Rechten van betrokkenen

Rechten van kinderen onder de AVG: wat moet je extra regelen als je minderjarigen in je bestand hebt?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je hebt een te gekke app of een drukbezochte webshop.

Inhoudsopgave
  1. Waarom kinderen anders zijn dan volwassenen
  2. De leeftijdsgrens: 16 jaar of toch 13?
  3. Hoe vraag je toestemming aan kinderen?
  4. Verzamelen en verwerken: wat mag wel en niet?
  5. De rechten van het kind (en de ouder)
  6. Cookies en tracking: geen gemakkelijke weg
  7. Technische en organisatorische maatregelen
  8. Praktische stappenplan voor jouw organisatie
  9. Conclusie

Je weet hoe je moet omgaan met de gegevens van je volwassen klanten. Maar wat als er ineens een 15-jarige tussen zit?

Dan veranderen de regels plotseling drastisch. De Algemene Verordening Gegevensbescherming (AVG) beschermt iedereen, maar voor kinderen geldt een strengere regime. In dit artikel lees je, zonder ingewikkelde juridische taal, wat dit precies voor jou betekent en hoe je je zaken slim en veilig regelt.

Waarom kinderen anders zijn dan volwassenen

De kern van de AVG is toestemming geven. Een volwassene kan zelf beslissen of hij zijn gegevens wil delen.

Een kind kan dat theoretisch ook, maar de wetgever gaat er vanuit dat kinderen minder goed in staat zijn om de risico’s en gevolgen van data-opslag in te schatten. Ze zijn kwetsbaarder voor misleiding en druk. Daarom behandelt de AVG minderjarigen als een speciale categorie.

De basisleeftijd voor toestemming onder de AVG is 16 jaar. Echter, dit is geen harde grens voor alle situaties.

In Nederland mag je pas zelfstandig juridische beslissingen nemen als je 18 bent. Tot die tijd hebben ouders of voogden een zorgplicht. De uitdaging zit hem erin dat je soms met het kind praat, en soms met de ouder. Je moet dit altijd duidelijk communiceren.

De leeftijdsgrens: 16 jaar of toch 13?

Het is verleidelijk om te denken: "Ik vraag gewoon om een geboortedatum".

Maar de regels zijn specifiek. Onder de AVG mag een organisatie pas toestemming vragen aan een kind vanaf 16 jaar. Zijn ze jonger? Dan heb je toestemming nodig van de ouder of voogd.

Let wel op: er bestaat ook zoiets als de Amerikaanse COPPA-wetgeving (Children's Online Privacy Protection Act). Die treedt pas op vanaf 13 jaar.

Als je internationaal werkt, moet je vaak de strengste regel aanhouden. In de praktijk betekent dit voor de meeste Europese organisaties: ben je jonger dan 16?

Vraag toestemming aan de ouders. Ben je 16 of ouder? Dan mag het kind het zelf doen, tenzij de wet anders zegt.

Hoe vraag je toestemming aan kinderen?

Toestemming moet ‘vrij, geïnformeerd, specifiek en ondubbelzinnig’ zijn. Dat klinkt zwaar, maar het betekent simpelweg: je mag niet stiekem of via een moeilijk woordje toestemming krijgen. Voor kinderen mag je geen juridisch jargon gebruiken.

De privacyverklaring begrijpelijk maken

Een privacyverklaring vol met termen als ‘verwerkingsverantwoordelijke’ en ‘rechtsgrondslag’ werkt niet. Schrijf op niveau B1 of lager.

Active toestemming vs. stilzwijgende toestemming

Gebruik korte zinnen en leg uit wat je doet met hun foto’s of gegevens. Bijvoorbeeld: "We bewaren je naam om je pakketje te bezorgen, niet om je later lastig te vallen."

Je kunt niet zomaar een vakje aankruisen voor een kind. Er moet actief iets gebeuren: een vinkje zetten, een knop indrukken of een schuifje bewegen. Stilzwijgende toestemming (door het alleen maar gebruiken van de site) is niet geldig voor kinderen onder de 16. Zorg ervoor dat het proces duidelijk is en dat het kind (of de ouder) precies weet waar ze ja op zeggen.

Verzamelen en verwerken: wat mag wel en niet?

Het principe ‘dataminimalisatie’ is extra belangrijk bij kinderen. Vraag alleen gegevens die écht nodig zijn voor de dienst.

Leeftijdsverificatie

Hoe weet je of iemand 15 of 18 is? Je bent wettelijk verplicht om redelijke inspanningen te doen om de leeftijd te verifiëren. Dit is lastig.

Je kunt vragen om een geboortedatum, maar een kind kan hier makkelijk over liegen. Standaardmethoden zijn: Let op: je hoeft niet per se een ID-bewijs te scannen (dat is vaak disproportioneel), maar je moet wel een systeem hebben dat de identiteit van de verzoeker verifieert zonder dat je onnodig extra gegevens verzamelt.

  • Een geboortedatum invullen bij registratie.
  • Een controle via een betaalmethode (een creditcard werkt vaak pas vanaf 18).
  • Gebruik van ID-inlogmiddelen (zoals DigiD voor volwassenen, maar voor kinderen zijn er specifieke school- of identiteitsapps).

Verzamel je gegevens die bijzonder persoonsgegevens zijn? Denk aan gezondheidsdata, locatietracking of politieke voorkeuren. Dan worden de regels nog strenger. Voor kinderen onder de 16 is het bijna altijd vereist dat een ouder expliciet toestemming geeft, zelfs als het kind ouder is dan de standaardgrens van 16 jaar.

Gevoelige gegevens

De rechten van het kind (en de ouder)

De AVG kent iedereen het recht op inzage, rectificatie en verwijdering toe. Bij kinderen is dit net iets anders.

Recht op vergetelheid

Een kind heeft het recht om vergeten te worden. Dit is cruciaal. Een ondoordachte post op social media of een game-account op je 12e mag je later niet blijven achtervolgen. Als een kind (of diens ouder) vraagt om gegevens te verwijderen, moet je dit zo snel mogelijk doen.

Inzage en correctie

Denk aan accounts die worden gesloten of profielen die worden gewist. Wil een kind weten welke gegevens jij hebt?

Gegevensportabiliteit

Dan moet je die informatie geven. Echter, omdat de ouder de wettelijke vertegenwoordiger is, mag je deze informatie ook aan de ouder verstrekken. Maar wees voorzichtig: als een kind ouder is dan 16, en er is sprake van vertrouwelijkheid (bijvoorbeeld bij een hulpverleningsapp), dan mag je niet zomaar alles aan de ouder laten zien.

Je moet een afweging maken tussen de privacy van het kind en de zorgplicht van de ouder. Het recht op overdraagbaarheid van gegevens geldt ook voor kinderen. Als ze willen overstappen naar een andere game- of sociale media-dienst, moeten zij hun eigen data (bijvoorbeeld hun profielfoto’s en vriendenlijst) makkelijk kunnen meenemen.

Cookies en tracking: geen gemakkelijke weg

Veel websites gebruiken cookies om gedrag te volgen. Voor volwassenen volstaat een cookiemuur of een simpele ‘akkoord’-knop.

Voor kinderen is dit lastiger. De ePrivacy Richtlijn (en de nieuwe ePrivacy Verordening) stelt dat je toestemming moet hebben voor het opslaan van informatie op een apparaat. Omdat kinderen vaak niet in staat zijn de implicaties van tracking te overzien, is de drempel hoger.

Je moet: Veel adverteerders en platforms (zoals Google Ads) bieden al speciale instellingen aan voor targeting op kinderen, waarbij persoonlijke reclame wordt uitgeschakeld. Gebruik deze opties altijd.

  • Voorkomen dat je tracking cookies plaatst vóór de toestemming.
  • De toestemming specifiek vragen voor het kind.
  • Profielen opbouwen op basis van surfgedrag van kinderen is verboden zonder expliciete, geïnformeerde toestemming van de ouders.

Technische en organisatorische maatregelen

De AVG verplicht je om passende beveiligingsmaatregelen te nemen. Bij kindergegevens betekent dit vaak ‘state of the art’ beveiliging.

Beveiliging en toegang

Je moet voorkomen dat onbevoegden toegang krijgen tot de gegevens van kinderen. Gebruik sterke encryptie voor data-in-transit (tijdens het verzenden) en data-at-rest (opgeslagen bestanden). Beperk de toegang binnen je organisatie: niet iedere medewerker hoeft te zien welke 12-jarige jouw app gebruikt.

Bouw privacy in vanaf het begin. Vraag je af: is deze feature wel veilig voor een kind?

Privacy by Design

Bijvoorbeeld: een openbaar profiel voor een 13-jarige is vaak een risico. Zorg ervoor dat standaardinstellingen privacyvriendelijk zijn (privacy by default).

Een account voor een kind moet standaard privé zijn, niet openbaar.

Praktische stappenplan voor jouw organisatie

Wil je direct aan de slag? Volg dan deze stappen:

1. Inventariseer je data

Weet je wie er in je bestand zit? Voer een analyse uit.

2. Update je privacyverklaring

Hoeveel minderjarigen gebruiken je dienst? Welke gegevens heb je van hen? Zitten er bijzondere persoonsgegevens bij?

3. Implementeer een toestemmingsmechanisme

Maak een aparte sectie voor minderjarigen. Leg uit dat je toestemming van ouders nodig hebt en wat je met de gegevens doet. Gebruik heldere taal. Bouw een systeem waarbij: Zorg dat je medewerkers weten dat kindergegevens extra gevoelig zijn.

  • Een gebruiker zijn leeftijd invoert.
  • Als de leeftijd onder de 16 is, een pop-up verschijnt om de ouder te mailen of een verificatiecode te sturen.
  • De toestemming wordt geregistreerd (bijvoorbeeld via een digitale handtekening van de ouder).

4. Train je team

Een supportmedewerker moet weten hoe hij omgaat met een verzoek van een ouder of een kind.

5. Voer een Data Protection Impact Assessment (DPIA) uit

Als je op grote schaal gegevens van kinderen verwerkt (bijvoorbeeld een social media platform of een educatieve app), ben je verplicht een DPIA uit te voeren. Dit is een risicoanalyse die je moet documenteren.

Conclusie

De AVG zorgt ervoor dat kinderen online even veilig zijn als offline. Hoewel de regels soms complex lijken, komt het neer op gezond verstand: wees transparant, vraag expliciet toestemming en bescherm de data alsof het om je eigen kind gaat. Door nu de juiste technische en juridische maatregelen te nemen, voorkom je hoge boetes en bouw je een veilig platform dat ouders vertrouwen.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen? Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →