Spelen met connected-speelgoed of met persoonsgegevens? : Een onderzoek naar de bescherming van het kind tot 16 jaar onder de toekomstige Algemene Verordening Gegevensbescherming bij het gebruik van Internet of Toys

(1)

Naam student: G.M.S. Been

Studentnummer: 11080558

E-mailadres: mila.been@student.uva.nl Datum: 18 november 2016

Product: scriptie master Informatierecht, finale versie Begeleider: dr. F.J. Zuiderveen Borgesius

Spelen met connected-speelgoed

of

met persoonsgegevens?

EEN ONDERZOEK NAAR DE BESCHERMING VAN HET KIND TOT 16 JAAR ONDER DE TOEKOMSTIGE ALGEMENE VERORDENING GEGEVENSBESCHERMING BIJ HET GEBRUIK VAN

INTERNET OF TOYS

Naam student: G.M.S. Been Datum: 2 januari 2017

Product: scriptie master Informatierecht Begeleider: dr. F.J. Zuiderveen Borgesius

Universiteit van Amsterdam Faculteit der Rechtsgeleerdheid Master Informatierecht 2016-2017

(2)

(3)

| 2 Inhoudsopgave

Lijst met Afkortingen ... 4

Abstract ... 5 1 Inleiding ... 6 1.1 Achtergrond ... 6 1.2 Relevantie ... 6 1.3 Probleemstelling en onderzoeksvraag ... 7 1.4 Methodologie ... 8 1.4.1 Formulering onderzoeksvraag ... 8 1.4.2 Onderzoekmethodes ... 9

1.4.3 Buiten de scope van het onderzoek ... 9

1.4.4 Hoofdstukindeling ... 9

2 De privacyrisico’s van het IoToys ... 10

2.1 Afbakening privacyrisico’s van het IoToys ... 10

2.1.1 Profilering van het kind ... 10

2.1.2 Controleverlies over de persoonsgegevens ... 11

2.1.3 Slechte persoonsgegevensbeveiliging ... 12

2.2 Schadelijke gevolgen van de privacyrisico’s ... 12

2.3 Tussenconclusie ... 13

3 Bescherming AVGB bij het gebruik van IoToys ... 14

3.1 Toepassingsgebied AVGB ... 14

3.1.1 Verwerkingen binnen het IoToys ... 14

3.1.2 Persoonsgegevens binnen het IoToys ... 14

3.2 De huishoudexceptie van de AVGB ... 16

3.3 Relevante partijen van het IoToys onder de AVGB ... 16

3.3.1 De (speelgoed)fabrikant als verwerkingsverantwoordelijke ... 16

3.3.2 Het kind als betrokkene en de positie van de ouders ... 17

3.4 Rechten en plichten AVGB en administratieve geldboetes ... 17

3.5 Tussenconclusie ... 18

4 Analyse AVGB met betrekking tot de privacyrisco’s ... 19

4.1 Afbakening AVGB voor de analyse ... 19

4.2 Grondslagen voor het rechtmatig verwerken van persoonsgegevens binnen het IoToys . 20 4.2.1 Noodzakelijkheid wettelijke verplichting (speelgoed)fabrikant in het IoToys ... 20

(4)

| 3

4.2.2 Gerechtvaardigd belang in het IoToys ... 21

4.2.3 Toestemming in het IoToys ... 23

4.3 Tussenconclusie relevante grondslagen binnen het IoToys ... 26

4.4 Het recht op gegevensoverdraagbaarheid binnen het IoToys ... 27

4.4.1 Tussenconclusie recht op gegevensoverdraagbaarheid ... 29

4.5 Profileringsverbod ... 29

4.5.1 Tussenconclusie profileringsverbod ... 30

4.6 Privacy by default en privacy by design ... 31

4.7 Tussenconclusie beveiliging van de persoonsgegevens ... 33

(5)

| 4 Lijst met Afkortingen

AP Autoriteit Persoonsgegevens

AVGB Algemene Verordening Gegevensbescherming

BW Burgerlijk Wetboek

EU Europese Unie

EVRM Europees Verdrag voor de Rechten van de Mens

EHRM Europees Hof voor de Rechten van de Mens

Gw Nederlandse Grondwet

HvJ EU Hof van Justitie van de Europese Unie

Het Handvest Het Handvest van de grondrechten van de Europese Unie

IoT Internet of Things

IoToys Internet of Toys

IVRK Internationaal Verdrag Rechten van het Kind

Wbp Wet bescherming persoonsgegevens

WP29 Article 29 Working Party (Artikel 29-werkgroep)

(6)

| 5 Abstract

De verzamelnaam voor speelgoed dat verbonden is met het internet is: Internet of Toys. Het Internet of Toys heeft het afgelopen jaar voor veel discussie gezorgd omtrent de privacy van het kind. Via het Internet of Toys worden verschillende persoonsgegevens van het kind verwerkt, zoals de naam en het stemgeluid van het kind. Daarom gelden de rechten en plichten die voortvloeien uit het gegevensbeschermingsrecht voor het kind en de (speelgoed)fabrikanten die via het Internet of Toys persoonsgegevens verwerken. In deze scriptie zijn drie privacyrisico’s van het Internet of Toys aan de orde gesteld: (i) profilering van het kind, (ii) controleverlies en (iii) slechte persoons-gegevensbeveiliging. Aangezien het kind een kwetsbaar persoon in ontwikkeling is, geniet het ten opzichte van een volwassene een speciale positie binnen het recht. De toekomstige Algemene Verordening Gegevensbescherming heeft meer aandacht besteed aan de bescherming van het kind dan de huidige Wet bescherming persoonsgegevens. In deze scriptie zijn vier wetsartikelen uit de Algemene Verordening Gegevensbescherming geanalyseerd: (i) relevante verwerkingsgrondslagen, (ii) het recht op gegevensoverdraagbaarheid, (iii) verbod op profilering en (iv) privacy by default en

privacy by design. In de analyse wordt onderzocht of de Algemene Verordening

Gegevens-bescherming de privacyrisico’s uitsluit.

Er moet worden geconcludeerd dat de Algemene Verordening Gegevensbescherming de privacyrisico’s niet uitsluit. Middels toestemming van de ouders mag de (speelgoed)fabrikant de persoonsgegevens van het kind verwerken. Tevens maakt de expliciete toestemming het mogelijk dat het kind niet onder het verbod van profileren valt. Terwijl in de overwegingen van de AVGB is opgenomen dat het kind een extra beschermd moet worden tegen profilering. Daarnaast is de (speelgoed)fabrikant alleen verplicht om accountgegevens aan het kind te verstrekken wanneer hierom wordt gevraagd. De profielen die worden gemaakt aan de hand van de persoonsgegevens hoeven niet te worden overgedragen aan het kind. Hierdoor blijft het recht op volledige controle over de persoonsgegevens beperkt. Tot slot kent het Internet of Toys veel beveiligingsgebreken. De beginselen van privacy by default en privacy by design moeten zorgen voor een veilige omgeving. Maar zolang nog niet volledig duidelijk is hoe deze wetsartikelen worden toegepast in de praktijk van het Internet of Toys, wordt aangeraden om geen persoonsgegevens van het kind te verwerken en het kind niet met Internet of Toys te laten spelen.

(7)

| 6 1 Inleiding

1.1 Achtergrond

Pratende knuffels, poppen en ander connected-speelgoed is niet meer weg te denken uit het

dagelijkse leven van het kind. 1_{De verzamelnaam voor connected-speelgoed is Internet of Toys}

(hierna: IoToys).2_{Middels het IoToys wordt veel persoonlijke informatie van het kind verzameld}

en gedeeld met derde partijen. Door de spraakherkenningsfunctie die bijvoorbeeld in de poppen Cayla en Hello Barbie is ingebouwd, wordt het mogelijk dat het kind met de pop een conversatie

kan voeren. 3 In eerste instantie lijken Cayla en Hello Barbie de ideale speelmaatjes voor het kind

maar niets is minder waar. Uit verschillende onderzoeken blijkt dat de privacy van het kind binnen

het IoToys slecht wordt gewaarborgd.4 Daarnaast hebben ethische hackers aangetoond dat Cayla en

Hello Barbie eenvoudig zijn te hacken. Zo kan de volledige controle over de spraakherkenningsfunctie worden uitgeoefend, waardoor de in eerste instantie ‘onschuldige

conversaties’ die via het IoToys met het kind worden gevoerd een hele andere wending aannemen.5

Inmiddels is Cayla op verzoek van de Nederlandse Consumentenbond uit de (speelgoed)winkels gehaald en kunnen ouders hun geld terugvragen. Ook is de Autoriteit Persoonsgegevens, de lokale

toezichthouder op het gebied van privacy (hierna: AP) ingelicht. 6 Maar is hiermee het privacy

problematiek van het IoToys opgelost?

1.2 Relevantie

In de huidige informatiemaatschappij komt de privacy van het kind steeds vaker onder druk te

staan.7_{In december 2016 heeft de Noorse Consumentenbond Forbrukerr}_å_{det (hierna: Noorse}

Consumentenbond) een rapport uitgebracht over de privacy- en cybersecurityrisico’s van het IoToys. In dit onderzoek zijn drie verschillende IoToys apparaten met spraakherkenningsfunctie onderzocht. In dit rapport is geconcludeerd dat de privacy van het kind binnen het IoToys niet goed

wordt gewaarborgd. 8 Daarnaast heeft de AP de afgelopen twee jaar meer aandacht besteed aan het

waarborgen van de privacy van het kind. 9 Aangezien steeds meer (speelgoed)fabrikanten IoToys

1_{Jaarverslag 2015, p. 8.}

2_{Zie voor de ontstaansgeschiedenis van het Internet of Toys: RFID Journal 2009 en The New York Times 1997.} 3_{Forbrukerrådet 2016, p. 34.}

4_{Forbrukerrådet 2016, p. 3.}

5_{Peetoom en Timmerman 2016; De Trouw 2015; zie ook BBC 2015 en Common Sense Media 2015.}

6_{‘Pratende pop Cayla slecht beveiligd’, Consumentenbond, 8 december 2016, Consumentenbond.nl (zoek op Cayla).} 7_{Common Sense Media 2015; zie ook De Correspondent 2014a.}

8_{Forbrukerrådet 2016, p. 5-7.}

(8)

| 7

op de markt brengen, zoals: Walt Disney, Hasbro, Lego en Fischer-Price zal het aantal verwerkingen

van persoonsgegevens van het kind toenemen binnen het IoToys.10_{Hierdoor is het van belang dat}

de privacy en de persoonsgegevens van het kind ook binnen het IoToys adequaat worden

beschermd.11

1.3 Probleemstelling en onderzoeksvraag

Het beschermen van persoonsgegevens is een fundamenteel recht en wordt beschermd op

internationaal, Europees en nationaal niveau.12 In Nederland is de wettelijke bescherming van

persoonsgegevens geregeld in de Wet bescherming persoonsgegevens (hierna: Wbp). De Wbp is een implementatie van de Richtlijn 95/46/EG (hierna: Privacyrichtlijn 1995). Op 28 mei 2016 is de Algemene Verordening Gegevensbescherming (hierna: AVGB) aangenomen en treedt over twee jaar in werking. De AVGB gaat de Privacyrichtlijn 1995 vervangen en heeft in tegenstelling tot deze

richtlijn directe werking.13 Op 9 december 2016 is de conceptversie van de Uitvoeringswet

Algemene Verordening Gegevensbescherming (hierna: Uitvoeringswet) gepubliceerd. In de Uitvoeringswet staan regels met betrekking tot de uitvoering AVGB en het intrekken van de

Privacyrichtlijn 1995.14

In de AVGB is speciale aandacht besteed aan de bescherming van de persoonsgegevens van het

kind.15_{Wanneer persoonsgegevens worden verwerkt is het relevant dat dit in het belang van het}

kind gebeurt.16_{Dit principe ziet erop toe dat alle maatregelen, die betrekking hebben op het kind,}

niet schadelijk mogen zijn voor het kind. Deze verplichting geldt voor de ouders maar ook voor

publieke- en private instanties.17 De gedachte achter dit principe is dat het kind meer bescherming

moet genieten dan een volwassene. In tegenstelling tot een volwassene is het kind namelijk op zowel fysiek als psychisch niveau nog in ontwikkeling. Het kind moet zich in alle vrijheid kunnen

ontwikkelen om zijn eigen persoonlijkheid volledig te kunnen ontplooien.18 Hierdoor verkeert het

10_{Peetoom en Timmerman 2016, p.9 en Article 29 Working Party, WP 223 p.7.}

11_{Meer literatuur over dit onderwerp: European Parlementary Research Services 2015; The Committee on The Right of the Child 2013a; The}

Committee on The Rights of the Child 2013b.

12_{Artikel 16 lid 1VWEU; artikel 8 lid 1 Het Handvest; artikel 10 lid 2 Gw en 3 Wbp.} 13_{Overweging 171 AVGB.}

14_{Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van}

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

15_{Artikel 8 AVGB.}

16_{Artikel 3 IVRK; artikel 6 Verdrag nr. 192 van de Raad van Europa; artikel 24 lid 2 Het Handvest en Article 29 Working Party, WP 160, p. 5-6.} 17_{Committee on The Rights of the Child, p. 3.}

(9)

| 8

kind in een kwetsbare positie binnen de maatschappij.19_{Om de reden dat de privacy van het kind}

binnen het IoToys niet goed wordt gewaarborgd en de toekomstige AVGB meer aandacht heeft besteed aan de bescherming van de persoonsgegevens van het kind, wordt in deze scriptie de volgende onderzoeksvraag beantwoord:

‘’Biedt de Algemene Verordening Gegevensbescherming een adequate bescherming tegen de privacyrisico’s van het verwerken van persoonsgegevens, via het Internet of Toys voor het kind tot 16 jaar?’’

De hoofdvraag wordt beantwoord aan de hand van de volgende drie deelvragen: 1.) Wat zijn drie privacyrisico’s van het IoToys voor het kind?

2.) Is de AVGB van toepassing bij het gebruik van het IoToys?

3.) Welke wetsartikelen moeten toezien op het uitsluiten van de privacyrisico’s?

1.4 Methodologie

In deze paragraaf wordt nader ingegaan op de formulering van de hoofdvraag. Daarnaast wordt de werkwijze van het onderzoek besproken.

1.4.1 Formulering onderzoeksvraag

Het IoToys is een ontzettend groot en breed begrip waar geen standaard definitie voor is.20 In dit

onderzoek wordt het IoToys gezien als een verzamelnaam voor diensten en apparaten die met elkaar in verbinding staan (bijvoorbeeld middels het internet of radiofrequenties) en een spraakherkenningsfunctie bezitten. Daarnaast moet er een applicatie worden geïnstalleerd en een account worden aangemaakt om gebruik te kunnen maken van het IoToys. De definitie van het begrip privacy wordt in dit onderzoek afgebakend door middel van drie privacyrisico’s die zich

voordoen in de praktijk.21 Deze privacyrisico’s zullen verder in hoofdstuk 2 worden behandeld.

Daarnaast richt het onderzoek zich uitsluitend op de positie van het kind tot 16 jaar, omdat het kind onder de AVGB tot deze leeftijd speciale bescherming geniet. In dit onderzoek wordt enkel de toekomstige AVGB geanalyseerd en niet het huidige gegevensbeschermingsrecht, omdat in de AVGB nieuwe rechten en plichten staan vermeld die moeten bijdragen aan de een adequate

bescherming van het kind.22 In de analyse wordt de adequate bescherming van het kind getoetst,

19_{Overweging 4 IVRK.}

20_{Andere literatuur over dit onderwerp: Gemalto 2015; Gartner 2013; RFID Journal 2009.} 21_{Eskens, Timmer en Est 2016, p.25.}

(10)

| 9

hieronder wordt verstaan dat de AVGB een dusdanige bescherming biedt dat de privacyrisico’s worden uitgesloten.

1.4.2 Onderzoekmethodes

Om inzicht te krijgen in de problematiek van het verwerken van persoonsgegevens van het kind binnen het IoToys, wordt vanuit intern juridisch perspectief onderzoek gedaan op basis van literatuur- en documentenonderzoek. Hiervoor zijn de volgende bronnen bestudeerd: relevante handboeken, tijdschriftartikelen, diverse opinies van de Article 29 Working Party, jurisprudentie, verschillende rapporten over het IoToys en de privacy van het kind, nieuwsberichten over het IoToys en overige bronnen. Daarnaast is in deze scriptie gebruik gemaakt van verschillende onderzoekmethodes. De privacyrisico’s en de toepassing van de AVGB worden voornamelijk op descriptieve wijze beschreven. Vervolgens worden op basis van normatief onderzoek de relevante artikelen van de AVGB getoetst aan de privacyrisico’s.

1.4.3 Buiten de scope van het onderzoek

Tot slot worden enkele vraagstukken buiten de scope van het onderzoek geplaatst. Allereerst is mogelijk dat er ook nog andere weten regelgeving bijdragen aan de bescherming van het kind binnen het IoToys, zoals het consumentenrecht. Dit onderzoek gaat niet in op deze weten regelgeving. Ten tweede wordt de vraag of er bijzondere persoonsgegevens worden verwerkt niet behandeld. Dit onderzoek betreft enkel juridische analyse, daarom wordt er niet ingegaan op de

ethische verantwoording om persoonsgegevens van het kind te verwerken via het IoToys.23

1.4.4 Hoofdstukindeling

In dit hoofdstuk is de probleemstelling van het onderzoek aanbod gekomen. Hierna worden in hoofdstuk 2 drie privacyrisico’s van het IoToys uiteengezet die in dit onderzoek centraal staan.Vervolgens wordt in hoofdstuk 3 aan de hand van praktijkvoorbeelden van het IoToys getoetst of de AVGB van toepassing is. Indien dit het geval is, wordt er uitgelegd wie de relevante partijen zijn onder de AVGB in het IoToys. In hoofdstuk 4 worden relevante bepalingen van de toekomstige AVGB geanalyseerd die de besproken privacyrisico’s moeten uitsluiten. De analyse beperkt zich tot vier wetsartikelen. Tot slot wordt er in hoofdstuk 5 in de vorm van een conclusie antwoord gegeven op de hoofdvraag en worden er eventueel aanbevelingen gedaan in de conclusie negatief luidt.

(11)

| 10 2 De privacyrisico’s van het IoToys

Uit hoofdstuk 1 is gebleken dat de privacy van het kind niet altijd wordt gewaarborgd bij het gebruik van IoToys. In dit hoofdstuk worden verschillende privacyrisico’s van het IoToys besproken. Allereerst wordt in dit hoofdstuk de definitie van privacy afgebakend aan de hand van drie privacyrisico’s. Vervolgens wordt ieder risico nader gekwalificeerd. Tot slot wordt uitgelegd wat de gevolgen van de privacyrisico’s voor het kind kunnen zijn.

2.1 Afbakening privacyrisico’s van het IoToys

Om het onderzoek af te bakenen beperkt dit onderzoek zich tot drie privacyrisico’s van het IoToys. De privacyrisico’s die worden besproken zijn gebaseerd op twee recente rapporten over het IoToys. Ten eerste het rapport van de Noorse consumentenbond en ten tweede het rapport van

Mediawijzer.24 De drie privacyrisico’s die in dit onderzoek worden besproken zijn: profilering van

het kind, controleverlies over de persoonsgegevens en slechte persoonsgegevensbeveiliging.

2.1.1 Profilering van het kind

Wanneer persoonsgegevens worden verzameld, geanalyseerd of gecombineerd om vervolgens een

profiel te maken van het kind is er sprake van profilering.25 Het profileren van persoonsgegevens is

niet per definitie een privacyrisico.26 Maar het profileren van het kind levert een privacy inbreuk op

wanneer de profielen worden gebruikt om inzicht te krijgen in bijvoorbeeld de voorkeuren van het

kind en het gedrag van het kind.27 Vaak worden er op basis van deze inzichten conclusies getrokken

over het kind of worden er voorspellingen gedaan over het kind.28_{Tegenwoordig wordt het kind}

steeds vaker onderworpen aan profilering.29

Het onderzoek van de Noorse Consumentenbond toont aan dat de persoonsgegevens die via het IoToys worden verwerkt om inzicht te krijgen in het gedrag en de voorkeur(en) van het kind. Op basis van deze inzichten worden er via de spraakherkenningsfunctie gepersonaliseerde

aanbevelingen gedaan over bepaalde producten. 30 Dit wordt direct marketing genoemd. Via de

spraakherkenningsfunctie van het IoToys kan het kind worden aangeraden om bijvoorbeeld een

24_{Forbrukerrådet 2016; Mediawijzer 2016.} 25_{Overweging 71 AVGB; artikel 4 lid 4 AVGB.} 26_{Van der Hof 2012, p. 135.}

27_{Overweging 71 AVGB.} 28_{De Correspondent 2014b.}

29_{Autoriteit Persoonsgegevens, Agenda 2016, p. 3.} 30_{Forbrukerrådet 2016, p. 19.}

(12)

| 11

bepaalde film te kijken met als doel dat het kind deze film wil zien.31_{Daarnaast kan het zijn dat uit}

de analyses verkeerde conclusies worden getrokken over het kind. Op basis van de verkregen informatie kan bijvoorbeeld worden geconcludeerd dat het kind niet slim is, terwijl het kind wel een

hoog IQ heeft of dat het niet sociaal is onderlegd.32 Verder kunnen profielen van het kind binnen

het IoToys worden doorverkocht aan derde partijen.33 Uit onderzoek van Tokmetzis blijkt

bijvoorbeeld dat persoonsgegevens van het kind die worden verzameld via applicaties op veilingen

worden doorverkocht.34 Tevens bestaat er de mogelijkheid - in het ergste geval- dat het kind alleen

maar met IoToys producten speelt waarbij gebruik wordt gemaakt van direct marketing. Dit kan ertoe leiden dat het kind terecht komt in een zogeheten filter bubble. Wanneer het kind terecht komt in een filter bubble ontvangt het alleen maar gepersonaliseerde informatie, waardoor het kind wordt

onthouden van overige informatie.35

2.1.2 Controleverlies over de persoonsgegevens

Door het gebruik van IoToys is het kind vaak niet in staat is om de volledige controle over de

persoonsgegevens te behouden.36 De Noorse Consumentenbond concludeert dat de onderzochte

privacy policies van de IoToys apparaten onduidelijke termen bevat en gebrekkige informatie geeft

over de omstandigheden van de verwerking.37 Hierdoor kan het kind niet te weten komen met welke

derde partijen de persoonsgegevens worden gedeeld en voor welke specifieke doeleinden de

persoonsgegevens worden gebruikt.38_{Vervolgens wordt het moeilijk voor het kind om tegen verder}

gebruik van de persoonsgegevens op te treden, omdat het kind niet weet bij welke partijen de

persoonsgegevens zich bevinden.39_{Daarnaast stelt Van der Sloot dat door controleverlies het kind}

ongewenst herinnerd kan worden aan situaties, waardoor het kind zichzelf kan beperken in de keuze-

en ontwikkelingsvrijheid.40 Tot slot hebben verschillende studies aangetoond dat gebruikers van

zowel het IoT als het internet niet het gevoel hebben dat zij de volledige controle over hun

persoonsgegevens hebben.41 31_{Forbrukerrådet 2016, p. 23.} 32_{Mediawijzer 2016, p. 53.} 33_{Mediawijzer 2016, p. 53.} 34_{De Correspondent 2014a.} 35_{Zuiderveen Borgesius 2016c, p. 3.}

36_{Forbrukerrådet 2016, p. 18; Article 29 Working Party, WP 223, p. 7.} 37_{Forbrukerrådet 2016, p. 8.}

39_{Article 29 Working Party, WP223, p. 8.} 40_{Van der Sloot 2012, p. 253.}

(13)

| 12 2.1.3 Slechte persoonsgegevensbeveiliging

In opdracht van de Noorse Consumentenbond heeft Bouvet technisch onderzoek gedaan naar de

beveiliging van het IoToys.42 Uit dit onderzoek is gebleken dat de (speelgoed)fabrikant vaak te kort

schiet in de beveiliging van de persoonsgegevens van het kind of het speelgoed helemaal niet

beveiligd is.43 Vaak zijn (speelgoed)fabrikanten zich er niet van bewust dat zij rekening moeten

houden met de beveiliging van persoonsgegevens. 44 Er is aangetoond dat door een gebrekkige

beveiliging van het IoToys de gesprekken, die via de spraakherkenningsfunctie worden gevoerd,

eenvoudig kunnen worden afgeluisterd.45 Tevens is het mogelijk om volledige controle over de

spraakherkenningsfunctie uit te oefenen. Daarnaast worden niet alle persoonsgegevens

versleuteld.46 Doordat het IoToys niet goed beveiligd is, is het IoToys vaak het doelwit van een

datalek.47 Er is sprake van een datalek wanneer er ongeautoriseerde toegang is verkregen tot de

persoonsgegevens. De persoonsgegevens kunnen bijvoorbeeld worden: vernietigd, gewijzigd of op

straat komen te liggen. 48

2.2 Schadelijke gevolgen van de privacyrisico’s

Wat de exacte gevolgen van de drie privacyrisico’s zijn, hangt af van de concrete omstandigheden

van het geval. Maar de ontwikkelingsvrijheid voor een kind is cruciaal.49 En op basis van de

privacyrisico’s mag niet worden uitgesloten dat de privacyrisico’s kunnen leiden tot schadelijke

gevolgen voor het kind op latere leeftijd.50 De privacyrisico’s kunnen resulteren in het oplopen van

lichamelijke, materiële en immateriële schade bij het kind. Enkele voorbeelden die de AVGB noemt zijn: ‘’identiteitsdiefstal- of fraude, reputatieschade, of het leiden van een ander maatschappelijk of

economisch nadeel.’’51_{Daarnaast kan het profileren van het kind binnen het IoToys de keuze- en}

ontwikkelingsvrijheid van het kind beperken.52 Doordat het kind een persoon in ontwikkeling is die

in alle vrijheid een eigen persoonlijkheid moet ontplooien, wordt het kind middels profilering beperkt in de vrijheid om zelfstandig keuzes te maken wanneer het wordt onderworpen aan

42_{Bouvet 2016.}

43_{Forbrukerrådet 2016, p. 34; Common Sense Media 2015.} 44_{Eskens, Timmer en Est 2016, p. 42-43; Mediawijzer 2016, p. 28.} 45_{BBC 2015.}

46_{Bouvet 2016, p. 11.}

47_{Article 29 Working Party, WP 223, p. 10.}

48_{Autoriteit Persoonsgegevens, Beleidsregels meldplicht datalekken 2015, p. 5.} 49_{Artikel 3 IVRK.}

50_{Van der Hof 2014, p. 2.} 51_{Overweging 75 AVGB.}

(14)

| 13

gepersonaliseerde informatie.53_{Meerdere privacy experts, zoals De Leeuw en Van der Hof}

waarschuwen voor het gebruik van IoToys en sluiten niet uit dat het kind,zoals nu al gebeurt op het

internet , via het IoToys slachtoffer kan worden van cyberpesten of seksueel misbruik.54

2.3 Tussenconclusie

Het gebruik van IoToys zorgt voor verschillende privacyrisico’s, waaronder: profilering, controleverlies over de persoonsgegevens, en slechte persoonsgegevensbeveiliging. Vanwege de kwetsbare positie waarin het kind verkeert is het van belang dat het kind wordt beschermd tegen deze privacyrisico’s. De privacyrisico’s kunnen resulteren in verschillende soorten schade. Het kind

kan bijvoorbeeld slachtoffer worden van identiteitsfraude en cyberpesten.55 In het volgende

hoofdstuk wordt onderzocht of het gegevensbeschermingsrecht van toepassing is binnen het IoToys om ervoor te zorgen dat het kind tegen deze privacyrisico’s wordt beschermd.

53_{Savirimuthu 2016, p. 223.}

54_{Mediawijzer 2016, p. 31.}

(15)

| 14 3 Bescherming AVGB bij het gebruik van IoToys

In dit hoofdstuk wordt onderzocht of het gegevensbeschermingsrecht van toepassing is bij het gebruik van IoToys. Allereerst wordt aan de hand van relevante praktijkvoorbeelden van het IoToys

beoordeeld of er sprake van het verwerken van persoonsgegevens.56_{Vervolgens wordt uitgelegd}

voor welke partijen binnen het IoToys de rechten en plichten die uit de AVGB voortvloeien gelden.

3.1 Toepassingsgebied AVGB

Om als kind bescherming te genieten onder de toekomstige AVGB moet er sprake zijn van een

geheel of gedeeltelijk geautomatiseerde verwerking van een persoonsgegeven van het kind.57_Dit

wordt het materiële toepassingsgebied genoemd. Daarnaast moet er sprake zijn van een territoriaal toepassingsgebied binnen de Europese Unie. Dit onderzoek gaat ervan uit dat het kind zich bevindt

binnen de Europese Unie, waardoor aan het territorialiteitsvereiste van de AVGB is voldaan.58 In

de volgende twee subparagrafen wordt onderzocht of er persoonsgegevens van het kind worden verwerkt via het IoToys.

3.1.1 Verwerkingen binnen het IoToys

Bijna alle handelingen zowel handmatig als (gedeeltelijk) geautomatiseerd worden gezien als een

verwerking.59 Enkele voorbeelden van verwerkingen die in de AVGB worden genoemd zijn: het

verzamelen, opslaan en het combineren van gegevens.60 Binnen het IoToys vinden dergelijke

verwerkingen plaats. Ten eerste moeten er gegevens worden opgeslagen wanneer er een account moet worden aangemaakt. Ten tweede worden er via de spraakherkenningsfunctie gegevens zowel verzameld als opgeslagen. Tot slot worden er ook gegevens gecombineerd wanneer er profielen van

het kind worden gemaakt.61 Op basis van deze voorbeelden uit de praktijk kan worden

gecon-cludeerd dat er verwerkingen plaatsvinden binnen het IoToys.

3.1.2 Persoonsgegevens binnen het IoToys

Ten tweede moet de verwerking persoonsgegevens bevatten. Een persoonsgegeven is ieder gegeven

dat een geïdentificeerde of identificeerbare natuurlijke persoon betreft.62 Op basis van een

persoonsgegeven is het kind op directe of indirecte manier herleidbaar. De concrete beoordeling van

56_{Forbrukerrådet 2016.} 57_{Artikel 2 lid 1 AVGB.} 58_{Artikel 3 lid 2 sub a en b AVGB.} 59_{Overweging 15 AVGB; 4 lid 2 AVGB.} 60_{Artikel 4 lid 1 AVGB.}

(16)

| 15

een persoonsgegeven is afhankelijk van de omstandigheden van het geval. De naam van het kind kan worden gekwalificeerd als persoonsgegeven, omdat het kind direct kan worden

geïdentificeerd.63 Maar als het kind een veelvoorkomende naam heeft zijn er soms meer gegevens

nodig het kind te kunnen identificeren en daarmee andere personen uit te sluiten. 64 Dit wordt

singling-out genoemd. 65 Dit maakt het mogelijk dat het kind ook op indirecte wijze identificeerbaar

is zonder dat de naam bekend is. De reikwijdte van het begrip persoonsgegevens is erg breed en

omvat ook pseudonieme gegevens.66 Een voorbeeld van een pseudoniem persoonsgegeven is

bijvoorbeeld een IP-Adres. 67 Daarnaast zegt de Article 29 Working Party, een

samenwerkingsverband van alle lokale Europese privacy toezichthouders (hierna: WP29), dat: ‘’De hypothetische mogelijkheid dat er sprake is van een persoonsgegeven is niet voldoende om

bescherming te genieten onder het gegevensbeschermingsrecht’’.68 Daarom moet bij de beoordeling

of er sprake is van een persoonsgegeven rekening worden gehouden met de middelen die de (speelgoed)fabrikant redelijkerwijs tot zijn beschikking heeft om het kind te identificeren. Voorbeelden van factoren waar de (speelgoed)fabrikant rekening mee dient te houden zijn: de

kosten, de moeite, de tijd en de stand van de techniek.69

Binnen het IoToys vinden talloze verwerkingen van allerlei soorten informatie plaats. Deze

verwerkingen bevatten informatie zoals: naam, geboortedatum en spraakopnames van het kind.70

Bij de beoordeling van een persoonsgegeven hoeft de informatie niet per se in tekstuele vorm te zijn

vastgelegd. Beelden en geluiden kunnen ook persoonsgegevens bevatten.71_{Het stemgeluid van het}

kind is bijvoorbeeld een biometrisch gegeven dat unieke eigenschappen van het kind bevat,

waardoor het kind identificeerbaar is. 72 Daarnaast kan de inhoud van de spraakopnames van het

kind ook persoonsgegevens bevatten. Op basis van de vragen die bijvoorbeeld Hello Barbie stelt,

kan het kind op indirecte wijze worden onderscheiden van anderen.73 Op basis van de hoeveelheid

aan gegevensstromingen die er binnen het IoToys plaatsvinden, zal het voor (speelgoed)fabrikanten

63_{Article 29 Working party, WP 136, p. 13.}

64_{Article 29 Working Party, WP 136, p. 13; Forbrukerrådet 2016, p. 16.} 65_{Article 29 Working Party, WP136, p. 12-14; Zuiderveen Borgesius 2016a p. 59.} 66_{Artikel 4 lid 5 AVGB.}

67_{HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771, r.o. 51 (Scarlet/Sabam); HvJ EU 11 december 2014, 24. C-212/13,}

ECLI:EU:C:2014:2428, r.o.22 (Ryneš); HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, r.o. 49 (Breyer).

68_{Article 29 Working Party, WP 136, p. 15.} 69_{Overweging 26 AVGB.}

70_{Forbrukerrådet 2016.}

71_{Kamerstukken II 1997/98, nr. 3, p. 50.} 72_{Article 29 Working Party, WP 193, p. 24.} 73_{Artikel 4 lid 1 AVGB.}

(17)

| 16

weinig moeite en geld kosten om de identiteit van het kind te achterhalen. Op basis van deze voorbeelden uit de praktijk kan worden geconcludeerd dat er sprake is van het verwerken van persoonsgegevens via het IoToys.

3.2 De huishoudexceptie van de AVGB

De AVGB is niet van toepassing indien er sprake is van een wettelijke uitzondering, zoals de

huishoudexceptie.74 Onder de huishoudexceptie vallen activiteiten voor persoonlijke of

huis-houdelijke doeleinden, zoals online-activiteiten.75 Wanneer het kind speelt met speelgoed kan dit

worden gezien als een persoonlijke activiteit. Maar het middel waarmee het kind speelt, het IoToys apparaat, wordt verschaft door de (speelgoed)fabrikant die de persoonsgegevens verwerkt, waardoor de huishoudexceptie niet van toepassing is binnen het IoToys en het kind bescherming

geniet onder de AVGB. 76

3.3 Relevante partijen van het IoToys onder de AVGB

In de praktijk van het IoToys zijn verschillende partijen betrokken bij het verwerken van de persoonsgegevens van het kind. Voor de toepassing van de rechten en plichten die uit de AVGB voortvloeien, is het van belang om te weten welke partijen er zijn gehouden aan de regels die de AVGB oplegt.

3.3.1 De (speelgoed)fabrikant als verwerkingsverantwoordelijke

Wanneer een partij het doel en de middelen van de verwerking vaststelt, wordt deze partij onder de AVGB de verwerkingsverantwoordelijke genoemd. Een derde partij aan wie de

verwerkingsverantwoordelijke de verwerking uitbesteed wordt de verwerker genoemd.77 Binnen het

IoToys wordt er vaak met verschillende derde partijen gewerkt. Zo wordt het verwerken van de

spraakopnames vaak door een derde partij uitgevoerd, die hierin is gespecialiseerd.78

Om te kunnen beoordelen welke partijen binnen het IoToys de verwerkingsverantwoordelijke is wordt gebruik gemaakt van de opinie van de WP29. De WP29 stelt dat de (speelgoed)fabrikant die het IoToys ontwikkelt de verwerkingsverantwoordelijke is, aangezien de (speelgoed)fabrikant vaak

74_{Artikel 2 lid 2 AVGB.} 75_{Overweging 18 AVGB.} 76_{Overweging 18 AVGB.} 77_{Artikel 4 lid 6 AVGB.} 78_{Forbrukerrådet 2016, p. 19.}

(18)

| 17

de doeleinden van de verwerking bepaalt en de wijze waarop de verwerking plaatsvindt.79_Enkele

voorbeelden van verwerkingsverantwoordelijke binnen het IoToys kunnen zijn: Vtech, Mattel en

Genesis Toys.80 In deze scriptie wordt verder gesproken over de (speelgoed)fabrikant gebruikt in

plaats van de verwerkingsverantwoordelijke.

3.3.2 Het kind als betrokkene en de positie van de ouders

In Nederland is het kind een minderjarig persoon onder de 18 jaar, tenzij er sprake is van een

wettelijke uitzondering.81 Het kind kan onder bepaalde omstandigheden in Nederland, voordat het

de leeftijd van 18 jaar heeft bereikt meerderjarig worden verklaard door de kinderrechter.

Bijvoorbeeld wanneer het kind 16 jaar oud en zwanger is.82 In het onderzoek zullen de

omstandigheden waardoor het kind eerder meerderjarig kan worden verklaard buiten beschouwing worden gelaten. Aangezien de AVGB van toepassing is verklaard bij het gebruik van het IoToys en er persoonsgegevens van het kind worden verwerkt, wordt het kind in de AVGB gedefinieerd als

betrokkene.83 In dit onderzoek wordt verder gesproken over het kind in plaats van betrokkene.

Tevens staat het kind onder gezag van een wettelijke vertegenwoordiger.84 Meestal zijn dit de

ouders en wordt voor de consistentie van dit onderzoek verder de term ouders of ouder gebruikt.De

ouders hebben de verplichting om de veiligheid van het kind te waarborgen, hieronder valt ook de

privacy van het kind.85_{In het gegevensbeschermingsrecht oefenen de ouders de rechten die het kind}

toekomt namens het kind uit.86_{Hier wordt nader op ingegaan in paragraaf 4.2.3.}

3.4 Rechten en plichten AVGB en administratieve geldboetes

Voor bovenstaande partijen zijn de rechten en plichten die voortvloeien uit de AVGB van

toepassing. 87 Voor de (speelgoed)fabrikanten zijn er in de AVGB meerdere en zwaardere

verplichtingen opgelegd om de privacy van het kind te waarborgen.88 In dit onderzoek worden vier

verplichtingen van de (speelgoed)fabrikant behandeld. De toepasselijkheid van overige artikelen uit

79_{Article 29 Working Party, WP223, p. 13.} 80_{Forbrukerrådet 2016, p. 5.}

81_{Artikel 1:233 BW; Artikel 1:253 BW.} 82_{Artikel 1:253 BW.}

83_{Artikel 4 lid 1 AVGB.}

84_{1:247 lid 2 BW; Beelen 2015, p.165.} 85_{Artikel 1:247 lid 2 BW; artikel 18 IVRK.}

86_{Article 29 Working Party, WP 160, p. 6; artikel 8 lid 1 AVGB.}

87_{Artikel 5 lid 1 AVGB; HvJ EU 13 mei 2015, C-131/12 (Google/Spain)., par. 71.} 88_{Zie artikel 8 AVGB; artikel 28 AVGB.}

(19)

| 18

de AVGB blijft onverlet. Wanneer de speelgoedfabrikant zich niet houdt aan de verplichtingen die de AVGB opgelegd, kan de AP een administratieve geldboete opleggen. Deze administratieve geldboete bedraagt een maximum van 10.000.000 euro of twee procent van de wereldwijde

jaaromzet van de (speelgoed)fabrikant.89 Deze boetebevoegdheid dient ervoor te zorgen dat de

(speelgoed)fabrikant zich houdt aan de AVGB.90

3.5 Tussenconclusie

Op basis van de praktijkvoorbeelden uit het IoToys kan in zijn algemeenheid worden geconcludeerd dat er binnen het IoToys persoonsgegevens van het kind worden verwerkt. Binnen het IoToys worden namelijk verschillende persoonsgegevens verwerkt, zoals: het opslaan van namen, geboortedatum en het stemgeluid van het kind. Daarom kan worden geconcludeerd dat de AVGB van toepassing is. Hierdoor geniet het kind bescherming onder de toekomstige AVGB en zijn de (speelgoed)fabrikant en derde partijen die bij de verwerking betrokken zijn gehouden aan de verplichtingen die de AVGB oplegt. In het volgende hoofdstuk worden de relevante wetsartikelen van de AVGB geanalyseerd aan de hand van de privacyrisico’s.

89_{Artikel 83 lid 4 AVGB.} 90_{Overweging 151 AVGB.}

(20)

| 19 4 Analyse AVGB met betrekking tot de privacyrisco’s

In dit hoofdstuk worden vier wetsartikelen uit de AVGB geanalyseerd die moeten zorgen voor een adequate bescherming van het kind tegen de privacyrisico’s die zijn besproken in hoofdstuk 2. Allereerst wordt de AVGB afgebakend voor de analyse en wordt uitgelegd waarom is gekozen voor desbetreffende wetsartikelen. Vervolgens wordt ieder wetsartikel nader besproken aan de hand van de privacyrisico’s. Voor de toepassing worden concrete voorbeelden van het IoToys gebruikt uit het

rapport van de Noorse Consumentenbond.91

4.1 Afbakening AVGB voor de analyse

Gebaseerd op wetenschappelijke artikelen van Zuiderveen Borgesius, Van der Sloot en Van der Hof

zijn vier wetsartikelen van de AVGB uitgekozen die in dit onderzoek worden geanalyseerd.92 De

toepassing van andere wetsartikelen uit de AVGB op de privacyrisico’s blijft onverlet. Er wordt per wetsartikel kort toegelicht waarom desbetreffend wetsartikel moet bijdragen aan het uitsluiten van de privcyrisico’s binnen het IoToys. Ten eerste worden verschillende grondslagen van artikel 6 AVGB getoetst, omdat zonder rechtsgeldige grondslag de persoonsgegevens van het kind niet mogen worden verwerkt via het IoToys. Daarbij heeft de AVGB extra aandacht besteed aan de

bescherming van het kind.93 Binnen het IoToys kunnen verschillende grondslagen van toepassing

zijn om de persoonsgegevens van het kind te verwerken. De grondslagen die in dit onderzoek worden getoetst zijn: (i) noodzakelijk voor de uitvoering van de overeenkomst, (ii) gerechtvaardigd

belang en (iii) toestemming.94_{De overige grondslagen (artikel 6 lid 1 sub c, d en e) zijn geen}

aannemelijke grondslagen voor het verwerken van persoonsgegevens van het kind via het IoToys

en worden daarom niet besproken.95_{Ten tweede wordt artikel 20 lid 1 AVGB onderzocht. Het is}

relevant om dit artikel te analyseren, omdat de (speelgoed)fabrikant verplicht wordt om de verwerkte persoonsgegevens over te dragen aan het kind. Dit wetsartikel zou het privacyrisico van

controleverlies kunnen uitsluiten.96 Ten derde wordt artikel 22 lid AVGB geanalyseerd. Onder dit

artikel is profilering onder bepaalde omstandigheden verboden.97 Dit artikel zou ervoor kunnen

zorgen dat het verwerken van persoonsgegevens van het kind voor profileringsdoeleinden niet meer

91_{Forbrukerrådet 2016.}

92_{Zuiderveen Borgesius 2016c; Van der Sloot 2012; Van der Hof 2012.} 93_{Artikel 6 lid 1 sub f AVGB; artikel 8 lid 1 AVGB.}

95_{Artikel 6 lid 1 sub c, d en e AVGB.} 96_{Artikel 20 AVGB.}

(21)

| 20

is toegestaan. Tot slot wordt artikel 25 AVGB getoetst aan de privacyrisico’s.98_{Dit wetsartikel moet}

ervoor zorgen dat privacy een standaard onderdeel wordt van het IoToys.

4.2 Grondslagen voor het rechtmatig verwerken van persoonsgegevens binnen het IoToys

De persoonsgegevens van het kind mogen alleen worden verwerkt indien er sprake is van een wettelijke grondslag voor het specifieke doeleinde. Binnen het IoToys kunnen verschillende grondslagen van toepassing zijn. In deze paragraaf wordt getoetst onder welke wettelijke grondslagen de (speelgoed)fabrikant de persoonsgegevens van het kind mag verwerken. Op basis van het rapport van de Noorse Consumentenbond wordt in deze analyse verondersteld dat binnen

het IoToys de persoonsgegevens van het kind worden verwerkt voor profileringsdoeleinden.99

4.2.1 Noodzakelijkheid wettelijke verplichting (speelgoed)fabrikant in het IoToys

De eerste grondslag die wordt besproken is artikel 6 lid 1 sub b AVGB. Dit artikel ziet toe op twee situaties waarin persoonsgegevens kunnen worden verwerkt: de precontractuele fase en de fase van overeenkomst. Dit onderzoek gaat ervan uit dat er geen persoonsgegevens worden verwerkt alvorens er sprake is van een overeenkomst. Daarom wordt er uitsluitend ingegaan op de situatie

dat er sprake is van een uitvoering van de overeenkomst.100 In dit onderzoek wordt verondersteld

dat de overeenkomst inhoudt dat de (speelgoed)fabrikant zorg draagt voor een naar behoren functionerend IoToys apparaat, waarbij alle functies werken. De WP29 gaat ervan uit dat er sprake is van een noodzakelijke verwerking wanneer er een strikt verband is tussen de verwerking en het

doeleinde.101 Om het IoToys te kunnen gebruiken moet er eerst een applicatie worden geïnstalleerd

en een account worden aangemaakt, voordat de spraakherkenningsfunctie kan worden benut.102 Het

verwerken van persoonsgegevens zoals, de naam en de geboortedatum van het kind is hierbij onvermijdelijk.

Op basis van het onderzoek van de Noorse Consumentenbond is geconcludeerd dat de spraakopnames van het kind voor verschillende doeleinden worden gebruikt, zowel voor het

gebruiken van de spraakherkenningsfunctie als voor marketingdoeleinden.103_{Om te beoordelen of}

deze verwerkingen noodzakelijk zijn wordt gebruik gemaakt van een voorbeeld dat Zuiderveen

99_{Forbrukerrådet 2016, p. 21-23.}

100_{Article 29 Working Party, WP 271, p. 21.} 101_{Artikel 6 lid 1 sub f AVGB.}

102_{Forbrukerrådet 2016, p. 6.} 103_{Forbrukerrådet 2016, p. 23.}

(22)

| 21

Borgesius geeft in zijn artikel over behavioural targeting binnen het IoT. Zuiderveen Borgesius stelt dat het verwerken van persoonsgegevens, zoals adresgegevens noodzakelijk zijn wanneer een supermarkt pakken melk bij iemand thuis wil afleveren. De supermarkt krijgt deze bestelling door via een koelkast die verbonden is aan het internet en aangeeft wanneer de melk op is. Wanneer dezelfde persoonsgegevens vervolgens worden gebruikt voor advertentiedoeleinden, kan dit niet

worden gezien als een noodzakelijke verwerking.104 Op basis van dit voorbeeld kan worden

beargumenteerd dat de persoonsgegevens van het kind die via het IoToys noodzakelijk worden verwerkt om spraakherkenningsfunctie te laten functioneren niet tegelijkertijd voor profileringsdoeleinden mogen worden gebruikt. Ten eerste is het profileren van het kind om inzichten te krijgen in de persoonlijke levenssfeer van het kind niet noodzakelijk om de spraakherkenningsfunctie te gebruiken. Ten tweede vindt ook de WP29 dat het verwerken van persoonsgegevens voor profileringsdoeleinden en het delen van de persoonsgegevens met derden niet noodzakelijk is. Aangezien binnen het IoToys de persoonsgegevens ook voor profilerings-doeleinden worden gebuikt mogen deze niet verwerkt worden op basis van artikel 6 lid 1 sub b AVGB. Daarnaast vindt de WP29 dat toestemming eventueel wel een passende grondslag kan zijn

om persoonsgegevens te verwerken voor profileringsdoeleinden.105 Deze grondslag komt in

paragraaf 4.2.3 aanbod.

4.2.2 Gerechtvaardigd belang in het IoToys

De tweede grondslag die wordt besproken is artikel 6 lid 1 sub f AVGB. Onder dit artikel mogen persoonsgegevens worden verwerkt door de (speelgoed)fabrikant indien er sprake is van een gerechtvaardigd belang. Er is sprake van een gerechtvaardigd belang indien de verwerking noodzakelijk wordt geacht ter behartiging van het gerechtvaardigd belang van de verwerkings-verantwoordelijke of een derde partij, tenzij het fundamentele recht op gegevensbescherming

prevaleert.106 Voor de beoordeling van een gerechtvaardigd belang moet er een belangenafweging

worden gemaakt. Deze belangenafweging hangt af van de concrete omstandigheden van het geval. Op basis van het artikel van Zuiderveen Borgesius wordt aangenomen dat profileren voor marketingdoeleinden kan behoren tot het fundamentele recht van de (speelgoed)fabrikant op

vrijheid van ondernemerschap.107 Dit fundamentele recht dient vervolgens te worden afgewogen

tegen het fundamentele recht op privacy en gegevensbescherming van het kind. 108 Het slechts

104_{Zuiderveen Borgesius 2016c, p. 5.} 105_{Article 29 Working Party, WP 217, p. 23.} 106_{Artikel 6 lid 1 sub f AVGB.}

107_{Artikel 16 Het Handvest.} 108_{Zuiderveen Borgesius 2016c, p. 5.}

(23)

| 22

hebben van een gerechtvaardigd belang van de (speelgoed)fabrikant is onvoldoende om te kunnen

spreken van een rechtmatige verwerking binnen het IoToys.109_{Alvorens er een belangenafweging}

kan worden gemaakt, moet er eerst worden gekeken naar de noodzakelijkheid om de persoonsgegevens van het kind te verwerken voor profileringsdoeleinden. Voor de noodzakelijkheidstoets van een gerechtvaardigd belang moet er sprake zijn van (i) proportionaliteit

en (ii) subsidiariteit van de verwerking.110 Beiden vereisten worden hieronder apart besproken. Het

fundamentele recht op gegevensbescherming prevaleert met name indien het persoonsgegevens van

het kind bevat.111

(i) Proportionaliteit

Het proportionaliteitsvereiste bepaalt dat het doel van de (speelgoed)fabrikant voor de verwerking niet disproportioneel mag zijn in verhouding met de belangen van het kind. Voor de beoordeling of er is voldaan aan het proportionaliteitsvereiste, bij de verwerkingen binnen het IoToys, kan op basis van het rapport van de Noorse Consumentenbond worden beargumenteerd dat middels de spraakherkenningsfunctie talloze gevoelige gegevens van het kind worden verwerkt die inzage

geven in de persoonlijke levenssfeer.112 Volgens AP moet er bij de proportionaliteitstoets worden

meegewogen dat het kind in een kwetsbare positie verkeerd.113_{Bovendien vindt Zuiderveen}

Borgesius de hoeveelheid verzamelingen van het kind op het internet disproportioneel voor het

tonen van slechts enkele online advertenties.114_{Binnen het IoToys kan ook worden gesteld dat er}

disproportioneel met de gegevens wordt omgegaan. Het is onduidelijk voor welke andere (naast

direct marketing) profileringsdoeleinden de gecreëerde profielen van het kind worden gebruikt.115

Daarnaast worden de persoonsgegevens gedeeld met derde partijen, bijvoorbeeld met het Amerikaanse bedrijf Nuance Communications dat gespecialiseerd is in spraakanalyse. Vervolgens

gebruiken deze partijen de persoonsgegevens ook voor eigen doeleinden.116

109_{Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 3.} 110_{Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 3.} 111_{Article 29 Working Party, WP 217, p. 49.}

113_{Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 13.}

114_{Zie uitspraak van F. Zuiderveen Borgesius naar aanleiding van het onderzoek van Kassa en de Correspondent: 2014, beschikbaar via}

<http://kassa.vara.nl/gemist/nieuws/kinderen-worden-gevolgd-op-websites-en-in-apps>.

115_{Forbrukerrådet 2016, p. 3.} 116_{Forbrukerrådet 2016, p. 32.}

(24)

| 23

(ii) Subsidiariteit

Het subsidiariteitsvereiste bepaalt dat de verwerking de minst ingrijpende impact moet hebben op het kind om het doel van de verwerking te verwezenlijken. Het profileren van het kind binnen het IoToys om vervolgens Disneyfilms te promoten, zoals uit het rapport van de Noorse Consumentenbond naar voren is gekomen, kan ook op een minder indringende manier gebeuren. Er zou bijvoorbeeld bij de aankoop van een IoToys apparaat een flyer kunnen worden gegeven over een nieuwe Disneyfilm, waardoor het niet nodig is om persoonsgegevens van het kind te verwerken.

Op grond van de uitgevoerde proportionaliteit- en subsidiariteitstoets is het onwaarschijnlijk dat het profileren van het kind noodzakelijk is voor de vrijheid van ondernemerschap van de (speelgoed)fabrikant. Voor de volledigheid van het onderzoek wordt ook nog de belangenafweging besproken, mocht er wel sprake zijn van een noodzakelijke verwerking voor de (speelgoed)fabrikant. De AVGB bepaalt uitdrukkelijk dat de belangen van gegevensbescherming

zwaarder wegen indien er persoonsgegevens van het kind worden verwerkt.117 Ook vindt de WP29

het relevant dat bij de beoordeling in overweging wordt genomen dat de verwerking

persoonsgegevens van het kind betreft.118 Daarnaast vindt de WP29 dat een gerechtvaardigd belang

niet een rechtmatige grondslag kan zijn voor het verwerken van persoonsgegevens voor profileringsdoeleinden, zoals direct marketing. Het verwerken van persoonsgegevens voor

profileringsdoeleinden kan namelijk de ontwikkeling van het kind beïnvloeden.119_{Ook vindt de}

WP29 dat het delen van persoonsgegevens niet mogelijk zou moeten zijn op basis van deze

grondslag.120 Aangezien de Noorse Consumentenbond heeft aangetoond dat binnen het IoToys de

persoonsgegevens van het kind voor marketingdoeleinden worden gebruikt en gedeeld worden met derde partijen, kan worden aangenomen dat het recht op gegevensbescherming van het kind in deze situatie prevaleert. En is er geen sprake van een gerechtvaardigd belang aan de zijde van de (speelgoed)fabrikant om de persoonsgegevens te verwerken.

4.2.3 Toestemming in het IoToys

De derde grondslag die wordt onderzocht is artikel 6 lid 1 sub a AVGB. Om te kunnen spreken van een geldige toestemming onder de AVGB moet er sprake zijn van een: (i) specifiek geïnformeerde

(ii) vrije wilsuiting.121 In de AVGB is voor de bescherming van het kind een aanvullende bepaling

117_{Artikel 6 lid 1 sub f AVGB.}

118_{Article 29 Working Party, WP 217, p. 40.} 119_{Article 29 Working Party, WP 217, p. 33.} 120_{Article 29 Working Party, WP 217, p. 18.} 121_{Overweging 32 en artikel 7 AVGB.}

(25)

| 24

(artikel 8 AVGB) opgenomen om de persoonsgegevens te kunnen verwerken op basis van de

grondslag toestemming.122_{Volgens deze bepaling moeten de ouders namens het kind tot 16 jaar de}

toestemming geven.123 Dit betekent dat de ouders het belang van het kind voorop moeten stellen en

niet hun eigen belang.124 Daarnaast kan de toestemming te allen tijde worden ingetrokken.125 Tevens

kan bij nationale wetgeving hiervan worden afgeweken maar mag de leeftijdsgrens niet lager zijn

dan 13 jaar.126 In de Uitvoeringswet is besloten dat er niet wordt afgeweken van de leeftijd van 16

jaar.127 Bovendien wordt de (speelgoed)fabrikant verplicht gesteld om een redelijke inspanning te

verrichten om de toestemming van de ouders te kunnen verifiëren.128

(i) Specifiek geïnformeerd

Alvorens er toestemming wordt gegeven moet het kind (dus ook de ouders) worden geïnformeerd over de omstandigheden van de verwerking. Dit zorgt ervoor dat het kind onder andere weet voor welke doeleinden de persoonsgegevens worden gebruikt en welke partijen over de

persoonsgegevens beschikken.129 Uit het rapport van de Noorse Consumentenbond blijkt dat in het

IoToys het verstrekken van informatie middels privacy policies een gebruikelijke manier is.130 De

Noorse Consumentenbond en Mediawijzer hebben geconstateerd dat privacy policies van het IoToys vaak onduidelijke terminologieën bevatten of -in het ergste geval- helemaal niet beschikbaar

zijn voor het kind.131_{Aangezien zowel het kind als de ouder niet goed worden geïnformeerd, kan}

worden afgevraagd of de ouders wel in staat zijn om een goede belangenafweging te maken om te

bepalen of de gegevensverwerking in het belang van het kind is.132_{Daarnaast blijkt uit onderzoek}

van de Europese Commissie dat het informeren van de ouder middels een privacy policy niet altijd

leidt tot een geïnformeerde ouder. 133 Dit komt doordat de informatie vaak vage termen bevat en

hierdoor niet te begrijpen is.134 Het is de vraag of ouders zich bewust zijn van de risico’s van het

122_{Artikel 8 AVGB.} 123_{Artikel 8 lid 1 AVGB.}

124_{Article 29 Working Party, WP 160, p. 5.} 125_{Artikel 7 lid 3 AVGB.}

126_{Artikel 8 lid 1 AVGB.} 127_{Artikel 8 Uitvoeringswet.} 128_{Artikel 8 lid 3 AVGB.} 129_{Artikel 12 lid 1 AVGB.} 130_{Forbrukerrådet 2016, p. 10.}

131_{Forbrukerrådet 2016, p. 9 en Mediawijzer 2016, p. 24.} 132_{Artikel 3 IVRK.}

133_{European Commission 2011, p. 112.} 134_{Mediawijzer 2016, p. 24.}

(26)

| 25

verwerken van persoonsgegevens voor het kind, nadat zij zijn geïnformeerd.135_{Op basis van deze}

bevindingen kan worden aangenomen dat in de huidige IoToys praktijk vaak niet wordt voldaan aan de verplichting van de (speelgoed)fabrikant om op een transparante manier de informatie te

verstrekken over de verwerking.136 Daarom kan worden aangenomen dat in de huidige praktijk

persoonsgegevens worden verwerkt die niet berusten op een geldige toestemming.137 Indien er wel

voldaan is aan de informatieplicht, wordt voor de volledigheid van het onderzoek ook de overige vereisten van toestemming besproken.

(ii) Vrije wilsuiting

Voor een geldige toestemming bepaalt de AVGB dat de wilsuiting een actieve handeling moet bevatten. Het stilzwijgen of het verlenen van een opt-out wordt in de AVGB niet gezien als een

actieve handeling.138 Een voorbeeld van een actieve handeling kan zijn het aanklikken van een vak

om de verwerking te accepteren.139 Op basis van dit voorbeeld is aannemelijk dat binnen het IoToys

een soortgelijke actieve wilsuiting plaatsvindt. Om het IoToys apparaat te kunnen gebruiken moet

er een applicatie worden geïnstalleerd en een account worden aangemaakt.140 Verder moet de

wilsuiting vrij zijn.141 Dit betekent dat er sprake moet zijn van een zekere keuzevrijheid en er geen

hiërarchische verhouding mag bestaan tussen partijen.142_{De WP29 stelt dat wanneer er binnen het}

IoT geen mogelijkheid is om af te zien van de gegevensverwerking er geen sprake is van een vrije

wilsuiting.143_{Aangezien binnen het IoToys wel de mogelijkheid bestaat om de}

spraakherkennings-functie uit te zetten, kan worden aangenomen dat er een vrije keuze is. Daarentegen kan er ook worden beargumenteerd dat er geen sprake is van een vrije keuze, omdat de ouder verplicht is om

een applicatie te installeren en voor het account persoonsgegevens moet invullen.144 Ook maakt de

situatie dat de ouders namens het kind de toestemming geven het moeilijk voor de

(speelgoed)fabrikant om te achterhalen of de toestemming vrij is gegeven.145 Wanneer de ouders

vergeten om het belang van het kind in acht te nemen bij de toestemming, kan worden

135_{Overweging 38 AVGB.}

136_{Overweging 58; artikel 12 AVGB.} 137_{Article 29 Working Party, WP 223, p. 8.} 138_{Overweging 32 AVGB.}

139_{Overweging 32 AVGB; Article 29 Working Party, WP 187, p. 23.} 140_{Overweging 43 AVGB; Article 29 Working Party, WP 223, p. 8.} 141_{Zuiderveen Borgesius 2016b, p. 4-5.}

142_{Article 29 Working Party, WP 187, p.14.} 143_{Article 29 Working Party, WP 223, p. 8.} 144_{Article 29 Working Party, WP 223, p. 22.} 145_{Article 29 Working Party, WP 147, p. 5.}

(27)

| 26

beargumenteerd dat er geen sprake is van een vrije keuze.146_{Van Daalen betwijfelt of het een}

verstandige keuze is om de verantwoordelijkheid voor de gegevensverwerking geheel bij het kind

en de ouders neer te leggen.147

Naar aanleiding van bovenstaande bevindingen kan worden geconcludeerd dat toestemming kan dienen als een geldige grondslag voor de (speelgoed)fabrikant om persoonsgegevens van het kind te verwerken. Maar het hangt van de omstandigheden van het geval af of de toestemming geldig is. Tot slot stelt Van der Hof in haar artikel de rechtszekerheid van het kind aan de orde met betrekking tot toestemming. Van der Hof vraagt zich af hoe de (speelgoed)fabrikant moet gaan bewijzen aan

de AP dat de toestemming daadwerkelijk is gegeven door de ouder en niet door het kind.148 De

AVGB geeft namelijk geen nadere informatie over hoe de leeftijd dient te worden geverifieerd.149

Ook de WP29 vindt het wenselijk dat het mogelijk is om de leeftijd te kunnen verifiëren.150 Hoe dit

in de praktijk vorm gaat krijgen moet nog blijken.

4.3 Tussenconclusie relevante grondslagen binnen het IoToys

Om persoonsgegevens binnen het IoToys te mogen verwerken moet er sprake zijn van toestemming onder artikel 6 lid 1 sub a AVGB. Onder de overige onderzochte grondslagen is het onwaarschijnlijk dat de persoonsgegevens van het kind mogen worden verwerkt voor profileringsdoeleinden. Daarnaast wordt in de huidige praktijk van het IoToys gebrekkige informatie verstrekt door de (speelgoed)fabrikant over de verwerking. Dit zorgt ervoor dat de ouder geen goede belangenafweging kan maken om te kunnen bepalen of de verwerking in het belang van het kind is. Ook moet de leeftijdsverificatieplicht bijdragen aan een betere bescherming van de persoons-gegevens van het kind. Daarentegen is nog onzeker hoe betrouwbaar deze verificatieplicht is.

146_{Article 29 Working Party, WP 187, p. 20.}

147_{Zie uitspraak van O. van Daalen naar aanleiding van het onderzoek van Kassa en de Correspondent: 2014, beschikbaar via}

<http://kassa.vara.nl/gemist/nieuws/kinderen-worden-gevolgd-op-websites-en-in-apps>.

148_{Van der Hof 2012, p. 138.} 149_{Artikel 8 lid 2 AVGB.}

(28)

| 27 4.4 Het recht op gegevensoverdraagbaarheid binnen het IoToys

In de AVGB is het recht op overdraagbaarheid van de gegevens geïntroduceerd.151_{Dit recht houdt}

in dat het kind het recht heeft om in een leesbare vorm een kopie te krijgen van de persoonsgegevens

die door de (speelgoed)fabrikant zijn verwerkt.152 De voorwaarde om dit recht te kunnen uitoefenen,

is dat de gegevensbewerking op de toestemmingsgrondslag berust. In paragraaf 4.2.3 is geconcludeerd dat toestemming een geldige grondslag is voor de (speelgoed)fabrikant om de persoonsgegevens van het kind te verwerken, ook wanneer de persoonsgegevens voor profileringsdoeleinden worden gebruikt. Daarnaast kan het recht van overdraagbaarheid ook worden

uitgeoefend indien de verwerking noodzakelijk is voor de uitvoering van de overeenkomst.153 Er is

in paragraaf 4.2.1 aangenomen dat noodzakelijkheid van de overeenkomst een geldige grondslag voor de verwerking kan zijn maar niet voor voor profileringsdoeleinden. Daarom kan het kind op basis van zowel toestemming als noodzakelijkheid van de overeenkomst een beroep doen op dit

recht.154 Doordat het recht op gegevensoverdraagbaarheid de (speelgoed)fabrikant verplicht om alle

verwerkingen te documenteren, draagt dit recht bij aan meer controle over de persoonsgegevens van

het kind.155 Daarnaast is ook Van der Sloot ervan overtuigd dat dit recht zal bijdragen aan het

controlebehoud over de persoonsgegevens.156

Met inachtneming van de opinie van de WP29 blijkt dat het IoT een complexe infrastructuur is, waardoor de (speelgoed)fabrikant zelf ook niet altijd volledig op de hoogte is van alle

informatiestromingen die persoonsgegevens bevatten.157_{Het gevolg hiervan is dat het voor de}

(speelgoed)fabrikant lastig is om deze verplichting in de praktijk te kunnen uitvoeren.158 De AVGB

raadt de (speelgoed)fabrikant aan om een format te ontwikkelen maar geeft geen informatie over de

verwezenlijking van een dergelijk format.159 Daarnaast twijfelt Van der Sloot over de effectiviteit

van dit recht.160

152_{Artikel 6 lid 1 sub a en artikel 8 AVGB.} 153_{Artikel 20 lid 1 AVGB.}

154_{Artikel 20 lid 1 AVGB.} 155_{Overweging 68 AVGB.} 156_{Van der Sloot 2012, p. 255.}

157_{Article 29 Working Party, WP 223, p. 4.} 158_{Van der Sloot 2012, p. 255.}

159_{Overweging 68 AVGB.} 160_{Van der Sloot 2012, p. 255.}

(29)

| 28

In de literatuur is een discussie gaande over de reikwijdte van dit artikel.161_{Er wordt in de literatuur}

vanuit gegaan dat dit artikel voornamelijk van toepassing is voor social medianetwerken. Irion en

Luchetta noemen het recht op gegevensoverdraagbaarheid zelfs een: ‘lex social network’.162

Wanneer de AVGB van toepassing is gelden alle rechten en plichten en daarom moet ook de (speelgoed)fabrikant zich houden aan deze verplichting. Het recht op gegevensoverdraagbaarheid kan voor de ouders en het kind bij het gebruik van IoToys relevant zijn. Het kan namelijk inzichtelijk maken wat voor soort gevoelige persoonsgegevens er allemaal via het IoToys worden verwerkt.

Recent heeft de WP29 een nieuwe opinie uitgebracht over de implementatie van het recht op

gegevensoverdraagbaarheid.163 Hierbij geeft de WP29 aan dat de (speelgoed)fabrikant bijvoorbeeld

een tool kan maken waarbij de ouder een overzicht van alle verwerkingen kan downloaden.164

Daarnaast geeft de WP29 als reactie op de praktische (on)uitvoerbaarheid van dit recht, dat de (speelgoed)fabrikant ook de verplichting heeft om het kind volledig te informeren over de

verwerking. Het het recht op gegevensoverdraagbaarheid hieraan is gerelateerd.165 Ook heeft de

WP29 in zijn opinie meer duidelijkheid gegeven over de reikwijdte van de persoonsgegevens die onder het recht van gegevensoverdraagbaarheid vallen. Moeten de (speelgoed)fabrikanten van het IoToys enkel de accountgegevens en de spraakopnames van het kind overdragen, of ook de analyses die zijn gemaakt over het kind aan de hand van de gecreëerde profielen? De WP29 geeft aan dat de analyses die worden gemaakt op basis van de verkregen persoonsgegevens van het kind, niet vallen

onder het recht van gegevensoverdraagbaarheid.166_{Accountgegevens en de spraakopnames moeten}

wel verstrekt worden door de (speelgoed)fabrikant. Dit betekent dat het kind binnen het IoToys middels het recht van gegevensoverdraagbaarheid niet de volledige controle kan behouden over de persoonsgegevens, omdat de analyses die op basis van de spraakopnames zijn gemaakt niet aan het kind overhandigd hoeven te worden. Van der Hof beargumenteerd dat het voor het controlebehoud

uiteindelijk bepalend is wat er in de praktijk met de persoonsgegevens gebeurt.167 Het enkel

verstrekken van de verkregen persoonsgegevens is dus niet voldoende om de controle te behouden. Met inachtneming van de zwakke positie van het kind binnen het gegevensbeschermingsrecht, had

161_{Van der Sloot 2012, p. 255; De Hert en Papakonstantinou 2012, p. 138} 162_{CEPS Digital Forum 2013, p. 68.}

163_{Article 29 Working Party, WP 242.} 164_{Article 29 Working Party, WP 242, p. 5.} 165_{Artikel 12 lid 1 AVGB.}

166_{Article 29 Working Party, WP 242, 8.} 167_{Van der Hof 2012, p. 139-140.}

(30)

| 29

het overdragen van de gecreëerde profielen voor meer transparantie kunnen zorgen.168_{Wanneer het}

kind de controle verliest zegt Van der Sloot hierover dat dit wederom schadelijk kan zijn voor

verschillende aspecten van de ontwikkeling van het kind.169

4.4.1 Tussenconclusie recht op gegevensoverdraagbaarheid

Het nieuwe recht van gegevensoverdraagbaarheid zal bijdragen aan het beperken van het huidige controleverlies binnen het IoToys. Echter, is de (speelgoed)fabrikant niet verplicht onder dit recht om de gecreëerde profielen en analyses die met de persoonsgegevens zijn gemaakt aan het kind te verstrekken. Hierdoor kan worden geconcludeerd dat dit recht er niet voor zorgt dat het kind de volledige controle over de persoonsgegevens kan behouden op basis van dit recht.

4.5 Profileringsverbod

Op basis van het rapport van de Noorse Consumentenbond is geconcludeerd in paragraaf 2.1.1 dat de persoonsgegevens van het kind binnen het IoToys worden gebruikt voor

profilerings-doeleinden.170 In de AVGB is bepaald dat de betrokkene niet mag worden onderworpen aan

profilering, tenzij er sprake is van een wettelijke uitzondering. De eerste uitzonderingsgrond is

wegens de noodzakelijkheid voor uitoefening van de overeenkomst.171 Uit paragraaf 4.2.1 blijkt dat

het verwerken van persoonsgegevens van het kind voor profileringsdoeleinden niet noodzakelijk is voor uitoefening van de overeenkomst, waardoor deze uitzondering niet opgaat. De tweede

uitzonderingsgrond is wanneer er sprake is van een gerechtvaardigd belang.172_{In paragraaf 4.2.2 is}

geconcludeerd dat het belang van het kind op bescherming waarschijnlijk zwaarder zal wegen dan het recht op vrijheid van onderneming, waardoor gerechtvaardigd belang geen uitzondering kan zijn. Ten derde is geconcludeerd in paragraaf 4.2.3 dat toestemming het verwerken van persoonsgegevens van het kind wel mogelijk maakt. Dit betekent dat profilering van het kind mogelijk niet onder het profileringsverbod van artikel 22 AVBG valt.

Opvallend is dat in overweging 38 van de AVGB staat dat het kind extra bescherming dient te krijgen wanneer de persoonsgegevens worden gebruikt om profielen van het kind te maken, zoals

in het IoToys gebeurt.173 Terwijl in artikel 22 van de AVGB niet uitdrukkelijk het profileren van het

168_{Overweging 39 AVGB.} 169_{Van der Sloot 2012, p. 253.} 170_Forbrukerr_å_{det 2016.} 171_{Artikel 6 lid 1 sub b AVGB} 172_{Artikel 22 AVGB.} 173_{Overweging 38 AVGB.}