Kinderen verdienen extra bescherming
De GDPR (in het Nederlands ook AVG genoemd) is duidelijk: kinderen zijn een kwetsbare groep. Ze zijn zich minder bewust van de risico’s en gevolgen van het delen van hun persoonsgegevens. Daarom gelden er aanvullende regels als je gegevens van minderjarigen verwerkt.
Dit is relevant voor meer organisaties dan je denkt: scholen, sportclubs, kinderdagverblijven, jeugdverenigingen, online platforms, webshops met producten voor kinderen, en zelfs bedrijven die een nieuwsbrief versturen naar een mailinglijst waar minderjarigen op staan.
Ouderlijke toestemming: wanneer en tot welke leeftijd?
Artikel 8 van de GDPR bepaalt dat voor het aanbieden van “diensten van de informatiemaatschappij” (lees: online diensten) aan kinderen, de toestemming van een ouder of voogd nodig is. De GDPR stelt de maximumgrens op 16 jaar, maar geeft lidstaten de ruimte om deze te verlagen tot minimaal 13 jaar.
In de praktijk betekent dit:
| Land | Leeftijdsgrens |
|---|---|
| Nederland | 16 jaar |
| België | 13 jaar |
| Duitsland | 16 jaar |
| Frankrijk | 15 jaar |
| Spanje | 14 jaar |
| Ierland | 16 jaar |
| Zweden | 13 jaar |
| Italië | 14 jaar |
Let op: deze leeftijdsgrenzen gelden specifiek voor toestemming als grondslag bij online diensten. Het bredere principe dat kinderen extra bescherming verdienen, geldt altijd.
Handhaving: boetes voor onzorgvuldig omgaan met kindergegevens
Toezichthouders nemen overtredingen rondom kindergegevens bijzonder serieus:
TikTok - 345 miljoen euro (Ierland, 2023). De Ierse DPC legde TikTok een boete op van 345 miljoen euro voor het onvoldoende beschermen van de privacy van minderjarige gebruikers. Profielen van kinderen waren standaard openbaar, en de “Family Pairing”-functie bevatte gebreken waardoor niet-ouders accounts van kinderen konden koppelen.
Instagram/Meta - 405 miljoen euro (Ierland, 2022). De Ierse DPC beboette Meta voor het openbaar maken van e-mailadressen en telefoonnummers van tieners op Instagram, en voor het standaard instellen van zakelijke accounts voor minderjarigen.
Dit zijn geen bedragen die alleen voor techgiganten gelden. Het signaal is helder: toezichthouders beschouwen de bescherming van kindergegevens als een prioriteit.
Wat moet je doen als je gegevens van kinderen verwerkt?
1. Bepaal of je met kindergegevens werkt
Ga na of je doelgroep (deels) uit minderjarigen bestaat. Denk aan:
- Ledenregistratie van een sportclub of jeugdvereniging
- Leerlingenadministratie van een school
- Inschrijvingen voor een zomerkamp of buitenschoolse activiteit
- Een webshop met speelgoed of kinderkleding
- Een app of online dienst die kinderen gebruiken
2. Controleer je grondslag
Als je toestemming gebruikt als verwerkingsgrondslag, heb je voor kinderen onder de nationale leeftijdsgrens de toestemming van een ouder of voogd nodig. Gebruik je een andere grondslag (bijv. contractuele noodzaak voor een schoolinschrijving), dan geldt de ouderlijke toestemmingseis van Artikel 8 niet, maar de extra zorgplicht wel.
3. Verifieer de leeftijd
Je moet “redelijke inspanningen” leveren om te controleren of iemand oud genoeg is om zelf toestemming te geven, en of de toestemming daadwerkelijk van een ouder of voogd komt. Wat “redelijk” is, hangt af van het risico en de beschikbare technologie. Een checkbox is niet genoeg als je weet dat je doelgroep vooral kinderen bevat.
4. Communiceer in kindvriendelijke taal
De GDPR vereist dat informatie over gegevensverwerking begrijpelijk is voor de doelgroep. Als je je richt op kinderen, moet je privacyverklaring in eenvoudige, heldere taal zijn geschreven die kinderen kunnen begrijpen. Juridisch jargon volstaat niet.
5. Beperk de gegevensverwerking
Het principe van dataminimalisatie geldt extra sterk bij kinderen. Verzamel alleen wat je echt nodig hebt. Vermijd profiling en geautomatiseerde besluitvorming op basis van kindergegevens.
Uitzondering: preventieve en adviserende diensten
Artikel 8 bevat een belangrijke uitzondering: de ouderlijke toestemmingseis geldt niet voor “preventieve of adviserende diensten die rechtstreeks aan een kind worden aangeboden.” Denk aan de Kindertelefoon, hulplijnen voor misbruik of online voorlichtingsdiensten over gezondheid. Deze uitzondering voorkomt dat kinderen die hulp nodig hebben, worden geblokkeerd door een toestemmingseis van de ouder die mogelijk het probleem is.
Praktische tips voor sportclubs, scholen en jeugdorganisaties
- Ledenregistratie: vraag alleen wat je echt nodig hebt (naam, geboortedatum, contactgegevens ouder)
- Foto’s en video’s: vraag altijd toestemming van de ouder voordat je foto’s van kinderen plaatst op je website of sociale media
- Nieuwsbrieven: stuur geen marketingmails naar kinderen zonder ouderlijke toestemming
- Gegevens delen met derden: sluit verwerkersovereenkomsten af met sponsors, fotografen of andere partijen
- Bewaartermijnen: bewaar kindergegevens niet langer dan nodig; verwijder gegevens van oud-leden
GDPRWise helpt je om in kaart te brengen welke persoonsgegevens je verwerkt, inclusief die van minderjarigen. Met specifieke aanbevelingen voor scholen, clubs en jeugdorganisaties.