IDwise blog

In een blogbericht over leeftijdsverificatie door internetforums gaat Arnoud Engelfriet op het eind kort in op publicatie van persoonsgegevens door minderjarigen:

Een ander punt is publicatie van persoonsgegevens. Die 14-jarige kan dingen over zichzelf publiceren die de ouders niet online willen hebben. De ouders kunnen te allen tijde eisen dat die informatie eraf gaat, en kunnen vaak zelfs de site aansprakelijk stellen omdat het erop stond. Dit volgt uit de Wet Bescherming Persoonsgegevens, die hier erg ongenuanceerd streng over is.

Het klopt dat de Wbp (in navolging van Richtlijn 95/45) ongenuanceerd is waar het toestemming door minderjarigen (kinderen onder de zestien) betreft. Overigens brengt de Artikel 29 Werkgroep in zijn opinie over de privacy van kinderen wel enige nuancering aan:

De vraag rijst echter of kinderen die in bepaalde gevallen rechtshandelingen kunnen stellen zonder de instemming van hun wettelijke vertegenwoordigers (in gevallen waarin zij over gedeeltelijke rechten beschikken), ook geldig instemming kunnen verlenen voor de verwerking van hun eigen gegevens.
Naargelang van de toepasselijke plaatselijke regelgeving kan dit gebeuren bij huwelijken, tewerkstelling, religieuze aangelegenheden, enzovoort. In andere gevallen kan de instemming van het kind geldig zijn op voorwaarde dat de wettelijke vertegenwoordiger geen bezwaar heeft. Het is ook duidelijk dat rekening moet worden gehouden met het niveau van fysische en psychische volwassenheid van kinderen en dat zij vanaf een bepaalde leeftijd in staat zijn zaken te beoordelen die op hen betrekking hebben. Dit kan belangrijk zijn in gevallen waarin de wettelijke vertegenwoordiger het niet eens is met het kind, maar het kind volwassen genoeg is om in zijn eigen belang te beslissen, bijvoorbeeld in medisch of seksueel verband. Gevallen waarin het beginsel van het belang van het kind het beginsel van vertegenwoordiging inperkt of er zelfs de bovenhand op haalt, mogen niet worden verwaarloosd en behoeven verdere overweging.

Maar ook binnen het kader van de Wbp is er meer ruimte dan wel gedacht wordt.

Denk bijvoorbeeld aan de situatie waarin een kind jonger dan zestien zonder betrokkenheid van zijn ouders een overeenkomst aangaat: een webhostingabonnement (het voorbeeld dat Engelfriet gebruikt) is misschien twijfelachtig, maar bijvoorbeeld het afnemen van bepaalde “gratis” webdiensten is heel normaal. Gegevens die noodzakelijk zijn voor het uitvoeren van zo’n overeenkomst kunnen worden verwerkt op grond van artikel 8 onder b Wbp. Toestemming is dan niet aan de orde, en de wettelijke vertegenwoordigers spelen dus in principe geen rol.

En wat te denken van het voorbeeld in kwestie? Kan een minderjarige zonder toestemming van zijn ouders optreden als verantwoordelijke voor een gegevensverwerking? In sommige gevallen wel, lijkt me. Bijvoorbeeld bij de meeste vormen van deelname aan online forums, waarvan hier sprake is. Het kind moet dan formeel (als verantwoordelijke) aan zichzelf (als betrokkene) toestemming vragen. Normaliter is die toestemming impliciet als je gegevens over jezelf verwerkt, maar hier moet die door de wettelijk vertegenwoordiger worden gegeven. Dus als de ouder tegen is, dan heeft het kind pech. Maar als de ouder niet expliciet tegen is, dan is wellicht sprake van impliciete toestemming. En in veel gevallen zullen de ouders het natuurlijk ook gewoon prima vinden. Hoe dan ook: dit verandert de positie van de forumbeheerder. Die is  medeverantwoordelijk, en kan zich daarom niet zomaar aan alle verantwoordelijkheid kan onttrekken. Het CBP zegt hierover in zijn Richtsnoeren Publicatie van Persoonsgegevens op Internet onder meer het volgende:

De verantwoordelijke kan de houder van een website zijn, de maker van een persoonlijk profiel, maar ook de eigenaar/beheerder van een discussieforum. In een discussieforum, of in een reactiemogelijk­heid onder artikelen, kunnen lezers bijdragen leveren waarin persoonsgegevens worden verwerkt. In beginsel is iedereen die een bijdrage levert zelf verantwoordelijk voor die verwerking van persoons­gegevens, maar de algemene verantwoordelijkheid voor een zorgvuldige gegevensverwerking ligt bij de houder van het forum, omdat die immers het doel en de middelen bepaalt. De houder van de web­ site of het forum, degene die formeel­juridisch de zeggenschap over de verwerking heeft, biedt de gele­genheid tot het publiceren van gegevens en heeft daarom de plicht om zorg te dragen voor een zorg­vuldige omgang met persoonsgegevens.

De forumbeheerder heeft dus, zoals gezegd, een zekere eigen verantwoordelijkheid. Maar dat is wat anders dan de verplichting om eerst leeftijdsverificatie te doen en vervolgens de toestemming van de wettelijke vertegenwoordiger vast te stellen. Over de vraag of het redelijk is om dat te eisen valt op zijn minst te discussiëren. En wie in die discussie daar wel voor pleit, moet dan maar eens uitleggen waarom dan niet ook van alle volwassen deelnemers eerst moet worden nagegaan of ze niet toevallig onder curatele staan of een mentorschap opgelegd hebben gekregen. Want ook in die gevallen eist artikel 5 Wbp dat de wettelijk vertegenwoordiger toestemming geeft in plaats van de betrokkene.

This entry was posted on Thursday, January 21st, 2010 at 20:46 and is filed under Uncategorized @nl. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.