Zorg voor een kindvriendelijk privacyontwerp

Beginsel 6

Zorg voor een kindvriendelijk privacyontwerp

Terug naar overzicht

Toelichting

Je mag niet meer persoonsgegevens verwerken dan strikt noodzakelijk is voor het bereiken van het specifieke doel van je digitale dienst (bijvoorbeeld het aanbieden van een chat-app). Met andere woorden, je hebt de verplichting om privacy mee te nemen in het ontwerp van je app of game (privacy by design) en de standaardinstellingen zo privacyvriendelijk mogelijk af te stellen (privacy by default). In het belang van het kind (zie beginsel 1) is het raadzaam om deze verplichting op een kindvriendelijke manier vorm te geven in het ontwerp. Kindvriendelijk privacyontwerp kan ook bijdragen aan andere privacybeginselen (denk aan veiligheid en integriteit) en de bescherming van de gegevensbeschermingsrechten van kinderen. 

Buiten het minimaliseren van het aantal persoonsgegevens tot wat echt nodig (maar wel toereikend) is voor het specifieke doel van je dienst, kun je privacy op andere manieren op een kindvriendelijke manier implementeren in het ontwerp. Je kunt gegevensstromen en keuzes bij het gebruik van persoonsgegevens op een kindvriendelijke manier transparant maken (zie beginsel 4) en kinderen op eenvoudige en begrijpelijke wijze inzage geven in hun gegevensverwerkingen. De jongeren die tijdens het opstellen van deze code hebben meegedacht, willen unaniem kunnen inzien wat voor gegevens er van hen online staan (“omdat het belangrijk is om te weten wat voor informatie andere mensen van je kunnen zien […] zodat ik voor een volgende keer weet wat ik wel of niet moet accepteren”), en geven aan daar graag controle over te hebben.

Je kunt bovendien opties inbouwen om gegevens eenvoudig te wissen (recht op vergetelheid). Veel van de jongeren die we hebben gevraagd zouden gebruik maken van de mogelijkheid om al hun foto’s en gegevens van een account te verwijderen (zolang je ze wel op een andere manier kunt opslaan), “want dan kunnen die gegevens niet meer zomaar worden gebruikt zonder mijn toestemming”. Daarnaast kun je de optie inbouwen dat je op toegankelijke wijze bezwaar kan maken tegen direct marketing (zie beginsel 3) en je toestemming net zo eenvoudig kan intrekken als die is gegeven (zie beginsel 3). Ook is het raadzaam om de digitale dienst zodanig te ontwerpen dat kinderen niet standaard worden geprofileerd (zie beginsel 7). Een kindvriendelijk privacyontwerp draagt zo bij aan de verwezenlijking van andere beginselen in deze code en het vertrouwen dat kinderen en ouders hebben in de dienst.

Implementatie

De resultaten van de PIA [(zie beginsel 5) om de risico’s voor de verwerking van persoonsgegevens weg te nemen of zoveel mogelijk te verkleinen, moeten zo mogelijk worden meegenomen in het ontwerp van de dienst. 

Maak gebruik van standaardinstellingen voor een kindvriendelijk ontwerp.

  • Kies voor een ‘opt-in’ regime bij de standaardinstellingen (privacy by default). Zorg ervoor dat instellingen standaard zo privacy-vriendelijk mogelijk staan afgesteld.
  • Zorg ervoor dat de standaardinstellingen van jouw dienst geschikt zijn voor kinderen van alle leeftijden, d.w.z. de standaardinstellingen hebben het hoogste ‘beschermingsniveau’, tenzij het mogelijk is om te differentiëren naar verschillende leeftijden van kinderen. Bij jongere kinderen kies je dan het hoogste ‘beschermingsniveau’, terwijl tieners bijvoorbeeld meer vrijheid krijgen. In dat laatste geval is het wel goed om te weten wat hun ervaringen met je dienst zijn en of die vragen om bijstelling van de het ‘beschermingsniveau’.
  • Elke vorm van optioneel gebruik van persoonsgegevens (ook door derde partijen), inclusief elk gebruik met als doel personalisering van de dienst, moet afzonderlijk door het kind worden geselecteerd en geactiveerd. Een uitzondering op deze regel is als je over een aantoonbare dwingende reden beschikt om voor een andere standaardinstelling te kiezen, bijvoorbeeld wanneer de belangen van het kind in het geding zijn. 
  • Overweeg om maatregelen in te bouwen voor het moment dat een kind de standaardinstelling probeert te wijzigen op een wijze die mogelijk afbreuk doet aan zijn of haar veiligheid, bijvoorbeeld een waarschuwing op het moment dat de gebruiker zijn profiel als ‘openbaar’ wil instellen. Het afnemen van een PIA voor kinderen (zie beginsel 5) kan daarbij helpen.
  • Geef het kind de keuze om van deze instellingen permanent gebruik te maken of om hier alleen per individuele sessie over te besluiten. Zorg ervoor dat bij softwareupdates de standaardinstellingen bewaard blijven. Gebruik bij voorkeur geen automatische updates, maar laat het kind – of de ouder/verzorger – hier expliciet mee instemmen.
  • Maak het mogelijk om op apparaten die door meerdere gebruikers worden gebruikt verschillende gebruikerskeuzes in te stellen. Zorg dat de bescherming van gegevens gewaarborgd is op alle apparaten waar jouw dienst gebruikt kan worden.
  • Geef bij aankoop en bij installatie van met internet verbonden speelgoed duidelijke informatie over het gebruik van persoonsgegevens. Voorzie je apparaat van functies die voor het kind of de ouder duidelijk maken wanneer je persoonsgegevens verzamelt. 
  • Maak het mogelijk om bij gebruik van een ouderaccount de ouder inzicht te geven in de maatregelen, waaronder standaardinstellingen, die zijn ingesteld bij de daaraan gelieerde kind-accounts.
  • Verzamel geen gegevens als de applicatie of het speelgoed niet wordt gebruikt; aan het einde van de gebruikerssessie worden de toegang tot gegevens en internetverbinding uitgeschakeld.
  • Bouw een laagdrempelige ‘verwijder al mijn gegevens’-knop in (zoals ook onderbouwd onder beginsel 4), waar kinderen op elk moment gebruik van kunnen maken. Gegevens dienen ook automatisch te worden verwijderd indien het kind de applicatie verwijdert

Zorg ervoor dat de geolocatie, microfoon en camera standaard uit staan en laat kinderen en/of ouders handmatig toestemming voor geven voordat deze worden aangezet.

  • Na afloop van elke sessie waarin de geolocatie gebruikt wordt, moet de optie weer uitgeschakeld zijn. 
  • Op het moment dat het kind gebruik maakt van geolocatie, moet dat het kind duidelijk gemaakt worden, op ieder moment: moment van abonneren, iedere keer dat dienst wordt geopend. Zorg ervoor dat het kind niet onbewust of per ongeluk geolocatie aan kan laten staan.
  • Overweeg om op een andere manier locatie op te vragen dan via geolocatie (bijvoorbeeld door wijk/stadsdeel in te vullen) als je toch de applicatie wilt koppelen aan een locatie.

Maak gebruik van technieken die de privacy van kinderen bevorderen. Gebruik dus geen nudgetechnieken om kinderen ertoe te bewegen of aan te moedigen om opties te activeren die niet in hun belang zijn/ertoe leiden dat je meer persoonsgegevens van ze krijgt, of om privacybeschermingen uit te schakelen. 

  • Geef kinderen de mogelijkheid om van de dienst gebruik te maken onder een pseudoniem of om anoniem gebruik te maken van jouw platform.
  • Maak standaard gebruik van een VPN (of ORBOT of TOR) bij het opstarten van een app. 
  • Zorg ervoor dat het kind een duidelijk, opvallend signaal krijgt wanneer ze gemonitord of gevolgd worden (ook als bijvoorbeeld een ouder meekijkt).
  • Gebruik dummies. Dummies maken gebruik van de website en zijn niet te onderscheiden van echte gebruikers. Het gebruik van kinderen op een dienst bevat veel privacygevoelige informatie. Dit gedrag kan ‘verborgen’ worden door deze te ‘vermengen’ met het gedrag van nepgebruikers. 
  • Verwijder cookies op regelmatige basis, bijvoorbeeld bij het opstarten van het besturingssysteem, door ze per geval in te schakelen, door te bepalen of de bezochte website al dan niet betrouwbaar is en door een cookie alleen voor de huidige sessie te aanvaarden. Zie ook de website voor Privacy Patterns van Jaap Henk Hoepman.
  • Zie voor praktische handvatten voor het vormgeven van Privacy by Design het PbD framework op de website van Privacy Company

Betrek bij een kindvriendelijk ontwerp ook de relatie van kinderen tot hun ouders. Kinderen hebben een recht op privacy, ook ten opzichte van hun ouders. Dit kan in voorkomende gevallen ook gelden voor andere volwassenen die met kinderen te maken hebben, waaronder leerkrachten en docenten.

  • Zeker bij tieners is het raadzaam om hen een optie te geven om het meekijken door ouders te autoriseren in plaats van dit standaard in te bouwen. 
  • Ook jongere kinderen kunnen behoefte aan privacy hebben. Als een omgeving voor hen veilig is vormgegeven of ouders vooraf op hun leeftijd afgestemde keuzes kunnen maken van wat kinderen te zien krijgen, dan zouden zij daar verder zonder toezicht moeten kunnen ‘rondhangen’ en spelen. Overweeg binnen de applicatie een deel te ontwerpen dat niet toegankelijk is voor ouders of andere verzorgers. Let op dat het kind-deel van de applicatie dan niet openstaat voor communicatie met onbekenden, waaronder eventuele kwaadwillenden.

Wet- en regelgeving

Kinderrechtenperspectief

Volgens het  Kinderrechtencomité is het belang van het kind bijzonder relevant omdat digitale technologieën (oorspronkelijk) niet specifiek zijn ontworpen voor kinderen, terwijl ze inmiddels wel door veel kinderen in hun dagelijks leven worden gebruikt. Bij het ontwerpen van digitale diensten zal dan ook rekening moeten worden gehouden met het belang en de rechten van het kind, in het bijzonder het recht op privacy (artikel 16 IVRK, artikel 7 en 8 EU Handvest). Met name privacy en veiligheid, waaronder end-to-end encryptie, moeten onderdeel zijn van het ontwerp van digitale diensten. 

De Raad van Europa erkent bovendien dat het recht van kinderen op privacy en gegevensbescherming niet alleen geldt in de relatie tot aanbieders van digitale diensten, maar ook in relatie van kinderen tot hun ouders en verzorgers, leeftijdsgenoten en leerkrachten. Ook deze rechten zouden by design kunnen worden ingebouwd door bijvoorbeeld tieners controle te geven over de privacy settings in onderwijsapps waar ouders ook gebruik van maken. In het geval van preventieve of adviesdiensten is het relevant om de privacy van kinderen ten opzichte van anderen, waaronder hun ouders, te waarborgen. Kinderen moeten de mogelijkheid hebben om gevoelige onderwerpen in vertrouwen te kunnen bespreken met bijvoorbeeld een hulpverlener, zeker ook omdat de thuissituatie niet altijd een veilige hoeft te zijn. Het ontwerp van een app kan ook ongewenste neveneffecten hebben, zoals misbruik van onbedoeld gedeelde locatiegegevens van kinderen, die in ieder geval moeten worden voorkomen (zie beginsel 5).

Gegevensbeschermingsrecht

Het grondbeginsel van minimale gegevensverwerking, ook wel dataminimalisatie genoemd, houdt in dat het verwerken van persoonsgegevens tot het minimale beperkt moet blijven. De gegevensverwerking moet “toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt” (artikel 5 (1) (c) AVG). Dat betekent onder meer dat de opslagperiode van de persoonsgegevens tot een strikt minimum moet worden beperkt (overweging 39 AVG). Het beginsel staat niet op zich en houdt verband met andere grondbeginselen, zoals het beginsel van rechtmatigheid, het doelbindingsbeginsel, het beginsel van opslagbeperking en de verantwoordingsplicht (artikel 5 AVG).

Het beginsel van minimale gegevensverwerking kan je implementeren door rekening te houden met het beginsel van gegevensverwerking door ontwerp (ook wel dataprotectie/privacy by design) en van gegevensbescherming door standaardinstellingen (dataprotectie/privacy by default) (artikel 25 AVG). 

De verplichting om het principe van privacy by design te implementeren houdt onder meer in dat er bij het ontwerp van een digitale dienst rekening moet worden gehouden met de beginselen uit artikel 5 van de AVG (en dus niet alleen het beginsel van dataminimalisatie). Het belang van het kind, waarbij de belangen van kinderen een eerste overweging zijn, betekent dat ook bij het ontwerpen van de digitale dienst in het bijzonder rekening dient te worden gehouden met kinderen. Een effectieve manier om in de ontwerpfase rekening te houden met kinderen, kan door het ontwerp af te stemmen op de percepties, ervaringen en verwachtingen van kinderen. Dit vereist dan wel onderzoek naar deze percepties, ervaringen en verwachtingen van (en met) kinderen in verschillende leeftijdscategorieen, (zie meer informatie) omdat de ontwikkelende vermogens van kinderen mogelijk om andere maatregelen per leeftijdscategorie vragen.

Als digitale dienstaanbieder moet je passende technische en organisatorische maatregelen nemen bij de bepaling van de verwerkingsmiddelen en de verwerking zelf (artikel 25 lid 1 AVG). Een passende maatregel kan bijvoorbeeld pseudonimisering  zijn (artikel 4 (5) AVG), wat inhoudt dat het verwerken van persoonsgegevens op zodanige wijze wordt gedaan, dat de persoonsgegevens niet meer aan een specifieke gebruiker kunnen worden gekoppeld zonder dat er aanvullende gegevens of speciale technieken worden gebruikt. Verder moeten er passende maatregelen worden genomen om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking (artikel 25 (2) AVG). Onder dergelijke maatregelen vallen bijvoorbeeld:

  • “het minimaliseren van de verwerking van persoonsgegevens, 
  • het zo spoedig mogelijk pseudonimiseren van persoonsgegevens,
  • transparantie met betrekking tot de functies en de verwerking van persoonsgegevens,
  • het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking, en 
  • uit het in staat stellen van de [aanbieder] om beveiligingskenmerken te creëren en te verbeteren” (overweging 78). 

De aanbieder van een digitale dienst moet aantonen te voldoen aan de beginsel van privacy by design en by default (verantwoordingsplicht, artikel 5 (2) AVG).

Hoewel de privacy by design-verplichting in de AVG niet specifiek is toegespitst op kinderen, biedt het interessante kansen om het expliciete doel van de AVG waar te maken, namelijk kinderen en hun persoonlijke data extra goed beschermen (overweging 38).

Passende maatregelen kunnen voor kinderen ook iets anders inhouden dan voor volwassenen. In ieder geval moet rekening worden gehouden met het belang van het kind (zie beginsel 1) bij het vaststellen en ontwerpen van maatregelen om de beginselen en rechten in de AVG te waarborgen. Denk onder meer aan het op kindvriendelijke wijze visualiseren van gegevensverwerkingen en het inbouwen van voor hen toegankelijke en begrijpelijke mogelijkheden om daar controle op uit te oefenen. Daarbij kan worden meegenomen wat voor kinderen zelf belangrijk is (zie beginsel 2). Het Kinderrechtencomité noemt het innoveren vanuit het belang van het kind een belangrijke stap voorwaarts in de ontwikkeling van digitale diensten. Een op kinderen gerichte privacy impact assessment kan daarbij ondersteunen (zie beginsel 5).

Een aantal van onderstaande onderwerpen kan als voorbeeld dienen van mogelijkheden om juist (maar niet uitsluitend) bij kinderen in het ontwerp rekening te houden met privacybeginselen en -rechten. Dit is geen uitputtende lijst.

Leeftijdsverificatie – Als aanbieder van digitale diensten moet je om twee redenen weten of kinderen je dienst gebruiken. Ten eerste moet je ervan op de hoogte zijn of de gebruikers van je dienst onder de 18 jaar zijn, omdat in dat geval sprake is van specifieke gegevensbescherming (overweging 38 AVG) en een uitleg van de AVG in het belang van het kind (artikel 3 (1) IVRK) wordt vereist (zie beginsel 1).Ten tweede moet in het geval dat toestemming als wettelijke grondslag wordt gebruikt, worden vastgesteld of een kind zelf toestemming kan geven (kind is 16 jaar en ouder) of dat ouderlijke toestemming (kind is jonger dan 16) vereist is (zie beginsel 3). In beide gevallen mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om leeftijdsverificatie mogelijk te maken.

Recht op vergetelheid – Op grond van de AVG bestaat het recht op gegevenswissing, ook wel recht op vergetelheid genoemd, bijvoorbeeld wanneer gegevens niet langer noodzakelijk zijn voor het verwerkingsdoel, de gebruiker van de dienst toestemming intrekt of bezwaar maakt (artikel 17 AVG). Het recht is met name ook in het belang van kinderen, omdat zij wellicht gegevens hebben gedeeld toen ze zich nog niet (voldoende) bewust waren van de verwerkingsrisico’s en deze later – ook of juist wanneer zij geen kind meer zijn – liever weer (van het Internet) wil laten verwijderen (overweging 65 AVG). Je wilt niet dat kinderen zogezegd worden achtervolgd door hun jeugdzonden. Ze moeten op enig moment weer met een schone lei kunnen beginnen. Als iemand vraagt om wissing van gegevens die zijn verstrekt toen hij of zij een kind was, dan moet je als aanbieder van een digitale dienst dus zoveel mogelijk aan die wensen voldoen. Dat geldt vooral als het waarschijnlijk is dat ze hun persoonlijke gegevens hebben verstrekt zonder de implicaties hiervan volledig te begrijpen. Bovendien moet je derde partijen aan wie de persoonsgegevens zijn verstrekt inlichten over het wissingsverzoek. Wanneer kinderen zelf toestemming mogen geven of hun rechten uitoefenen, mag aan een verzoek van de ouder (of andere wettelijk vertegenwoordiger van het kind) om gegevens te wissen niet worden voldaan zonder het kind erbij te betrekken. Aangezien gegevens eenvoudig moeten kunnen worden gewist als gebruikers daar recht op hebben, is het raadzaam om dit mee te nemen in het ontwerp van de digitale dienst. Houd er daarbij ook rekening mee dat toestemming net zo eenvoudig moet kunnen worden ingetrokken als het wordt gegeven, en het intrekken van toestemming een grond is om ook meteen gegevens te verwijderen.

Inzagerecht – de gebruiker van een digitale dienst heeft het recht om persoonsgegevens die over hem of haar worden verwerkt in te zien (artikel 15 AVG). Dit is een recht dat “eenvoudig en met redelijke tussenpozen” (overweging 63 AVG) moet kunnen worden uitgeoefend. Door via bijvoorbeeld een privacydashboard inzage te geven in gegevensverwerkingen wordt in het ontwerp van de digitale dienst meteen rekening gehouden met het recht. Daarmee worden het recht op informatie en op inzage gezamenlijk vormgegeven.

Beveiliging – het spreekt wellicht voor zich maar de verplichting om persoonsgegevens adequaat te beveiligen (artikel 32 AVG) is iets om rekening mee te houden bij het ontwerp van een digitale dienst. Betrek daar vooral ook kinderen zelf bij (zie beginsel 2) om te achterhalen of zij niet tegen bijzondere kwetsbare situaties aanlopen en bepaalde wensen hebben. Een interessant fenomeen is het delen van inloggegevens met vrienden: iets dat indruist tegen veilig internetgebruik, maar wel voorziet in een sociale behoefte. Het is dus goed om hier aandacht voor te hebben en uit te zoeken of beide toch op enige wijze met elkaar verenigd kunnen worden, zodat dat wat als sociaal wenselijk wordt gevoeld, niet de veiligheid van een app of game ondermijnd.