming ook net zo eenvoudig weer kunnen intrekken (artikel 7 (3) AVG). De aanbieder van digitale diensten moet kunnen aantonen dat de toestemming rechtsgeldig is gegeven door de gebruiker (verantwoordingsplicht, artikel 5 (2) AVG).
Wanneer toestemming de wettelijke grondslag is, kunnen kinderen van 16 jaar en ouder zelf toestemming geven (artikel 8 AVG jo. artikel 5 UAVG). Let echter op: andere Europese lidstaten kunnen andere leeftijden (15, 14 of 13 en ouder) hanteren en in de Verenigde Staten is de leeftijd vastgesteld op 13 jaar en ouder. De veiligste optie is om alleen kinderen van 16 jaar of ouder zelfstandig om toestemming te vragen omdat je dan altijd goed zit (mits aan de andere voorwaarden voor rechtmatige toestemming is voldaan). De verwerking van persoonsgegevens van een kind jonger dan 16 jaar is slechts rechtmatig indien de toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. Dat zal vaak een van de ouders zijn, maar er kan ook een andere wettelijke vertegenwoordiger zijn. Let er op dat deze leeftijdsgrens in Nederland geldt; in andere landen van de Europese Unie kan er voor een andere leeftijdsgrens zijn gekozen. Om deze regels te kunnen toepassen moet je weten wanneer je te maken hebt met iemand die jonger is dan 16 jaar. Er is dan ook een impliciete verplichting om dat vast te stellen. De regels daarvoor zijn streng want alleen als een digitale dienst wordt aangeboden aan klanten die ouder zijn dan 18 jaar en er geen bewijs van het tegendeel is, het is bijvoorbeeld niet zo dat kinderen deze door gebrekkige leeftijdsverificatie feitelijk toch gebruiken, dan mag worden aangenomen dat de digitale dienst niet wordt aangeboden aan kinderen. In dat geval hoef je dus ook niet te onderzoeken of kinderen ouder of jonger dan 16 jaar zijn. In het geval dat een kind jonger dan 16 jaar is, dan zal niet alleen ouderlijke toestemming moeten worden gevraagd maar zal ook moeten worden geverifieerd dat het inderdaad de ouder (of andere wettelijk vertegenwoordiger) is die toestemming verleend voor de gegevensverwerking. Er moet een redelijke inspanning worden gedaan om te verifiëren met een middel dat voldoet aan de stand van de techniek. Bij het inbouwen van leeftijdsverificatie en verificatie van ouderlijke toestemming mogen niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is (beginsel van minimale gegevensverwerking of dataminimalisatie) (zie beginsel 6). Voor preventieve en adviesdiensten aan kinderen is geen ouderlijke toestemming vereist (overweging 38). Denk aan de Kindertelefoon waarmee kinderen vertrouwelijk kunnen chatten over problemen waarmee ze worstelen. Of het de kinderen of de ouders die toestemming mogen respectievelijk moeten geven, er moet altijd aan de eerder genoemde vereisten voor toestemming zijn voldoen. Houd er verder rekening mee dat wanneer een kind 16 jaar wordt toestemming opnieuw kan worden gevraagd maar dit keer aan het kind zelf. Bovendien kunnen kinderen er belang bij hebben om toestemming in te trekken en gegevens te laten verwijderen als ze 16 worden en zelf mogen beslissen over de verwerking van hun persoonsgegevens. Deze mogelijkheden zullen dus op voor kinderen toegankelijke en begrijpelijke wijze moeten worden ingebouwd.
Anders dan wel wordt gedacht is toestemming niet noodzakelijk voor een rechtmatige gegevensverwerking als er een andere wettelijke grondslag is. Bij digitale diensten wordt vaak gebruik gemaakt van de wettelijke grondslagen van overeenkomst (artikel 6 (1) (b) AVG) en gerechtvaardigde belangen (artikel 6 (1) (f) AVG). Gelet op de strikte voorwaarden aan toestemming als wettelijke grondslag, die nog strenger zijn bij kinderen, is toestemming wellicht ook niet de meest wenselijke grondslag voor aanbieders van digitale diensten.
Noodzakelijk voor de uitvoering van de overeenkomst (artikel 6(1)(b) Avg)
Een gegevensverwerking is ook rechtmatig als deze noodzakelijk is voor de uitvoering van een overeenkomst met de gebruiker van de digitale dienst. Dit is een van de wettelijke grondslagen die vaak wordt gebruikt bij digitale diensten. De aanbieder van de digitale dienst moet kunnen aantonen dat er een overeenkomst is, dat deze overeenkomst rechtsgeldig is en dat de verwerking van persoonsgegevens ook daadwerkelijk noodzakelijk is voor de uitvoering van de overeenkomst (verantwoordingsplicht, artikel 5 (2) AVG). Deze wettelijke grondslag heeft nog een complicatie ten aanzien van kinderen omdat kinderen op grond van het toepasselijke recht wel rechtsgeldig een overeenkomst moeten kunnen afsluiten. Of een verwerking noodzakelijk is hangt samen met het specifieke doel waarvoor de gegevens worden verwerkt en er zal mede in het licht van het belang van het kind (zie beginsel 1) rekening worden gehouden met het beginsel van minimale gegevensverwerking (zie beginsel 6) en het behoorlijkheidsbeginsel (artikel 5 (1) (a) en (c) AVG). Gegevensverwerkingen die bedoeld zijn voor bijvoorbeeld datagedreven en gerichte marketing of het verbeteren van een app of website vallen hier bijvoorbeeld niet onder. Ook het opstellen van gebruikers- en persoonlijkheidsprofielen of het monitoren van het gedrag van gebruikers om fraude te bestrijden kan niet gebeuren op basis van deze wettelijke grondslag.
Gerechtvaardigd belang (artikel 6(1)(f) Avg)
Een andere wettelijke grondslag die vaak wordt toegepast bij digitale diensten is die waarbij gegevens mogen worden verwerkt als dit noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de aanbieder van zo’n dienst of een derde (artikel 6(1)(f) AVG). Gerechtvaardigde belangen kunnen bijvoorbeeld zijn: fraudebestrijding, marketing, technische beveiliging en het tegengaan van illegale activiteiten. Sommige gerechtvaardigde belangen kunnen zwaarwegender zijn dan andere.
Deze grondslag vraagt om een belangenafweging tussen de gerechtvaardigde belangen van bedrijven en de belangen en rechten van de gebruikers van de dienst, waaronder kinderen. In die belangenafweging moeten nadrukkelijk ook het belang van het kind (artikel 3 (1) IVRK) (zie beginsel 1) en de fundamentele rechten van kinderen in onder meer het IVRK worden meegewogen. In het bijzonder het recht op privacy en gegevensbescherming van kinderen moet worden meegenomen in de belangenafweging, maar andere fundamentele (kinder)rechten, waaronder het recht op vrijheid van informatie, het recht op toegang tot media en het recht op ontwikkeling, kunnen relevant zijn.
De toepassing van deze wettelijke grondslag bestaat uit drie stappen:
- Vaststellen van de gerechtvaardigde belangen van de aanbieder van een digitale dienst en daarmee het doel van de verwerking;
- Aantonen waarom het noodzakelijk is om persoonsgegevens te verwerken voor het specifieke doel dat is vastgesteld;
- Afwegen van de noodzakelijke gerechtvaardigde belangen tegen de belangen en fundamentele rechten van de gebruiker van een digitale dienst
Er moet rekening worden gehouden met de impact die de gegevensverwerking heeft op kinderen (zie beginsel 1) en welke verwachtingen kinderen redelijkerwijs hebben over de manier waarop hun persoonsgegevens worden gebruikt (zie beginsel 2). Wanneer marketing als een gerechtvaardigd belang wordt opgevoerd zal bijvoorbeeld in het bijzonder rekening moeten worden gehouden met de mogelijk schadelijk impact van marketing op kinderen. Bij datagedreven vormen van marketing, waaronder het opstellen van gebruikersprofielen, online direct marketing en online gedragsgestuurde marketing, wordt de wettelijke grondslag van toestemming (artikel 6 (1) (a) AVG) geschikter geacht. De gebruiker van een digitale dienst heeft in het geval van direct marketing het recht om bezwaar te maken (artikel 21 AVG) en zal daarover op een toegankelijke en behoorlijke manier moeten worden geïnformeerd waarbij rekening moet worden gehouden met wat een kinderen op verschillende leeftijden kunnen begrijpen. Dit geldt slechts in het geval dat toepassen van deze wettelijke grondslag voor direct marketing bij kinderen rechtmatig is, omdat het niet indruist tegen hun belangen en rechten.
Ook moet de aanbieder van de digitale dienst zorgen voor waarborgen om onnodige gevolgen te beperken. Daarbij kan worden gedacht aan privacy by design-oplossingen (zie beginsel 6) en extra aandacht voor transparantie (zie beginsel 4). Aanbieders moeten kunnen aantonen dat zij de belangen van kinderen als een eerste overweging hebben meegenomen in de belangenafweging en daarbij ook rekenschap hebben gegeven van de bescherming van de rechten van kinderen die worden beïnvloed door het gebruik van de dienst, in het bijzonder de vanuit het gerechtvaardigd belang van de aanbieder noodzakelijke gegevensverwerking(verantwoordingsplicht, artikel 5 (2) AVG). In de privacyvoorwaarden moeten gerechtvaardigde belangen worden toegelicht (zie beginsel 4). Ook wanneer een dienst niet specifiek bedoeld is voor kinderen zal de aanbieder moeten onderzoeken of het waarschijnlijk is dat kinderen deze gebruiken.
Bijzondere persoonsgegevens
Als er ook zogeheten bijzondere persoonsgegevens worden verwerkt dan zal naast de wettelijke grondslag van artikel 6 van de AVG ook moeten worden voldaan aan de speciale en strengere regels in artikel 9 AVG als zowel artikel 22 jo. art 23 UAVG. Het gaat dan om gegevens die onder andere iemands seksualiteit, etniciteit of gezondheid betreffen. Daarnaast vallen er ook biometrische gegevens onder. Het verwerken van deze persoonsgegevens is niet toegestaan tenzij er sprake is van één van de tien wettelijke verwerkingsgronden (artikel 9 (2) AVG).
Een van die verwerkingsgronden is uitdrukkelijke toestemming. Uitdrukkelijk ziet op de manier waarop de toestemming tot uitdrukking wordt gebracht. Een uitdrukkelijke manier van toestemmen is het ondertekenen van een schriftelijke verklaring en dit kan ook door middel van een elektronisch formulier of een e-mailbericht. De toestemming moet uitdrukkelijk zijn om te voorkomen dat er in de toekomst twijfel en/of gebrek aan bewijs is over het bestaan van toestemming voor dit soort gegevensverwerkingen. Uitdrukkelijke toestemming is vanwege het expliciete karakter dus strenger dan de toestemming van artikel 6(1)(a) AVG. Verder gelden voor deze vorm van toestemming ook de eerder al behandeld voorwaarden (artikel 7 AVG) voor toestemming waarbij er speciale regels zijn in het geval van kinderen (artikel 8 AVG).