Het Verenigd Koninkrijk verlaat dan wel naar alle waarschijnlijkheid de Europese Unie binnen afzienbare tijd, maar de Britse gegevensbeschermingsautoriteit Information Commissioner’s Office (ICO) blijft één van de meest actieve nationale overheden in het kader van de implementatie en toepassing van de AVG/GDPR. Zo heeft het ICO in april (nog te raadplegen en te becommentariëren tot 31 mei 2019) het ontwerp van een Age-appropriate design code gepubliceerd die het internet voor kinderen meer privacy-vriendelijk zou maken.

Het ontwerp bevat 16 bepalingen die gericht zijn aan aanbieders van diensten van de informatiemaatschappij (information society services, ISS-aanbieders) waarbij telkens het belang van het kind centraal staat. Deze normen zijn van toepassing op diensten van de informatiemaatschappij die mogelijks worden bezocht door kinderen zoals: apps, sociale media platformen, zoekmachines, online marktplaatsen, online games, nieuws of educatieve websites en andere websites die goederen of diensten aanbieden aan gebruikers via het internet. De naleving van deze kindvriendelijke bepalingen is niet beperkt tot specifieke ISS-aanbieders gericht op kinderen, maar viseert alle ISS-aanbieders.

Het ICO beschouwt elke persoon onder de 18 jaar als een kind (zie Kinderrechtenverdrag) waarbij er een onderscheid wordt gemaakt tussen vijf leeftijdscategorieën op basis van verschillende capaciteiten, behoeften, vaardigheden en gedragingen. Kinderen jonger dan 13 jaar kunnen enkel een geldige toestemming geven voor het verwerken van gegevens, indien de ouders/verantwoordelijk hiervoor de toestemming geeft.

Met welke bepalingen moeten ISS-aanbieders rekening houden?

Zodra de Age-appropriate design code van kracht is, moeten ISS-aanbieders zich schikken naar de 16 cumulatieve bepalingen. Wanneer ze nalaten te handelen in overeenstemming met deze bepalingen, kan het ICO maatregelen nemen tegen de ISS-aanbieders met als gevolg dat ze mogelijks niet in lijn zijn met de GDPR en dus voor ernstige inbreuken boetes riskeren van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

Vele bepalingen van de Age-appropriate design code zijn uitbreidingen van verplichtingen die terug te vinden zijn in de AVG/GDPR. Hieronder vind je een overzicht van enkele bepalingen die ISS-aanbieders in acht moeten nemen:

  • het toepassen van alle bepalingen van de Age-appropriate design code op alle gebruikers, niet alleen op kinderen of ISS-aanbieders moeten beschikken over mechanismen om kinderen van volwassen gebruikers te onderscheiden
  • het verschaffen van informatie in een voor kinderen verstaanbare taal
  • het verwerken van de gegevens op een manier die niet schadelijk kan zijn voor de fysieke en mentale gezondheid van het kind
  • het voorzien van ‘high privacy’ standaardinstellingen (bv.: gegevens van kinderen zijn alleen zichtbaar of toegankelijk voor andere gebruikers, wanneer het kind dit toestaat door zijn privacyinstellingen aan te passen) en dat instellingen voor profilering en geolocatie standaard uitgeschakeld zijn
  • het informeren op een duidelijke manier van het kind dat hun activiteiten onder toezicht van hun ouders staan
  • het afzien van ‘nudging’ technieken (nudging is een techniek waarbij mensen worden gestimuleerd om zich op een gewenste wijze te gedragen) die kinderen aanmoedigen om persoonsgegevens te verstrekken, privacybescherming uit te schakelen,…

Zal de Age-appropriate design code ook van toepassing zijn in België?

Ook in België behoren kinderen tot een speciale categorie voor de verwerking van gegevens, dit is immers vastgelegd in artikel 8 van de AVG/GDPR. De leeftijdsgrens voor een geldige toestemming is ook gesteld op 13 jaar (art. 7 van Wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens).

De Age-appropriate design code zal ook van toepassing zijn op ISS-aanbieders die buiten het Verenigd Koninkrijk zijn gevestigd, maar die een filiaal of kantoor hebben in het Verenigd Koninkrijk waarbij er gegevens worden verwerkt in het kader van de activiteiten van die onderneming.

Conclusie

Er valt niet te ontkennen dat we in een connected generatie leven waarbij technologie een belangrijke rol speelt. In deze online wereld kunnen kinderen vaak het slachtoffer zijn van cyberpesten, online stalking, online seksuele uitbuiting,… De Britse Gegevensbeschermingsautoriteit is de eerste instantie die komt met een ontwerp dat een betere bescherming van het kind belooft op het internet. Tot 31 mei 2019 is het nog mogelijk om feedback over de Age-appropriate design code te geven. Hoewel Brexit binnenkort een realiteit zal zijn, is het interessant voor alle ISS-aanbieders om een kijkje te nemen in dit ontwerp van het ICO.