Veilig opgroeien in een wereld vol algoritmes. De bijzondere bescherming van kinderen onder art. 22 Algemene verordening gegevensbescherming

1 Aanleiding en uitdagingen

Vanaf 25 mei 2018 geldt het in art. 22 Algemene verordening gegevensbescherming (AVG) neergelegde recht om niet te worden onderworpen aan besluitvorming op grond van automatische verwerking van gegevens, inclusief profilering, als hieraan voor de betrokkene rechtsgevolgen verbonden zijn of dit besluit de betrokkene anderszins in aanmerkelijke mate treft. Hoewel de Wet bescherming persoonsgegevens een dergelijk verbod reeds kende in art. 42 Wbp, brengt art. 22 AVG enkele veranderingen met zich mee, waaronder de noodzaak om in het bijzonder kinderen te beschermen tegen profilering. Ingevolge overweging 38 dienen kinderen hoe dan ook extra te worden beschermd, omdat:

‘zij zich allicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens.’

In diverse bepalingen besteedt de AVG vervolgens expliciet aandacht aan kinderen,[1] maar ook bepalingen waarin kinderen niet als zodanig worden genoemd kunnen vragen om een specifieke uitleg in het geval er persoonsgegevens van kinderen worden verwerkt. Een van die bepalingen is dus art. 22 AVG. De opdracht om rekening te houden met de minderjarige betrokkene valt onder meer op te maken uit overweging 71 van de verordening (we komen daar later op terug). Ook de reeds aangehaalde overweging 38 noemt onder meer profilering als een van de praktijken waartegen kinderen in het bijzonder bescherming verdienen. Hierin wordt gesteld dat:

‘[d]ie specifieke bescherming met name [moet] gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen.’[2]

De voorganger van de AVG, de Dataprotectierichtlijn,[3] maakte geen onderscheid tussen volwassenen en kinderen. De mate van bescherming bij de verwerking van persoonlijke data verschilde bij volwassenen en kinderen daarom nagenoeg niet onder de richtlijn en speciale bescherming van kinderen werd in het nationaal recht geregeld met als gevolg uiteenlopende regimes in de lidstaten.[4] Een reden waarom de Dataprotectierichtlijn kinderen niet apart adresseerde, was dat het VN Verdrag voor de rechten van het kind 1989 (IVRK) nog niet in elke lidstaat van de EU was geratificeerd ten tijde van de totstandkoming van de richtlijn. Het was daarom moeilijk om een uniform, supranationaal beleid te hanteren op het gebied van de implementatie van kinderrechten in wetgeving op het gebied van databescherming.[5] De kritiek op het gebrek aan bescherming van kinderen droeg vervolgens bij aan de omarming van regels die expliciet gericht zijn op kinderen en de bescherming van hun persoonsgegevens, zoals nu opgenomen in de AVG.[6] Tenslotte was de richtlijn ook ontworpen in het tijdperk vóór het bestaan van de sociale media – grote spelers op het gebied van de verwerking van persoonsgegevens en profilering ­– die juist voor kinderen – en zeker tieners – belangrijke digitale hangplekken vormen. McCullagh stelt in dat verband:

‘The absence of specific legal protection for children’s data on SNSs sparked concerns that children were ignorantly disclosing personal data and being exposed to profiling and advertising without adequate privacy and data protection safeguards in place.’[7]

De AVG – met speciale aandacht voor kinderen – en in het bijzonder art. 22 AVG – met zijn specifieke focus op potentieel indringende dataverwerkingspraktijken – vormen belangrijke stappen richting de bescherming van persoonsgegevens van kinderen en komen daarmee tegemoet aan de eisen die het IVRK stelt aan de (digitale) leefwereld van kinderen. Met name art. 3 IVRK – een van de fundamentele pijlers onder het verdrag – bepaalt dat het belang van het kind de eerste overweging is bij onder meer de toepassing van maatregelen, beleid en regelgeving met een impact op kinderen. So far so good. Als we echter inzoomen op art. 22 AVG dan wordt het beeld vreemd genoeg minder scherp. Hoe de bescherming van kinderen daarbinnen moet worden vormgegeven is namelijk een grijs gebied. Zo worden kinderen zelf in art. 22 AVG – ondanks de uitdrukkelijke opdracht in zowel overweging 38 als overweging 71 om rekening te houden met kinderen – niet expliciet genoemd. Ook is het nog tamelijk onontgonnen terrein hoe de uitleg van deze bepaling zich verhoudt tot de in de IVRK neergelegde overkoepelende kinderrechtenbenadering die in acht moet worden genomen. Omwille van de afbakening zal het artikel slechts de eerste van deze twee kwesties behandelen, te weten de uitleg van art. 22 AVG met het oog op kinderen. Daartoe zal in de nu volgende paragraaf eerst worden ingegaan op de definitie van ‘kind’ (paragraaf 2). Daarna volgt een korte uitleg van de concepten ‘geautomatiseerde besluitvorming’ en ‘profilering’ (paragraaf 3). Vervolgens behandelen we art. 22 AVG waarbij we meer in het algemeen de betekenis van de bepaling uiteenzetten en waar relevant meer specifiek ingaan op de mogelijke interpretatie van de bepaling in relatie tot situaties waarin kinderen betrokken zijn (paragraaf 4).

2 De definitie van een ‘kind’

Al door diverse auteurs is aan de orde gesteld dat het gebrek aan een definitie van kind in de AVG een wonderlijke omissie is.[8] Ofschoon in een eerdere fase tijdens de totstandkoming van de AVG wel was voorzien in een definitie,[9] is deze later om onduidelijke redenen weer geschrapt. Juist nu een aantal bepalingen en overwegingen van de AVG specifiek aandacht besteedt aan de positie van kinderen, is het merkwaardig dat in het midden blijft tot welke leeftijd kinderen bescherming genieten. Dat neemt niet weg dat de meest voor de hand liggende benadering is om aan te sluiten bij het IVRK, zoals ook is gesuggereerd door de Artikel 29-werkgroep (A29WG).[10] Art. 1 IVRK bepaalt dat onder ‘kind’ wordt verstaan:

‘ieder mens jonger dan achttien jaar, tenzij volgens het op een kind van toepassing zijnde recht de meerderjarigheid eerder wordt bereikt.’

Dit laat overigens onverlet dat er, ingevolge art. 6 IVRK, afhankelijk van de zich ontwikkelende vermogens van een kind (de zogeheten ‘evolving capacities’)[11] kan worden gedifferentieerd in de mate van bescherming (of vrijheid) van kinderen.[12] Art. 8 AVG, dat voorwaarden stelt aan de toestemming bij direct aan kinderen aangeboden commerciële online diensten, biedt die mogelijkheid nadrukkelijk doordat lidstaten tot op zekere hoogte kunnen variëren in de leeftijd waarop kinderen worden geacht in staat te zijn zelf toestemming te geven.[13] Ofschoon in lijn met het IVRK, is het overigens de vraag of een dynamische benadering een rol zou moeten spelen bij de bescherming tegen geautomatiseerde besluitvorming. Het maken van onderscheid tussen kinderen en volwassenen bij het toepassen van geautomatiseerde besluitvorming – en het gegevensbeschermingsrecht meer in het algemeen – is op zich al een uitdaging als je je richt op een gemengd publiek. En het hanteren van een per leeftijdsgroep wisselende maatstaf – iets wat verder gaat dan de verificatie van (per lidstaat) één bepaalde leeftijd ex art. 8 AVG – maakt naleving van art. 22 AVG nog ingewikkelder. Als wij in dit artikel spreken van ‘kinderen’ bedoelen wij mensen jonger dan achttien jaar.

3 Geautomatiseerde besluitvorming en profilering

Alvorens nader in te gaan op het in art. 22 AVG neergelegde recht (of beter: verbod[14]) zullen we eerst uiteenzetten wat moet worden verstaan onder geautomatiseerde besluitvorming en profilering. Tevens bespreken we kort wat de ratio is achter art. 22 AVG, met andere woorden: waarom is het relevant dat betrokkenen worden beschermd tegen geautomatiseerde besluitvorming en profilering?

3.1 De begrippen ‘geautomatiseerde besluitvorming’ en ‘profilering’

Art. 22 AVG betreft gevallen waarin sprake is van geautomatiseerde individuele besluitvorming. Hieronder vallen ook de besluiten die zijn gebaseerd op profilering. Een geautomatiseerd besluit wordt in de AVG niet nader gedefinieerd en de bepaling zelf spreekt van een ‘uitsluitend op geautomatiseerde verwerking (…) gebaseerd besluit’. Van Eck heeft het in haar proefschrift over:

‘besluiten (…) die tot stand komen door een systeem dat automatisch handelt, dat wil zeggen zonder dat rechtstreekse menselijke tussenkomst vereist is.’[15]

Dit noemen we volledig geautomatiseerde individuele besluitvorming, maar er kan ook sprake zijn van semi-geautomatiseerde besluitvorming. Er komt een op geautomatiseerde verwerking gebaseerde voorspelling uit de computer rollen (bijvoorbeeld: deze burger maakt zich potentieel schuldig aan uitkeringsfraude) die vervolgens getoetst wordt door een natuurlijke persoon om te kunnen handhaven.[16] De individuele besluitvorming is dan slechts deels geautomatiseerd.

Profilering wordt in art. 4 lid 4 AVG als volgt gedefinieerd:

‘Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.’

Het verschil tussen profileren en geautomatiseerde besluitvorming is dat het profiel gezien kan worden als het plakken van een label op een data subject (label: je bent een potentiële terrorist), waarbij het label is gegenereerd door een automatische verwerking van persoonsgegevens. Het geautomatiseerde besluit is het handelen op grond van dit label (besluit: een vliegtuigmaatschappij of nationale veiligheidsdienst plaatst je op grond van die voorspelling op een no-fly list met als resultaat dat je wordt tegengehouden bij de douane). Dit kan ook (kleine) kinderen overkomen. Zo werd de tien weken oude baby Naseer Muhammed Ali op grond van profilering op de no-fly list van een vliegmaatschappij gezet en vervolgens geweigerd aan de grens.[17]

Geautomatiseerde besluitvorming en profilering kunnen samengaan, maar dat is niet per definitie het geval. Een geautomatiseerd besluit kan ook worden genomen op basis van de automatische verwerking van persoonsgegevens zonder dat er sprake is van profilering. Denk bijvoorbeeld aan een verkeersboete die op de mat valt als je te hard langs een flitspaal bent gereden.

3.2 De ratio achter de bescherming tegen geautomatiseerde besluitvorming en profilering

Een van de problemen met processen van geautomatiseerde besluitvorming en profilering is dat ze ondoorzichtig en ingewikkeld zijn. Doorgaans zijn betrokkenen zich niet bewust van profilering (dat er wordt geprofileerd, wie er profileert, welke data als input worden gebruikt, tot welke profielen dat leidt en hoe – inclusief op welke overweging gegrond – deze profielen besluitvormingsprocessen voeden en welke consequenties dat heeft voor betrokkenen). Dit heeft er mede in geresulteerd dat tegen profilering en geautomatiseerde besluitvorming door betrokkenen vrijwel niet wordt geprocedeerd; sinds de inwerkingtreding van de Wbp in 2001 is er geen enkele rechtszaak over gevoerd.[18] Een van de doelen van de AVG is dan ook om deze processen transparanter te maken door regels te stellen over het informeren van betrokkenen over het bestaan en de gevolgen van profilering (overweging 60) alsmede de logica die ten grondslag ligt aan een automatische verwerking van de persoonsgegevens (overweging 63).[19]

Bovendien kunnen geautomatiseerde besluitvorming en profilering direct (rechts)gevolgen hebben voor betrokkenen. Betrokkenen kunnen in een Kafkaiaanse computer says no-situatie[20] terechtkomen waarin de computer feitelijk de beslissing overneemt van de mens zonder dat de betrokkene bijvoorbeeld een nadere motivering krijgt of een uitkomst kan aanvechten. Voorspellingen op basis van profilering kunnen nu eenmaal onjuist zijn (zogeheten false positives of false negatives), aangezien op basis van algoritmes niet objectieve waarheden maar waarschijnlijkheden worden berekend. Je krijgt dus een label opgeplakt (‘je bent een risicopersoon’ als het gaat om fraude of crimineel gedrag) zonder dat dit hoeft te kloppen of in de toekomst bewaarheid wordt. Je kunt echter wel last krijgen van het label als je bepaalde diensten worden geweigerd of er maatregelen tegen je worden genomen. Geautomatiseerde besluitvorming en profilering kunnen leiden tot stereotypering, uitsluiting en discriminatie van bepaalde bevolkingsgroepen. Dit alles kan inhouden dat betrokkenen door het geautomatiseerde besluit op basis van profilering in zijn rechten wordt aangetast of daarvan anderszins hinder ondervindt.

4 Art. 22 AVG en profilering van kinderen

Na een uitleg van de sleutelbegrippen en de ratio achter art. 22 AVG in de voorgaande paragraaf wordt het tijd om deze bepaling aan een grondige beschouwing te onderwerpen. Daartoe zullen we de bepaling op zijn verschillende onderdelen toelichten en – daar waar relevant – steeds aangeven wat de (mogelijke) betekenis is voor de situatie waarin op profilering gebaseerde geautomatiseerde besluiten gericht op kinderen worden genomen.

4.1 De tekst van art. 22 AVG

Aangezien we in dit artikel steeds zullen verwijzen naar de tekst van art. 22 AVG geven we hier de letterlijke tekst van de bepaling weer.

Art. 22 AVG luidt als volgt:1. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.2. Lid 1 geldt niet indien het besluit:

noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;

is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of

berust op de uitdrukkelijke toestemming van de betrokkene.

3. In de in lid 2, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.4. De in lid 2 bedoelde besluiten worden niet gebaseerd op de in artikel 9, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 9, lid 2, punt a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.

4.2 Algemeen

Art. 22 lid 1 AVG betreft het ‘verbod’ op geautomatiseerde besluitvorming en wordt in paragraaf 4.3. in detail uiteengezet. Lid 2 van dit artikel regelt de uitzonderingen waarbij geautomatiseerde besluitvorming wel toegestaan is (zie paragraaf 4.6.).

Art. 22 lid 3 AVG verplicht instanties die gebruikmaken van geautomatiseerde besluiten tot het treffen van passende maatregelen die de rechten van de betrokkenen waarborgen. Hieronder vallen bijvoorbeeld het recht om het besluit aan te vechten, het recht op menselijke tussenkomst en het recht op uitleg van een genomen besluit. Daarnaast gelden ook de rechtswaarborgen uit andere artikelen van de AVG, zoals het recht om transparante informatie over de verwerking te ontvangen (art. 13 lid 2 onderdeel f AVG en art. 14 lid 2 onderdeel g AVG), het recht om inzage te verkrijgen (art. 15 lid 1 onderdeel h AVG) en het recht om bezwaar te maken (art. 21 AVG). Ten slotte, kan er in het geval van profileren, de verplichting bestaan om een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren (art. 35 lid 3 onderdeel a AVG). Deze moet ervoor zorgen dat voorafgaand aan geautomatiseerde besluitvorming het risico op de inbreuk op de rechten en vrijheden van natuurlijke personen wordt beoordeeld en passende, mitigerende beschermingsmaatregelen worden genomen om deze risico’s aan te pakken en de bescherming van persoonsgegevens te garanderen (art. 35 lid 7 AVG).

4.3 De betrokkene heeft het recht om niet te worden onderworpen aan…

Art. 22 lid 1 AVG spreekt nadrukkelijk van een ‘recht van de betrokkene om niet te worden onderworpen aan …’ en het artikel is opgenomen in hoofdstuk III van de AVG dat de rechten van betrokkenen omvat. Niettemin is er discussie over of art. 22 AVG niet juist als een verbod moet worden beschouwd.[21] De reden hiervoor is dat art. 22 lid 1 AVG niet een recht om iets te verkrijgen betreft, maar een recht om niet te worden onderworpen aan een geautomatiseerd besluit. De bepaling is daarom anders dan bijvoorbeeld het recht om bezwaar te maken tegen de verwerking van gegevens (art. 21 AVG) of het recht op inzage (art. 16 AVG). Het recht van de betrokkene om niet te worden onderworpen aan geautomatiseerde besluitvorming betreft geen actief recht van de betrokkene, maar betekent dat bedrijven betrokkenen in beginsel niet mogen onderwerpen aan dergelijke besluiten, omdat ze anders inbreuk maken op dit recht. De bepaling kan daarom gelezen worden als een verbod.[22] Het benaderen van art. 22 lid 1 AVG als een verbod is volgens Mendoza en Bygrave belangrijk omdat dit ervoor zorgt dat van de betrokkene geen actieve rol wordt verwacht in de handhaving van dit recht, maar in plaats daarvan bedrijven eenduidig worden gedwongen rekening te houden met de rechten van betrokkenen als het aankomt op geautomatiseerde besluitvorming. Mendoza en Bygrave stellen in dat kader dat

‘[the] “right” most likely functions as a (qualified) prohibition with which the decision maker has to comply regardless of whether the “right holder” invokes it or not.’[23]

Ook de A29WG heeft een duidelijke voorkeur voor de uitleg van de bepaling als verbod.[24]

Te ver gaat overigens de zienswijze dat art. 22 AVG een verbod op profilering bevat.[25] Art. 22 lid 1 AVG behelst een verbod op een besluit dat volledig gebaseerd is op een automatische verwerking van gegevens, waaronder profileren. Profileren wordt in art. 22 lid 1 AVG genoemd als voorbeeld van een automatische verwerking van gegevens, niet van geautomatiseerde besluitvorming. Het enkel profileren is daarmee niet verboden, slechts het besluit dat daarop wordt gebaseerd kan dat zijn.[26] Dat neemt niet weg dat ook het enkel profileren (zonder besluit dat daarop wordt gebaseerd) impact kan hebben op de rechten van het kind. Overweging 38 spreekt nadrukkelijk over het opstellen van persoonlijkheids- of gebruikersprofielen – dus nog voordat er sprake is van een besluit – als risico voor de positie van kinderen. Om een aantal redenen dient er extra aandacht te zijn voor het profileren van kinderen. Ten eerste wordt ook bij profileren over de schouder van het kind meegekeken en wordt diens gedrag in kaart gebracht. Ondanks dat er in het geval van enkel profileren  ten aanzien van het kind vervolgens niet naar  gehandeld wordt, levert de gedachte dat het doen en laten van kinderen continu wordt gevolgd toch een onprettig gevoel op. En ook kan het continu volgen schadelijk zijn voor de ontwikkeling van kinderen.[27] Ten tweede kan door het indelen van kinderen in groepen van mensen met dezelfde statistische kenmerken ook geld worden verdiend. Zonder dat er een besluit wordt gebaseerd op deze data, kunnen de data van kinderen wel kennis opleveren en geëxploiteerd worden.[28]

4.4 …een uitsluitend op geautoriseerde verwerking gebaseerd besluit…

Een belangrijke beperking van art. 22 AVG is dat er sprake dient te zijn van een uitsluitend op een geautomatiseerde verwerking gebaseerd besluit.[29] Dit betekent dat het geautomatiseerde besluit volledig gestoeld moet zijn op de uitkomst van een geautomatiseerde verwerking van gegevens, waaronder bijvoorbeeld profilering. Afhankelijk van de uitleg van het element ‘uitsluitend’ kan de reikwijdte buitengewoon beperkt zijn. Doorgaans zijn er nog steeds mensen betrokken in het proces van geautomatiseerde besluitvorming – de zogeheten human in the loop – en functioneert het systeem als een beslissingsondersteunend systeem.[30] Voor de uitleg van art. 22 AVG lijkt vooral relevant hoe groot de invloed is van de menselijke tussenpersoon tijdens het nemen van het besluit. Dan nog blijft het echter lastig om de precieze grens aan te geven. Veale en Edwards merken in dit verband op:

‘[i]n fact there is some evidence that even where systems are explicitly intended only to support a human decision maker, for reasons of trust in automated logic, lack of time, convenience or whatever, then the system tends to de facto operate as wholly automated. There is a strong argument therefore that rights to control “solely” automated decision making must also apply to decisions made with some degree of human involvement, though the extent of that degree is hard to set.’

De A29WG geeft een aantal overwegingen die relevant zijn bij het maken van het onderscheid. Het is van belang of de resultaten van het systeem routinematig worden toegepast zonder dat de menselijke tussenpersoon daarop enige invloed heeft of uitoefent. Dit om te voorkomen dat de werking van art. 22 AVG vrij eenvoudig kan worden omzeild door ergens in het proces een mens neer te zetten zonder dat deze enige of slechts een geringe functie van betekenis vervult. Uit het voorgaande volgt omgekeerd dus dat de menselijke tussenpersoon in het besluitvormingsproces een betekenisvolle rol kan spelen. Dat wil zeggen dat hij de bevoegdheid heeft om bijvoorbeeld de uitkomst aan te passen, en ook daadwerkelijk een rol speelt door bijvoorbeeld een zorgvuldige betrachting van de in- en output van het systeem alsmede het meenemen van andere factoren.[31]

4.5 …waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

Een tweede beperking van art. 22 AVG ligt in het vereiste dat het geautomatiseerd individuele besluit rechtsgevolgen heeft voor de betrokkene dan wel hem anderszins in aanmerkelijke mate treft. De bepaling erkent dat geautomatiseerde besluitvorming en profilering vergaande consequenties kunnen hebben op leven van betrokkenen en stelt die consequenties tegelijk ook als voorwaarde voor de toepassing ervan. Onder rechtsgevolgen worden verstaan de consequenties  voor de rechten van een betrokkene of een verandering van diens juridische status. Voorbeelden van rechtsgevolgen zijn het op grond van profilering opleggen van een gebiedsverbod door justitie, het verscherpen van toezicht of verhogen van veiligheidsmaatregelen ten aanzien van de betrokkene of het door de douane weigeren van de betrokkene aan de grens.[32]

Om de betrokkene in aanmerkelijke mate te treffen moet het besluit volgens de A29WG de volgende werking hebben:

‘the decision must have the potential to significantly influence the circumstances, behaviour or choices of the individuals concerned[.] (…) at its most extreme, the decision may lead to the exclusion or discrimination of individuals.’[33]

Overweging 71 van de AVG noemt de vooral op volwassenen geënte voorbeelden van een automatische weigering van een online kredietaanvraag en de geautomatiseerde verwerking van sollicitaties via het internet. Maar ook kinderen kunnen te maken krijgen met profilering, zoals in het geval van Signaleringsinstrument ProKid waarmee kinderen aan de hand van politiegegevens door algoritmes in risicocategorieën worden ingedeeld.[34] Daarnaast leidt meer algemeen surfgedrag van kinderen ook tot het opstellen van gebruikersprofielen, bijvoorbeeld om aan de hand daarvan gerichte marketing te laten zien aan het kind.

Dit onderdeel van art. 22 AVG leidt tot een aantal specifieke vragen in het geval van kinderen die we nu zullen behandelen.

Geen geautomatiseerde besluitvorming bij kinderen?

Mendoza en Bygrave stellen zich op het standpunt dat overweging 38 – dat zoals we eerder zagen gaat over de noodzaak van bijzondere persoonsgegevensbescherming voor kinderen – ertoe leidt dat een geautomatiseerd besluit met consequenties voor een kind als zodanig kan worden aangemerkt als een ‘in aanmerkelijke mate treffen’ in de zin van art. 22 lid 1 AVG. Mogelijk is hun standpunt gestoeld op de laatste zin van overweging 71 die als volgt luidt:

‘Een dergelijke maatregel mag geen betrekking hebben op een kind.’

Onder ‘maatregel’ wordt verstaan de in het geautomatiseerde individuele besluit besloten liggende (rechts)gevolg.[35] Het is onfortuinlijk – want reden tot onduidelijkheid – dat overweging 71 en art. 22 AVG in deze niet beter op elkaar zijn afgestemd. De door Mendoza en Bygrave gekozen benadering gaat ervan uit dat er op basis van de kwetsbaarheid van het kind voldoende reden bestaat om kinderen per definitie te beschermen tegen uitsluitend op geautomatiseerde verwerking gebaseerde besluiten. Vooral in gevallen waarin onduidelijk is in hoeverre een kind – tijdens diens jeugd reeds – consequenties ondervindt van een besluit, kan deze uitleg de rechtszekerheid en rechtsbescherming bevorderen. In individuele gevallen hoeft er namelijk – achteraf – niet steeds te worden bepaald of er sprake is van een besluit dat het kind in aanmerkelijke mate treft of zal treffen. We vragen ons echter af of dit is wat de wetgever voor ogen stond, aangezien art. 22 AVG zelf geen enkele indicatie in die richting geeft en het de bepaling wel heel erg ver oprekt. Bovendien zijn er ook gevallen denkbaar waarin geautomatiseerde besluitvorming potentieel in het belang van kinderen is, ook indien het besluit hen in aanmerkelijke mate treft. [36] De lezing van Mendoza en Bygrave lijkt geen rekening te houden met die gevallen.

Effect eerder significant bij kinderen?

De formulering van art. 22 AVG laat evenwel slechts ruimte voor het bieden van bescherming in situaties waarin er wordt geageerd op basis van het profiel met een maatregel dat ook nog een significant effect moet hebben op de betrokkene. Nu kan – in lijn met overweging 38 – overigens wel worden betoogd dat er in het geval van kinderen – vanwege hun kwetsbaarheid – eerder sprake is van een dergelijk effect dan bij volwassenen. De A29WG waarschuwt er meer in het algemeen voor om voorzichtig te zijn met geautomatiseerde besluitvorming bij kinderen, ook wanneer er geen sprake is van rechts- of andere significante gevolgen:

‘Article 22 does not prevent controllers from making solely automated decisions about children, if the decision will not have a legal or similarly significant effect on the child. However, solely automated decision making which influences a child’s choices and behaviour could potentially have a legal or similarly significant effect on them, depending upon the nature of the choices and behaviours in question.’[37]

Om die reden zouden bedrijven zich volgens de A29WG ook moeten onthouden van het profileren van kinderen voor (direct) marketingdoeleinden:

‘Children can be particularly susceptible in the online environment and more easily influenced by behavioural advertising. For example, in online gaming, profiling can be used to target players that the algorithm considers are more likely to spend money on the game as well as providing more personalised adverts. The age and maturity of the child may affect their ability to understand the motivation behind this type of marketing or the consequences.’[38]

Dit is inderdaad een belangrijk onderwerp waarvoor meer aandacht op zijn plaats is,[39] maar is dit een houdbare uitleg van art. 22 AVG? Slechts als de effecten van online marketing-praktijken significant zijn in de zin van art. 22 lid 1 AVG kan de bescherming van die bepaling worden ingeroepen. We komen hierop terug in de navolgende paragraaf (paragraaf 4.6.) waarin we ingaan op de uitzonderingsgronden van art. 22 AVG.

De door de A29WG bepleite terughoudendheid in het profileren van kinderen wordt gesteund door de Britse ICO die aangeeft dat besluiten die in het algemeen wellicht slechts geringe consequenties met zich brengen, in het geval van kwetsbare personen, waaronder kinderen, wel degelijk een significante impact kunnen hebben.[40] We komen ook hierop terug, omdat het ons inziens niet los kan worden gezien van de uitleg die zowel de A29WG als ook ICO geven aan art. 22 lid 2 AVG.

Toekomstig in aanmerkelijke mate treffen?

Een laatste en aan het voorgaande gerelateerd punt is nog wel of art. 22 lid 1 AVG ook van toepassing is op de situatie waarin sprake is van een toekomstig in aanmerkelijke mate treffen. Digitale profielen van kinderen (of daarop gebaseerde automatische besluiten) kunnen hen blijven achtervolgen tot in volwassenheid en de sociale en economische belangen worden doorgaans groter naarmate je ouder wordt. Je kunt van een kind echter niet verwachten – zij zijn daartoe niet in staat – dat zij rekening houden met de lange termijn-consequenties van hun doen en laten. Nu beoogt art. 17 AVG, waarin het recht op gegevenswissing is neergelegd, een remedie te geven die juist voor kinderen als relevant wordt gezien, namelijk door het faciliteren van de mogelijkheid om met een schone lei te kunnen beginnen als je je jeugd achter je laat en je in je verdere leven liever niet met jeugdzonden of andere gênante voorvallen wordt geconfronteerd.[41] Niettemin zien wij hier ook onder art. 22 AVG een taak voor verwerkingsverantwoordelijken en verwerkers om voorzichtigheid te betrachten met geautomatiseerde besluitvorming op basis van profilering in het geval van betrokkenheid van kinderen.

Dat brengt ons naar het tweede lid van art. 22 AVG dat uitzonderingen geeft op het verbod op geautomatiseerde besluitvorming. Bij de behandeling van de uitzonderingsgronden uit lid 2 van art. 22 AVG zullen we zien dat de A29WG een andere benadering heeft gekozen voor het toekennen van speciale bescherming aan kinderen bij geautomatiseerde besluitvorming en profilering. Ook bij die benadering is er overigens sprake van een ‘hineininterpretieren’, aangezien het tweede lid van art. 22 AVG evenmin een verwijzing naar kinderen bevat, maar een restrictieve uitleg van de uitzonderingen is wellicht meer in de geest van de bepaling.

4.6 De uitzonderingen op het verbod op geautomatiseerde besluitvorming

4.6.1 Algemeen

Art. 22 lid 2 AVG voorziet in een drietal uitzonderingsgronden ten aanzien van het in het eerste lid neergelegde verbod op geautomatiseerde besluitvorming. De eerste uitzonderingsgrond betreft de situatie waarin het voor de uitvoering van een contract noodzakelijk is dat er geautomatiseerde besluitvorming in de zin van art. 22 lid 1 AVG plaatsvindt. De A29WG geeft een drietal voorbeelden: zo kan een geautomatiseerd proces helpen om menselijke fouten of machtsmisbruik te voorkomen, risico’s met betrekking tot schulden te verlagen en ten slotte efficiëntie te verhogen. De term ‘noodzakelijk’ moet volgens A29WG restrictief worden uitgelegd. [42]

De tweede uitzonderingsgrond ziet op het bestaan van wetgeving die geautomatiseerde besluitvorming toestaat en adequate waarborgen voor de bescherming van de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene bevat. Denk bijvoorbeeld aan het voorkomen of het opsporen van fraude en belastingontduiking.[43]

De laatste uitzonderingsgrond betreft de uitdrukkelijke toestemming[44] van de betrokkene. Geautomatiseerde besluitvorming kan dermate significante gevolgen hebben voor de betrokkene dat het wenselijk is dat deze hierover controle kan uitoefenen. In het geval van een minderjarige betrokkene zal de toestemming tevens moeten voldoen aan de vereisten van art. 8 AVG, wat op zich al tal van uitdagingen oproept die we hier echter niet verder zullen behandelen.

4.6.2 De uitzonderingsgronden uitgelegd in het geval van minderjarige betrokkenen

Eerder refereerden we al aan overweging 71 AVG op basis waarvan de in het geautomatiseerde individuele besluit besloten liggende (rechts)gevolg geen betrekking mag hebben op een kind, alsmede de omissie in art. 22 AVG om uitdrukking te geven aan die overweging. Op het eerste oog lijkt de overweging – in lijn met de door Mendoza en Bygrave gegeven uitleg – in te houden dat geautomatiseerde besluitvorming in het geval van kinderen verboden is. We gaven echter al aan dat het verbod daarmee wel heel ruim wordt uitgelegd. Geautomatiseerde besluitvorming kan namelijk ook bijdragen aan het welzijn van kinderen, zolang maar nadrukkelijk rekening wordt gehouden met het belang van het kind en het proces met voldoende passende waarborgen is omkleed.

Ook de A29WG spreekt niet van een absoluut verbod, aangezien – zo stelt de werkgroep – art. 22 AVG dit dan nadrukkelijk had moeten vermelden. Dat op zich is niet zo’n sterk argument, want dat ook kan worden gezegd van de uitleg die zij vervolgens wél aan de bepaling geven.[45] Volgens de A29WG moeten de uitzonderingen in art. 22 lid 2 AVG met betrekking tot kinderen restrictief worden uitgelegd:

‘wherever possible, controllers should not rely upon the exceptions in Article 22(2) to justify it. (…) There may nevertheless be some circumstances in which it is necessary for controllers to carry out solely automated decision-making, including profiling, with legal or similarly significant effects in relation to children, for example to protect their welfare.’[46]

De door art. 22 AVG vereiste passende waarborgen moeten in het laatstgenoemde geval – een uitzonderingsgrond is op zijn plaats – wel specifiek geschikt zijn voor kinderen.

Zoals we in paragraaf 4.5. reeds lieten zien is de A29WG uitgesproken tegenstander van het profileren van kinderen voor marketingdoeleinden, waarvan zij vindt dat bedrijven zich niet op dat pad zouden moeten begeven. Op het eerste gezicht lijkt het lastig om een dergelijke uitleg gestand te doen onder art. 22 lid 1 AVG omdat het vereist dat de effecten van online marketingpraktijken significant zijn. Met de interpretatie van de A29WG van het tweede lid van art. 22 AVG – te weten een restrictieve uitleg van de uitzonderingsgronden – in de hand, kan de toets onder lid 1 (is er sprake van een significant effect?) in het geval van kinderen echter gaan samenvallen met die onder lid 2 (is geautomatiseerde besluitvorming in het belang van het kind?). Feitelijk kan dit dan gaan resulteren in een verbod op geautomatiseerde besluitvorming gericht op kinderen als deze niet aantoonbaar in het belang van het kind is, bijvoorbeeld omdat deze het welzijn van kinderen niet bevordert (conform art. 3 lid 1 IVRK). Zo gezien, kan inderdaad worden betoogd dat behavioural profiling van kinderen voor marketing-doeleinden niet is geoorloofd onder art. 22 AVG, aangezien marketing aantoonbaar schadelijke effecten kan hebben op kinderen.[47] Overigens opent dat een scala aan uitdagingen voor bedrijven.[48] Want hoe ga je consequent onderscheiden tussen kinderen en volwassenen als je bedrijfsmodel is gebaseerd op het volgen van je klanten? En hoe ga je onderscheid maken tussen kinderen van verschillende leeftijden, gelet op het feit dat de afweging van hun vrijheids- en beschermingsrechten in verband met de ‘evolving capacities’ van kinderen anders kan uitvallen afhankelijk van hun leeftijd en dat ook de schadelijke effecten van reclame kunnen verschillen per leeftijd en per individueel kind? In welke andere opzichten zijn kinderen kwetsbaarder dan volwassenen, dusdanig dat er in hun geval wél kan worden gesproken van een in aanmerkelijke mate treffen. We betoogden in paragraaf 4.5. dat er in het geval van kwetsbare betrokkenen eerder sprake kan zijn van een significant effect en derhalve de mogelijkheden voor geautomatiseerde besluitvormingen reeds op basis daarvan beperkter kunnen zijn.

4.7 Tot besluit

Met de komst van de AVG worden kinderen in het bijzonder beschermd bij de verwerking van hun persoonsgegevens. Deze bescherming werkt door in art. 22 AVG maar op welke manier is vooralsnog niet duidelijk. Art. 22 AVG kan worden gelezen als een verbod op geautomatiseerde besluitvorming dat in geval van minderjarige betrokkenen naar verwachting strenger moet worden toegepast. Maar welke uitleg er precies aan de bepaling moet worden gegeven als verwerkingsverantwoordelijken te maken hebben met kinderen, is en blijft nog wat gissen. Het lijkt erop dat de wetgever kinderen niet geheel heeft willen vrijwaren van geautomatiseerde besluiten. Wel treffen geautomatiseerde besluiten het kind – zo denken wij – sneller in aanmerkelijke mate dan dat dit bij volwassen betrokkenen het geval is. Er is dus in gevallen van kinderen sneller sprake van een door art. 22 AVG bestreken geautomatiseerd besluit. Ook zouden de uitzonderingen van art. 22 lid 2 AVG volgens de A29WG in het geval van minderjarigen restrictief moeten worden uitgelegd, in de zin dat geautomatiseerde besluitvorming achterwege blijft tenzij het welzijn van het kind ermee wordt bevorderd. Dit sluit aan bij art. 3 IVRK waarin is neergelegd dat het belang van het kind de eerste overweging is bij op kinderen gerichte maatregelen. Art. 22 AVG kan kinderen echter maar tot op zekere hoogte beschermen. Zo worden kinderen niet beschermd tegen profileren als zodanig, terwijl ook dat op zich al een negatieve impact op hen kan hebben. Daarnaast blijft leeftijdsverificatie een van de grote uitdagingen in het beschermen van kinderen in de digitale wereld zolang er nog niet of nauwelijks effectieve (en tevens privacy-vriendelijke) controle-instrumenten bestaan. Feitelijk kunnen de voor kinderen strengere beschermingsregels er bovendien toe leiden dat zij worden uitgesloten van online diensten, waarmee zij direct worden geraakt in hun recht op vrijheid van meningsuiting, informatie en vereniging.[49] Daarmee zijn we bij een andere belangrijke kwestie die verdere aandacht vergt. Meer in het algemeen is er namelijk de opdracht vanuit het IVRK [50] om de AVG – en meer in het bijzonder art. 22 AVG – invulling te geven vanuit een kinderrechtelijk perspectief.[51] Daarbij gaat het om vragen als: hoe verhoudt de commerciële exploitatie van persoonsgegevens van kinderen door online aanbieders zich bijvoorbeeld tot het recht op bescherming van kinderen tegen commerciële exploitatie? En in hoeverre heeft het voortdurend volgen van kinderen (‘surveillance’) een negatieve impact op kinderen en hun vrijheidsrechten? Art. 22 AVG kan in dat verband niet los worden gezien van andere bepalingen in de AVG, zoals art. 25 AVG betreffende het beginsel van ‘privacy by design’ en art. 35 AVG betreffende de DPIA die eveneens tot een kindvriendelijke uitleg nopen.[52] Daarnaast ligt er nadrukkelijk een taak voor brancheorganisaties om de waarborgen voor kinderen onderdeel te maken van hun gedragscodes.[53] Er is dus nog wel wat werk aan de winkel maar we hopen met dit artikel een bijdrage te leveren aan de gedachtevorming rondom op kinderen gerichte geautomatiseerde besluitvorming.

* Simone van der Hof is sinds oktober 2011 verbonden aan het Centrum voor Recht en Digitale Technologie (eLaw), Instituut voor Metajuridica, als Professor Recht en Informatiemaatschappij aan de Universiteit van Leiden. ** Thijs Hannema is afgestudeerd aan de Universiteit Leiden (master Jeugdrecht) en schreef de masterthesis ‘Over de hoofden van kinderen’ (2018) over het verbod op geautomatiseerde besluitvorming bij kinderen onder de AVG.

5 Eindnoten

1. Zie bijv. art. 8 AVG.

2. Zie ook dezelfde opvatting in Advies CM/Rec(2010)13 of the Committee of Ministers to member states on the protection of individuals with regard to automatic processing of personal data in the context of profiling, Adopted by the Committee of Ministers on 23 November 2010 at the 1099th meeting of the Ministers’ Deputies, beschikbaar via www.search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805cdd00.

3. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG, L 281, p. 31-50).

4. D. Korff, Data protection laws in the EU, The difficulties in meeting the challenges posed by global social and technical development, European Commission, DG JFS: januari 2010.

5. Zie inmiddels evenwel art. 3 lid 3 VEU (2012/C 326/01) en o.m. art. 24 Handvest van de grondrechten van de Europese Unie (2007/C 303/01).

6. S. Kress & D. Nagel, ‘The GDPR and Its Magic Spells Protecting Little Princes and Princesses, Special regulations for the protection of children within the GDPR’, CRi 1/2017, p. 7.

7. K. McCullagh, ‘The general data protection regulation: a partial success for children on social network sites?’, in T. Bräutigam & S. Miettinen (eds.), Data Protection, Privacy and European Regulation in the Digital Age, Helsinki: Forum Iuris 2016, p. 110. 

8. Zie o.m. S. van der Hof & E. Lievens, ‘The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR’, Communications Law 2018, Vol. 23, No.1, p. 11.

9. Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 25 January 2012, COM(2012)11 final.

10. Article 29 Data Protection Working Party, Opinion 2/2009 on the protection of children’s personal data(Guidelines and the special case of schools), adopted on 11 February 2009, p. 3. De A29WG is inmiddels vervangen door de European Data Protection Board (EDPB).

11. Zie ook art. 12 lid 1 IVRK: ‘De Staten die partij zijn, verzekeren het kind dat in staat is zijn of haar eigen mening te vormen (…) waarbij aan de mening van het kind passend belang wordt gehecht in overeenstemming met zijn of haar leeftijd en rijpheid.’ (cursief door auteurs)

12. De A29WG maakt hier een wat curieus onderscheid tussen een statische en dynamische benadering nu het bij de zich ontwikkelende vermogens van kinderen welhaast per definitie gaat om een voortdurend veranderingsproces.

13. Zie hierover M. Macenaite & E. Kosta, ‘Consent for processing children’s personal data in the EU: following in US Footsteps?’, Information & Communications Technology Law, 2017/26(2), p. 146-197 en V. Verdoodt & E. Lievens, ‘De AVG bekeken vanuit een kinderrechtenperspectief: pluspunten, knelpunten & vraagstukken’, Computerrecht 2017/155, afl. 4, augustus 2017. Zie ten slotte S. van der Hof, ‘I agree... or do I? – A rights-based analysis of the law on children’s consent in the digital world’, Wisconsin International Law Journal, 34 (2), 2017, p. 409-445.

14. Zie voor uitleg van deze aanname par. 4.3.

15. M. van Eck, Geautomatiseerde ketenbesluiten & rechtsbescherming: Een onderzoek naar de praktijk van geautomatiseerde ketenbesluiten over een financieel belang in relatie tot rechtsbescherming, Tilburg University: 2018, p. 43.

16. Zie bijv. het op basis van algoritmes voorspellen van uitkeringsfraude door Totta Data Lab, een toepassing die in enkele Nederlandse gemeenten als pilot is gestart. Zie: Posts tagged: Fraude voorspellen, Tottadatalab.nl en Themacontrole m.b.v. machine learning in het sociaal domein, VNG.nl.

17. ‘No-fly list flags more Canadian toddlers as security risks’, CBC News: 4 januari 2016.

18. J.F. van Wijnen, ‘Privacywet schiet tekort bij hulp tegen computer’, Financieel Dagblad: 15 oktober 2018.

19. Zie ook art. 13 lid 2 onderdeel f en art. 14 lid 2 onderdeel g AVG.

20. Voor een hilarisch voorbeeld, zie de clip van Little Britain, Computer says no, YouTube.

21. I. Mendoza & L.A. Bygrave, ‘The right not to be subject to Automated Decisions based on profiling’ University of Oslo Faculty of Law Legal Studies Research Paper Series 2017/20, p. 9. 

22. Zie overigens ook art. 11, Verordening (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, waarin de bescherming tegen geautomatiseerde individuele besluitvorming is gegoten in de vorm van een verbod.

23. I. Mendoza & L.A. Bygrave, ‘The right not to be subject to Automated Decisions based on profiling’ University of Oslo Faculty of Law Legal Studies Research Paper Series 2017/20, p. 10. 

24. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 19-20.

25. M. Macenaite, ‘From universal toward child-specific protection of the right to privacy online’, New media & society 2017, vol. 19(5), p. 771. Zie ook Recommendation CM/Rec(2018)7 of the Committee of Ministers to member States on Guidelines to respect, protect and fulfil the rights of the child in the digital environment, p. 17. Zie ten slotte P. Lee, ‘Let’s sort out this profiling and consent debate once and for all’, 4 juli 2017, Privacylawblog.

26. ‘Council of the European Union (2014) Presidency note concerning profiling, 2012/01(COD)’, 10 juni 2014, p. 5, beschikbaar via www.register.consilium.europa.eu/doc/srv?l=EN&f=ST%2010617 %202014%20INIT.

27. E. Lievens & V. Verdoodt, ‘Looking for needles in a haystack: Key issues affecting children’s rights in the General Data Protection Regulation’, Computer Law & Security Review: The International Journal of Technology Law and Practice 34/2, 2018, p. 269-278 (met verwijzingen).

28. Ook wanneer dergelijke praktijken niet zouden worden bestreken door art. 22 AVG dan nog zijn zij vanuit het kinderrechtelijk kader relevant in de zin dat kinderen daar mogelijk tegen beschermd dienen te worden, aangezien kinderen een recht op privacy (art. 16 IVRK) en een recht op bescherming tegen commerciële exploitatie (art. 32 IVRK) hebben; zie ook S. van der Hof, ‘‘I agree... or do I? – A rights-based analysis of the law on children’s consent in the digital world’, Wisconsin International Law Journal, 34 (2), 2017, p. 409-445. 

29. De AVG geeft geen definitie van ‘besluit’ maar aangenomen mag worden dat het breed uitgelegd wordt en mede een op een individu gerichte maatregel, toepassing of beslissing omvat.

30. M. Veale & L. Edwards, ‘Clarity, surprises, and further questions in the Article 29 Working Party draft guidance on automated decision-making and profiling’, Computer Law & Security Review, Vol. 34, Issue 2, April 2018, p. 398-404.

31. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 9-10.

32. Zie voor verdere uitleg en voorbeelden A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 21.

33. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 21.

34. Zie M. Abraham e.a., Pilots ProKid Signaleringsinstrument 12- geëvalueerd, DSP-groep, in opdracht van het WODC van het Ministerie van Veiligheid en Justitie, 2011, p. 24 e.v.

35. Dit kan worden afgeleid uit de eerste zin van overweging 71 AVG.

36. Denk aan adaptief leren, waarbij op basis van algoritmes een gepersonaliseerd leerprogramma voor een kind wordt gecreëerd. 

37. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 29.

38. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 29.

39. Zie V. Verdoodt, Children’s rights and advertising literacy in the digital era: towards an empowering regulatory framework for commercial communication (diss. Leuven).

40. Information Commissioner’s Office, Automated decision-making and profiling.

41. V. Verdoodt & E. Lievens, ‘De AVG bekeken vanuit een kinderrechtenperspectief: pluspunten, knelpunten & vraagstukken’, Computerrecht 2017/155, afl. 4, augustus 2017, p. 9.

42. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017.

43. Zie overweging 71 AVG.

44. Bij uitdrukkelijke toestemming moet gedacht worden aan een vorm van toestemming die verder gaat dan een reactieve bevestiging van de betrokkene en bijvoorbeeld bestaat uit een uitdrukkelijk instemmen door middel van een verklaring. A29WG stelt over de betekenis van uitdrukkelijke toestemming: ‘The term explicit refers to the way consent is expressed by the data subject. It means that the data subject must give an express statement of consent.’ Nog niet helemaal duidelijk is echter hoe dit vereiste invulling moet krijgen.

45. Overigens is dit meer in het algemeen een aandachtspunt bij de uitleg van de bepalingen van de AVG waarin kinderen niet worden genoemd, maar die wel relevant zijn om de persoonsgegevensbescherming bij kinderen op adequate wijze te effectueren. Vgl. S. van der Hof & E. Lievens, ‘The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR’, Communications Law 2018, Vol. 23, No. 1.

46. A29WG, Guidelines on automated individual decision-making and profiling for the purposes of the regulation 2016/679, WP 251, 3 October 2017, p. 11 en 26-27.

47. V. Verdoodt, Children’s rights and advertising literacy in the digital era: towards an empowering regulatory framework for commercial communication (diss. Leuven).

48. Zie eerder al onder paragraaf 2.

49. Resp. art. 13, 17 en 14 IVRK.

50. En tevens het EU Grondrechten-Handvest (zie o.m. art. 7, 8 en 24).

51. Terecht groeit de aandacht voor de rechtspositie van kinderen in de digitale wereld, zie ook de recente aanbeveling van de Raad van Europa hierover, Recommendation CM/Rec(2018)7 of the Committee of Ministers to member States on Guidelines to respect, protect and fulfil the rights of the child in the digital environment.

52. Zie hierover S. van der Hof & E. Lievens, ‘The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR’, Communications Law 2018, Vol. 23, No.1, p. 11.

53. Zie art. 40 lid 2 onderdeel g AVG.