Voer een op kinderrechten gebaseerde privacy impact assessment uit

Beginsel 5

Voer een op kinderrechten gebaseerde privacy impact assessment uit

Terug naar overzicht

Toelichting

Bij een gegevensverwerking die een potentieel hoog risico vormt, moet je eerst een privacy impact assessment (PIA) uitvoeren. Van een hoog risico kan bijvoorbeeld sprake zijn als gebruikers worden geprofileerd (zie beginsel 7) of hun gedrag systematisch wordt gevolgd.

Bij kinderen loop je eigenlijk altijd een hoog risico, aangezien de kwetsbaarheid van de degene wiens gegevens je verwerkt een criterium is op basis waarvan verwerkingen als risicovol kunnen worden aangemerkt. Dat is zo, omdat de machtsrelatie tussen aanbieder en gebruiker (nog) onevenwichtiger is als er factoren zijn die de gebruiker kwetsbaar maken. Kwetsbare gebruikers, waaronder kinderen, kunnen mogelijk minder goed bewust en weloverwogen besluiten om in te stemmen dan wel bezwaar te maken tegen gegevensverwerkingen. Het is daarom raadzaam om bij digitale diensten die waarschijnlijk door kinderen worden gebruikt standaard een PIA uit te (laten) voeren.

Het doel van zo’n PIA is om in kaart te brengen welke gegevens op welke wijze worden verwerkt en met welke risico’s (voor de rechten en vrijheden van de persoon om wiens het gegevens het gaat) dat mogelijk gepaard gaat. Bij kinderen ligt het voor de hand dat in die beoordeling ook hun specifieke fundamentele rechten worden betrokken. Vervolgens moet je vaststellen met welke maatregelen je de risico’s effectief kunt ondervangen. Bij maatregelen met een impact op kinderen, hun rechten en persoonsgegevens zal je rekening moeten houden met hun specifieke belangen (zie beginsel 1).

Implementatie

Gebruik de richtlijnen van de Autoriteit Persoonsgegevens en de Europese toezichthouder voor het uitvoeren van een verplichte PIA. 

Een op kinderrechten gebaseerde privacy impact assessment bevat in ieder geval de volgende zeven stappen (onderstaand voorbeeld is afkomstig uit de Britse Age Appropriate Design Code):

  • stap 1. Bepaal het moment voor uitvoering.
    • Rond de PIA af voor ingebruikname van de dienst
    • Voer een nieuwe PIA is verplicht als je belangrijke wijzigingen aanbrengt in de verwerkingsactiviteiten. 
    • Voer ook een nieuwe PIA uit in het geval van externe aanleiding zoals een nieuw beveiligingslek, of nieuwe risico’s voor kinderen.
  • stap 2. Beschrijf de verwerking (aard, toepassingsgebied, context, doel van de verwerking). Adresseer daarbij de volgende vragen:
    • of je jouw dienst ontwerpt voor kinderen, en zo niet, of kinderen desondanks waarschijnlijk jouw dienst zullen gebruiken; 
    • de leeftijdscategorieën van die kinderen; 
    • jouw eventuele plannen voor ouderlijk toezicht; 
    • jouw eventuele plannen voor het vaststellen van de leeftijd van jouw individuele gebruikers; 
    • de beoogde voordelen voor kinderen; 
    • de commerciële belangen (van jezelf of derde partijen) die je in aanmerking hebt genomen; 
    • eventuele profilering of automatische besluitvorming; 
    • geolocatie-elementen; het gebruik van beïnvloedingstechnieken (‘nudging’); 
    • verwerking van speciale categorieën gegevens; verwerking van afgeleide gegevens; 
    • actuele kwesties van openbaar belang ten aanzien van online risico’s voor kinderen; 
    • relevante normen en gedragsregels in de branche; 
    • relevante richtlijnen of onderzoek met betrekking tot de ontwikkelingsbehoeften, het welzijn of de capaciteit van kinderen in de relevante leeftijdscategorie.
  • stap 3. Raadpleeg kinderen en ouders (zie beginsel 2)
    • Overweeg aanvullend of je onafhankelijk advies moet inwinnen bij deskundigen op het gebied van kinderrechten en ontwikkelingsbehoeften.
  • stap 4. Beoordeel noodzaak, proportionaliteit en conformiteit van het verzamelen van persoonsgegevens. Behandel daarin ook de volgende punten
    • de wettelijke verwerkingsgrondslag; 
    • de voorwaarde voor de verwerking van gegevens uit speciale categorieën; 
    • maatregelen om nauwkeurigheid te waarborgen, vertekening te vermijden en het gebruik van AI uit te leggen; en 
    • specifieke details van de technologische beveiligingsmaatregelen (bijv. hashing en versleutelingsstandaarden). 
  • stap 5. Identificeer en beoordeel de risico’s bij kinderen. Onderzoek in het bijzonder of de verwerking van persoonsgegevens de volgende risico’s kan veroorzaken, mogelijk kan maken, aan kan bijdragen, of in andere gevallen juist kan helpen vermijden:
    • lichamelijk letsel; 
    • stereotypering of discriminatie van kinderen of anderen;
    • online-grooming of andere seksuele uitbuiting; 
    • sociale angst, gebrek aan eigenwaarde, pesten of sociale druk; 
    • toegang tot schadelijke of ongepaste inhoud; 
    • misleidende informatie of ongepaste informatiebeperking; aanzetten tot het nemen van buitensporige risico’s of ongezond gedrag; 
    • ondermijning van ouderlijk gezag of verantwoordelijkheid; 
    • verlies van autonomie of rechten (inclusief controle over gegevens, risico van verstrekking van persoonsgegevens van het kind door anderen dan het kind,  en privacy ten opzichte van derden, waaronder ook ouders); 
    • verslaving of aandachtsstoornissen; 
    • overmatig schermgebruik; 
    • onderbroken of onvoldoende slaap; 
    • economische uitbuiting of onbillijke commerciële druk; of 
    • elk ander aanmerkelijk nadeel op economisch, sociaal of ontwikkelingsvlak. 
  • stap 6. Bepaal maatregelen om risico’s te beperken. Onderzoek of je vastgestelde risico’s in het ontwerp kunt beperken of vermijden of dat je een aanvullende bescherming moet inbouwen.
  • stap 7. Registreer de conclusie. Wanneer je beschikt over een gegevens functionaris, moet je de uitkomst en eventuele maatregelen van de PIA registreren. Het is aan te bevelen de uitkomsten te publiceren.

Overigens is een PIA niet een eenmalige exercitie, maar zal je voortdurend moeten beoordelen wat de impact van de digitale dienst is op de rechten en vrijheden van gebruikers. De doorontwikkeling en het gebruik van een digitale dienst kan de impact van de dienst doen veranderen en vraagt mogelijk om aanpassing van de waarborgen.

Relevante- wet en regelgeving

Kinderrechtenperspectief

Een op kinderrechten gebaseerde privacy impact assessment is eigenlijk een bijzondere vorm van de kind-impact-assessment die het belang van het kind-beginsel vergt van digitale dienstaanbieders (zie beginsel 1). De PIA is bedoeld om op een zorgvuldige wijze – lees: met effectieve waarborgen omklede – invulling te geven aan het recht op gegevensbescherming en privacy van kinderen (artikel 16 IVRK, artikel 8 EVRM, artikel 7 en 8 EU Handvest). Die waarborgen mogen echter geen onterechte beperking van andere kinderrechten, zoals hun recht op vrijheid van informatie en meningsuiting (artikel 13 IVRK) en op vrijheid van vereniging (artikel 15 IVRK), dan wel een inbreuk op andere rechten, waaronder hun recht op bescherming tegen discriminatie (artikel 2 IVRK), opleveren. De op kinderrechten gebaseerde PIA wordt dus uitgevoerd in samenhang met de in beginsel 1 besproken kind-impact-assessment wanneer een digitale dienst waarschijnlijk door kinderen wordt gebruikt. 

Gegevensbeschermingsrecht

Als aanbieder van een digitale dienst moet je in bepaalde gevallen een privacy impact assessment of PIA (ook wel gegevensbeschermingseffectbeoordeling) uitvoeren (artikel 35 AVG). Dat houdt in dat er een beoordeling moet worden gemaakt van de impact van gegevensverwerkingen met een mogelijk hoog risico voor (de inperking van) de fundamentele rechten en vrijheden van de gebruiker van de dienst. Het gaat dus ook om andere rechten dan het recht op gegevensbescherming en bij kinderen meer specifiek hun bijzondere rechten. Een PIA moet worden gedaan als er sprake is van het gebruik van nieuwe technologieën, het opstellen van profielen van gebruikers en het voortdurend en systematisch online volgen van hun gedrag. Ga er vanuit dat in het geval van kinderen een PIA verplicht is.

Kinderen worden niet genoemd, maar het verwerken van gegevens van personen die als kwetsbaar worden aangemerkt, vormt een hoog risico vanwege de mogelijk extra onevenwichtige machtsrelatie. Kinderen vallen in de categorie kwetsbare personen (overweging 38 AVG) en het is dan ook raadzaam – en waarschijnlijk ook verplicht – om een PIA te doen wanneer kinderen de digitale dienst kunnen gebruiken. In ieder geval vraagt het belang van het kind om een impact assessment en moet met dat beginsel en andere kinderrechten rekening worden gehouden wanneer een digitale dienst waarschijnlijk een impact heeft op kinderen (zie beginsel 1).  Ook de verwachtingen van kinderen en ouders als belanghebbende partijen moeten worden meegenomen in de PIA (artikel 12 en 18 IVRK) (zie beginsel 2).

In de PIA moeten ook bredere risico’s worden afgewogen die de verwerking kan opleveren voor de rechten en vrijheden van kinderen, zoals de kans op aanmerkelijke materiële, fysieke, psychologische of sociale schade. Er moet bovendien rekening worden gehouden met de verschillende leeftijden, vermogens en ontwikkelingsbehoeften van kinderen (artikel 5 IVRK). In een PIA kan ook worden vastgesteld welke stappen moeten worden ondernomen om leeftijd en ouderlijke toestemming adequaat en privacyvriendelijk te verifiëren. Ook kan een PIA beantwoorden aan de vraag of het eventueel beperken van de vrijheidsrechten van kinderen (zoals de vrijheid van kinderen om te leren, zich te ontwikkelen en te ontdekken) met het oog op het waarborgen van hun beschermingsrechten proportioneel is. Denk aan de situatie waarin kinderen alleen worden uitgesloten van (een deel van) een dienst als deze aantoonbaar of vermoedelijk schadelijk voor hen is. Ook moet daarbij rekening worden gehouden met hun zich ontwikkelende vermogens en leeftijd (artikel 5 IVRK).

Het gebruik van een PIA heeft zowel voordelen voor de aanbieder van een digitale dienst als voor kinderen. Voor de verwerker kan een PIA uiteindelijk kostenbesparend werken, omdat vanaf het begin van het ontwerpproces adequaat rekening kan worden gehouden met gegevensbescherming alsmede andere fundamentele rechten. Dat kan onder andere door gegevensbescherming op adequate wijze mee te nemen in het ontwerp van de digitale dienst. Ook kan reputatieschade worden voorkomen in een een latere fase. Voor kinderen en ouders kan het gebruik van een PIA geruststellend werken, omdat er reeds in de ontwerpfase aantoonbaar aandacht wordt besteed aan het belang en de rechten van kinderen.