Privacy Alerts #7: De AVG en profilering van kinderen

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

De Consumentenbond stelt de zwakke positie van kinderen in de AVG aan de kaak en pleit voor een herziening van de regels. Verder in deze uitgave: privacy-implicaties van de indringende podcast-app Clubhouse en de vorderingen in het hervatten van de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk.

Herziening privacybescherming kinderen

De Consumentenbond heeft onderzoek gedaan naar de positie van kinderen in de AVG. Naar aanleiding van de conclusies uit dit onderzoek, doet de Consumentenbond een oproep aan de AP en de EDPB om de regels met betrekking tot de privacybescherming van kinderen te herzien.

De AVG schrijft voor dat platforms aan kinderen ‘specifieke bescherming’ moeten bieden, zonder daarbij uit te leggen hoe dat precies bereikt kan worden. De AVG bevat slechts twee artikelen die hierover gaan. Daarin gaat het over enerzijds de ouderlijke toestemming en anderzijds de verplichting van platformen om duidelijkheid te verschaffen over welke persoonsgegevens ze verzamelen. Uit een steekproef van de Consumentenbond blijkt dat de grote social mediaplatformen zoals Facebook, Instagram, TikTok, YouTube en Snapchat geld verdienen aan het profileren van kinderen en het tonen van gepersonaliseerde reclame.

Sandra Molenaar, directeur van de Consumentenbond, noemt de bescherming van kinderen vanuit de AVG ‘volstrekt onvoldoende’. Doordat de ouderlijke toestemming makkelijk te omzeilen is, kunnen van kinderen marketingprofielen worden gemaakt. Molenaar vindt dit zeer kwalijk, omdat kinderen niet kunnen overzien wat de gevolgen zijn van hun toestemming voor het verzamelen van de gegevens.

Clubhouse

De interactieve podcast-app Clubhouse wint, mede dankzij de lockdowns, steeds meer aan populariteit. Wat betreft de privacy van gebruikers kunnen er echter wat kanttekeningen worden geplaatst. Zo zijn de afgelopen weken gegevens van 1,3 miljoen Clubhouse-gebruikers op straat komen te liggen.

Van een hack was geen sprake. Een datawetenschapper ‘scrapete’ de data en publiceerde die vervolgens. Bij scrapen wordt met openbaar beschikbare informatie een database gebouwd.

Op andere social media platformen zoals Facebook en Twitter kunnen ook gegevens worden gescrapet, maar dat is tijdrovender en levert veel minder (gevoelige) gegevens op. Clubhouse heeft geen beperkingen in zijn systeem, waardoor de gegevens van de 1,3 miljoen gebruikers moeiteloos in een keer konden worden gescrapet.

Ook op andere vlakken lijkt Clubhouse weinig waarde te hechten aan de privacy van gebruikers. Zo waren gebruikers verplicht hun adresboek te delen met Clubhouse, omdat ze anders geen vrienden konden uitnodigen. Eddy Willems, beveiligingsonderzoeker van G Data zegt hierover: ‘De mensen die in het adresboek op iemands telefoon staan, weten van niets en hebben daar dus geen toestemming voor gegeven. En ondertussen vult Clubhouse zijn database handig met de persoonlijke gegevens van mensen die nog geen lid zijn.’ Na heel wat kritiek heeft Clubhouse de verplichting tot het delen van het adresboek geschrapt en wordt gebruikers nu de mogelijkheid geboden om anderen uit te nodigen door middel van een uitnodigingslink.

Verder maakt Clubhouse ook gebruik van ‘device fingerprinting’. Dat wil zeggen dat de app informatie verzamelt over bijvoorbeeld het besturingssysteem van je telefoon, je schermresolutie en je locatie. Met de verzamelde gegevens is het vervolgens mogelijk om de gebruiker te identificeren. Dit soort gegevens kan ook aan derde partijen worden verkocht. Over device fingerprinting stelt Werkgroep 29 dat het een risico kan vormen voor de bescherming van persoonsgegevens. Device fingerprinting is dan ook slechts onder strikte voorwaarden geoorloofd.

Doorgifte data naar het Verenigd Koninkrijk

De EDPB heeft een reactie gegeven op het adequaatheidsbesluit van de Europese Commissie met betrekking tot de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. Aangezien de AVG sinds de Brexit niet meer geldt voor het VK, is dit een belangrijke stap in het veilig hervatten van de doorgifte van persoonsgegevens naar het VK.

De EDPB constateerde dat de gegevensbeschermingswetten van het VK voor het merendeel overeenkomen met de AVG. Daarmee is in beginsel de bescherming van persoonsgegevens in het VK naar Europese maatstaven voldoende gewaarborgd. Hoewel het wettelijk raamwerk op dit moment dus voldoende scoort, zijn er wel zorgen voor de toekomst.

Op de lange termijn bestaat het risico dat via het VK persoonsgegevens naar andere landen, met een mindere mate van gegevensbescherming, worden doorgegeven. Denk hierbij aan onder andere de VS. Om dit te voorkomen, stelt de EDPB voor om ontwikkelingen in het VK nauwgezet te monitoren. De Europese Commissie is op dit moment bevoegd om elke vier jaar het beschermingsniveau te beoordelen, maar daarbij mag de EC niet ingrijpen als het VK tussentijds maatregelen treft waardoor het beschermingsniveau verlaagd wordt. Met betrekking tot dit punt adviseert de EDPB om ook tussentijds bij te kunnen sturen.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.