Cyberkids e-privacy. Minderjarigen, minder rechten? Privacy Paper Nr. 4

Cyberkids e-privacy Minderjarigen, minder rechten? Privacy Paper Nr. 4

Cyberkids e-privacy Minderjarigen, minder rechten? Privacy Paper Nr. 4

Beschikbaar in deze reeks: Privacy Paper Nr. 1: e-privacy in België: werk aan de e-winkel? De bescherming van de persoonlijke levenssfeer in Belgische websites. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2001. Privacy Paper N 1: Privacy and e-commerce: mind the gap! Protection of consumers privacy in Belgian websites. Department of Communication Studies K.U.Leuven, Leuven: 2001. Privacy Paper Nr. 2: e-big Brother : gevreesd of niet? Attitude & gedrag van internetgebruikers t.o.v. e-marketing en de bescherming van de privacy. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2001. Privacy Paper Nr. 3: e-privacy.be Een betere bescherming van de privacy in Belgische websites, één jaar na het van kracht worden van de herziene privacywet? Een analyse van 250 Belgische websites m.b. t. het verzamelen van persoonsgegevens conform de Belgische privacywet (vergelijking 2001-2002) en een enquête bij webmasters. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2002. Privacy Paper N 3: Online data processing and privacy rights: clicking or clashing? An analysis of online privacy statements in the light of E.U. data protection legislation. Department of Communication Studies K.U.Leuven, Leuven: 2002. Privacy Paper N 4: Kids and Teens e-privacy at stake? An analysis of data processing and privacy statements on websites aimed at children and adolescents. Department of Communication Studies, University of Antwerp, Antwerpen: 2005. Boeken omtrent o.a. e-privacy: Telemarketing, storing op de lijn? Leuven: Acco (1995) Privacy gescand? Leuven: Universitaire Pers Leuven (1999) e-marketing & Privacy: zo geclickt? Mechelen: Kluwer (2001) Met uw permissie. E-mailmarketing en de opt-in regel. Antwerpen: De Boeck (2004). Info: http://www.e-privacy.be Niets uit deze uitgave mag worden verveelvoudigd zonder voorafgaande schriftelijke toestemming van de auteur. Alle rechten voorbehouden. Michel Walrave Cyberkids e-privacy 3

Werkten mee aan de analyse van de websites: Aerts Katia Aerts Nathalie Beyen Veerle Broos Deborah Bulcke Evert Creten Leslie Custers Kathleen D Hooghe Valentine De Moortel Koen De Munck Dominique De Munter Stéphanie De Wit Marjolein Dechamps Tim Deschamps Bram Emmers Shanna Franco Kim Gaublomme Peter Hermans Jeroen Jansseune Katrien Keustermans Bruno Kiesekoms Marianne Loozen Annelies Marinus Sarah Mertens Geert Nelissen Patricia Nulis Maarten Oversteyns Catherine Peeters Brigitte Robben Tessie Ruts Martine Smaers Mieke Thuys Jo Tiberio Manuela Valkiers Katrien Van Broekhoven Natalie Van Coppenolle Goedele Van Esbroeck Bo Vancluysen Kris Verschoore Severine Vivijs Tomas Weeghmans Liesbeth Zaman Bieke Ontwerp kaft: Yasmine Heuts Illustratie van tips voor Cyberkids : Média Animation Revisie: Dra. Marijke De Bie Opstellen van de vragenlijst en de handleiding, update van de analyse, de statistische verwerking en redactie van het onderzoeksrapport: Prof. dr. Michel Walrave, Universiteit Antwerpen Michel Walrave is verbonden aan Universiteit Antwerpen en is verantwoordelijk voor de onderzoeksgroep Strategische Communicatie van het departement Communicatiewetenschappen, Faculteit Politieke & Sociale Wetenschappen. Hij verricht sinds 1992 onderzoek over toepassingen en gevolgen van de informatiemaatschappij, waaronder e-privacy en direct marketing [http://www.e-privacy.be] en telewerken [http://www.tijdvoortelewerk.be]. Cyberkids e-privacy 4

INHOUDSOPGAVE SYNTHESE 6 1. INLEIDING 7 2. PRIVACYRECHTEN VAN MINDERJARIGEN 11 2.1. Basisprincipes van de privacywet 12 2.2. Bescherming van de minderjarigen 14 2.2.1. Noodzakelijkheidsprincipe 2.2.2. Wettigheids- en rechtmatigheidsprincipe 14 16 3. JONGERENSITES EN DE PRIVACYWET 21 3.1. Methode 21 3.2. Resultaten 23 3.2.1. Verzamelde data 24 3.2.2. Privacy statement aanwezig? 29 3.2.3. Privacy statement volledig? 31 3.2.4. Gebruik van cookies? 40 3.2.5. Respons op mystery e-mails? 41 4. NAAR EEN EUROPESE COPPA? 42 4.1. COPPA in een notendop 42 4.2. Worden de regels nageleefd? 45 5. BESLUIT: MEER RECHTEN VOOR MINDERJARIGEN 47 TIPS VOOR CYBERKIDS 49 BIBLIOGRAFIE 50 WEBOGRAFIE 52 Cyberkids e-privacy 5

SYNTHESE Een meerderheid van de websites die hoofdzakelijk bestemd zijn voor kinderen en tieners verzamelt persoonsgegevens van de jonge bezoekers zonder hun privacyrechten te respecteren. Hoewel zo n 8 op de 10 websites persoonsgegevens verzamelen, hebben daarvan slechts 4 op de 10 een privacy statement. Bovendien is deze wettelijk verplichte informatie vaak onvolledig. Deze en andere vaststellingen werden gemaakt op grond van een analyse van 294 websites van profit- en non-profitorganisaties, gevestigd in België, die zich hoofdzakelijk richten tot minderjarigen. Zo'n acht op de tien onderzochte websites (82,4%) verzamelen op één of andere manier persoonsgegevens. Daarbij wordt gevraagd naar de naam (81%), naar contactgegevens als e-mail (87%), adres (54%), telefoonnummer (32%) of gsm-nummer (19%), maar ook naar persoonskenmerken als leeftijd (37%), geslacht (15%), hobbies (7%), nationaliteit (6%) of studies (5%). Nochtans stelt de Privacycommissie dat «de gegevens die een directe identificatie mogelijk maken van de minderjarige, zoals zijn familienaam, zijn adres, zijn telefoonnummer, zijn foto of de naam van zijn school, in principe niet zouden moeten worden ingezameld» in haar advies (Nr. 38/2002). De Commissie stelde verder dat elke verzameling van gegevens voor marketingdoeleinden van minderjarigen die de leeftijd van onderscheidingsvermogen nog niet bereikt hebben, onwettig is. Indien we de websites bekijken die zich tot dit publiek (van min-12-jarigen) richten, stellen we vast dat bezoekers de mogelijkheid hebben om niet enkel hun e-mailadres mee te delen (80%), maar ook hun naam (67%), adres (44%), telefoonnummer (22%), gsm (10%) en zelfs informatie over derden (6%). Van de websites die data verzamelen, hebben slechts vier op de tien (39%) een privacystatement. Vaak is het dan nog onvolledig, moeilijk terug te vinden op de website of verdrinkt het in een massa juridische informatie of gebruiksvoorwaarden. Bijna zeven op de tien sites vermelden dat men recht van inzage en correctie heeft, maar de te volgen procedure is vaak onduidelijk. In meer dan de helft van de privacy statements kunnen bezoekers vernemen dat hun data gebruikt worden voor direct marketing, maar vier op de tien sites bieden niet de mogelijkheid om zich daartegen te verzetten. Aangezien de bestudeerde websites zich hoofdzakelijk richten tot kinderen en adolescenten, werd nagegaan of er in het privacystatement informatie werd opgenomen voor de ouders en of kinderen worden aangespoord hun advies in te winnen vooraleer eigen gegevens mee te delen. Dit laatste wordt aanbevolen door de Privacycommissie. In slechts 12% van de privacy statements vindt men informatie die bestemd is voor de ouders. Cookies vergemakkelijken het surfen, maar kunnen ook benut kunnen worden om het surfgedrag van de websitebezoekers in kaart te brengen. 54,5% van de onderzochte sites gebruikt cookies. In 76% van de onderzochte gevallen, wordt geen informatie gegeven over deze cookies. Wanneer men cookies verwerpt, krijgt men in slechts 30% van de gevallen zonder problemen direct toegang tot de website. Het recht op informatie, het recht op toegang tot eigen gegevens, het recht op correctie en het recht op verzet zijn essentiële privacyrechten, die trouwens niet alleen voor jongeren gelden. Uit dit onderzoek blijkt dat vele websites een loopje nemen met de privacywet. Websites die zich naar jongeren richten zouden bovendien een stap verder moeten gaan en de beginselen van de privacywet op een duidelijke en begrijpbare wijze vertalen naar deze doelgroep en in bepaalde gevallen het advies of de toestemming van de ouders inwinnen. Cyberkids e-privacy 6

1. INLEIDING Surfen op het web is voor jongeren een boeiende en leerrijke ervaring. Niet alleen zijn er steeds meer websites voor hen bestemd, maar chatten kan leiden tot een virtuele vriendenkring die in de realiteit ook kan meevallen. De sterke verwevenheid van ICT met het leven van jongeren kan aanleiding geven tot nieuwe communicatie- en interactiepatronen tussen jongeren onderling en eventueel met andere generaties. Jongeren gebruiken ICT ondermeer in hun zoektocht naar zelfstandigheid en volwassenheid. Onderzoek wijst uit dat de soevereiniteit van jongeren toeneemt naargelang ICTvaardigheden sterker worden ontwikkeld. ICT en massamedia dragen met andere woorden bij tot de empowerment van jongeren (Jenkins, 1997; Izenberg & Lieberman, 1998; Orleans & Overton, 1998). Hoewel deze digitale generatie als ervaren gebruikers worden beschouwd, vormen ze ook een kwetsbare doelgroep. Het huidige wetenschappelijke en politieke discours bevat namelijk paradoxale standpunten over jongeren en ICT. Enerzijds worden ze als experten gezien bij het hanteren van nieuwe technologieën. Anderzijds betekent deze snelle beheersing van computervaardigheden nog niet dat ze kunnen omgaan met specifieke risicosituaties. Jonge ICT-gebruikers kunnen inderdaad slachtoffer of eveneens actor zijn van gedrag dat schadelijk kan zijn voor hun of iemand anders emotionele, fysieke en intellectuele ontwikkeling. Deze negatieve situaties omvatten ondermeer cyberpesten, vervalsen of stelen van identiteiten, beledigingen in chat rooms, confrontatie met schadelijke inhoud (zowel bv. racistisch, gewelddadig als pornografisch), doorgeven van persoonlijke informatie van zichzelf of anderen voor commerciële of andere doeleinden (Holloway & Valentine, 2003; Livingstone, 2002). Ze kunnen ook van spammers, die hun e-mailadres op het internet of in een discussieforum plukten, aanbiedingen ontvangen die schadelijk kunnen zijn in het algemeen, maar ook soms voor hun ontplooiing in het bijzonder. In dit verband kan een tweevoudige digitale kloof worden vastgesteld bij de (jonge) ICT-gebruikers. Ten eerste is er de ongelijke toegang van jongeren tot ICT, afhankelijk van hun thuissituatie en het onderwijs dat ze genieten. Ten tweede moet men rekening houden met de verscheidenheid in emotionele en intellectuele karakteristieken en competentie maar ook de familiale en onderwijs context en ondersteuning die de omgang met specifieke risicovolle situaties kan beïnvloeden (Holloway & Valentine, 2003; Livingstone, 2002). Het exploiteren van de mogelijkheden van ICT en het vermijden van risico s hangt namelijk nauw samen met de ICT-vaardigheden waarover jongeren beschikken. Deze vaardigheden zijn echter niet gelijk verdeeld. Evenzeer zijn de motieven van ICTgebruik divers. Jongens zijn in het bijzonder meer bedreven in het gebruik van computers, internet en videogames. Meisjes zullen ICT eerder gebruiken om hun sociale contacten te intensifiëren (gsm, e- mail, chatrooms) (Livingstone e.a., 2005; Rideout e.a., 1999; Kline & Botterill, 2001; Durndell e.a., 1997). Verder hebben ook sociaal-culturele breuklijnen in de maatschappij een effect op ICTvaardigheden (Rideout e.a., 1999; Mumtaz, 2001; Livingstone e.a., 2005). De manier waarop jongeren omgaan met risico s (op het internet bijvoorbeeld) is minder onderzocht dan de invloed van computergebruik op fysieke, cognitieve, emotionele en sociale kenmerken en Cyberkids e-privacy 7

vaardigheden (Grinter & Palen, 2002; Mesch, 2001; Livingstone, 2002; Van Rompaey e.a., 2002; Valkenburg, 2004). Hoe jongeren reageren in risicohoudende situaties bij internetgebruik of hoe ze zelf risicogedrag uiten, is wel al onderwerp geweest van enkele studies (Mitchell, Finkelhor & Wolak, 2001; Holloway & Valentine, 2003; Youn, 2005). Wat betreft de invloed van online marketing op jongeren wordt in onderzoek teruggegrepen naar eerdere inzichten in de manier waarop kinderen het onderscheid maken tussen reclame en andere inhoud van massamedia en de invloed van kinderen en adolescenten op de aankopen van hun ouders (Van Raaij, 1997). Enkele recente onderzoeken focussen op online marketing en jongeren. De commerciële druk neemt namelijk ook online op hen toe (Gilutz & Nielsen, 2002). Ze worden als nieuwsgierige en enthousiaste consumenten steeds meer aangesproken voor commerciële doeleinden. Een groeiend aantal producten en diensten worden hen aangeboden. Bovendien wordt, onder meer op het internet, reclame en amusement soms vermengd (het zogenoemde promotainment). Bepaalde figuren die worden gebruikt in de promotie van producten (bv. ontbijtgranen) kunnen worden geïntegreerd in een online spel en op die manier de jongere confronteren met cruciale elementen van het merk. Kortom, het product, het logo of bepaalde figuren die deel uitmaken van het merk worden geïntegreerd in een interactieve online omgeving. Dit maakt het onderscheiden van de concrete commerciële doelstellingen moeilijker (Montgomery, 2001). Resultaten van onderzoek naar het onderscheidingsvermogen van minderjarigen inzake online content en reclame is niet eenduidig. Zo blijkt bijvoorbeeld uit een studie (bij kinderen van 5 tot 11 jaar) dat ze het onderscheid tussen inhoud van een webpagina en banners niet konden maken. Ander onderzoek duidt op het belang van internetervaring, waarbij kinderen en adolescenten het onderscheid tussen verschillende onderdelen van een webpagina leren kennen, met inbegrip van de commerciële intenties ervan (Henke, 1999). Het linken van wedstrijden, games, promoties aan het meedelen van persoonsgegevens, verlaagt echter de drempel om snel de gevraagde informatie toe te vertrouwen zonder stil te staan bij de eventuele verschillende doelstellingen en ontvangers van de data. Om deze consumentendoelgroep beter te leren kennen, is de verleiding trouwens groot om niet enkel persoonsgegevens van hen te verzamelen, maar ook om naast hun consumptiegedrag hun surfgedrag te analyseren. Op die manier houdt men de vinger aan de pols van de jongere, om beter te kunnen inspelen op wat z n hartslag versnelt. Niet enkel het internet is een populair medium bij deze generatie. De mobiele telefonie en aangeboden diensten via SMS (met een hoger tarief), richten zich in belangrijke mate tot jongeren. SMS games, prijsvragen, het opvragen van beelden en beltonen leiden tot bepaalde transacties vanuit dit publiek met een groeiend aantal bedrijven. Het biedt marketeers de mogelijkheid om gegevens (o.a. het gsm-nummer) te verzamelen voor mobiele marketing, waarbij men op het juiste moment, aan de juiste persoon, maar ook op de juiste plaats, een geïndividualiseerd aanbod kan doen. Het lokaliseren van gsm-gebruikers maakt dergelijke precieze marketingcommunicatie mogelijk. Location based services en advertising zijn daarom een logische fase in de ontwikkeling van marketingtechnieken die preciezer willen inspelen op noden, wensen en kenmerken van consumenten. Cyberkids e-privacy 8

Het experimenteren, onder meer met bovenstaande fenomenen, maar ook het nemen van risico s maakt deel uit van het streven van jongeren naar meer onafhankelijkheid. Dit maakt het informeren, laat staan waarschuwen van deze groep internetgebruikers voor bepaalde risico s bijzonder moeilijk. Bovendien leiden verzoeken om persoonsgegevens mee te delen vaak tot een directe beloning (toegang tot informatie, online spel, chat, ) terwijl soms andere gevolgen iets langer op zich laten wachten (ongevraagde commerciële e-mail, bijvoorbeeld). Maar zijn jonge internetgebruikers überhaupt bezorgd om hun e-privacy? Hoewel tieners (tussen 10-17 jaar) meedelen dat ze bezorgd zijn om hun privacy (79%), blijkt dit niet helemaal uit hun gedrag. Zo n 45% zou persoonsgegevens meedelen in ruil voor een geschenk. Een meerderheid (54%) zou, bijvoorbeeld, eveneens de namen van de lievelingswinkels van hun ouders meedelen. Ook andere gegevens van zichzelf of derden zou een significant deel van de onderzochte jongeren meedelen. Een meerderheid van ouders (74%) is dan ook bezorgd dat hun kinderen teveel persoonsgegevens zullen vrijgeven op het internet. Nochtans blijken de tieners (69%) hun ouders te raadplegen wanneer hen persoonsgegevens worden gevraagd. Meisjes doen dit meer dan jongens. Ook het lezen van de privacy policy vooraleer gegevens toe te vertrouwen gebeurt vaak door een vierde van de jongeren (25%) terwijl vier op de tien dit al af en toe hebben gedaan (42%). Een vierde heeft nog nooit informatie over het privacybeleid doorgenomen vooraleer gegevens mee te delen (Turow & Nir, 2000). Daarnaast ontwikkelen tieners (56%) andere strategieën om hun privacy te beschermen door bijvoorbeeld pseudoniemen of verschillende e-mailadressen te gebruiken om min of meer anoniem te blijven (Lenhart, e.a., 2001 & 2005). Tot die conclusie kwam ook Youn die onderzocht in welke mate tieners (tussen 14 en 18 jaar) gegevens prijsgeven in ruil voor bepaalde voordelen. Hoewel vele tieners bewust zijn van mogelijke risico s (bv. het ontvangen van ongewenste commerciële elektronische post (88%), misbruik van persoonsgegevens (45%) enzomeer), leggen de meesten de nadruk op de voordelen die ze genieten indien ze persoonlijke data toevertrouwen. Nochtans blijken veel tieners ook bepaalde gegevens niet in te vullen (53%) of bewust foute informatie te geven (44%). Zo n vier op de tien (43%) geven toe dat ze naar een andere website surfen als men om persoonsgegevens vraagt. Opnieuw werd vastgesteld dat meisjes een hogere risicoperceptie hebben dan jongens wanneer het online meedelen van persoonsgegevens betreft. Jongens zien meer de voordelen die worden gelinkt aan het toevertrouwen van de data en zijn dan ook gewilliger dan meisjes. Ook jongere tieners zijn meer geneigd om advies in te winnen (bij ouders of leerkrachten) vooraleer online gegevens toe te vertrouwen (Youn, 2005). Juist omdat ook jonge consumenten intensief deze technologieën gebruiken is het belangrijk om zowel kinderen, adolescenten als ouders en leerkrachten te informeren over de manier waarop marketing gericht tot minderjarigen werkt en welk gebruik kan worden gemaakt van persoonsgegevens die ze onder meer op het internet meedelen. Met dit doel voor ogen is een onderzoek uitgevoerd naar de wijze waarop persoonsgegevens worden verzameld op websites die zich hoofdzakelijk richten tot kinderen en adolescenten en in welke mate dit met respect voor de persoonlijke levenssfeer gebeurt. Cyberkids e-privacy 9

Deze studie past in een reeks onderzoeken over online privacy. Naast de analyse van gedrag en attitude ten aanzien van direct marketing en privacy issues enerzijds (Walrave, 1995, 1999, 2001b) werd eerder de naleving van de privacywet in een steekproef websites van bedrijven gevestigd in België bestudeerd (Walrave, 2001a, 2002). Waarom in dit onderzoek een steekproef wordt getrokken van websites die zich richten tot een segment van de internetpopulatie, kan als volgt worden gemotiveerd. Niet alleen media, maar ook verschillende instellingen besteden aandacht aan de mogelijke risico s van het internet voor minderjarigen. Dit resulteerde in onder meer een initiatief van Child Focus, waarbij op een website tips worden gegeven voor veilig surfen [http://www.clicksafe.be]. Eveneens biedt Educaunet concrete informatie voor jongeren, leerkrachten en ouders [http://www.educaunet.org]. Aangezien ook veilig chatten voor minderjarigen een prioriteit is, heeft dit aanleiding gegeven tot maatregelen o.a. op basis van de eid [http://www.saferchat.be]. Daarnaast is er ook het EU Safer Internet Programma 1 [http://www.saferinternet.org], dat in België tot concrete initiatieven van informatie en sensibilisering leidt [http://www.saferinternet.be]. Dit Europese programma gaf ook in andere lidstaten aanleiding tot de ontwikkeling van sensbiliseringsinstrumenten om jongeren, ouders en leerkrachten te ondersteunen [bv. http://www.surfopsafe.nl]. Bovendien worden er zowel binnen als buiten de EU verschillende initiatieven genomen die diverse doelgroepen informeren [http://www.actioninnocence.org http://www.childnet-int.org] 2. Specifieke informatie over online privacybescherming wordt eveneens aangeboden. Zo bieden bepaalde websites de mogelijkheid om dankzij modelbrieven of online formulieren hun recht op inzage van hun persoonsgegevens bij organisaties te vergemakkelijken 3. Naast het verlagen van de drempel om z n privacyrechten uit te oefenen, worden jonge internetgebruikers ook (in spelvorm) bewust gemaakt van onder meer hun online privacy 4. De groeiende bezorgdheid over, maar ook zorg om jonge internetgebruikers te sensibiliseren hebben geleid tot het onderzoeken van de manier waarop commerciële en niet-commerciële websites, die zich hoofdzakelijk richten tot minderjarigen, gegevens van hun bezoekers verwerken en in welke mate dit conform de privacyregels gebeurt. Bovendien worden de websites ook op basis van andere criteria gescreend om na te gaan hoe transparant de organisaties zijn die zelf een zekere transparantie verwachten van hun jonge websitebezoekers. 1 Meer informatie over het Actieplan voor een veiliger internet en het veiliger internet plus programma, cf. Lievens & Dumortier, 2005; Lievens, Valcke & Stevens, 2005. 2 Cf. ook onze webografie op p. 50. 3 Veel gestelde vragen omtrent privacyrechten van het College Bescherming Persoonsgegevens: http://www.cbpweb.nl/vv/vv_bet_2.shtml en http://www.cbpweb.nl/downloads_modelbrieven/modelbrief_inzage.pdf In de Noorse website Saftonline is een tool ontwikkeld om een standaarddocument aan te maken waarmee jongeren inzage kunnen vragen in de persoonlijke gegevens die een bepaalde organisatie van hen heeft [http://www.saftonline.no/krev_innsyn/341/] of in het algemeen van individuen verwerkt [http://www.saftonline.no/krev_innsyn/342/]. 4 Cf. bijvoorbeeld de kidspagina Espace Junior van de CNIL, de Franse Privacycommissie [http://www.cnil.fr/index.php?id=13]. Cf. ook de consumentenvoorlichting voor kinderen en jongeren van Testaankoop [http://www.test-aankoop.be/map/src/327361.htm]. Cyberkids e-privacy 10

2. PRIVACYRECHTEN VAN MINDERJARIGEN Omwille van het enthousiasme waarmee jongeren de informatie- en communicatietechnologieën gebruiken, zonder soms geïnformeerd te zijn over hun concrete rechten en de gevolgen van hun gebruik, hebben de Commissie voor de Bescherming van de Persoonlijke Levenssfeer [http://www.privacy.fgov.be] en het Observatorium voor de Rechten op het internet [http://www.internet-observatory.be] adviezen geformuleerd over de bescherming van minderjarigen op het internet. De Privacycommissie legt in haar advies de nadruk op de strikte naleving van de principes van de privacywet in websites die bestemd zijn voor minderjarigen. Het uitgangspunt van de Commissie is dat de jonge websitebezoekers zich in een zwakke positie bevinden ten aanzien van derden met wie ze online in contact komen. Vooral kinderen zijn minder wantrouwig, meer beïnvloedbaar en kennen wellicht hun rechten niet (Commissie, 2002, p. 2). Niet alleen minderjarigen, maar vele andere internetgebruikers beseffen waarschijnlijk ook niet dat, wanneer ze persoonsgegevens in een website meedelen, de data verschillende keren kunnen worden gebruikt door de organisatie die de gegevens verzamelde. De gegevens kunnen bovendien gemakkelijk en snel aan anderen worden doorgegeven die de data voor dezelfde of andere doelen kunnen benutten. Het is net de bedoeling van de privacywet om de personen waarvan gegevens worden verwerkt bepaalde rechten te verlenen om, zo mogelijk, een evenwicht te herstellen tussen degene die data verzamelt en de persoon die gegevens toevertrouwt. De hoeksteen van de wet is namelijk de transparantie waarmee persoonsgegevens moeten worden verwerkt. Dit betekent dat de persoon of organisatie die de data verwerkt, de betrokkenen eerst en vooral volledig en waarheidsgetrouw moet informeren over onder meer zijn bedoelingen. Hoewel de privacywet op dit punt geen onderscheid maakt tussen de bescherming van persoonsgegevens van minderjarigen en volwassenen, is het belangrijk om in concrete situaties de belangen van de verantwoordelijke voor de verwerking af te wegen tegenover de belangen van het kind of de jongere. Hierbij dient men rekening te houden met het onevenwicht dat de relatie tussen de verantwoordelijke voor de verwerking en de minderjarige kenmerkt. De Commissie beveelt dan ook een strikte toepassing aan van de principes van de privacywet, met name de informatie die wordt verstrekt aan het kind, strikte beperkingen met betrekking tot de typen gegevens die worden verzameld en de rechtschapenheid van de verzameling (Commissie, 2002, p. 2). Wanneer de beginselen van de wet worden toegepast in de context van de bescherming van de privacy van minderjarigen, dan moeten ook bepaalde rechten worden vertaald naar deze specifieke doelgroep opdat ze door de betrokkenen begrijpbaar en uitoefenbaar zouden zijn. Cyberkids e-privacy 11

2.1. Basisprincipes van de privacywet Als een organisatie bijvoorbeeld persoonsgegevens verzamelt van websitebezoekers, dan moet bepaalde informatie worden meegedeeld. Deze kan de vorm aannemen van een privacy statement. Het gaat om de formulering van de rechten die de betrokkenen genieten op basis van de privacywet 5, bepaalde wettelijk verplichte informatie en de te volgen procedures om zijn rechten uit te oefenen. Wanneer gegevens rechtstreeks bij betrokkenen worden verzameld of verkregen, moet de verantwoordelijke aan onder meer volgende plichten voldoen (artikel 9): - de betrokkene waarvan data worden verzameld, moet worden geïnformeerd over de identiteit van de verantwoordelijke en zijn adres; - hij moet op de hoogte worden gebracht van de doeleinden waarvoor de data zullen worden gebruikt; - indien de gegevens voor direct marketingdoeleinden worden gebruikt, dan moet de betrokkene worden geïnformeerd over zijn recht om zich, kosteloos en op verzoek, te verzetten tegen dit gebruik van zijn gegevens (recht op verzet); - verder verneemt de persoon dat hij het recht heeft om zijn eigen gegevens in te kijken (recht op inzage) en eventuele fouten te (laten) verbeteren (recht op correctie); - wanneer de data ook aan één of verschillende andere organisaties worden doorgegeven, dan deelt de verantwoordelijke de ontvangers of categorieën van ontvangers van de data mee; - de verantwoordelijke informeert ook over het al dan niet verplichte karakter van het meedelen van de persoonsgegevens en de eventuele gevolgen van een weigering om bepaalde informatie mee te delen. Bovenstaande informatieplicht moet dan ook nageleefd worden in de website, rekening houdend met de doelgroep(en) tot wie men zich richt. De formulering moet dus worden aangepast aan de doelgroep(en) voor wie de website is bestemd. Men gebruikt dus naar jongeren toe best een directe, eenvoudige taal, waarbij men de jongere rechtstreeks aanspreekt (Commissie, 2002, p.3). Vakjargon is uit den boze. Welke data nodig zijn en waarom, moet worden uitgelegd. Dit wordt gevolgd door de rechten van de betrokkenen en de manier waarop ze deze rechten op een eenvoudige manier kunnen uitoefenen. Deze informatie wordt aangevuld met de coördinaten (elektronisch en fysisch adres) van de verantwoordelijke voor de gegevensverwerking, zodat de websitebezoeker bij hem terecht kan met vragen of om het recht op inzage of correctie uit te oefenen. 5 De wet van 8 december 1992 tot de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals gewijzigd door de wet van 11 december 1998, tot omzetting van richtlijn 95/46/CE van 24 oktober 1995 van het Europees Parlement en de Raad, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens., B.S. 3 februari 1999. Cyberkids e-privacy 12

Wenst men de verzamelde data voor direct marketing te gebruiken, dan geeft men op het elektronische formulier een eenvoudige mogelijkheid om zich hiertegen te verzetten. Hierbij moet men een onderscheid maken tussen persoonsgegevens in het algemeen en elektronische contactgegevens in het bijzonder. In het algemeen heeft ieder individu het recht om zich te verzetten tegen het gebruik van zijn data voor direct marketingdoeleinden. Dit wordt ook een opt-out genoemd. Voor elektronische contactgegevens, zoals een e-mailadres of een gsm-nummer, is sinds 28 maart 2003 een strengere regel van toepassing, namelijk een opt-in. De betrokkene moet zijn uitdrukkelijke toestemming geven vooraleer men zijn elektronisch adres mag gebruiken voor reclame e-post 6. De procedures voor het recht op inzage, correctie, verzet (of opt-in in specifieke gevallen) moeten eenvoudig zijn. Men mag geen drempels inbouwen die het moeilijker maken om bepaalde rechten uit te oefenen. Daarom is een eenvoudige, beveiligde en elektronische procedure vaak aangewezen. Het privacy statement moet ook gemakkelijk te vinden zijn en kan best niet worden opgenomen in de algemene voorwaarden. Een bondig privacy statement bovenaan het formulier waarmee men persoonsgegevens verzamelt, biedt de betrokkene de mogelijkheid om zich te informeren vooraleer gegevens toe te vertrouwen. Eventueel kan een hyperlink leiden naar een webpagina waarin meer details worden prijsgegeven over de gebruiksdoelen, de derden waaraan men de gegevens zal doorgeven, het gebruik en eventueel nut van cookies, en dergelijke meer. Kortom, het naleven van de wettelijke verplichtingen gaat best gepaard met een gebruikersvriendelijke vormgeving en formulering van de informatie evenals eenvoudige procedures om de privacyrechten uit te oefenen. 6 Sinds de wet betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, ook wet elektronische handel genoemd (wet van 11 maart 2003, B.S. 17 maart 2003 van kracht sinds 28 maart 2003), is men overgegaan tot een opt-in voor reclame d.m.v. elektronische post. De wet stelt namelijk: "Het gebruik van elektronische post voor reclame is verboden zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen" (artikel 14, 1). Op deze regel zijn twee uitzonderingen, met specifieke voorwaarden, namelijk de elektronische contactgegevens van eigen klanten en generieke e-mailadressen (bv. info@bedrijf.be) van rechtspersonen (cf. o.a. Verbiest, 2004; Walrave, 2004). Cyberkids e-privacy 13

2.2. Bescherming van de minderjarigen De Privacycommissie gaat een stap verder en adviseert om in een website de minderjarige 7 aan te moedigen om zijn ouders in te lichten over zijn online activiteiten en hen naar hun mening te vragen, in het bijzonder als de minderjarige wordt gevraagd persoonsgegevens mee te delen. Bovendien zou er bij het online formulier en/of op de homepage, naast een privacy statement voor de minderjarige doelgroep, ook een tekst kunnen worden opgenomen die bestemd is voor de ouders. Op die manier worden ook zij ingelicht over het privacybeleid van het bedrijf en kunnen ze bij de verantwoordelijke terecht voor meer informatie. Ook andere principes van de wet, met name het noodzakelijkheids-, het wettigheids- en rechtmatigheidsprincipe 8, moeten strikt worden toegepast rekening houdend met de onevenwichtige verhouding tussen de jonge internetgebruiker en de gegevensverwerker. 2.2.1. Noodzakelijkheidsprincipe Naast de informatieplicht, is een ander beginsel van de privacywet belangrijk. De wet stelt namelijk dat men maar tot een verwerking van die persoonsgegevens mag overgaan die strikt noodzakelijk zijn voor het nagestreefde doel of de doeleinden (art. 4). De Privacycommissie stelt zelfs in haar advies: «de gegevens die een directe identificatie mogelijk maken van de minderjarige, zoals zijn familienaam, zijn adres, zijn telefoonnummer, zijn foto of de naam van zijn school, zouden in principe niet moeten worden ingezameld» (Commissie, 2002, p. 4). De Commissie besluit dan ook, op grond van dit basisprincipe, het volgende: 7 Het Burgerlijk Wetboek (388 BW) definieert een minderjarige als een persoon die de leeftijd van 18 jaar nog niet bereikt heeft. Er zijn wel gradaties in de intensiteit van bescherming, naargelang de leeftijd. Wanneer de minderjarige adolescent wordt, dan worden bepaalde beschermingen afgezwakt. Bijvoorbeeld, een adolescent van 16 jaar kan geld afhalen van zijn spaarrekening, toegang hebben tot bepaalde films in bioscopen, mag met de bromfiets rijden, alcoholische dranken verbruiken in café s, bepaalde rechten verdedigen bij justitie. Vanaf 18 jaar kan hij of zij ten volle zijn rechten uitoefenen en verbintenissen aangaan (behalve een aantal uitzonderingen). De Privacycommissie maakt in haar advies de nuancering dat binnen de groep minderjarigen er nog een onderscheid gemaakt moet worden dat steunt op het niveau van onderscheidingsvermogen van het kind. In deze ontwikkeling is er een overgangsperiode die meestal gesitueerd wordt tussen 12 en 14 jaar. In Spanje (in een deontologische code voor elektronische handel) en de V.S.A. (in de Children s Online Privacy Protection Act, cf. p. 41), bijvoorbeeld, is specifieke bescherming voorzien voor minderjarigen jonger dan 13 jaar (Commissie, 2002: p. 2). 8 Art. 4. 1. Persoonsgegevens dienen: 1 eerlijk en rechtmatig te worden verwerkt; 2 voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; 3 toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt; 4 nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren; 5 in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervóór bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard. 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in 1 zorg te dragen. Cyberkids e-privacy 14

- Wanneer men aan een minderjarige voorstelt om zijn e-mailadres mee te delen, dan zou dit geen aanleiding mogen geven tot een directe identificatie van het individu. De minderjarige zou dus moeten worden aangespoord om een e-mailadres mee te delen waarin niet zijn echte naam is opgenomen, maar een pseudoniem. - Wanneer een minderjarige wenst deel te nemen aan een discussieforum en een aantal data nodig zijn om zich in te schrijven, dan moet dit beperkt blijven tot een e-mailadres (waarin de echte naam niet is opgenomen) en het eigen gekozen pseudoniem. De beheerder van de site zou trouwens ook de minderjarige erop attent moeten maken dat hij voorzichtig moet omspringen met zijn persoongegevens in dergelijke publieke ruimte om een ongewenste en illegale verzameling (en eventuele publicatie) van zijn data en de gevolgen daarvan te voorkomen. - Wanneer de minderjarige een elektronische nieuwsbrief wenst te ontvangen, dan moet de verantwoordelijke voor deze publicatie enkel het e-mailadres vernemen. Familienaam, adres, telefoonnummer, geboortedatum zijn hiervoor irrelevant. - De persoonsgegevens die in een specifieke context worden verzameld, kunnen niet voor andere doeleinden worden gebruikt dan deze waarvoor de data worden verzameld en ook aangekondigd. Bovendien worden de data niet aan derden doorgegeven. Alleen de strikt noodzakelijke data worden verzameld. Men mag de minderjarige niet belagen met een waslijst van vragen naar persoonsgegevens. Een voorzichtige internetgebruiker wordt in dit laatste geval eigenlijk aangemoedigd om foute gegevens in te vullen waarbij deze valse identiteit wordt voorgesteld als de echte. Men moet de voorrang geven aan het opstellen van een zo weinig mogelijk gedetailleerd profiel van de jongere, waarbij enkel de gegevens worden verzameld die strikt noodzakelijk zijn voor het gebruik van de online dienst. Kortom, de boodschap naar de jonge internetgebruikers (maar eveneens de volwassenen) is niet om de reflex te ontwikkelen foute informatie mee te delen, maar om bewust te overwegen welke informatie noodzakelijk is voor een specifiek doel. Vaak vereisen bepaalde doelen van de webmaster en de webmarketeer strikt genomen geen overdracht van persoonsgegevens of niet alle data die soms worden opgevraagd. Een webmaster kan bijvoorbeeld geïnteresseerd zijn in de demografische kenmerken van de websitebezoekers om de inhoud van de webstek aan te passen. Deze informatie (bv. leeftijd) moet echter niet noodzakelijk worden gelinkt aan persoonsgegevens zoals naam en adres. Men kan op basis van anonieme statistieken, de inhoud van een website aanpassen of indien men de inhoud wil afstemmen op het profiel van de individuele bezoeker, dan kan men dit profiel koppelen aan een cookie 9 die op de harde schijf van de internetgebruiker wordt opgeslagen. Op het ogenblik dat deze bezoeker naar de website surft, wordt de cookie naar de server gestuurd en weet men welke inhoud moet worden aangeboden. In de meeste meertalige websites gebeurt dit systematisch voor de taalkeuze, 9 Meer uitleg over cookies op p. 38. Cyberkids e-privacy 15

bijvoorbeeld. Kortom, om de inhoud van een website aan te passen aan individuele kenmerken of wensen, zijn in vele gevallen geen persoonlijke identificatiegegevens nodig. Wanneer men de surfervaring wil vergemakkelijken of de website wil individualiseren door gebruik te maken van de cookie-technologie, zijn dus vaak geen persoonsgegevens nodig. 2.2.2. Wettigheids- en rechtmatigheidsprincipe Zoals het wettigheids- als het rechtmatigheidsprincipe moet strikt worden toegepast wanneer gegevens van minderjarigen worden opgevraagd. De Commissie stelt dat elke verzameling van de gegevens voor marketingdoeleinden van minderjarigen die de leeftijd van onderscheidingsvermogen nog niet hebben bereikt, onwettig is. Dit geldt ook voor de inzameling van gegevens over de entourage van de minderjarige, zoals zijn familie en vrienden. Bovendien is de context waarin gegevens worden verzameld belangrijk. In de context van een spel of in ruil voor een geschenk mogen geen gegevens van deze minderjarigen worden verzameld (Commissie, 2002, p. 5). Naast de algemene persoonsgegevens (zoals naam en adres) is een bepaalde categorie het voorwerp van een specifieke bescherming. Het gaat om wat de wetgever «gevoelige gegevens» noemt. Dit zijn data waaruit de raciale of etnische afkomst kan worden afgeleid, de levensbeschouwing of religieuze, politieke overtuiging, data over het seksuele leven en de gezondheid (cf. artikelen 6 en 7 van de privacywet). De wet verbiedt in het algemeen de verwerking van deze gevoelige informatie, tenzij in bepaalde specifieke gevallen. Eén van die uitzonderingen is bijvoorbeeld de schriftelijke toestemming van de betrokkene. In het koninklijk besluit 10 van de privacywet staan ook de voorwaarden waaraan een verantwoordelijke voor een verwerking van gevoelige gegevens moet voldoen om deze categorie gegevens te mogen verwerken (artikelen 25 tot en met 27). De Privacycommissie stelt dan ook dat de verzameling van gevoelige gegevens bij minderjarigen die de leeftijd van onderscheidingsvermogen nog niet hebben bereikt, eigenlijk niet kan 11 (Commissie, 2002, p.5). Bij volwassenen worden soms gevoelige data verzameld in zeer specifieke situaties (bv. verzekeringen, lidmaatschap van specifieke groeperingen). Dit is ook bij minderjarigen het geval, namelijk het online lidmaatschap van een bepaalde groepering waaruit de levensbeschouwing of de seksuele geaardheid blijkt. De deelname aan de zeer populaire chat- en datingsites geven aanleiding tot een rechtstreekse of onrechtstreekse identificatie van onder meer dergelijke kenmerken van een individu. Deze data worden door de wetgever als gevoelige informatie bestempeld. Chatten kan ook leiden tot het doorsturen van een foto en zo de virtuele conversatie concreter maken. De wet stelt dat een afbeelding alleen publiek kan worden gemaakt (op een website bijvoorbeeld) mits toestemming van de betrokken persoon. 10 Koninklijk besluit van 13 februari 2001 houdende uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. B.S. 13 maart 2001. 11 Een uitzondering is de doorgifte van medische informatie via het internet, wanneer dit noodzakelijk is voor de betrokkene en mits ouderlijke toestemming gebaseerd op gedetailleerde informatie over de concrete voorwaarden van de verwerking door de verantwoordelijke (Commissie, 2002, p. 5). Cyberkids e-privacy 16

Opnieuw benadrukt de Commissie dat voor een minderjarige die de leeftijd van onderscheidingsvermogen nog niet heeft bereikt, de toestemming van de betrokkene niet volstaat. De toestemming van de ouders is hier aangewezen (Commissie, 2002, p. 6). De Commissie geeft het voorbeeld van klasfoto s die online worden gezet. Men moet, aan het begin van het schooljaar bijvoorbeeld, de ouders een document voorleggen waarbij men de toestemming vraagt om één of meerdere foto s online te plaatsen, waarbij men het doel of de doeleinden meedeelt. De ouder(s) moet(en) zich bijvoorbeeld kunnen verzetten tegen het online plaatsen van een portret, maar toch kunnen instemmen met het online publiceren van de klasfoto. Heeft de minderjarige dan nog privacy ten aanzien van zijn ouder(s)? Moet de jongere, in principe, telkens de toestemming vragen om op een chat- of andere site zijn foto te laten opnemen in een persoonlijke webpage? De Privacycommissie beseft dat het principe van ouderlijke toestemming geen mechanisme mag worden waarbij de rechten van het kind zelf in het gedrang komen. Het is echter bijzonder belangrijk om het kind te beschermen in risicovolle situaties. Daarnaast moet men ook op z n hoede zijn voor omstandigheden waarin het enthousiasme van de jonge internaut eventueel kan worden misbruikt. Om al deze redenen adviseert de Commissie dat ouderlijke toestemming noodzakelijk is: - wanneer het kind de leeftijd van onderscheidingsvermogen nog niet heeft bereikt; - wanneer gevoelige gegevens worden verzameld; - wanneer het doel dat wordt nagestreefd niet rechtstreeks in het belang is van de minderjarige (bijvoorbeeld: het doorverhuren of verkopen van persoonsgegevens aan derden en/of andere marketingdoeleinden); - wanneer de data bestemd zijn om openbaar te worden gemaakt (bijvoorbeeld op online fora, de website van een school, een jeugdvereniging). Jongeren surfen natuurlijk niet alleen naar websites die voor hen zijn bestemd. Ook algemene websites die hoofdzakelijk op volwassenen zijn gericht, worden door hen bezocht. Bepaalde sites kunnen echter risico s inhouden voor de fysieke, mentale en morele ontplooiing van de jongere omwille van het gewelddadig en/of pornografisch karakter van de inhoud. Daarom is op Europees niveau een aanbeveling goedgekeurd over de bescherming van jongeren voor bepaalde inhoud in audiovisuele media, waaronder het internet 12. Zowel de lidstaten van de Unie als de industrie, worden door de Raad van de EU verzocht om een gedragscode uit te werken, maar ook om technische beschermingsmiddelen te ontwikkelen om controle te kunnen uitoefenen op inhoud die schadelijk kan zijn voor minderjarigen (pornografische en gewelddadige inhoud in de vorm van afbeeldingen of inhoud die aanzet tot haat en racisme, informatie over de bouw en het gebruik van wapens en dergelijke meer). 12 Voorstel voor een aanbeveling van het Europees Parlement en de Raad betreffende de bescherming van minderjarigen en de menselijke waardigheid en het recht op weerwoord in verband met de concurrentiepositie van de Europese industrie van audiovisuele en informatiediensten. COM/2004/341 def., 30 april 2004 [http://www.europa.eu.int/comm/avpolicy/legis/key_doc/legispdffiles/com04-341-nl.pdf] Cyberkids e-privacy 17

Ook op sites die zeker niet voor minderjarigen zijn bedoeld, kunnen persoonsgegevens worden opgevraagd. Soms is de identificatie van de bezoeker belangrijk om zo alleen toegang te verstrekken aan meerderjarigen. Anderzijds maakt anoniem surfen of een gebrekkige identificatie van websitebezoekers het niet alleen mogelijk dat minderjarigen zich kunnen voordoen als volwassenen, maar ook dat volwassenen zich als kinderen kunnen voordoen. Vooral op chatsites die bestemd zijn voor jongeren, kan dit bijzonder negatieve gevolgen hebben. Het is dus schipperen tussen enerzijds de noodzakelijke identificatie van de leeftijd van bezoekers van bepaalde websites en anderzijds een zo gering mogelijke inmenging in de persoonlijke levenssfeer van individuen. Hiervoor bestaan verschillende online en off line procedures, gaande van het meedelen van een kredietkaartnummer, het bezorgen van een kopie van de identiteitskaart of het benutten van de diensten van een derde vertrouwenspersoon (of vertrouwensinstantie ook Trusted Third Party genoemd) of een organisatie die op een onafhankelijke manier de leeftijd van de betrokkene kan nagaan. Deze en andere methoden hebben elk hun voor- en nadelen 13. Ook het Observatorium van de Rechten op het internet besteedt ruime aandacht aan de middelen die kunnen worden ingezet opdat minderjarigen niet zouden worden geconfronteerd met websites die schadelijke inhoud aanbieden. Het Observatorium stelt in haar advies onder meer dat een mogelijke oplossing van deze problematiek volgende aspecten kan bevatten: - de online identificatie van de leeftijd van minderjarigen conform de privacywet en het advies van de Privacycommissie (Observatorium, 2003, p. 9-12); - het filteren van websites en andere online inhoud, die niet geschikt is voor minderjarigen, door middel van adequate software (Observatorium, 2003, p. 13-14); - het labelen en het gebruik van domeinnamen opdat het voor internetgebruikers duidelijk zou zijn welke inhoud gepast is voor minderjarigen en de ontwikkeling van een derde niveau van domeinnamen (bv. kids.be, zoals het op het eerste internationale niveau reeds bestaande.kids) waaronder websites komen die geschikt zijn voor minderjarigen en waarbij de toegang van organisaties tot dergelijk domeinnaam wordt gecontroleerd (Observatorium, 2003, p. 15-16). Om dergelijke technische middelen te kunnen benutten en de leeftijd van websitebezoekers, conform de privacywet, te kunnen controleren, maar ook om websites (die kindvriendelijk zijn) te labelen, moet onze wetgeving (Europees en nationaal) worden aangepast 14. De leeftijdscontrole, het labelen van websites en de kwaliteitscontroles van filtersoftware kunnen, onder meer, gebeuren door een derde vertrouwenspersoon die dan ook een wettelijk statuut moet hebben. Ten slotte mag men de technologische convergentie niet vergeten. 13 Meer uitleg hierover in het Advies van de Commissie (2002, p. 8-9). 14 Cf. Wetsvoorstel betreffende de bescherming van minderjarigen in de informatiemaatschappij tegen schadelijke inhoud. Dossiernummer 3-484 [http://www.senaat.be]. Zie eveneens het verslag van het colloquium terzake [http://www.dekamer.be/kvvcr/pdf_sections/comm/committee/qt03_pr.pdf] Cf. initiatieven in Frankrijk [http://www.internet-mineurs.gouv.fr] en in Duitsland [http://www.kjm-online.de/ - http://www.kjmonline.de/public/kjm/downloads/jmstv.pdf] Cyberkids e-privacy 18

Bij de uitwerking van technologische, juridische en deontologische oplossingen ter bescherming van minderjarigen op het internet, mag men andere actuele en populaire media zoals de gsm niet uit het oog verliezen. In verschillende websites en tijdschriften worden bijvoorbeeld pornografische SMS en en MMS en aangeboden. Het filteren en de classificatie van de inhoud van sites en andere media zijn dus aan te bevelen. Kortom, de juridische en deontologische initiatieven die worden genomen, moeten zo technologieneutraal mogelijk zijn, opdat de principes op verschillende huidige en toekomstige media toepasbaar zouden zijn. Gezien de complexiteit van de problematiek die hierboven is geschetst, is sensibilisering nodig van zowel de betrokkenen als van de vertrouwenspersonen, namelijk de ouders, opvoeders en leerkrachten, die minderjarigen kunnen helpen om veilig en verantwoord te surfen. Ook de Internet Service Providers en bedrijven of organisaties die zich (hoofdzakelijk) richten tot een jong publiek, moeten hierover worden aangesproken en op hun verantwoordelijkheid worden gewezen. Een voorbeeld van mogelijke initiatieven die zouden kunnen leiden tot concrete afspraken over de verwerking van persoonsgegevens van minderjarigen, vindt men in een deontologische code 15 van de FEDMA, de Europese koepel van de direct marketing sector. In een code over het gebruik van persoonsgegevens voor direct marketingdoeleinden wordt een rubriek gewijd aan de verwerking van gegevens van kinderen (onder de 14 jaar). Zo stelt de code dat de verantwoordelijke voor de gegevensverwerking alle redelijke inspanningen moet leveren om het kind en/of de ouder(s) te informeren over de doelstellingen van de verwerking. Wanneer bijvoorbeeld commerciële boodschappen worden gericht tot deze doelgroep of de direct marketeer bewust gegevens verzamelt van kinderen, dan moet deze mededeling prominent aanwezig zijn en begrijpbaar worden geformuleerd. Indien de nationale wetgeving de toestemming vereist van de betrokkene (bv. de verwerking van gevoelige gegevens), dan moet de verantwoordelijke voor de verwerking de toestemming krijgen van de ouder(s). Ouders hebben ook recht van inzage, correctie en verzet - wanneer de data gebruikt worden voor direct marketing - en schrapping (onder bepaalde voorwaarden) van de gegevens van hun kind(eren). De persoon die de data verwerkt, mag de toegang tot bepaalde diensten, de deelname aan wedstrijden of prijsvragen niet afhankelijk maken van het toevertrouwen van meer data dan de gegevens die strikt noodzakelijk zijn om deel te nemen aan één of andere activiteit (FEDMA, p. 10-12). De nationale direct marketing koepelorganisaties zijn verantwoordelijk voor de toepassing van deze en andere bepalingen van de code. Naast juridische stappen, kan de koepelorganisatie overgaan tot de uitsluiting van een lid die de code niet naleefde. In deze context is het belangrijk een procedure te voorzien om klachten te behandelen en de sectorgenoten en consumenten te informeren 16 (FEDMA, p. 17). 15 Code of Practice for the Use of Personal Data in Direct Marketing [http://www.fedma.org/img/db/fedmacodeen.pdf] 16 Cf. deontologische code en bijhorende procedures van het Belgisch Direct Marketing Verbond [http://www.bdma.be] Cyberkids e-privacy 19

Bij dergelijke initiatieven is het van essentieel belang dat consumenten op de hoogte zijn van bijvoorbeeld de manier waarop ze klachten kunnen indienen en ze waarborgen kunnen krijgen dat een onpartijdige jury hun grieven zal behandelen en het bedrijf eventueel zal worden terecht gewezen. Daarom is in dit verband eveneens co-regulering aan te bevelen, waarbij de regulering tot stand komt door een samenwerking tussen de overheid, de betrokken sector(en) en andere belanghebbenden. Co-regulering kan namelijk flexibeler, soepeler en doeltreffender zijn dan de traditionele reglementering. Door deze samenwerking is de deontologie van de sector(en) geconditioneerde zelfregulering. Er is namelijk een juridisch vangnet omwille van de wettelijke verankering van de deontologie die mogelijk wordt gemaakt (Lievens & Dumortier, 2005, p. 60/64). Uit het voorgaande blijkt dat, naast de algemene privacywet, enkele initiatieven zijn genomen om de beginselen en verplichtingen van de privacyregelgeving aan te passen, te concretiseren en soms strikt te interpreteren wanneer data van minderjarigen (kinderen in het bijzonder) worden verwerkt. Om de huidige praktijken van gegevensverwerking en privacybescherming op websites voor jongeren na te gaan, is volgend onderzoek uitgevoerd. Deze studie gaat niet in op het probleem van de classificatie van de inhoud van websites en de identificatie van minderjarigen om al dan niet toegang te krijgen tot bepaalde inhoud. Het onderzoek legt de nadruk op de manieren van gegevensverwerkingen en de toepassing van de privacywet op websites die zich hoofdzakelijk tot jongeren richten. Cyberkids e-privacy 20