Naam student: G.M.S. Been
Studentnummer: 11080558
E-mailadres: mila.been@student.uva.nl Datum: 18 november 2016
Product: scriptie master Informatierecht, finale versie Begeleider: dr. F.J. Zuiderveen Borgesius
Spelen met connected-speelgoed
of
met persoonsgegevens?
EEN ONDERZOEK NAAR DE BESCHERMING VAN HET KIND TOT 16 JAAR ONDER DE TOEKOMSTIGE ALGEMENE VERORDENING GEGEVENSBESCHERMING BIJ HET GEBRUIK VAN
INTERNET OF TOYS
Naam student: G.M.S. Been Datum: 2 januari 2017
Product: scriptie master Informatierecht Begeleider: dr. F.J. Zuiderveen Borgesius
Universiteit van Amsterdam Faculteit der Rechtsgeleerdheid Master Informatierecht 2016-2017
| 2 Inhoudsopgave
Lijst met Afkortingen ... 4
Abstract ... 5 1 Inleiding ... 6 1.1 Achtergrond ... 6 1.2 Relevantie ... 6 1.3 Probleemstelling en onderzoeksvraag ... 7 1.4 Methodologie ... 8 1.4.1 Formulering onderzoeksvraag ... 8 1.4.2 Onderzoekmethodes ... 9
1.4.3 Buiten de scope van het onderzoek ... 9
1.4.4 Hoofdstukindeling ... 9
2 De privacyrisico’s van het IoToys ... 10
2.1 Afbakening privacyrisico’s van het IoToys ... 10
2.1.1 Profilering van het kind ... 10
2.1.2 Controleverlies over de persoonsgegevens ... 11
2.1.3 Slechte persoonsgegevensbeveiliging ... 12
2.2 Schadelijke gevolgen van de privacyrisico’s ... 12
2.3 Tussenconclusie ... 13
3 Bescherming AVGB bij het gebruik van IoToys ... 14
3.1 Toepassingsgebied AVGB ... 14
3.1.1 Verwerkingen binnen het IoToys ... 14
3.1.2 Persoonsgegevens binnen het IoToys ... 14
3.2 De huishoudexceptie van de AVGB ... 16
3.3 Relevante partijen van het IoToys onder de AVGB ... 16
3.3.1 De (speelgoed)fabrikant als verwerkingsverantwoordelijke ... 16
3.3.2 Het kind als betrokkene en de positie van de ouders ... 17
3.4 Rechten en plichten AVGB en administratieve geldboetes ... 17
3.5 Tussenconclusie ... 18
4 Analyse AVGB met betrekking tot de privacyrisco’s ... 19
4.1 Afbakening AVGB voor de analyse ... 19
4.2 Grondslagen voor het rechtmatig verwerken van persoonsgegevens binnen het IoToys . 20 4.2.1 Noodzakelijkheid wettelijke verplichting (speelgoed)fabrikant in het IoToys ... 20
| 3
4.2.2 Gerechtvaardigd belang in het IoToys ... 21
4.2.3 Toestemming in het IoToys ... 23
4.3 Tussenconclusie relevante grondslagen binnen het IoToys ... 26
4.4 Het recht op gegevensoverdraagbaarheid binnen het IoToys ... 27
4.4.1 Tussenconclusie recht op gegevensoverdraagbaarheid ... 29
4.5 Profileringsverbod ... 29
4.5.1 Tussenconclusie profileringsverbod ... 30
4.6 Privacy by default en privacy by design ... 31
4.7 Tussenconclusie beveiliging van de persoonsgegevens ... 33
| 4 Lijst met Afkortingen
AP Autoriteit Persoonsgegevens
AVGB Algemene Verordening Gegevensbescherming
BW Burgerlijk Wetboek
EU Europese Unie
EVRM Europees Verdrag voor de Rechten van de Mens
EHRM Europees Hof voor de Rechten van de Mens
Gw Nederlandse Grondwet
HvJ EU Hof van Justitie van de Europese Unie
Het Handvest Het Handvest van de grondrechten van de Europese Unie
IoT Internet of Things
IoToys Internet of Toys
IVRK Internationaal Verdrag Rechten van het Kind
Wbp Wet bescherming persoonsgegevens
WP29 Article 29 Working Party (Artikel 29-werkgroep)
| 5 Abstract
De verzamelnaam voor speelgoed dat verbonden is met het internet is: Internet of Toys. Het Internet of Toys heeft het afgelopen jaar voor veel discussie gezorgd omtrent de privacy van het kind. Via het Internet of Toys worden verschillende persoonsgegevens van het kind verwerkt, zoals de naam en het stemgeluid van het kind. Daarom gelden de rechten en plichten die voortvloeien uit het gegevensbeschermingsrecht voor het kind en de (speelgoed)fabrikanten die via het Internet of Toys persoonsgegevens verwerken. In deze scriptie zijn drie privacyrisico’s van het Internet of Toys aan de orde gesteld: (i) profilering van het kind, (ii) controleverlies en (iii) slechte persoons-gegevensbeveiliging. Aangezien het kind een kwetsbaar persoon in ontwikkeling is, geniet het ten opzichte van een volwassene een speciale positie binnen het recht. De toekomstige Algemene Verordening Gegevensbescherming heeft meer aandacht besteed aan de bescherming van het kind dan de huidige Wet bescherming persoonsgegevens. In deze scriptie zijn vier wetsartikelen uit de Algemene Verordening Gegevensbescherming geanalyseerd: (i) relevante verwerkingsgrondslagen, (ii) het recht op gegevensoverdraagbaarheid, (iii) verbod op profilering en (iv) privacy by default en
privacy by design. In de analyse wordt onderzocht of de Algemene Verordening
Gegevens-bescherming de privacyrisico’s uitsluit.
Er moet worden geconcludeerd dat de Algemene Verordening Gegevensbescherming de privacyrisico’s niet uitsluit. Middels toestemming van de ouders mag de (speelgoed)fabrikant de persoonsgegevens van het kind verwerken. Tevens maakt de expliciete toestemming het mogelijk dat het kind niet onder het verbod van profileren valt. Terwijl in de overwegingen van de AVGB is opgenomen dat het kind een extra beschermd moet worden tegen profilering. Daarnaast is de (speelgoed)fabrikant alleen verplicht om accountgegevens aan het kind te verstrekken wanneer hierom wordt gevraagd. De profielen die worden gemaakt aan de hand van de persoonsgegevens hoeven niet te worden overgedragen aan het kind. Hierdoor blijft het recht op volledige controle over de persoonsgegevens beperkt. Tot slot kent het Internet of Toys veel beveiligingsgebreken. De beginselen van privacy by default en privacy by design moeten zorgen voor een veilige omgeving. Maar zolang nog niet volledig duidelijk is hoe deze wetsartikelen worden toegepast in de praktijk van het Internet of Toys, wordt aangeraden om geen persoonsgegevens van het kind te verwerken en het kind niet met Internet of Toys te laten spelen.
| 6 1 Inleiding
1.1 Achtergrond
Pratende knuffels, poppen en ander connected-speelgoed is niet meer weg te denken uit het
dagelijkse leven van het kind. 1 De verzamelnaam voor connected-speelgoed is Internet of Toys
(hierna: IoToys).2 Middels het IoToys wordt veel persoonlijke informatie van het kind verzameld
en gedeeld met derde partijen. Door de spraakherkenningsfunctie die bijvoorbeeld in de poppen Cayla en Hello Barbie is ingebouwd, wordt het mogelijk dat het kind met de pop een conversatie
kan voeren. 3 In eerste instantie lijken Cayla en Hello Barbie de ideale speelmaatjes voor het kind
maar niets is minder waar. Uit verschillende onderzoeken blijkt dat de privacy van het kind binnen
het IoToys slecht wordt gewaarborgd.4 Daarnaast hebben ethische hackers aangetoond dat Cayla en
Hello Barbie eenvoudig zijn te hacken. Zo kan de volledige controle over de spraakherkenningsfunctie worden uitgeoefend, waardoor de in eerste instantie ‘onschuldige
conversaties’ die via het IoToys met het kind worden gevoerd een hele andere wending aannemen.5
Inmiddels is Cayla op verzoek van de Nederlandse Consumentenbond uit de (speelgoed)winkels gehaald en kunnen ouders hun geld terugvragen. Ook is de Autoriteit Persoonsgegevens, de lokale
toezichthouder op het gebied van privacy (hierna: AP) ingelicht. 6 Maar is hiermee het privacy
problematiek van het IoToys opgelost?
1.2 Relevantie
In de huidige informatiemaatschappij komt de privacy van het kind steeds vaker onder druk te
staan.7 In december 2016 heeft de Noorse Consumentenbond Forbrukerrådet (hierna: Noorse
Consumentenbond) een rapport uitgebracht over de privacy- en cybersecurityrisico’s van het IoToys. In dit onderzoek zijn drie verschillende IoToys apparaten met spraakherkenningsfunctie onderzocht. In dit rapport is geconcludeerd dat de privacy van het kind binnen het IoToys niet goed
wordt gewaarborgd. 8 Daarnaast heeft de AP de afgelopen twee jaar meer aandacht besteed aan het
waarborgen van de privacy van het kind. 9 Aangezien steeds meer (speelgoed)fabrikanten IoToys
1 Jaarverslag 2015, p. 8.
2 Zie voor de ontstaansgeschiedenis van het Internet of Toys: RFID Journal 2009 en The New York Times 1997. 3 Forbrukerrådet 2016, p. 34.
4 Forbrukerrådet 2016, p. 3.
5 Peetoom en Timmerman 2016; De Trouw 2015; zie ook BBC 2015 en Common Sense Media 2015.
6 ‘Pratende pop Cayla slecht beveiligd’, Consumentenbond, 8 december 2016, Consumentenbond.nl (zoek op Cayla). 7 Common Sense Media 2015; zie ook De Correspondent 2014a.
8 Forbrukerrådet 2016, p. 5-7.
| 7
op de markt brengen, zoals: Walt Disney, Hasbro, Lego en Fischer-Price zal het aantal verwerkingen
van persoonsgegevens van het kind toenemen binnen het IoToys.10 Hierdoor is het van belang dat
de privacy en de persoonsgegevens van het kind ook binnen het IoToys adequaat worden
beschermd.11
1.3 Probleemstelling en onderzoeksvraag
Het beschermen van persoonsgegevens is een fundamenteel recht en wordt beschermd op
internationaal, Europees en nationaal niveau.12 In Nederland is de wettelijke bescherming van
persoonsgegevens geregeld in de Wet bescherming persoonsgegevens (hierna: Wbp). De Wbp is een implementatie van de Richtlijn 95/46/EG (hierna: Privacyrichtlijn 1995). Op 28 mei 2016 is de Algemene Verordening Gegevensbescherming (hierna: AVGB) aangenomen en treedt over twee jaar in werking. De AVGB gaat de Privacyrichtlijn 1995 vervangen en heeft in tegenstelling tot deze
richtlijn directe werking.13 Op 9 december 2016 is de conceptversie van de Uitvoeringswet
Algemene Verordening Gegevensbescherming (hierna: Uitvoeringswet) gepubliceerd. In de Uitvoeringswet staan regels met betrekking tot de uitvoering AVGB en het intrekken van de
Privacyrichtlijn 1995.14
In de AVGB is speciale aandacht besteed aan de bescherming van de persoonsgegevens van het
kind.15 Wanneer persoonsgegevens worden verwerkt is het relevant dat dit in het belang van het
kind gebeurt.16 Dit principe ziet erop toe dat alle maatregelen, die betrekking hebben op het kind,
niet schadelijk mogen zijn voor het kind. Deze verplichting geldt voor de ouders maar ook voor
publieke- en private instanties.17 De gedachte achter dit principe is dat het kind meer bescherming
moet genieten dan een volwassene. In tegenstelling tot een volwassene is het kind namelijk op zowel fysiek als psychisch niveau nog in ontwikkeling. Het kind moet zich in alle vrijheid kunnen
ontwikkelen om zijn eigen persoonlijkheid volledig te kunnen ontplooien.18 Hierdoor verkeert het
10 Peetoom en Timmerman 2016, p.9 en Article 29 Working Party, WP 223 p.7.
11 Meer literatuur over dit onderwerp: European Parlementary Research Services 2015; The Committee on The Right of the Child 2013a; The
Committee on The Rights of the Child 2013b.
12 Artikel 16 lid 1VWEU; artikel 8 lid 1 Het Handvest; artikel 10 lid 2 Gw en 3 Wbp. 13 Overweging 171 AVGB.
14 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
15 Artikel 8 AVGB.
16 Artikel 3 IVRK; artikel 6 Verdrag nr. 192 van de Raad van Europa; artikel 24 lid 2 Het Handvest en Article 29 Working Party, WP 160, p. 5-6. 17 Committee on The Rights of the Child, p. 3.
| 8
kind in een kwetsbare positie binnen de maatschappij.19 Om de reden dat de privacy van het kind
binnen het IoToys niet goed wordt gewaarborgd en de toekomstige AVGB meer aandacht heeft besteed aan de bescherming van de persoonsgegevens van het kind, wordt in deze scriptie de volgende onderzoeksvraag beantwoord:
‘’Biedt de Algemene Verordening Gegevensbescherming een adequate bescherming tegen de privacyrisico’s van het verwerken van persoonsgegevens, via het Internet of Toys voor het kind tot 16 jaar?’’
De hoofdvraag wordt beantwoord aan de hand van de volgende drie deelvragen: 1.) Wat zijn drie privacyrisico’s van het IoToys voor het kind?
2.) Is de AVGB van toepassing bij het gebruik van het IoToys?
3.) Welke wetsartikelen moeten toezien op het uitsluiten van de privacyrisico’s?
1.4 Methodologie
In deze paragraaf wordt nader ingegaan op de formulering van de hoofdvraag. Daarnaast wordt de werkwijze van het onderzoek besproken.
1.4.1 Formulering onderzoeksvraag
Het IoToys is een ontzettend groot en breed begrip waar geen standaard definitie voor is.20 In dit
onderzoek wordt het IoToys gezien als een verzamelnaam voor diensten en apparaten die met elkaar in verbinding staan (bijvoorbeeld middels het internet of radiofrequenties) en een spraakherkenningsfunctie bezitten. Daarnaast moet er een applicatie worden geïnstalleerd en een account worden aangemaakt om gebruik te kunnen maken van het IoToys. De definitie van het begrip privacy wordt in dit onderzoek afgebakend door middel van drie privacyrisico’s die zich
voordoen in de praktijk.21 Deze privacyrisico’s zullen verder in hoofdstuk 2 worden behandeld.
Daarnaast richt het onderzoek zich uitsluitend op de positie van het kind tot 16 jaar, omdat het kind onder de AVGB tot deze leeftijd speciale bescherming geniet. In dit onderzoek wordt enkel de toekomstige AVGB geanalyseerd en niet het huidige gegevensbeschermingsrecht, omdat in de AVGB nieuwe rechten en plichten staan vermeld die moeten bijdragen aan de een adequate
bescherming van het kind.22 In de analyse wordt de adequate bescherming van het kind getoetst,
19 Overweging 4 IVRK.
20Andere literatuur over dit onderwerp: Gemalto 2015; Gartner 2013; RFID Journal 2009. 21 Eskens, Timmer en Est 2016, p.25.
| 9
hieronder wordt verstaan dat de AVGB een dusdanige bescherming biedt dat de privacyrisico’s worden uitgesloten.
1.4.2 Onderzoekmethodes
Om inzicht te krijgen in de problematiek van het verwerken van persoonsgegevens van het kind binnen het IoToys, wordt vanuit intern juridisch perspectief onderzoek gedaan op basis van literatuur- en documentenonderzoek. Hiervoor zijn de volgende bronnen bestudeerd: relevante handboeken, tijdschriftartikelen, diverse opinies van de Article 29 Working Party, jurisprudentie, verschillende rapporten over het IoToys en de privacy van het kind, nieuwsberichten over het IoToys en overige bronnen. Daarnaast is in deze scriptie gebruik gemaakt van verschillende onderzoekmethodes. De privacyrisico’s en de toepassing van de AVGB worden voornamelijk op descriptieve wijze beschreven. Vervolgens worden op basis van normatief onderzoek de relevante artikelen van de AVGB getoetst aan de privacyrisico’s.
1.4.3 Buiten de scope van het onderzoek
Tot slot worden enkele vraagstukken buiten de scope van het onderzoek geplaatst. Allereerst is mogelijk dat er ook nog andere wet- en regelgeving bijdragen aan de bescherming van het kind binnen het IoToys, zoals het consumentenrecht. Dit onderzoek gaat niet in op deze wet- en regelgeving. Ten tweede wordt de vraag of er bijzondere persoonsgegevens worden verwerkt niet behandeld. Dit onderzoek betreft enkel juridische analyse, daarom wordt er niet ingegaan op de
ethische verantwoording om persoonsgegevens van het kind te verwerken via het IoToys.23
1.4.4 Hoofdstukindeling
In dit hoofdstuk is de probleemstelling van het onderzoek aanbod gekomen. Hierna worden in hoofdstuk 2 drie privacyrisico’s van het IoToys uiteengezet die in dit onderzoek centraal staan.Vervolgens wordt in hoofdstuk 3 aan de hand van praktijkvoorbeelden van het IoToys getoetst of de AVGB van toepassing is. Indien dit het geval is, wordt er uitgelegd wie de relevante partijen zijn onder de AVGB in het IoToys. In hoofdstuk 4 worden relevante bepalingen van de toekomstige AVGB geanalyseerd die de besproken privacyrisico’s moeten uitsluiten. De analyse beperkt zich tot vier wetsartikelen. Tot slot wordt er in hoofdstuk 5 in de vorm van een conclusie antwoord gegeven op de hoofdvraag en worden er eventueel aanbevelingen gedaan in de conclusie negatief luidt.
| 10 2 De privacyrisico’s van het IoToys
Uit hoofdstuk 1 is gebleken dat de privacy van het kind niet altijd wordt gewaarborgd bij het gebruik van IoToys. In dit hoofdstuk worden verschillende privacyrisico’s van het IoToys besproken. Allereerst wordt in dit hoofdstuk de definitie van privacy afgebakend aan de hand van drie privacyrisico’s. Vervolgens wordt ieder risico nader gekwalificeerd. Tot slot wordt uitgelegd wat de gevolgen van de privacyrisico’s voor het kind kunnen zijn.
2.1 Afbakening privacyrisico’s van het IoToys
Om het onderzoek af te bakenen beperkt dit onderzoek zich tot drie privacyrisico’s van het IoToys. De privacyrisico’s die worden besproken zijn gebaseerd op twee recente rapporten over het IoToys. Ten eerste het rapport van de Noorse consumentenbond en ten tweede het rapport van
Mediawijzer.24 De drie privacyrisico’s die in dit onderzoek worden besproken zijn: profilering van
het kind, controleverlies over de persoonsgegevens en slechte persoonsgegevensbeveiliging.
2.1.1 Profilering van het kind
Wanneer persoonsgegevens worden verzameld, geanalyseerd of gecombineerd om vervolgens een
profiel te maken van het kind is er sprake van profilering.25 Het profileren van persoonsgegevens is
niet per definitie een privacyrisico.26 Maar het profileren van het kind levert een privacy inbreuk op
wanneer de profielen worden gebruikt om inzicht te krijgen in bijvoorbeeld de voorkeuren van het
kind en het gedrag van het kind.27 Vaak worden er op basis van deze inzichten conclusies getrokken
over het kind of worden er voorspellingen gedaan over het kind.28 Tegenwoordig wordt het kind
steeds vaker onderworpen aan profilering.29
Het onderzoek van de Noorse Consumentenbond toont aan dat de persoonsgegevens die via het IoToys worden verwerkt om inzicht te krijgen in het gedrag en de voorkeur(en) van het kind. Op basis van deze inzichten worden er via de spraakherkenningsfunctie gepersonaliseerde
aanbevelingen gedaan over bepaalde producten. 30 Dit wordt direct marketing genoemd. Via de
spraakherkenningsfunctie van het IoToys kan het kind worden aangeraden om bijvoorbeeld een
24 Forbrukerrådet 2016; Mediawijzer 2016. 25 Overweging 71 AVGB; artikel 4 lid 4 AVGB. 26 Van der Hof 2012, p. 135.
27 Overweging 71 AVGB. 28 De Correspondent 2014b.
29 Autoriteit Persoonsgegevens, Agenda 2016, p. 3. 30 Forbrukerrådet 2016, p. 19.
| 11
bepaalde film te kijken met als doel dat het kind deze film wil zien.31 Daarnaast kan het zijn dat uit
de analyses verkeerde conclusies worden getrokken over het kind. Op basis van de verkregen informatie kan bijvoorbeeld worden geconcludeerd dat het kind niet slim is, terwijl het kind wel een
hoog IQ heeft of dat het niet sociaal is onderlegd.32 Verder kunnen profielen van het kind binnen
het IoToys worden doorverkocht aan derde partijen.33 Uit onderzoek van Tokmetzis blijkt
bijvoorbeeld dat persoonsgegevens van het kind die worden verzameld via applicaties op veilingen
worden doorverkocht.34 Tevens bestaat er de mogelijkheid - in het ergste geval- dat het kind alleen
maar met IoToys producten speelt waarbij gebruik wordt gemaakt van direct marketing. Dit kan ertoe leiden dat het kind terecht komt in een zogeheten filter bubble. Wanneer het kind terecht komt in een filter bubble ontvangt het alleen maar gepersonaliseerde informatie, waardoor het kind wordt
onthouden van overige informatie.35
2.1.2 Controleverlies over de persoonsgegevens
Door het gebruik van IoToys is het kind vaak niet in staat is om de volledige controle over de
persoonsgegevens te behouden.36 De Noorse Consumentenbond concludeert dat de onderzochte
privacy policies van de IoToys apparaten onduidelijke termen bevat en gebrekkige informatie geeft
over de omstandigheden van de verwerking.37 Hierdoor kan het kind niet te weten komen met welke
derde partijen de persoonsgegevens worden gedeeld en voor welke specifieke doeleinden de
persoonsgegevens worden gebruikt.38 Vervolgens wordt het moeilijk voor het kind om tegen verder
gebruik van de persoonsgegevens op te treden, omdat het kind niet weet bij welke partijen de
persoonsgegevens zich bevinden.39 Daarnaast stelt Van der Sloot dat door controleverlies het kind
ongewenst herinnerd kan worden aan situaties, waardoor het kind zichzelf kan beperken in de keuze-
en ontwikkelingsvrijheid.40 Tot slot hebben verschillende studies aangetoond dat gebruikers van
zowel het IoT als het internet niet het gevoel hebben dat zij de volledige controle over hun
persoonsgegevens hebben.41 31 Forbrukerrådet 2016, p. 23. 32 Mediawijzer 2016, p. 53. 33 Mediawijzer 2016, p. 53. 34 De Correspondent 2014a. 35 Zuiderveen Borgesius 2016c, p. 3.
36 Forbrukerrådet 2016, p. 18; Article 29 Working Party, WP 223, p. 7. 37 Forbrukerrådet 2016, p. 8.
38 Forbrukerrådet 2016, p. 18.
39 Article 29 Working Party, WP223, p. 8. 40 Van der Sloot 2012, p. 253.
| 12 2.1.3 Slechte persoonsgegevensbeveiliging
In opdracht van de Noorse Consumentenbond heeft Bouvet technisch onderzoek gedaan naar de
beveiliging van het IoToys.42 Uit dit onderzoek is gebleken dat de (speelgoed)fabrikant vaak te kort
schiet in de beveiliging van de persoonsgegevens van het kind of het speelgoed helemaal niet
beveiligd is.43 Vaak zijn (speelgoed)fabrikanten zich er niet van bewust dat zij rekening moeten
houden met de beveiliging van persoonsgegevens. 44 Er is aangetoond dat door een gebrekkige
beveiliging van het IoToys de gesprekken, die via de spraakherkenningsfunctie worden gevoerd,
eenvoudig kunnen worden afgeluisterd.45 Tevens is het mogelijk om volledige controle over de
spraakherkenningsfunctie uit te oefenen. Daarnaast worden niet alle persoonsgegevens
versleuteld.46 Doordat het IoToys niet goed beveiligd is, is het IoToys vaak het doelwit van een
datalek.47 Er is sprake van een datalek wanneer er ongeautoriseerde toegang is verkregen tot de
persoonsgegevens. De persoonsgegevens kunnen bijvoorbeeld worden: vernietigd, gewijzigd of op
straat komen te liggen. 48
2.2 Schadelijke gevolgen van de privacyrisico’s
Wat de exacte gevolgen van de drie privacyrisico’s zijn, hangt af van de concrete omstandigheden
van het geval. Maar de ontwikkelingsvrijheid voor een kind is cruciaal.49 En op basis van de
privacyrisico’s mag niet worden uitgesloten dat de privacyrisico’s kunnen leiden tot schadelijke
gevolgen voor het kind op latere leeftijd.50 De privacyrisico’s kunnen resulteren in het oplopen van
lichamelijke, materiële en immateriële schade bij het kind. Enkele voorbeelden die de AVGB noemt zijn: ‘’identiteitsdiefstal- of fraude, reputatieschade, of het leiden van een ander maatschappelijk of
economisch nadeel.’’51 Daarnaast kan het profileren van het kind binnen het IoToys de keuze- en
ontwikkelingsvrijheid van het kind beperken.52 Doordat het kind een persoon in ontwikkeling is die
in alle vrijheid een eigen persoonlijkheid moet ontplooien, wordt het kind middels profilering beperkt in de vrijheid om zelfstandig keuzes te maken wanneer het wordt onderworpen aan
42 Bouvet 2016.
43 Forbrukerrådet 2016, p. 34; Common Sense Media 2015. 44Eskens, Timmer en Est 2016, p. 42-43; Mediawijzer 2016, p. 28. 45 BBC 2015.
46 Bouvet 2016, p. 11.
47 Article 29 Working Party, WP 223, p. 10.
48 Autoriteit Persoonsgegevens, Beleidsregels meldplicht datalekken 2015, p. 5. 49 Artikel 3 IVRK.
50 Van der Hof 2014, p. 2. 51 Overweging 75 AVGB.
| 13
gepersonaliseerde informatie.53 Meerdere privacy experts, zoals De Leeuw en Van der Hof
waarschuwen voor het gebruik van IoToys en sluiten niet uit dat het kind,zoals nu al gebeurt op het
internet , via het IoToys slachtoffer kan worden van cyberpesten of seksueel misbruik.54
2.3 Tussenconclusie
Het gebruik van IoToys zorgt voor verschillende privacyrisico’s, waaronder: profilering, controleverlies over de persoonsgegevens, en slechte persoonsgegevensbeveiliging. Vanwege de kwetsbare positie waarin het kind verkeert is het van belang dat het kind wordt beschermd tegen deze privacyrisico’s. De privacyrisico’s kunnen resulteren in verschillende soorten schade. Het kind
kan bijvoorbeeld slachtoffer worden van identiteitsfraude en cyberpesten.55 In het volgende
hoofdstuk wordt onderzocht of het gegevensbeschermingsrecht van toepassing is binnen het IoToys om ervoor te zorgen dat het kind tegen deze privacyrisico’s wordt beschermd.
53 Savirimuthu 2016, p. 223.
54 Mediawijzer 2016, p. 31.
| 14 3 Bescherming AVGB bij het gebruik van IoToys
In dit hoofdstuk wordt onderzocht of het gegevensbeschermingsrecht van toepassing is bij het gebruik van IoToys. Allereerst wordt aan de hand van relevante praktijkvoorbeelden van het IoToys
beoordeeld of er sprake van het verwerken van persoonsgegevens.56 Vervolgens wordt uitgelegd
voor welke partijen binnen het IoToys de rechten en plichten die uit de AVGB voortvloeien gelden.
3.1 Toepassingsgebied AVGB
Om als kind bescherming te genieten onder de toekomstige AVGB moet er sprake zijn van een
geheel of gedeeltelijk geautomatiseerde verwerking van een persoonsgegeven van het kind.57 Dit
wordt het materiële toepassingsgebied genoemd. Daarnaast moet er sprake zijn van een territoriaal toepassingsgebied binnen de Europese Unie. Dit onderzoek gaat ervan uit dat het kind zich bevindt
binnen de Europese Unie, waardoor aan het territorialiteitsvereiste van de AVGB is voldaan.58 In
de volgende twee subparagrafen wordt onderzocht of er persoonsgegevens van het kind worden verwerkt via het IoToys.
3.1.1 Verwerkingen binnen het IoToys
Bijna alle handelingen zowel handmatig als (gedeeltelijk) geautomatiseerd worden gezien als een
verwerking.59 Enkele voorbeelden van verwerkingen die in de AVGB worden genoemd zijn: het
verzamelen, opslaan en het combineren van gegevens.60 Binnen het IoToys vinden dergelijke
verwerkingen plaats. Ten eerste moeten er gegevens worden opgeslagen wanneer er een account moet worden aangemaakt. Ten tweede worden er via de spraakherkenningsfunctie gegevens zowel verzameld als opgeslagen. Tot slot worden er ook gegevens gecombineerd wanneer er profielen van
het kind worden gemaakt.61 Op basis van deze voorbeelden uit de praktijk kan worden
gecon-cludeerd dat er verwerkingen plaatsvinden binnen het IoToys.
3.1.2 Persoonsgegevens binnen het IoToys
Ten tweede moet de verwerking persoonsgegevens bevatten. Een persoonsgegeven is ieder gegeven
dat een geïdentificeerde of identificeerbare natuurlijke persoon betreft.62 Op basis van een
persoonsgegeven is het kind op directe of indirecte manier herleidbaar. De concrete beoordeling van
56 Forbrukerrådet 2016. 57 Artikel 2 lid 1 AVGB. 58 Artikel 3 lid 2 sub a en b AVGB. 59 Overweging 15 AVGB; 4 lid 2 AVGB. 60 Artikel 4 lid 1 AVGB.
61 Forbrukerrådet 2016, p. 7.
| 15
een persoonsgegeven is afhankelijk van de omstandigheden van het geval. De naam van het kind kan worden gekwalificeerd als persoonsgegeven, omdat het kind direct kan worden
geïdentificeerd.63 Maar als het kind een veelvoorkomende naam heeft zijn er soms meer gegevens
nodig het kind te kunnen identificeren en daarmee andere personen uit te sluiten. 64 Dit wordt
singling-out genoemd. 65 Dit maakt het mogelijk dat het kind ook op indirecte wijze identificeerbaar
is zonder dat de naam bekend is. De reikwijdte van het begrip persoonsgegevens is erg breed en
omvat ook pseudonieme gegevens.66 Een voorbeeld van een pseudoniem persoonsgegeven is
bijvoorbeeld een IP-Adres. 67 Daarnaast zegt de Article 29 Working Party, een
samenwerkingsverband van alle lokale Europese privacy toezichthouders (hierna: WP29), dat: ‘’De hypothetische mogelijkheid dat er sprake is van een persoonsgegeven is niet voldoende om
bescherming te genieten onder het gegevensbeschermingsrecht’’.68 Daarom moet bij de beoordeling
of er sprake is van een persoonsgegeven rekening worden gehouden met de middelen die de (speelgoed)fabrikant redelijkerwijs tot zijn beschikking heeft om het kind te identificeren. Voorbeelden van factoren waar de (speelgoed)fabrikant rekening mee dient te houden zijn: de
kosten, de moeite, de tijd en de stand van de techniek.69
Binnen het IoToys vinden talloze verwerkingen van allerlei soorten informatie plaats. Deze
verwerkingen bevatten informatie zoals: naam, geboortedatum en spraakopnames van het kind.70
Bij de beoordeling van een persoonsgegeven hoeft de informatie niet per se in tekstuele vorm te zijn
vastgelegd. Beelden en geluiden kunnen ook persoonsgegevens bevatten.71 Het stemgeluid van het
kind is bijvoorbeeld een biometrisch gegeven dat unieke eigenschappen van het kind bevat,
waardoor het kind identificeerbaar is. 72 Daarnaast kan de inhoud van de spraakopnames van het
kind ook persoonsgegevens bevatten. Op basis van de vragen die bijvoorbeeld Hello Barbie stelt,
kan het kind op indirecte wijze worden onderscheiden van anderen.73 Op basis van de hoeveelheid
aan gegevensstromingen die er binnen het IoToys plaatsvinden, zal het voor (speelgoed)fabrikanten
63 Article 29 Working party, WP 136, p. 13.
64 Article 29 Working Party, WP 136, p. 13; Forbrukerrådet 2016, p. 16. 65 Article 29 Working Party, WP136, p. 12-14; Zuiderveen Borgesius 2016a p. 59. 66 Artikel 4 lid 5 AVGB.
67 HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771, r.o. 51 (Scarlet/Sabam); HvJ EU 11 december 2014, 24. C-212/13,
ECLI:EU:C:2014:2428, r.o.22 (Ryneš); HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, r.o. 49 (Breyer).
68 Article 29 Working Party, WP 136, p. 15. 69 Overweging 26 AVGB.
70 Forbrukerrådet 2016.
71 Kamerstukken II 1997/98, nr. 3, p. 50. 72 Article 29 Working Party, WP 193, p. 24. 73 Artikel 4 lid 1 AVGB.
| 16
weinig moeite en geld kosten om de identiteit van het kind te achterhalen. Op basis van deze voorbeelden uit de praktijk kan worden geconcludeerd dat er sprake is van het verwerken van persoonsgegevens via het IoToys.
3.2 De huishoudexceptie van de AVGB
De AVGB is niet van toepassing indien er sprake is van een wettelijke uitzondering, zoals de
huishoudexceptie.74 Onder de huishoudexceptie vallen activiteiten voor persoonlijke of
huis-houdelijke doeleinden, zoals online-activiteiten.75 Wanneer het kind speelt met speelgoed kan dit
worden gezien als een persoonlijke activiteit. Maar het middel waarmee het kind speelt, het IoToys apparaat, wordt verschaft door de (speelgoed)fabrikant die de persoonsgegevens verwerkt, waardoor de huishoudexceptie niet van toepassing is binnen het IoToys en het kind bescherming
geniet onder de AVGB. 76
3.3 Relevante partijen van het IoToys onder de AVGB
In de praktijk van het IoToys zijn verschillende partijen betrokken bij het verwerken van de persoonsgegevens van het kind. Voor de toepassing van de rechten en plichten die uit de AVGB voortvloeien, is het van belang om te weten welke partijen er zijn gehouden aan de regels die de AVGB oplegt.
3.3.1 De (speelgoed)fabrikant als verwerkingsverantwoordelijke
Wanneer een partij het doel en de middelen van de verwerking vaststelt, wordt deze partij onder de AVGB de verwerkingsverantwoordelijke genoemd. Een derde partij aan wie de
verwerkingsverantwoordelijke de verwerking uitbesteed wordt de verwerker genoemd.77 Binnen het
IoToys wordt er vaak met verschillende derde partijen gewerkt. Zo wordt het verwerken van de
spraakopnames vaak door een derde partij uitgevoerd, die hierin is gespecialiseerd.78
Om te kunnen beoordelen welke partijen binnen het IoToys de verwerkingsverantwoordelijke is wordt gebruik gemaakt van de opinie van de WP29. De WP29 stelt dat de (speelgoed)fabrikant die het IoToys ontwikkelt de verwerkingsverantwoordelijke is, aangezien de (speelgoed)fabrikant vaak
74 Artikel 2 lid 2 AVGB. 75 Overweging 18 AVGB. 76 Overweging 18 AVGB. 77 Artikel 4 lid 6 AVGB. 78 Forbrukerrådet 2016, p. 19.
| 17
de doeleinden van de verwerking bepaalt en de wijze waarop de verwerking plaatsvindt.79 Enkele
voorbeelden van verwerkingsverantwoordelijke binnen het IoToys kunnen zijn: Vtech, Mattel en
Genesis Toys.80 In deze scriptie wordt verder gesproken over de (speelgoed)fabrikant gebruikt in
plaats van de verwerkingsverantwoordelijke.
3.3.2 Het kind als betrokkene en de positie van de ouders
In Nederland is het kind een minderjarig persoon onder de 18 jaar, tenzij er sprake is van een
wettelijke uitzondering.81 Het kind kan onder bepaalde omstandigheden in Nederland, voordat het
de leeftijd van 18 jaar heeft bereikt meerderjarig worden verklaard door de kinderrechter.
Bijvoorbeeld wanneer het kind 16 jaar oud en zwanger is.82 In het onderzoek zullen de
omstandigheden waardoor het kind eerder meerderjarig kan worden verklaard buiten beschouwing worden gelaten. Aangezien de AVGB van toepassing is verklaard bij het gebruik van het IoToys en er persoonsgegevens van het kind worden verwerkt, wordt het kind in de AVGB gedefinieerd als
betrokkene.83 In dit onderzoek wordt verder gesproken over het kind in plaats van betrokkene.
Tevens staat het kind onder gezag van een wettelijke vertegenwoordiger.84 Meestal zijn dit de
ouders en wordt voor de consistentie van dit onderzoek verder de term ouders of ouder gebruikt.De
ouders hebben de verplichting om de veiligheid van het kind te waarborgen, hieronder valt ook de
privacy van het kind.85 In het gegevensbeschermingsrecht oefenen de ouders de rechten die het kind
toekomt namens het kind uit.86 Hier wordt nader op ingegaan in paragraaf 4.2.3.
3.4 Rechten en plichten AVGB en administratieve geldboetes
Voor bovenstaande partijen zijn de rechten en plichten die voortvloeien uit de AVGB van
toepassing. 87 Voor de (speelgoed)fabrikanten zijn er in de AVGB meerdere en zwaardere
verplichtingen opgelegd om de privacy van het kind te waarborgen.88 In dit onderzoek worden vier
verplichtingen van de (speelgoed)fabrikant behandeld. De toepasselijkheid van overige artikelen uit
79 Article 29 Working Party, WP223, p. 13. 80 Forbrukerrådet 2016, p. 5.
81 Artikel 1:233 BW; Artikel 1:253 BW. 82 Artikel 1:253 BW.
83 Artikel 4 lid 1 AVGB.
84 1:247 lid 2 BW; Beelen 2015, p.165. 85 Artikel 1:247 lid 2 BW; artikel 18 IVRK.
86 Article 29 Working Party, WP 160, p. 6; artikel 8 lid 1 AVGB.
87 Artikel 5 lid 1 AVGB; HvJ EU 13 mei 2015, C-131/12 (Google/Spain)., par. 71. 88 Zie artikel 8 AVGB; artikel 28 AVGB.
| 18
de AVGB blijft onverlet. Wanneer de speelgoedfabrikant zich niet houdt aan de verplichtingen die de AVGB opgelegd, kan de AP een administratieve geldboete opleggen. Deze administratieve geldboete bedraagt een maximum van 10.000.000 euro of twee procent van de wereldwijde
jaaromzet van de (speelgoed)fabrikant.89 Deze boetebevoegdheid dient ervoor te zorgen dat de
(speelgoed)fabrikant zich houdt aan de AVGB.90
3.5 Tussenconclusie
Op basis van de praktijkvoorbeelden uit het IoToys kan in zijn algemeenheid worden geconcludeerd dat er binnen het IoToys persoonsgegevens van het kind worden verwerkt. Binnen het IoToys worden namelijk verschillende persoonsgegevens verwerkt, zoals: het opslaan van namen, geboortedatum en het stemgeluid van het kind. Daarom kan worden geconcludeerd dat de AVGB van toepassing is. Hierdoor geniet het kind bescherming onder de toekomstige AVGB en zijn de (speelgoed)fabrikant en derde partijen die bij de verwerking betrokken zijn gehouden aan de verplichtingen die de AVGB oplegt. In het volgende hoofdstuk worden de relevante wetsartikelen van de AVGB geanalyseerd aan de hand van de privacyrisico’s.
89 Artikel 83 lid 4 AVGB. 90 Overweging 151 AVGB.
| 19 4 Analyse AVGB met betrekking tot de privacyrisco’s
In dit hoofdstuk worden vier wetsartikelen uit de AVGB geanalyseerd die moeten zorgen voor een adequate bescherming van het kind tegen de privacyrisico’s die zijn besproken in hoofdstuk 2. Allereerst wordt de AVGB afgebakend voor de analyse en wordt uitgelegd waarom is gekozen voor desbetreffende wetsartikelen. Vervolgens wordt ieder wetsartikel nader besproken aan de hand van de privacyrisico’s. Voor de toepassing worden concrete voorbeelden van het IoToys gebruikt uit het
rapport van de Noorse Consumentenbond.91
4.1 Afbakening AVGB voor de analyse
Gebaseerd op wetenschappelijke artikelen van Zuiderveen Borgesius, Van der Sloot en Van der Hof
zijn vier wetsartikelen van de AVGB uitgekozen die in dit onderzoek worden geanalyseerd.92 De
toepassing van andere wetsartikelen uit de AVGB op de privacyrisico’s blijft onverlet. Er wordt per wetsartikel kort toegelicht waarom desbetreffend wetsartikel moet bijdragen aan het uitsluiten van de privcyrisico’s binnen het IoToys. Ten eerste worden verschillende grondslagen van artikel 6 AVGB getoetst, omdat zonder rechtsgeldige grondslag de persoonsgegevens van het kind niet mogen worden verwerkt via het IoToys. Daarbij heeft de AVGB extra aandacht besteed aan de
bescherming van het kind.93 Binnen het IoToys kunnen verschillende grondslagen van toepassing
zijn om de persoonsgegevens van het kind te verwerken. De grondslagen die in dit onderzoek worden getoetst zijn: (i) noodzakelijk voor de uitvoering van de overeenkomst, (ii) gerechtvaardigd
belang en (iii) toestemming.94 De overige grondslagen (artikel 6 lid 1 sub c, d en e) zijn geen
aannemelijke grondslagen voor het verwerken van persoonsgegevens van het kind via het IoToys
en worden daarom niet besproken.95 Ten tweede wordt artikel 20 lid 1 AVGB onderzocht. Het is
relevant om dit artikel te analyseren, omdat de (speelgoed)fabrikant verplicht wordt om de verwerkte persoonsgegevens over te dragen aan het kind. Dit wetsartikel zou het privacyrisico van
controleverlies kunnen uitsluiten.96 Ten derde wordt artikel 22 lid AVGB geanalyseerd. Onder dit
artikel is profilering onder bepaalde omstandigheden verboden.97 Dit artikel zou ervoor kunnen
zorgen dat het verwerken van persoonsgegevens van het kind voor profileringsdoeleinden niet meer
91 Forbrukerrådet 2016.
92 Zuiderveen Borgesius 2016c; Van der Sloot 2012; Van der Hof 2012. 93 Artikel 6 lid 1 sub f AVGB; artikel 8 lid 1 AVGB.
94 Artikel 8 AVGB.
95 Artikel 6 lid 1 sub c, d en e AVGB. 96 Artikel 20 AVGB.
| 20
is toegestaan. Tot slot wordt artikel 25 AVGB getoetst aan de privacyrisico’s.98 Dit wetsartikel moet
ervoor zorgen dat privacy een standaard onderdeel wordt van het IoToys.
4.2 Grondslagen voor het rechtmatig verwerken van persoonsgegevens binnen het IoToys
De persoonsgegevens van het kind mogen alleen worden verwerkt indien er sprake is van een wettelijke grondslag voor het specifieke doeleinde. Binnen het IoToys kunnen verschillende grondslagen van toepassing zijn. In deze paragraaf wordt getoetst onder welke wettelijke grondslagen de (speelgoed)fabrikant de persoonsgegevens van het kind mag verwerken. Op basis van het rapport van de Noorse Consumentenbond wordt in deze analyse verondersteld dat binnen
het IoToys de persoonsgegevens van het kind worden verwerkt voor profileringsdoeleinden.99
4.2.1 Noodzakelijkheid wettelijke verplichting (speelgoed)fabrikant in het IoToys
De eerste grondslag die wordt besproken is artikel 6 lid 1 sub b AVGB. Dit artikel ziet toe op twee situaties waarin persoonsgegevens kunnen worden verwerkt: de precontractuele fase en de fase van overeenkomst. Dit onderzoek gaat ervan uit dat er geen persoonsgegevens worden verwerkt alvorens er sprake is van een overeenkomst. Daarom wordt er uitsluitend ingegaan op de situatie
dat er sprake is van een uitvoering van de overeenkomst.100 In dit onderzoek wordt verondersteld
dat de overeenkomst inhoudt dat de (speelgoed)fabrikant zorg draagt voor een naar behoren functionerend IoToys apparaat, waarbij alle functies werken. De WP29 gaat ervan uit dat er sprake is van een noodzakelijke verwerking wanneer er een strikt verband is tussen de verwerking en het
doeleinde.101 Om het IoToys te kunnen gebruiken moet er eerst een applicatie worden geïnstalleerd
en een account worden aangemaakt, voordat de spraakherkenningsfunctie kan worden benut.102 Het
verwerken van persoonsgegevens zoals, de naam en de geboortedatum van het kind is hierbij onvermijdelijk.
Op basis van het onderzoek van de Noorse Consumentenbond is geconcludeerd dat de spraakopnames van het kind voor verschillende doeleinden worden gebruikt, zowel voor het
gebruiken van de spraakherkenningsfunctie als voor marketingdoeleinden.103 Om te beoordelen of
deze verwerkingen noodzakelijk zijn wordt gebruik gemaakt van een voorbeeld dat Zuiderveen
98 Artikel 25 AVGB.
99 Forbrukerrådet 2016, p. 21-23.
100 Article 29 Working Party, WP 271, p. 21. 101 Artikel 6 lid 1 sub f AVGB.
102 Forbrukerrådet 2016, p. 6. 103 Forbrukerrådet 2016, p. 23.
| 21
Borgesius geeft in zijn artikel over behavioural targeting binnen het IoT. Zuiderveen Borgesius stelt dat het verwerken van persoonsgegevens, zoals adresgegevens noodzakelijk zijn wanneer een supermarkt pakken melk bij iemand thuis wil afleveren. De supermarkt krijgt deze bestelling door via een koelkast die verbonden is aan het internet en aangeeft wanneer de melk op is. Wanneer dezelfde persoonsgegevens vervolgens worden gebruikt voor advertentiedoeleinden, kan dit niet
worden gezien als een noodzakelijke verwerking.104 Op basis van dit voorbeeld kan worden
beargumenteerd dat de persoonsgegevens van het kind die via het IoToys noodzakelijk worden verwerkt om spraakherkenningsfunctie te laten functioneren niet tegelijkertijd voor profileringsdoeleinden mogen worden gebruikt. Ten eerste is het profileren van het kind om inzichten te krijgen in de persoonlijke levenssfeer van het kind niet noodzakelijk om de spraakherkenningsfunctie te gebruiken. Ten tweede vindt ook de WP29 dat het verwerken van persoonsgegevens voor profileringsdoeleinden en het delen van de persoonsgegevens met derden niet noodzakelijk is. Aangezien binnen het IoToys de persoonsgegevens ook voor profilerings-doeleinden worden gebuikt mogen deze niet verwerkt worden op basis van artikel 6 lid 1 sub b AVGB. Daarnaast vindt de WP29 dat toestemming eventueel wel een passende grondslag kan zijn
om persoonsgegevens te verwerken voor profileringsdoeleinden.105 Deze grondslag komt in
paragraaf 4.2.3 aanbod.
4.2.2 Gerechtvaardigd belang in het IoToys
De tweede grondslag die wordt besproken is artikel 6 lid 1 sub f AVGB. Onder dit artikel mogen persoonsgegevens worden verwerkt door de (speelgoed)fabrikant indien er sprake is van een gerechtvaardigd belang. Er is sprake van een gerechtvaardigd belang indien de verwerking noodzakelijk wordt geacht ter behartiging van het gerechtvaardigd belang van de verwerkings-verantwoordelijke of een derde partij, tenzij het fundamentele recht op gegevensbescherming
prevaleert.106 Voor de beoordeling van een gerechtvaardigd belang moet er een belangenafweging
worden gemaakt. Deze belangenafweging hangt af van de concrete omstandigheden van het geval. Op basis van het artikel van Zuiderveen Borgesius wordt aangenomen dat profileren voor marketingdoeleinden kan behoren tot het fundamentele recht van de (speelgoed)fabrikant op
vrijheid van ondernemerschap.107 Dit fundamentele recht dient vervolgens te worden afgewogen
tegen het fundamentele recht op privacy en gegevensbescherming van het kind. 108 Het slechts
104 Zuiderveen Borgesius 2016c, p. 5. 105 Article 29 Working Party, WP 217, p. 23. 106 Artikel 6 lid 1 sub f AVGB.
107 Artikel 16 Het Handvest. 108Zuiderveen Borgesius 2016c, p. 5.
| 22
hebben van een gerechtvaardigd belang van de (speelgoed)fabrikant is onvoldoende om te kunnen
spreken van een rechtmatige verwerking binnen het IoToys.109 Alvorens er een belangenafweging
kan worden gemaakt, moet er eerst worden gekeken naar de noodzakelijkheid om de persoonsgegevens van het kind te verwerken voor profileringsdoeleinden. Voor de noodzakelijkheidstoets van een gerechtvaardigd belang moet er sprake zijn van (i) proportionaliteit
en (ii) subsidiariteit van de verwerking.110 Beiden vereisten worden hieronder apart besproken. Het
fundamentele recht op gegevensbescherming prevaleert met name indien het persoonsgegevens van
het kind bevat.111
(i) Proportionaliteit
Het proportionaliteitsvereiste bepaalt dat het doel van de (speelgoed)fabrikant voor de verwerking niet disproportioneel mag zijn in verhouding met de belangen van het kind. Voor de beoordeling of er is voldaan aan het proportionaliteitsvereiste, bij de verwerkingen binnen het IoToys, kan op basis van het rapport van de Noorse Consumentenbond worden beargumenteerd dat middels de spraakherkenningsfunctie talloze gevoelige gegevens van het kind worden verwerkt die inzage
geven in de persoonlijke levenssfeer.112 Volgens AP moet er bij de proportionaliteitstoets worden
meegewogen dat het kind in een kwetsbare positie verkeerd.113 Bovendien vindt Zuiderveen
Borgesius de hoeveelheid verzamelingen van het kind op het internet disproportioneel voor het
tonen van slechts enkele online advertenties.114 Binnen het IoToys kan ook worden gesteld dat er
disproportioneel met de gegevens wordt omgegaan. Het is onduidelijk voor welke andere (naast
direct marketing) profileringsdoeleinden de gecreëerde profielen van het kind worden gebruikt.115
Daarnaast worden de persoonsgegevens gedeeld met derde partijen, bijvoorbeeld met het Amerikaanse bedrijf Nuance Communications dat gespecialiseerd is in spraakanalyse. Vervolgens
gebruiken deze partijen de persoonsgegevens ook voor eigen doeleinden.116
109 Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 3. 110 Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 3. 111 Article 29 Working Party, WP 217, p. 49.
112 Forbrukerrådet 2016, p. 34.
113 Onderzoek naar Stichting Voor Mijn Kleinkind 2016, p. 13.
114 Zie uitspraak van F. Zuiderveen Borgesius naar aanleiding van het onderzoek van Kassa en de Correspondent: 2014, beschikbaar via
<http://kassa.vara.nl/gemist/nieuws/kinderen-worden-gevolgd-op-websites-en-in-apps>.
115 Forbrukerrådet 2016, p. 3. 116 Forbrukerrådet 2016, p. 32.
| 23
(ii) Subsidiariteit
Het subsidiariteitsvereiste bepaalt dat de verwerking de minst ingrijpende impact moet hebben op het kind om het doel van de verwerking te verwezenlijken. Het profileren van het kind binnen het IoToys om vervolgens Disneyfilms te promoten, zoals uit het rapport van de Noorse Consumentenbond naar voren is gekomen, kan ook op een minder indringende manier gebeuren. Er zou bijvoorbeeld bij de aankoop van een IoToys apparaat een flyer kunnen worden gegeven over een nieuwe Disneyfilm, waardoor het niet nodig is om persoonsgegevens van het kind te verwerken.
Op grond van de uitgevoerde proportionaliteit- en subsidiariteitstoets is het onwaarschijnlijk dat het profileren van het kind noodzakelijk is voor de vrijheid van ondernemerschap van de (speelgoed)fabrikant. Voor de volledigheid van het onderzoek wordt ook nog de belangenafweging besproken, mocht er wel sprake zijn van een noodzakelijke verwerking voor de (speelgoed)fabrikant. De AVGB bepaalt uitdrukkelijk dat de belangen van gegevensbescherming
zwaarder wegen indien er persoonsgegevens van het kind worden verwerkt.117 Ook vindt de WP29
het relevant dat bij de beoordeling in overweging wordt genomen dat de verwerking
persoonsgegevens van het kind betreft.118 Daarnaast vindt de WP29 dat een gerechtvaardigd belang
niet een rechtmatige grondslag kan zijn voor het verwerken van persoonsgegevens voor profileringsdoeleinden, zoals direct marketing. Het verwerken van persoonsgegevens voor
profileringsdoeleinden kan namelijk de ontwikkeling van het kind beïnvloeden.119 Ook vindt de
WP29 dat het delen van persoonsgegevens niet mogelijk zou moeten zijn op basis van deze
grondslag.120 Aangezien de Noorse Consumentenbond heeft aangetoond dat binnen het IoToys de
persoonsgegevens van het kind voor marketingdoeleinden worden gebruikt en gedeeld worden met derde partijen, kan worden aangenomen dat het recht op gegevensbescherming van het kind in deze situatie prevaleert. En is er geen sprake van een gerechtvaardigd belang aan de zijde van de (speelgoed)fabrikant om de persoonsgegevens te verwerken.
4.2.3 Toestemming in het IoToys
De derde grondslag die wordt onderzocht is artikel 6 lid 1 sub a AVGB. Om te kunnen spreken van een geldige toestemming onder de AVGB moet er sprake zijn van een: (i) specifiek geïnformeerde
(ii) vrije wilsuiting.121 In de AVGB is voor de bescherming van het kind een aanvullende bepaling
117 Artikel 6 lid 1 sub f AVGB.
118 Article 29 Working Party, WP 217, p. 40. 119 Article 29 Working Party, WP 217, p. 33. 120 Article 29 Working Party, WP 217, p. 18. 121 Overweging 32 en artikel 7 AVGB.
| 24
(artikel 8 AVGB) opgenomen om de persoonsgegevens te kunnen verwerken op basis van de
grondslag toestemming.122 Volgens deze bepaling moeten de ouders namens het kind tot 16 jaar de
toestemming geven.123 Dit betekent dat de ouders het belang van het kind voorop moeten stellen en
niet hun eigen belang.124 Daarnaast kan de toestemming te allen tijde worden ingetrokken.125 Tevens
kan bij nationale wetgeving hiervan worden afgeweken maar mag de leeftijdsgrens niet lager zijn
dan 13 jaar.126 In de Uitvoeringswet is besloten dat er niet wordt afgeweken van de leeftijd van 16
jaar.127 Bovendien wordt de (speelgoed)fabrikant verplicht gesteld om een redelijke inspanning te
verrichten om de toestemming van de ouders te kunnen verifiëren.128
(i) Specifiek geïnformeerd
Alvorens er toestemming wordt gegeven moet het kind (dus ook de ouders) worden geïnformeerd over de omstandigheden van de verwerking. Dit zorgt ervoor dat het kind onder andere weet voor welke doeleinden de persoonsgegevens worden gebruikt en welke partijen over de
persoonsgegevens beschikken.129 Uit het rapport van de Noorse Consumentenbond blijkt dat in het
IoToys het verstrekken van informatie middels privacy policies een gebruikelijke manier is.130 De
Noorse Consumentenbond en Mediawijzer hebben geconstateerd dat privacy policies van het IoToys vaak onduidelijke terminologieën bevatten of -in het ergste geval- helemaal niet beschikbaar
zijn voor het kind.131 Aangezien zowel het kind als de ouder niet goed worden geïnformeerd, kan
worden afgevraagd of de ouders wel in staat zijn om een goede belangenafweging te maken om te
bepalen of de gegevensverwerking in het belang van het kind is.132 Daarnaast blijkt uit onderzoek
van de Europese Commissie dat het informeren van de ouder middels een privacy policy niet altijd
leidt tot een geïnformeerde ouder. 133 Dit komt doordat de informatie vaak vage termen bevat en
hierdoor niet te begrijpen is.134 Het is de vraag of ouders zich bewust zijn van de risico’s van het
122 Artikel 8 AVGB. 123 Artikel 8 lid 1 AVGB.
124 Article 29 Working Party, WP 160, p. 5. 125 Artikel 7 lid 3 AVGB.
126 Artikel 8 lid 1 AVGB. 127 Artikel 8 Uitvoeringswet. 128 Artikel 8 lid 3 AVGB. 129 Artikel 12 lid 1 AVGB. 130 Forbrukerrådet 2016, p. 10.
131 Forbrukerrådet 2016, p. 9 en Mediawijzer 2016, p. 24. 132 Artikel 3 IVRK.
133 European Commission 2011, p. 112. 134 Mediawijzer 2016, p. 24.
| 25
verwerken van persoonsgegevens voor het kind, nadat zij zijn geïnformeerd.135 Op basis van deze
bevindingen kan worden aangenomen dat in de huidige IoToys praktijk vaak niet wordt voldaan aan de verplichting van de (speelgoed)fabrikant om op een transparante manier de informatie te
verstrekken over de verwerking.136 Daarom kan worden aangenomen dat in de huidige praktijk
persoonsgegevens worden verwerkt die niet berusten op een geldige toestemming.137 Indien er wel
voldaan is aan de informatieplicht, wordt voor de volledigheid van het onderzoek ook de overige vereisten van toestemming besproken.
(ii) Vrije wilsuiting
Voor een geldige toestemming bepaalt de AVGB dat de wilsuiting een actieve handeling moet bevatten. Het stilzwijgen of het verlenen van een opt-out wordt in de AVGB niet gezien als een
actieve handeling.138 Een voorbeeld van een actieve handeling kan zijn het aanklikken van een vak
om de verwerking te accepteren.139 Op basis van dit voorbeeld is aannemelijk dat binnen het IoToys
een soortgelijke actieve wilsuiting plaatsvindt. Om het IoToys apparaat te kunnen gebruiken moet
er een applicatie worden geïnstalleerd en een account worden aangemaakt.140 Verder moet de
wilsuiting vrij zijn.141 Dit betekent dat er sprake moet zijn van een zekere keuzevrijheid en er geen
hiërarchische verhouding mag bestaan tussen partijen.142 De WP29 stelt dat wanneer er binnen het
IoT geen mogelijkheid is om af te zien van de gegevensverwerking er geen sprake is van een vrije
wilsuiting.143Aangezien binnen het IoToys wel de mogelijkheid bestaat om de
spraakherkennings-functie uit te zetten, kan worden aangenomen dat er een vrije keuze is. Daarentegen kan er ook worden beargumenteerd dat er geen sprake is van een vrije keuze, omdat de ouder verplicht is om
een applicatie te installeren en voor het account persoonsgegevens moet invullen.144 Ook maakt de
situatie dat de ouders namens het kind de toestemming geven het moeilijk voor de
(speelgoed)fabrikant om te achterhalen of de toestemming vrij is gegeven.145 Wanneer de ouders
vergeten om het belang van het kind in acht te nemen bij de toestemming, kan worden
135 Overweging 38 AVGB.
136 Overweging 58; artikel 12 AVGB. 137Article 29 Working Party, WP 223, p. 8. 138 Overweging 32 AVGB.
139 Overweging 32 AVGB; Article 29 Working Party, WP 187, p. 23. 140 Overweging 43 AVGB; Article 29 Working Party, WP 223, p. 8. 141 Zuiderveen Borgesius 2016b, p. 4-5.
142 Article 29 Working Party, WP 187, p.14. 143 Article 29 Working Party, WP 223, p. 8. 144 Article 29 Working Party, WP 223, p. 22. 145 Article 29 Working Party, WP 147, p. 5.
| 26
beargumenteerd dat er geen sprake is van een vrije keuze.146 Van Daalen betwijfelt of het een
verstandige keuze is om de verantwoordelijkheid voor de gegevensverwerking geheel bij het kind
en de ouders neer te leggen.147
Naar aanleiding van bovenstaande bevindingen kan worden geconcludeerd dat toestemming kan dienen als een geldige grondslag voor de (speelgoed)fabrikant om persoonsgegevens van het kind te verwerken. Maar het hangt van de omstandigheden van het geval af of de toestemming geldig is. Tot slot stelt Van der Hof in haar artikel de rechtszekerheid van het kind aan de orde met betrekking tot toestemming. Van der Hof vraagt zich af hoe de (speelgoed)fabrikant moet gaan bewijzen aan
de AP dat de toestemming daadwerkelijk is gegeven door de ouder en niet door het kind.148 De
AVGB geeft namelijk geen nadere informatie over hoe de leeftijd dient te worden geverifieerd.149
Ook de WP29 vindt het wenselijk dat het mogelijk is om de leeftijd te kunnen verifiëren.150 Hoe dit
in de praktijk vorm gaat krijgen moet nog blijken.
4.3 Tussenconclusie relevante grondslagen binnen het IoToys
Om persoonsgegevens binnen het IoToys te mogen verwerken moet er sprake zijn van toestemming onder artikel 6 lid 1 sub a AVGB. Onder de overige onderzochte grondslagen is het onwaarschijnlijk dat de persoonsgegevens van het kind mogen worden verwerkt voor profileringsdoeleinden. Daarnaast wordt in de huidige praktijk van het IoToys gebrekkige informatie verstrekt door de (speelgoed)fabrikant over de verwerking. Dit zorgt ervoor dat de ouder geen goede belangenafweging kan maken om te kunnen bepalen of de verwerking in het belang van het kind is. Ook moet de leeftijdsverificatieplicht bijdragen aan een betere bescherming van de persoons-gegevens van het kind. Daarentegen is nog onzeker hoe betrouwbaar deze verificatieplicht is.
146 Article 29 Working Party, WP 187, p. 20.
147 Zie uitspraak van O. van Daalen naar aanleiding van het onderzoek van Kassa en de Correspondent: 2014, beschikbaar via
<http://kassa.vara.nl/gemist/nieuws/kinderen-worden-gevolgd-op-websites-en-in-apps>.
148 Van der Hof 2012, p. 138. 149 Artikel 8 lid 2 AVGB.
| 27 4.4 Het recht op gegevensoverdraagbaarheid binnen het IoToys
In de AVGB is het recht op overdraagbaarheid van de gegevens geïntroduceerd.151 Dit recht houdt
in dat het kind het recht heeft om in een leesbare vorm een kopie te krijgen van de persoonsgegevens
die door de (speelgoed)fabrikant zijn verwerkt.152 De voorwaarde om dit recht te kunnen uitoefenen,
is dat de gegevensbewerking op de toestemmingsgrondslag berust. In paragraaf 4.2.3 is geconcludeerd dat toestemming een geldige grondslag is voor de (speelgoed)fabrikant om de persoonsgegevens van het kind te verwerken, ook wanneer de persoonsgegevens voor profileringsdoeleinden worden gebruikt. Daarnaast kan het recht van overdraagbaarheid ook worden
uitgeoefend indien de verwerking noodzakelijk is voor de uitvoering van de overeenkomst.153 Er is
in paragraaf 4.2.1 aangenomen dat noodzakelijkheid van de overeenkomst een geldige grondslag voor de verwerking kan zijn maar niet voor voor profileringsdoeleinden. Daarom kan het kind op basis van zowel toestemming als noodzakelijkheid van de overeenkomst een beroep doen op dit
recht.154 Doordat het recht op gegevensoverdraagbaarheid de (speelgoed)fabrikant verplicht om alle
verwerkingen te documenteren, draagt dit recht bij aan meer controle over de persoonsgegevens van
het kind.155 Daarnaast is ook Van der Sloot ervan overtuigd dat dit recht zal bijdragen aan het
controlebehoud over de persoonsgegevens.156
Met inachtneming van de opinie van de WP29 blijkt dat het IoT een complexe infrastructuur is, waardoor de (speelgoed)fabrikant zelf ook niet altijd volledig op de hoogte is van alle
informatiestromingen die persoonsgegevens bevatten.157 Het gevolg hiervan is dat het voor de
(speelgoed)fabrikant lastig is om deze verplichting in de praktijk te kunnen uitvoeren.158 De AVGB
raadt de (speelgoed)fabrikant aan om een format te ontwikkelen maar geeft geen informatie over de
verwezenlijking van een dergelijk format.159 Daarnaast twijfelt Van der Sloot over de effectiviteit
van dit recht.160
151 Artikel 20 AVGB.
152 Artikel 6 lid 1 sub a en artikel 8 AVGB. 153 Artikel 20 lid 1 AVGB.
154 Artikel 20 lid 1 AVGB. 155 Overweging 68 AVGB. 156 Van der Sloot 2012, p. 255.
157 Article 29 Working Party, WP 223, p. 4. 158Van der Sloot 2012, p. 255.
159 Overweging 68 AVGB. 160 Van der Sloot 2012, p. 255.
| 28
In de literatuur is een discussie gaande over de reikwijdte van dit artikel.161 Er wordt in de literatuur
vanuit gegaan dat dit artikel voornamelijk van toepassing is voor social medianetwerken. Irion en
Luchetta noemen het recht op gegevensoverdraagbaarheid zelfs een: ‘lex social network’.162
Wanneer de AVGB van toepassing is gelden alle rechten en plichten en daarom moet ook de (speelgoed)fabrikant zich houden aan deze verplichting. Het recht op gegevensoverdraagbaarheid kan voor de ouders en het kind bij het gebruik van IoToys relevant zijn. Het kan namelijk inzichtelijk maken wat voor soort gevoelige persoonsgegevens er allemaal via het IoToys worden verwerkt.
Recent heeft de WP29 een nieuwe opinie uitgebracht over de implementatie van het recht op
gegevensoverdraagbaarheid.163 Hierbij geeft de WP29 aan dat de (speelgoed)fabrikant bijvoorbeeld
een tool kan maken waarbij de ouder een overzicht van alle verwerkingen kan downloaden.164
Daarnaast geeft de WP29 als reactie op de praktische (on)uitvoerbaarheid van dit recht, dat de (speelgoed)fabrikant ook de verplichting heeft om het kind volledig te informeren over de
verwerking. Het het recht op gegevensoverdraagbaarheid hieraan is gerelateerd.165 Ook heeft de
WP29 in zijn opinie meer duidelijkheid gegeven over de reikwijdte van de persoonsgegevens die onder het recht van gegevensoverdraagbaarheid vallen. Moeten de (speelgoed)fabrikanten van het IoToys enkel de accountgegevens en de spraakopnames van het kind overdragen, of ook de analyses die zijn gemaakt over het kind aan de hand van de gecreëerde profielen? De WP29 geeft aan dat de analyses die worden gemaakt op basis van de verkregen persoonsgegevens van het kind, niet vallen
onder het recht van gegevensoverdraagbaarheid.166 Accountgegevens en de spraakopnames moeten
wel verstrekt worden door de (speelgoed)fabrikant. Dit betekent dat het kind binnen het IoToys middels het recht van gegevensoverdraagbaarheid niet de volledige controle kan behouden over de persoonsgegevens, omdat de analyses die op basis van de spraakopnames zijn gemaakt niet aan het kind overhandigd hoeven te worden. Van der Hof beargumenteerd dat het voor het controlebehoud
uiteindelijk bepalend is wat er in de praktijk met de persoonsgegevens gebeurt.167 Het enkel
verstrekken van de verkregen persoonsgegevens is dus niet voldoende om de controle te behouden. Met inachtneming van de zwakke positie van het kind binnen het gegevensbeschermingsrecht, had
161Van der Sloot 2012, p. 255; De Hert en Papakonstantinou 2012, p. 138 162 CEPS Digital Forum 2013, p. 68.
163 Article 29 Working Party, WP 242. 164 Article 29 Working Party, WP 242, p. 5. 165 Artikel 12 lid 1 AVGB.
166 Article 29 Working Party, WP 242, 8. 167 Van der Hof 2012, p. 139-140.
| 29
het overdragen van de gecreëerde profielen voor meer transparantie kunnen zorgen.168 Wanneer het
kind de controle verliest zegt Van der Sloot hierover dat dit wederom schadelijk kan zijn voor
verschillende aspecten van de ontwikkeling van het kind.169
4.4.1 Tussenconclusie recht op gegevensoverdraagbaarheid
Het nieuwe recht van gegevensoverdraagbaarheid zal bijdragen aan het beperken van het huidige controleverlies binnen het IoToys. Echter, is de (speelgoed)fabrikant niet verplicht onder dit recht om de gecreëerde profielen en analyses die met de persoonsgegevens zijn gemaakt aan het kind te verstrekken. Hierdoor kan worden geconcludeerd dat dit recht er niet voor zorgt dat het kind de volledige controle over de persoonsgegevens kan behouden op basis van dit recht.
4.5 Profileringsverbod
Op basis van het rapport van de Noorse Consumentenbond is geconcludeerd in paragraaf 2.1.1 dat de persoonsgegevens van het kind binnen het IoToys worden gebruikt voor
profilerings-doeleinden.170 In de AVGB is bepaald dat de betrokkene niet mag worden onderworpen aan
profilering, tenzij er sprake is van een wettelijke uitzondering. De eerste uitzonderingsgrond is
wegens de noodzakelijkheid voor uitoefening van de overeenkomst.171 Uit paragraaf 4.2.1 blijkt dat
het verwerken van persoonsgegevens van het kind voor profileringsdoeleinden niet noodzakelijk is voor uitoefening van de overeenkomst, waardoor deze uitzondering niet opgaat. De tweede
uitzonderingsgrond is wanneer er sprake is van een gerechtvaardigd belang.172 In paragraaf 4.2.2 is
geconcludeerd dat het belang van het kind op bescherming waarschijnlijk zwaarder zal wegen dan het recht op vrijheid van onderneming, waardoor gerechtvaardigd belang geen uitzondering kan zijn. Ten derde is geconcludeerd in paragraaf 4.2.3 dat toestemming het verwerken van persoonsgegevens van het kind wel mogelijk maakt. Dit betekent dat profilering van het kind mogelijk niet onder het profileringsverbod van artikel 22 AVBG valt.
Opvallend is dat in overweging 38 van de AVGB staat dat het kind extra bescherming dient te krijgen wanneer de persoonsgegevens worden gebruikt om profielen van het kind te maken, zoals
in het IoToys gebeurt.173 Terwijl in artikel 22 van de AVGB niet uitdrukkelijk het profileren van het
168 Overweging 39 AVGB. 169 Van der Sloot 2012, p. 253. 170Forbrukerrådet 2016. 171 Artikel 6 lid 1 sub b AVGB 172 Artikel 22 AVGB. 173 Overweging 38 AVGB.