Cyberkids’ e-Privacy Minderjarigen, minder rechten?
Privacy Paper Nr. 4
Cyberkids’ e-Privacy Minderjarigen, minder rechten?
Privacy Paper Nr. 4
Beschikbaar in deze reeks: Privacy Paper Nr. 1:
e-Privacy in België: werk aan de e-winkel? De bescherming van de persoonlijke levenssfeer in Belgische websites. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2001. Privacy Paper N° 1:
Privacy and e-Commerce: mind the gap!
Protection of consumers’ privacy in Belgian websites.
Department of Communication Studies K.U.Leuven, Leuven: 2001. Privacy Paper Nr. 2:
e-Big Brother: gevreesd of niet? Attitude & gedrag van internetgebruikers t.o.v. e-marketing en de bescherming van de privacy. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2001. Privacy Paper Nr. 3:
e-PRIVACY.be Een betere bescherming van de privacy in Belgische websites, één jaar na het van kracht worden van de herziene privacywet? Een analyse van 250 Belgische websites m.b.t. het verzamelen van persoonsgegevens conform de Belgische privacywet (vergelijking 2001- 2002) en een enquête bij webmasters. Departement Communicatiewetenschap K.U.Leuven, Leuven: 2002. Privacy Paper N° 3:
Online data processing and privacy rights: clicking or clashing? An analysis of online privacy statements in the light of E.U. data protection legislation. Department of Communication Studies
K.U.Leuven, Leuven: 2002.
Privacy Paper N° 4: Kids’ and Teens’ e-Privacy at stake? An analysis of data processing and privacy statements on websites aimed at children and adolescents. Department of Communication Studies, University of Antwerp, Antwerpen: 2005.
Boeken omtrent o.a. e-privacy: Telemarketing, storing op de lijn? Leuven: Acco (1995) Privacy gescand? Leuven: Universitaire Pers Leuven (1999) e-Marketing & Privacy: zo geclickt? Mechelen: Kluwer (2001) Met uw permissie. E-mailmarketing en de opt-in regel. Antwerpen: De Boeck (2004). Info: http://www.e-privacy.be
Niets uit deze uitgave mag worden verveelvoudigd zonder voorafgaande schriftelijke toestemming van de auteur. Alle rechten voorbehouden. Michel Walrave
Cyberkids’ e-Privacy
3
Werkten mee aan de analyse van de websites: Aerts Katia Aerts Nathalie Beyen Veerle Broos Deborah Bulcke Evert Creten Leslie Custers Kathleen D’Hooghe Valentine De Moortel Koen De Munck Dominique De Munter Stéphanie De Wit Marjolein Dechamps Tim Deschamps Bram Emmers Shanna Franco Kim Gaublomme Peter Hermans Jeroen Jansseune Katrien Keustermans Bruno Kiesekoms Marianne Loozen Annelies Marinus Sarah Mertens Geert Nelissen Patricia Nulis Maarten Oversteyns Catherine Peeters Brigitte Robben Tessie Ruts Martine Smaers Mieke Thuys Jo Tiberio Manuela Valkiers Katrien Van Broekhoven Natalie Van Coppenolle Goedele Van Esbroeck Bo Vancluysen Kris Verschoore Severine Vivijs Tomas Weeghmans Liesbeth Zaman Bieke
Ontwerp kaft: Yasmine Heuts
Illustratie van ‘tips voor Cyberkids’: Média Animation
Revisie: Dra. Marijke De Bie
Opstellen van de vragenlijst en de handleiding, update van de analyse, de statistische verwerking en redactie van het onderzoeksrapport: Prof. dr. Michel Walrave, Universiteit Antwerpen Michel Walrave is verbonden aan Universiteit Antwerpen en is verantwoordelijk voor de onderzoeksgroep Strategische Communicatie van het departement Communicatiewetenschappen, Faculteit Politieke & Sociale Wetenschappen. Hij verricht sinds 1992 onderzoek over toepassingen en gevolgen van de informatiemaatschappij, waaronder e-privacy en direct marketing [http://www.e-privacy.be] en telewerken [http://www.tijdvoortelewerk.be].
Cyberkids’ e-Privacy
4
INHOUDSOPGAVE
SYNTHESE
6
1. INLEIDING
7
2. PRIVACYRECHTEN VAN MINDERJARIGEN
11
2.1. Basisprincipes van de privacywet
12
2.2. Bescherming van de minderjarigen
14 14 16
3. JONGERENSITES EN DE PRIVACYWET
21
3.1. Methode
21
3.2. Resultaten
23 24 29 31 40 41
4. NAAR EEN EUROPESE COPPA?
42
4.1. COPPA in een notendop
42
4.2. Worden de regels nageleefd?
45
5. BESLUIT: MEER RECHTEN VOOR MINDERJARIGEN
47
TIPS VOOR CYBERKIDS
49
BIBLIOGRAFIE
50
WEBOGRAFIE
52
2.2.1. Noodzakelijkheidsprincipe 2.2.2. Wettigheids- en rechtmatigheidsprincipe
3.2.1. Verzamelde data 3.2.2. Privacy statement aanwezig? 3.2.3. Privacy statement volledig? 3.2.4. Gebruik van cookies? 3.2.5. Respons op mystery e-mails?
Cyberkids’ e-Privacy
5
SYNTHESE Een meerderheid van de websites die hoofdzakelijk bestemd zijn voor kinderen en tieners verzamelt persoonsgegevens van de jonge bezoekers zonder hun privacyrechten te respecteren. Hoewel zo’n 8 op de 10 websites persoonsgegevens verzamelen, hebben daarvan slechts 4 op de 10 een privacy statement. Bovendien is deze wettelijk verplichte informatie vaak onvolledig. Deze en andere vaststellingen werden gemaakt op grond van een analyse van 294 websites van profit- en non-profitorganisaties, gevestigd in België, die zich hoofdzakelijk richten tot minderjarigen. Zo'n acht op de tien onderzochte websites (82,4%) verzamelen op één of andere manier persoonsgegevens. Daarbij wordt gevraagd naar de naam (81%), naar contactgegevens als e-mail (87%), adres (54%), telefoonnummer (32%) of gsm-nummer (19%), maar ook naar persoonskenmerken als leeftijd (37%), geslacht (15%), hobbies (7%), nationaliteit (6%) of studies (5%). Nochtans stelt de Privacycommissie dat «de gegevens die een directe identificatie mogelijk maken van de minderjarige, zoals zijn familienaam, zijn adres, zijn telefoonnummer, zijn foto of de naam van zijn school, in principe niet zouden moeten worden ingezameld» in haar advies (Nr. 38/2002). De Commissie stelde verder dat elke verzameling van gegevens voor marketingdoeleinden van minderjarigen die de leeftijd van onderscheidingsvermogen nog niet bereikt hebben, onwettig is. Indien we de websites bekijken die zich tot dit publiek (van min-12-jarigen) richten, stellen we vast dat bezoekers de mogelijkheid hebben om niet enkel hun e-mailadres mee te delen (80%), maar ook hun naam (67%), adres (44%), telefoonnummer (22%), gsm (10%) en zelfs informatie over derden (6%). Van de websites die data verzamelen, hebben slechts vier op de tien (39%) een privacystatement. Vaak is het dan nog onvolledig, moeilijk terug te vinden op de website of verdrinkt het in een massa juridische informatie of gebruiksvoorwaarden. Bijna zeven op de tien sites vermelden dat men recht van inzage en correctie heeft, maar de te volgen procedure is vaak onduidelijk. In meer dan de helft van de privacy statements kunnen bezoekers vernemen dat hun data gebruikt worden voor direct marketing, maar vier op de tien sites bieden niet de mogelijkheid om zich daartegen te verzetten. Aangezien de bestudeerde websites zich hoofdzakelijk richten tot kinderen en adolescenten, werd nagegaan of er in het privacystatement informatie werd opgenomen voor de ouders en of kinderen worden aangespoord hun advies in te winnen vooraleer eigen gegevens mee te delen. Dit laatste wordt aanbevolen door de Privacycommissie. In slechts 12% van de privacy statements vindt men informatie die bestemd is voor de ouders. Cookies vergemakkelijken het surfen, maar kunnen ook benut kunnen worden om het surfgedrag van de websitebezoekers in kaart te brengen. 54,5% van de onderzochte sites gebruikt cookies. In 76% van de onderzochte gevallen, wordt geen informatie gegeven over deze cookies. Wanneer men cookies verwerpt, krijgt men in slechts 30% van de gevallen zonder problemen direct toegang tot de website. Het recht op informatie, het recht op toegang tot eigen gegevens, het recht op correctie en het recht op verzet zijn essentiële privacyrechten, die trouwens niet alleen voor jongeren gelden. Uit dit onderzoek blijkt dat vele websites een loopje nemen met de privacywet. Websites die zich naar jongeren richten zouden bovendien een stap verder moeten gaan en de beginselen van de privacywet op een duidelijke en begrijpbare wijze vertalen naar deze doelgroep en in bepaalde gevallen het advies of de toestemming van de ouders inwinnen.
Cyberkids’ e-Privacy
6
1. INLEIDING Surfen op het web is voor jongeren een boeiende en leerrijke ervaring. Niet alleen zijn er steeds meer websites voor hen bestemd, maar chatten kan leiden tot een virtuele vriendenkring die in de realiteit ook kan meevallen. De sterke verwevenheid van ICT met het leven van jongeren kan aanleiding geven tot nieuwe communicatie- en interactiepatronen tussen jongeren onderling en eventueel met andere generaties. Jongeren gebruiken ICT ondermeer in hun zoektocht naar zelfstandigheid en volwassenheid. Onderzoek wijst uit dat de soevereiniteit van jongeren toeneemt naargelang ICTvaardigheden sterker worden ontwikkeld. ICT en massamedia dragen met andere woorden bij tot de ‘empowerment’ van jongeren (Jenkins, 1997; Izenberg & Lieberman, 1998; Orleans & Overton, 1998). Hoewel deze digitale generatie als ervaren gebruikers worden beschouwd, vormen ze ook een kwetsbare doelgroep. Het huidige wetenschappelijke en politieke discours bevat namelijk paradoxale standpunten over jongeren en ICT. Enerzijds worden ze als experten gezien bij het hanteren van nieuwe technologieën. Anderzijds betekent deze snelle beheersing van computervaardigheden nog niet dat ze kunnen omgaan met specifieke risicosituaties. Jonge ICT-gebruikers kunnen inderdaad slachtoffer of eveneens actor zijn van gedrag dat schadelijk kan zijn voor hun of iemand anders emotionele, fysieke en intellectuele ontwikkeling. Deze negatieve situaties omvatten ondermeer cyberpesten, vervalsen of stelen van identiteiten, beledigingen in chat rooms, confrontatie met schadelijke inhoud (zowel bv. racistisch, gewelddadig als pornografisch), doorgeven van persoonlijke informatie van zichzelf of anderen voor commerciële of andere doeleinden (Holloway & Valentine, 2003; Livingstone, 2002). Ze kunnen ook van spammers, die hun e-mailadres op het internet of in een discussieforum plukten, aanbiedingen ontvangen die schadelijk kunnen zijn in het algemeen, maar ook soms voor hun ontplooiing in het bijzonder. In dit verband kan een tweevoudige digitale kloof worden vastgesteld bij de (jonge) ICT-gebruikers. Ten eerste is er de ongelijke toegang van jongeren tot ICT, afhankelijk van hun thuissituatie en het onderwijs dat ze genieten. Ten tweede moet men rekening houden met de verscheidenheid in emotionele en intellectuele karakteristieken en competentie maar ook de familiale en onderwijs context en ondersteuning die de omgang met specifieke risicovolle situaties kan beïnvloeden (Holloway & Valentine, 2003; Livingstone, 2002). Het exploiteren van de mogelijkheden van ICT en het vermijden van risico’s hangt namelijk nauw samen met de ICT-vaardigheden waarover jongeren beschikken. Deze vaardigheden zijn echter niet gelijk verdeeld. Evenzeer zijn de motieven van ICTgebruik divers. Jongens zijn in het bijzonder meer bedreven in het gebruik van computers, internet en videogames. Meisjes zullen ICT eerder gebruiken om hun sociale contacten te intensifiëren (gsm, email, chatrooms) (Livingstone e.a., 2005; Rideout e.a., 1999; Kline & Botterill, 2001; Durndell e.a., 1997). Verder hebben ook sociaal-culturele breuklijnen in de maatschappij een effect op ICTvaardigheden (Rideout e.a., 1999; Mumtaz, 2001; Livingstone e.a., 2005). De manier waarop jongeren omgaan met risico’s (op het internet bijvoorbeeld) is minder onderzocht dan de invloed van computergebruik op fysieke, cognitieve, emotionele en sociale kenmerken en
Cyberkids’ e-Privacy
7
vaardigheden (Grinter & Palen, 2002; Mesch, 2001; Livingstone, 2002; Van Rompaey e.a., 2002; Valkenburg, 2004). Hoe jongeren reageren in risicohoudende situaties bij internetgebruik of hoe ze zelf risicogedrag uiten, is wel al onderwerp geweest van enkele studies (Mitchell, Finkelhor & Wolak, 2001; Holloway & Valentine, 2003; Youn, 2005). Wat betreft de invloed van online marketing op jongeren wordt in onderzoek teruggegrepen naar eerdere inzichten in de manier waarop kinderen het onderscheid maken tussen reclame en andere inhoud van massamedia en de invloed van kinderen en adolescenten op de aankopen van hun ouders (Van Raaij, 1997). Enkele recente onderzoeken focussen op online marketing en jongeren. De commerciële druk neemt namelijk ook online op hen toe (Gilutz & Nielsen, 2002). Ze worden als nieuwsgierige en enthousiaste consumenten steeds meer aangesproken voor commerciële doeleinden. Een groeiend aantal producten en diensten worden hen aangeboden. Bovendien wordt, onder meer op het internet, reclame en amusement soms vermengd (het zogenoemde promotainment). Bepaalde figuren die worden gebruikt in de promotie van producten (bv. ontbijtgranen) kunnen worden geïntegreerd in een online spel en op die manier de jongere confronteren met cruciale elementen van het merk. Kortom, het product, het logo of bepaalde figuren die deel uitmaken van het merk worden geïntegreerd in een interactieve online omgeving. Dit maakt het onderscheiden van de concrete commerciële doelstellingen moeilijker (Montgomery, 2001). Resultaten van onderzoek naar het onderscheidingsvermogen van minderjarigen inzake online content en reclame is niet eenduidig. Zo blijkt bijvoorbeeld uit een studie (bij kinderen van 5 tot 11 jaar) dat ze het onderscheid tussen inhoud van een webpagina en banners niet konden maken. Ander onderzoek duidt op het belang van internetervaring, waarbij kinderen en adolescenten het onderscheid tussen verschillende onderdelen van een webpagina leren kennen, met inbegrip van de commerciële intenties ervan (Henke, 1999). Het linken van wedstrijden, games, promoties aan het meedelen van persoonsgegevens, verlaagt echter de drempel om snel de gevraagde informatie toe te vertrouwen zonder stil te staan bij de eventuele verschillende doelstellingen en ontvangers van de data. Om deze consumentendoelgroep beter te leren kennen, is de verleiding trouwens groot om niet enkel persoonsgegevens van hen te verzamelen, maar ook om naast hun consumptiegedrag hun surfgedrag te analyseren. Op die manier houdt men de vinger aan de pols van de jongere, om beter te kunnen inspelen op wat z’n hartslag versnelt. Niet enkel het internet is een populair medium bij deze generatie. De mobiele telefonie en aangeboden diensten via SMS (met een hoger tarief), richten zich in belangrijke mate tot jongeren. SMS games, prijsvragen, het opvragen van beelden en beltonen leiden tot bepaalde transacties vanuit dit publiek met een groeiend aantal bedrijven. Het biedt marketeers de mogelijkheid om gegevens (o.a. het gsm-nummer) te verzamelen voor mobiele marketing, waarbij men op het juiste moment, aan de juiste persoon, maar ook op de juiste plaats, een geïndividualiseerd aanbod kan doen. Het lokaliseren van gsm-gebruikers maakt dergelijke precieze marketingcommunicatie mogelijk.
Location based services en advertising zijn daarom een logische fase in de ontwikkeling van marketingtechnieken die preciezer willen inspelen op noden, wensen en kenmerken van consumenten.
Cyberkids’ e-Privacy
8
Het experimenteren, onder meer met bovenstaande fenomenen, maar ook het nemen van risico’s maakt deel uit van het streven van jongeren naar meer onafhankelijkheid. Dit maakt het informeren, laat staan waarschuwen van deze groep internetgebruikers voor bepaalde risico’s bijzonder moeilijk. Bovendien leiden verzoeken om persoonsgegevens mee te delen vaak tot een directe beloning (toegang tot informatie, online spel, chat, …) terwijl soms andere gevolgen iets langer op zich laten wachten (ongevraagde commerciële e-mail, bijvoorbeeld). Maar zijn jonge internetgebruikers überhaupt bezorgd om hun e-privacy? Hoewel tieners (tussen 10-17 jaar) meedelen dat ze bezorgd zijn om hun privacy (79%), blijkt dit niet helemaal uit hun gedrag. Zo’n 45% zou persoonsgegevens meedelen in ruil voor een geschenk. Een meerderheid (54%) zou, bijvoorbeeld, eveneens de namen van de lievelingswinkels van hun ouders meedelen. Ook andere gegevens van zichzelf of derden zou een significant deel van de onderzochte jongeren meedelen. Een meerderheid van ouders (74%) is dan ook bezorgd dat hun kinderen teveel persoonsgegevens zullen vrijgeven op het internet. Nochtans blijken de tieners (69%) hun ouders te raadplegen wanneer hen persoonsgegevens worden gevraagd. Meisjes doen dit meer dan jongens. Ook het lezen van de privacy policy vooraleer gegevens toe te vertrouwen gebeurt vaak door een vierde van de jongeren (25%) terwijl vier op de tien dit al af en toe hebben gedaan (42%). Een vierde heeft nog nooit informatie over het privacybeleid doorgenomen vooraleer gegevens mee te delen (Turow & Nir, 2000). Daarnaast ontwikkelen tieners (56%) andere strategieën om hun privacy te beschermen door bijvoorbeeld pseudoniemen of verschillende e-mailadressen te gebruiken om min of meer anoniem te blijven (Lenhart, e.a., 2001 & 2005). Tot die conclusie kwam ook Youn die onderzocht in welke mate tieners (tussen 14 en 18 jaar) gegevens prijsgeven in ruil voor bepaalde voordelen. Hoewel vele tieners bewust zijn van mogelijke risico’s (bv. het ontvangen van ongewenste commerciële elektronische post (88%), misbruik van persoonsgegevens (45%) enzomeer), leggen de meesten de nadruk op de voordelen die ze genieten indien ze persoonlijke data toevertrouwen. Nochtans blijken veel tieners ook bepaalde gegevens niet in te vullen (53%) of bewust foute informatie te geven (44%). Zo’n vier op de tien (43%) geven toe dat ze naar een andere website surfen als men om persoonsgegevens vraagt. Opnieuw werd vastgesteld dat meisjes een hogere risicoperceptie hebben dan jongens wanneer het online meedelen van persoonsgegevens betreft. Jongens zien meer de voordelen die worden gelinkt aan het toevertrouwen van de data en zijn dan ook gewilliger dan meisjes. Ook jongere tieners zijn meer geneigd om advies in te winnen (bij ouders of leerkrachten) vooraleer online gegevens toe te vertrouwen (Youn, 2005). Juist omdat ook jonge consumenten intensief deze technologieën gebruiken is het belangrijk om zowel kinderen, adolescenten als ouders en leerkrachten te informeren over de manier waarop marketing gericht tot minderjarigen werkt en welk gebruik kan worden gemaakt van persoonsgegevens die ze onder meer op het internet meedelen. Met dit doel voor ogen is een onderzoek uitgevoerd naar de wijze waarop persoonsgegevens worden verzameld op websites die zich hoofdzakelijk richten tot kinderen en adolescenten en in welke mate dit met respect voor de persoonlijke levenssfeer gebeurt.
Cyberkids’ e-Privacy
9
Deze studie past in een reeks onderzoeken over online privacy. Naast de analyse van gedrag en attitude ten aanzien van direct marketing en privacy issues enerzijds (Walrave, 1995, 1999, 2001b) werd eerder de naleving van de privacywet in een steekproef websites van bedrijven gevestigd in België bestudeerd (Walrave, 2001a, 2002). Waarom in dit onderzoek een steekproef wordt getrokken van websites die zich richten tot een segment van de internetpopulatie, kan als volgt worden gemotiveerd. Niet alleen media, maar ook verschillende instellingen besteden aandacht aan de mogelijke risico’s van het internet voor minderjarigen. Dit resulteerde in onder meer een initiatief van Child Focus, waarbij op een website tips worden gegeven voor veilig surfen [http://www.clicksafe.be]. Eveneens
biedt
Educaunet
concrete
informatie
voor
jongeren,
leerkrachten
en
ouders
[http://www.educaunet.org]. Aangezien ook veilig chatten voor minderjarigen een prioriteit is, heeft dit aanleiding gegeven tot maatregelen o.a. op basis van de eID [http://www.saferchat.be]. Daarnaast is er ook het EU Safer Internet Programma1 [http://www.saferinternet.org], dat in België tot concrete initiatieven van informatie en sensibilisering leidt [http://www.saferinternet.be]. Dit Europese programma gaf ook in andere lidstaten aanleiding tot de ontwikkeling van sensbiliseringsinstrumenten om jongeren, ouders en leerkrachten te ondersteunen [bv. http://www.surfopsafe.nl]. Bovendien worden er zowel binnen als buiten de EU verschillende initiatieven genomen die diverse doelgroepen informeren [http://www.actioninnocence.org – http://www.childnet-int.org]2. Specifieke informatie over online privacybescherming wordt eveneens aangeboden. Zo bieden bepaalde websites de mogelijkheid om dankzij modelbrieven of online formulieren hun recht op inzage van hun persoonsgegevens bij organisaties te vergemakkelijken3. Naast het verlagen van de drempel om z’n privacyrechten uit te oefenen, worden jonge internetgebruikers ook (in spelvorm) bewust gemaakt van onder meer hun online privacy4. De groeiende bezorgdheid over, maar ook zorg om jonge internetgebruikers te sensibiliseren hebben geleid tot het onderzoeken van de manier waarop commerciële en niet-commerciële websites, die zich hoofdzakelijk richten tot minderjarigen, gegevens van hun bezoekers verwerken en in welke mate dit conform de privacyregels gebeurt. Bovendien worden de websites ook op basis van andere criteria gescreend om na te gaan hoe transparant de organisaties zijn die zelf een zekere transparantie verwachten van hun jonge websitebezoekers.
1 Meer informatie over het Actieplan voor een veiliger internet en het veiliger internet plus programma, cf. Lievens & Dumortier, 2005; Lievens, Valcke & Stevens, 2005. 2 Cf. ook onze webografie op p. 50. 3 Veel gestelde vragen omtrent privacyrechten van het College Bescherming Persoonsgegevens: http://www.cbpweb.nl/vv/vv_bet_2.shtml en http://www.cbpweb.nl/downloads_modelbrieven/modelbrief_inzage.pdf In de Noorse website Saftonline is een tool ontwikkeld om een standaarddocument aan te maken waarmee jongeren inzage kunnen vragen in de persoonlijke gegevens die een bepaalde organisatie van hen heeft [http://www.saftonline.no/krev_innsyn/341/] of in het algemeen van individuen verwerkt [http://www.saftonline.no/krev_innsyn/342/]. 4 Cf. bijvoorbeeld de kidspagina “Espace Junior” van de CNIL, de Franse Privacycommissie [http://www.cnil.fr/index.php?id=13]. Cf. ook de consumentenvoorlichting voor kinderen en jongeren van Testaankoop [http://www.test-aankoop.be/map/src/327361.htm].
Cyberkids’ e-Privacy
10
2. PRIVACYRECHTEN VAN MINDERJARIGEN Omwille van het enthousiasme waarmee jongeren de informatie- en communicatietechnologieën gebruiken, zonder soms geïnformeerd te zijn over hun concrete rechten en de gevolgen van hun gebruik,
hebben
de
Commissie
[http://www.privacy.fgov.be]
en
voor het
de
Bescherming
Observatorium
voor
van de
de
Persoonlijke
Rechten
op
Levenssfeer het
internet
[http://www.internet-observatory.be] adviezen geformuleerd over de bescherming van minderjarigen op het internet. De Privacycommissie legt in haar advies de nadruk op de strikte naleving van de principes van de privacywet in websites die bestemd zijn voor minderjarigen. Het uitgangspunt van de Commissie is dat de jonge websitebezoekers zich in een zwakke positie bevinden ten aanzien van derden met wie ze online in contact komen. Vooral kinderen zijn minder wantrouwig, meer beïnvloedbaar en kennen wellicht hun rechten niet (Commissie, 2002, p. 2). Niet alleen minderjarigen, maar vele andere internetgebruikers beseffen waarschijnlijk ook niet dat, wanneer ze persoonsgegevens in een website meedelen, de data verschillende keren kunnen worden gebruikt door de organisatie die de gegevens verzamelde. De gegevens kunnen bovendien gemakkelijk en snel aan anderen worden doorgegeven die de data voor dezelfde of andere doelen kunnen benutten. Het is net de bedoeling van de privacywet om de personen waarvan gegevens worden verwerkt bepaalde rechten te verlenen om, zo mogelijk, een evenwicht te herstellen tussen degene die data verzamelt en de persoon die gegevens toevertrouwt. De hoeksteen van de wet is namelijk de transparantie waarmee persoonsgegevens moeten worden verwerkt. Dit betekent dat de persoon of organisatie die de data verwerkt, de betrokkenen eerst en vooral volledig en waarheidsgetrouw moet informeren over onder meer zijn bedoelingen. Hoewel de privacywet op dit punt geen onderscheid maakt tussen de bescherming van persoonsgegevens van minderjarigen en volwassenen, is het belangrijk om in concrete situaties de belangen van de verantwoordelijke voor de verwerking af te wegen tegenover de belangen van het kind of de jongere. Hierbij dient men rekening te houden met het onevenwicht dat de relatie tussen de verantwoordelijke voor de verwerking en de minderjarige kenmerkt. De Commissie beveelt dan ook een strikte toepassing aan van de principes van de privacywet, met name de informatie die wordt verstrekt aan het kind, strikte beperkingen met betrekking tot de typen gegevens die worden verzameld en de rechtschapenheid van de verzameling (Commissie, 2002, p. 2). Wanneer de beginselen van de wet worden toegepast in de context van de bescherming van de privacy van minderjarigen, dan moeten ook bepaalde rechten worden vertaald naar deze specifieke doelgroep opdat ze door de betrokkenen begrijpbaar en uitoefenbaar zouden zijn.
Cyberkids’ e-Privacy
11
2.1. Basisprincipes van de privacywet Als een organisatie bijvoorbeeld persoonsgegevens verzamelt van websitebezoekers, dan moet bepaalde informatie worden meegedeeld. Deze kan de vorm aannemen van een privacy statement. Het gaat om de formulering van de rechten die de betrokkenen genieten op basis van de privacywet5, bepaalde wettelijk verplichte informatie en de te volgen procedures om zijn rechten uit te oefenen. Wanneer gegevens rechtstreeks bij betrokkenen worden verzameld of verkregen, moet de verantwoordelijke aan onder meer volgende plichten voldoen (artikel 9): -
de betrokkene waarvan data worden verzameld, moet worden geïnformeerd over de identiteit van de verantwoordelijke en zijn adres;
-
hij moet op de hoogte worden gebracht van de doeleinden waarvoor de data zullen worden gebruikt;
-
indien de gegevens voor direct marketingdoeleinden worden gebruikt, dan moet de betrokkene worden geïnformeerd over zijn recht om zich, kosteloos en op verzoek, te verzetten tegen dit gebruik van zijn gegevens (recht op verzet);
-
verder verneemt de persoon dat hij het recht heeft om zijn eigen gegevens in te kijken (recht op inzage) en eventuele fouten te (laten) verbeteren (recht op correctie);
-
wanneer de data ook aan één of verschillende andere organisaties worden doorgegeven, dan deelt de verantwoordelijke de ontvangers of categorieën van ontvangers van de data mee;
-
de verantwoordelijke informeert ook over het al dan niet verplichte karakter van het meedelen van de persoonsgegevens en de eventuele gevolgen van een weigering om bepaalde informatie mee te delen.
Bovenstaande informatieplicht moet dan ook nageleefd worden in de website, rekening houdend met de doelgroep(en) tot wie men zich richt. De formulering moet dus worden aangepast aan de doelgroep(en) voor wie de website is bestemd. Men gebruikt dus naar jongeren toe best een directe, eenvoudige taal, waarbij men de jongere rechtstreeks aanspreekt (Commissie, 2002, p.3). Vakjargon is uit den boze. Welke data nodig zijn en waarom, moet worden uitgelegd. Dit wordt gevolgd door de rechten van de betrokkenen en de manier waarop ze deze rechten op een eenvoudige manier kunnen uitoefenen. Deze informatie wordt aangevuld met de coördinaten (elektronisch en fysisch adres) van de verantwoordelijke voor de gegevensverwerking, zodat de websitebezoeker bij hem terecht kan met vragen of om het recht op inzage of correctie uit te oefenen.
5
De wet van 8 december 1992 tot de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals gewijzigd door de wet van 11 december 1998, tot omzetting van richtlijn 95/46/CE van 24 oktober 1995 van het Europees Parlement en de Raad, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens., B.S. 3 februari 1999.
Cyberkids’ e-Privacy
12
Wenst men de verzamelde data voor direct marketing te gebruiken, dan geeft men op het elektronische formulier een eenvoudige mogelijkheid om zich hiertegen te verzetten. Hierbij moet men een onderscheid maken tussen persoonsgegevens in het algemeen en elektronische contactgegevens in het bijzonder. In het algemeen heeft ieder individu het recht om zich te verzetten tegen het gebruik van zijn data voor direct marketingdoeleinden. Dit wordt ook een opt-out genoemd. Voor elektronische contactgegevens, zoals een e-mailadres of een gsm-nummer, is sinds 28 maart 2003 een strengere regel van toepassing, namelijk een opt-in. De betrokkene moet zijn uitdrukkelijke toestemming geven vooraleer men zijn elektronisch adres mag gebruiken voor reclame e-post6. De procedures voor het recht op inzage, correctie, verzet (of opt-in in specifieke gevallen) moeten eenvoudig zijn. Men mag geen drempels inbouwen die het moeilijker maken om bepaalde rechten uit te oefenen. Daarom is een eenvoudige, beveiligde en elektronische procedure vaak aangewezen. Het privacy statement moet ook gemakkelijk te vinden zijn en kan best niet worden opgenomen in de algemene voorwaarden. Een bondig privacy statement bovenaan het formulier waarmee men persoonsgegevens verzamelt, biedt de betrokkene de mogelijkheid om zich te informeren vooraleer gegevens toe te vertrouwen. Eventueel kan een hyperlink leiden naar een webpagina waarin meer details worden prijsgegeven over de gebruiksdoelen, de derden waaraan men de gegevens zal doorgeven, het gebruik en eventueel nut van cookies, en dergelijke meer. Kortom, het naleven van de wettelijke verplichtingen gaat best gepaard met een gebruikersvriendelijke vormgeving en formulering van de informatie evenals eenvoudige procedures om de privacyrechten uit te oefenen.
6
Sinds de wet betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, ook wet elektronische handel genoemd (wet van 11 maart 2003, B.S. 17 maart 2003 van kracht sinds 28 maart 2003), is men overgegaan tot een opt-in voor reclame d.m.v. elektronische post. De wet stelt namelijk: "Het gebruik van elektronische post voor reclame is verboden zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen" (artikel 14,§ 1). Op deze regel zijn twee uitzonderingen, met specifieke voorwaarden, namelijk de elektronische contactgegevens van eigen klanten en generieke e-mailadressen (bv.
[email protected]) van rechtspersonen (cf. o.a. Verbiest, 2004; Walrave, 2004).
Cyberkids’ e-Privacy
13
2.2. Bescherming van de minderjarigen De Privacycommissie gaat een stap verder en adviseert om in een website de minderjarige7 aan te moedigen om zijn ouders in te lichten over zijn online activiteiten en hen naar hun mening te vragen, in het bijzonder als de minderjarige wordt gevraagd persoonsgegevens mee te delen. Bovendien zou er bij het online formulier en/of op de homepage, naast een privacy statement voor de minderjarige doelgroep, ook een tekst kunnen worden opgenomen die bestemd is voor de ouders. Op die manier worden ook zij ingelicht over het privacybeleid van het bedrijf en kunnen ze bij de verantwoordelijke terecht voor meer informatie. Ook andere principes van de wet, met name het noodzakelijkheids-, het wettigheids- en
rechtmatigheidsprincipe8, moeten strikt worden toegepast rekening houdend met de onevenwichtige verhouding tussen de jonge internetgebruiker en de gegevensverwerker.
2.2.1. Noodzakelijkheidsprincipe Naast de informatieplicht, is een ander beginsel van de privacywet belangrijk. De wet stelt namelijk dat men maar tot een verwerking van die persoonsgegevens mag overgaan die strikt noodzakelijk zijn voor het nagestreefde doel of de doeleinden (art. 4). De Privacycommissie stelt zelfs in haar advies: «de gegevens die een directe identificatie mogelijk maken van de minderjarige, zoals zijn familienaam, zijn adres, zijn telefoonnummer, zijn foto of de naam van zijn school, zouden in principe niet moeten worden ingezameld» (Commissie, 2002, p. 4). De Commissie besluit dan ook, op grond van dit basisprincipe, het volgende:
7 Het Burgerlijk Wetboek (388 BW) definieert een minderjarige als een persoon die de leeftijd van 18 jaar nog niet bereikt heeft. Er zijn wel gradaties in de intensiteit van bescherming, naargelang de leeftijd. Wanneer de minderjarige adolescent wordt, dan worden bepaalde beschermingen afgezwakt. Bijvoorbeeld, een adolescent van 16 jaar kan geld afhalen van zijn spaarrekening, toegang hebben tot bepaalde films in bioscopen, mag met de bromfiets rijden, alcoholische dranken verbruiken in café’s, bepaalde rechten verdedigen bij justitie. Vanaf 18 jaar kan hij of zij ten volle zijn rechten uitoefenen en verbintenissen aangaan (behalve een aantal uitzonderingen). De Privacycommissie maakt in haar advies de nuancering dat binnen de groep minderjarigen er nog een onderscheid gemaakt moet worden dat steunt op het niveau van onderscheidingsvermogen van het kind. In deze ontwikkeling is er een overgangsperiode die meestal gesitueerd wordt tussen 12 en 14 jaar. In Spanje (in een deontologische code voor elektronische handel) en de V.S.A. (in de Children’s Online Privacy Protection Act, cf. p. 41), bijvoorbeeld, is specifieke bescherming voorzien voor minderjarigen jonger dan 13 jaar (Commissie, 2002: p. 2). 8 Art. 4. § 1. Persoonsgegevens dienen: 1° eerlijk en rechtmatig te worden verwerkt; 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; 3° toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt; 4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren; 5° in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervóór bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard. § 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen.
Cyberkids’ e-Privacy
14
-
Wanneer men aan een minderjarige voorstelt om zijn e-mailadres mee te delen, dan zou dit geen aanleiding mogen geven tot een directe identificatie van het individu. De minderjarige zou dus moeten worden aangespoord om een e-mailadres mee te delen waarin niet zijn echte naam is opgenomen, maar een pseudoniem.
-
Wanneer een minderjarige wenst deel te nemen aan een discussieforum en een aantal data nodig zijn om zich in te schrijven, dan moet dit beperkt blijven tot een e-mailadres (waarin de echte naam niet is opgenomen) en het eigen gekozen pseudoniem. De beheerder van de site zou trouwens ook de minderjarige erop attent moeten maken dat hij voorzichtig moet omspringen met zijn persoongegevens in dergelijke publieke ruimte om een ongewenste en illegale verzameling (en eventuele publicatie) van zijn data en de gevolgen daarvan te voorkomen.
-
Wanneer de minderjarige een elektronische nieuwsbrief wenst te ontvangen, dan moet de verantwoordelijke voor deze publicatie enkel het e-mailadres vernemen. Familienaam, adres, telefoonnummer, geboortedatum zijn hiervoor irrelevant.
-
De persoonsgegevens die in een specifieke context worden verzameld, kunnen niet voor andere doeleinden worden gebruikt dan deze waarvoor de data worden verzameld en ook aangekondigd. Bovendien worden de data niet aan derden doorgegeven.
Alleen de strikt noodzakelijke data worden verzameld. Men mag de minderjarige niet belagen met een waslijst van vragen naar persoonsgegevens. Een voorzichtige internetgebruiker wordt in dit laatste geval eigenlijk aangemoedigd om foute gegevens in te vullen waarbij deze valse identiteit wordt voorgesteld als de echte. Men moet de voorrang geven aan het opstellen van een zo weinig mogelijk gedetailleerd profiel van de jongere, waarbij enkel de gegevens worden verzameld die strikt noodzakelijk zijn voor het gebruik van de online dienst. Kortom, de boodschap naar de jonge internetgebruikers (maar eveneens de volwassenen) is niet om de reflex te ontwikkelen foute informatie mee te delen, maar om bewust te overwegen welke informatie noodzakelijk is voor een specifiek doel. Vaak vereisen bepaalde doelen van de webmaster en de webmarketeer strikt genomen geen overdracht van persoonsgegevens of niet alle data die soms worden opgevraagd. Een webmaster kan bijvoorbeeld geïnteresseerd zijn in de demografische kenmerken van de websitebezoekers om de inhoud van de webstek aan te passen. Deze informatie (bv. leeftijd) moet echter niet noodzakelijk worden gelinkt aan persoonsgegevens zoals naam en adres. Men kan op basis van anonieme statistieken, de inhoud van een website aanpassen of indien men de inhoud wil afstemmen op het profiel van de individuele bezoeker, dan kan men dit profiel koppelen aan een cookie
9
die op de
harde schijf van de internetgebruiker wordt opgeslagen. Op het ogenblik dat deze bezoeker naar de website surft, wordt de cookie naar de server gestuurd en weet men welke inhoud moet worden aangeboden. In de meeste meertalige websites gebeurt dit systematisch voor de taalkeuze, 9
Meer uitleg over cookies op p. 38.
Cyberkids’ e-Privacy
15
bijvoorbeeld. Kortom, om de inhoud van een website aan te passen aan individuele kenmerken of wensen, zijn in vele gevallen geen persoonlijke identificatiegegevens nodig. Wanneer men de surfervaring wil vergemakkelijken of de website wil individualiseren door gebruik te maken van de cookie-technologie, zijn dus vaak geen persoonsgegevens nodig.
2.2.2. Wettigheids- en rechtmatigheidsprincipe Zoals het wettigheids- als het rechtmatigheidsprincipe moet strikt worden toegepast wanneer gegevens van minderjarigen worden opgevraagd. De Commissie stelt dat elke verzameling van de gegevens voor marketingdoeleinden van minderjarigen die de leeftijd van onderscheidingsvermogen nog niet hebben bereikt, onwettig is. Dit geldt ook voor de inzameling van gegevens over de entourage van de minderjarige, zoals zijn familie en vrienden. Bovendien is de context waarin gegevens worden verzameld belangrijk. In de context van een spel of in ruil voor een geschenk mogen geen gegevens van deze minderjarigen worden verzameld (Commissie, 2002, p. 5). Naast de algemene persoonsgegevens (zoals naam en adres) is een bepaalde categorie het voorwerp van een specifieke bescherming. Het gaat om wat de wetgever «gevoelige gegevens» noemt. Dit zijn data waaruit de raciale of etnische afkomst kan worden afgeleid, de levensbeschouwing of religieuze, politieke overtuiging, data over het seksuele leven en de gezondheid (cf. artikelen 6 en 7 van de privacywet). De wet verbiedt in het algemeen de verwerking van deze gevoelige informatie, tenzij in bepaalde specifieke gevallen. Eén van die uitzonderingen is bijvoorbeeld de schriftelijke toestemming van de betrokkene. In het koninklijk besluit10 van de privacywet staan ook de voorwaarden waaraan een verantwoordelijke voor een verwerking van gevoelige gegevens moet voldoen om deze categorie gegevens te mogen verwerken (artikelen 25 tot en met 27). De Privacycommissie stelt dan ook dat de verzameling van gevoelige gegevens bij minderjarigen die de leeftijd van onderscheidingsvermogen nog niet hebben bereikt, eigenlijk niet kan11 (Commissie, 2002, p.5). Bij volwassenen worden soms gevoelige data verzameld in zeer specifieke situaties (bv. verzekeringen, lidmaatschap van specifieke groeperingen). Dit is ook bij minderjarigen het geval, namelijk het online lidmaatschap van een bepaalde groepering waaruit de levensbeschouwing of de seksuele geaardheid blijkt. De deelname aan de zeer populaire chat- en datingsites geven aanleiding tot een rechtstreekse of onrechtstreekse identificatie van onder meer dergelijke kenmerken van een individu. Deze data worden door de wetgever als gevoelige informatie bestempeld. Chatten kan ook leiden tot het doorsturen van een foto en zo de virtuele conversatie concreter maken. De wet stelt dat een afbeelding alleen publiek kan worden gemaakt (op een website bijvoorbeeld) mits toestemming van de betrokken persoon. 10
Koninklijk besluit van 13 februari 2001 houdende uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. B.S. 13 maart 2001. 11 Een uitzondering is de doorgifte van medische informatie via het internet, wanneer dit noodzakelijk is voor de betrokkene en mits ouderlijke toestemming gebaseerd op gedetailleerde informatie over de concrete voorwaarden van de verwerking door de verantwoordelijke (Commissie, 2002, p. 5).
Cyberkids’ e-Privacy
16
Opnieuw benadrukt de Commissie dat voor een minderjarige die de leeftijd van onderscheidingsvermogen nog niet heeft bereikt, de toestemming van de betrokkene niet volstaat. De toestemming van de ouders is hier aangewezen (Commissie, 2002, p. 6). De Commissie geeft het voorbeeld van klasfoto’s die online worden gezet. Men moet, aan het begin van het schooljaar bijvoorbeeld, de ouders een document voorleggen waarbij men de toestemming vraagt om één of meerdere foto’s online te plaatsen, waarbij men het doel of de doeleinden meedeelt. De ouder(s) moet(en) zich bijvoorbeeld kunnen verzetten tegen het online plaatsen van een portret, maar toch kunnen instemmen met het online publiceren van de klasfoto. Heeft de minderjarige dan nog privacy ten aanzien van zijn ouder(s)? Moet de jongere, in principe, telkens de toestemming vragen om op een chat- of andere site zijn foto te laten opnemen in een persoonlijke webpage? De Privacycommissie beseft dat het principe van ouderlijke toestemming geen mechanisme mag worden waarbij de rechten van het kind zelf in het gedrang komen. Het is echter bijzonder belangrijk om het kind te beschermen in risicovolle situaties. Daarnaast moet men ook op z’n hoede zijn voor omstandigheden waarin het enthousiasme van de jonge internaut eventueel kan worden misbruikt. Om al deze redenen adviseert de Commissie dat ouderlijke toestemming noodzakelijk is: -
wanneer het kind de leeftijd van onderscheidingsvermogen nog niet heeft bereikt;
-
wanneer gevoelige gegevens worden verzameld;
-
wanneer het doel dat wordt nagestreefd niet rechtstreeks in het belang is van de minderjarige (bijvoorbeeld: het doorverhuren of –verkopen van persoonsgegevens aan derden en/of andere marketingdoeleinden);
-
wanneer de data bestemd zijn om openbaar te worden gemaakt (bijvoorbeeld op online fora, de website van een school, een jeugdvereniging).
Jongeren surfen natuurlijk niet alleen naar websites die voor hen zijn bestemd. Ook algemene websites die hoofdzakelijk op volwassenen zijn gericht, worden door hen bezocht. Bepaalde sites kunnen echter risico’s inhouden voor de fysieke, mentale en morele ontplooiing van de jongere omwille van het gewelddadig en/of pornografisch karakter van de inhoud. Daarom is op Europees niveau een aanbeveling goedgekeurd over de bescherming van jongeren voor bepaalde inhoud in audiovisuele media, waaronder het internet12. Zowel de lidstaten van de Unie als de industrie, worden door de Raad van de EU verzocht om een gedragscode uit te werken, maar ook om technische beschermingsmiddelen te ontwikkelen om controle te kunnen uitoefenen op inhoud die schadelijk kan zijn voor minderjarigen (pornografische en gewelddadige inhoud in de vorm van afbeeldingen of inhoud die aanzet tot haat en racisme, informatie over de bouw en het gebruik van wapens en dergelijke meer). 12 Voorstel voor een aanbeveling van het Europees Parlement en de Raad betreffende de bescherming van minderjarigen en de menselijke waardigheid en het recht op weerwoord in verband met de concurrentiepositie van de Europese industrie van audiovisuele en informatiediensten. COM/2004/341 def., 30 april 2004 [http://www.europa.eu.int/comm/avpolicy/legis/key_doc/legispdffiles/com04-341-nl.pdf]
Cyberkids’ e-Privacy
17
Ook op sites die zeker niet voor minderjarigen zijn bedoeld, kunnen persoonsgegevens worden opgevraagd. Soms is de identificatie van de bezoeker belangrijk om zo alleen toegang te verstrekken aan meerderjarigen. Anderzijds maakt anoniem surfen of een gebrekkige identificatie van websitebezoekers het niet alleen mogelijk dat minderjarigen zich kunnen voordoen als volwassenen, maar ook dat volwassenen zich als kinderen kunnen voordoen. Vooral op chatsites die bestemd zijn voor jongeren, kan dit bijzonder negatieve gevolgen hebben. Het is dus schipperen tussen enerzijds de noodzakelijke identificatie van de leeftijd van bezoekers van bepaalde websites en anderzijds een zo gering mogelijke inmenging in de persoonlijke levenssfeer van individuen. Hiervoor bestaan verschillende online en off line procedures, gaande van het meedelen van een kredietkaartnummer, het bezorgen van een kopie van de identiteitskaart of het benutten van de diensten van een derde vertrouwenspersoon (of vertrouwensinstantie ook Trusted Third Party genoemd) of een organisatie die op een onafhankelijke manier de leeftijd van de betrokkene kan nagaan. Deze en andere methoden hebben elk hun voor- en nadelen13. Ook het Observatorium van de Rechten op het internet besteedt ruime aandacht aan de middelen die kunnen worden ingezet opdat minderjarigen niet zouden worden geconfronteerd met websites die schadelijke inhoud aanbieden. Het Observatorium stelt in haar advies onder meer dat een mogelijke oplossing van deze problematiek volgende aspecten kan bevatten: -
de online identificatie van de leeftijd van minderjarigen conform de privacywet en het advies van de Privacycommissie (Observatorium, 2003, p. 9-12);
-
het filteren van websites en andere online inhoud, die niet geschikt is voor minderjarigen, door middel van adequate software (Observatorium, 2003, p. 13-14);
-
het labelen en het gebruik van domeinnamen opdat het voor internetgebruikers duidelijk zou zijn welke inhoud gepast is voor minderjarigen en de ontwikkeling van een derde niveau van domeinnamen (bv. kids.be, zoals het op het eerste internationale niveau reeds bestaande
.kids) waaronder websites komen die geschikt zijn voor minderjarigen en waarbij de toegang van organisaties tot dergelijk domeinnaam wordt gecontroleerd (Observatorium, 2003, p. 1516). Om dergelijke technische middelen te kunnen benutten en de leeftijd van websitebezoekers, conform de privacywet, te kunnen controleren, maar ook om websites (die kindvriendelijk zijn) te labelen, moet onze wetgeving (Europees en nationaal) worden aangepast14. De leeftijdscontrole, het labelen van websites en de kwaliteitscontroles van filtersoftware kunnen, onder meer, gebeuren door een derde vertrouwenspersoon die dan ook een wettelijk statuut moet hebben. Ten slotte mag men de technologische convergentie niet vergeten.
13
Meer uitleg hierover in het Advies van de Commissie (2002, p. 8-9). Cf. Wetsvoorstel betreffende de bescherming van minderjarigen in de informatiemaatschappij tegen schadelijke inhoud. Dossiernummer 3-484 [http://www.senaat.be]. Zie eveneens het verslag van het colloquium terzake [http://www.dekamer.be/kvvcr/pdf_sections/comm/committee/QT03_PR.pdf] Cf. initiatieven in Frankrijk [http://www.internet-mineurs.gouv.fr] en in Duitsland [http://www.kjm-online.de/ - http://www.kjmonline.de/public/kjm/downloads/JMStV.pdf] 14
Cyberkids’ e-Privacy
18
Bij de uitwerking van technologische, juridische en deontologische oplossingen ter bescherming van minderjarigen op het internet, mag men andere actuele en populaire media zoals de gsm niet uit het oog verliezen. In verschillende websites en tijdschriften worden bijvoorbeeld pornografische SMS’en en MMS’en aangeboden. Het filteren en de classificatie van de inhoud van sites en andere media zijn dus aan te bevelen. Kortom,
de
juridische
en
deontologische
initiatieven
die
worden
genomen,
moeten
zo
‘technologieneutraal’ mogelijk zijn, opdat de principes op verschillende huidige en toekomstige media toepasbaar zouden zijn. Gezien de complexiteit van de problematiek die hierboven is geschetst, is sensibilisering nodig van zowel de betrokkenen als van de vertrouwenspersonen, namelijk de ouders, opvoeders en leerkrachten, die minderjarigen kunnen helpen om veilig en verantwoord te surfen. Ook de Internet Service Providers en bedrijven of organisaties die zich (hoofdzakelijk) richten tot een jong publiek, moeten hierover worden aangesproken en op hun verantwoordelijkheid worden gewezen. Een voorbeeld van mogelijke initiatieven die zouden kunnen leiden tot concrete afspraken over de verwerking van persoonsgegevens van minderjarigen, vindt men in een deontologische code15 van de FEDMA, de Europese koepel van de direct marketing sector. In een code over het gebruik van persoonsgegevens voor direct marketingdoeleinden wordt een rubriek gewijd aan de verwerking van gegevens van kinderen (onder de 14 jaar). Zo stelt de code dat de verantwoordelijke voor de gegevensverwerking alle redelijke inspanningen moet leveren om het kind en/of de ouder(s) te informeren over de doelstellingen van de verwerking. Wanneer bijvoorbeeld commerciële boodschappen worden gericht tot deze doelgroep of de direct marketeer bewust gegevens verzamelt van kinderen, dan moet deze mededeling prominent aanwezig zijn en begrijpbaar worden geformuleerd. Indien de nationale wetgeving de toestemming vereist van de betrokkene (bv. de verwerking van gevoelige gegevens), dan moet de verantwoordelijke voor de verwerking de toestemming krijgen van de ouder(s). Ouders hebben ook recht van inzage, correctie en verzet wanneer de data gebruikt worden voor direct marketing - en schrapping (onder bepaalde voorwaarden) van de gegevens van hun kind(eren). De persoon die de data verwerkt, mag de toegang tot bepaalde diensten, de deelname aan wedstrijden of prijsvragen niet afhankelijk maken van het toevertrouwen van meer data dan de gegevens die strikt noodzakelijk zijn om deel te nemen aan één of andere activiteit (FEDMA, p. 1012). De nationale direct marketing koepelorganisaties zijn verantwoordelijk voor de toepassing van deze en andere bepalingen van de code. Naast juridische stappen, kan de koepelorganisatie overgaan tot de uitsluiting van een lid die de code niet naleefde. In deze context is het belangrijk een procedure te voorzien om klachten te behandelen en de sectorgenoten en consumenten te informeren16 (FEDMA, p. 17).
15 16
Code of Practice for the Use of Personal Data in Direct Marketing [http://www.fedma.org/img/db/FEDMACodeEN.pdf] Cf. deontologische code en bijhorende procedures van het Belgisch Direct Marketing Verbond [http://www.bdma.be]
Cyberkids’ e-Privacy
19
Bij dergelijke initiatieven is het van essentieel belang dat consumenten op de hoogte zijn van bijvoorbeeld de manier waarop ze klachten kunnen indienen en ze waarborgen kunnen krijgen dat een onpartijdige jury hun grieven zal behandelen en het bedrijf eventueel zal worden terecht gewezen. Daarom is in dit verband eveneens co-regulering aan te bevelen, waarbij de regulering tot stand komt door een samenwerking tussen de overheid, de betrokken sector(en) en andere belanghebbenden. Co-regulering kan namelijk flexibeler, soepeler en doeltreffender zijn dan de traditionele reglementering. Door deze samenwerking is de deontologie van de sector(en)
geconditioneerde zelfregulering. Er is namelijk een juridisch vangnet omwille van de wettelijke verankering van de deontologie die mogelijk wordt gemaakt (Lievens & Dumortier, 2005, p. 60/64). Uit het voorgaande blijkt dat, naast de algemene privacywet, enkele initiatieven zijn genomen om de beginselen en verplichtingen van de privacyregelgeving aan te passen, te concretiseren en soms strikt te interpreteren wanneer data van minderjarigen (kinderen in het bijzonder) worden verwerkt. Om de huidige praktijken van gegevensverwerking en privacybescherming op websites voor jongeren na te gaan, is volgend onderzoek uitgevoerd. Deze studie gaat niet in op het probleem van de classificatie van de inhoud van websites en de identificatie van minderjarigen om al dan niet toegang te
krijgen
tot
bepaalde
inhoud.
Het
onderzoek
legt
de
nadruk
op
de
manieren
van
gegevensverwerkingen en de toepassing van de privacywet op websites die zich hoofdzakelijk tot jongeren richten.
Cyberkids’ e-Privacy
20
3. JONGERENSITES EN DE PRIVACYWET 3.1. Methode Aangezien het doel van dit onderzoek de analyse van websites van Belgische profit- en non-profit organisaties is die zich hoofdzakelijk richten tot minderjarigen, drong de selectie van de te analyseren websites zich als een eerste fundamentele keuze op. Om websites te selecteren die zich enkel of hoofdzakelijk richten tot minderjarigen, moesten we een specifieke strategie toepassen. Er zijn verschillende bronnen geraadpleegd om de steekproef samen te stellen. Specifieke portaalsites, die een rijke bron zijn aan hyperlinks naar websites voor kinderen en/of adolescenten, zijn het vertrekpunt geweest. Ook jongerentijdschriften werden geraadpleegd, om zo nuttige webadressen te vinden (van organisaties, bedrijven, idolen, festivals en dergelijke meer). Twee extra criteria zijn hierbij gehanteerd. Ten eerste moest de website van een Belgische organisatie zijn of moest de organisatie een vestiging hebben in België. Ten tweede moest de website zelf in één of verschillende van onze officiële landstalen en eventueel het Engels zijn opgesteld. Op die manier zijn 294 websites geselecteerd die zich richten tot kinderen en/of adolescenten. Deze steekproef is in de loop van het onderzoek opgesplitst om te kunnen nagaan welke sites zich hoofdzakelijk richten tot kinderen (tot ongeveer 12 jaar), welke tot adolescenten, welke tot beide doelgroepen en welke eventueel tot andere doelgroepen. In navolging van voorgaand onderzoek is de vorm, de redactiestijl en de inhoud van het privacy statement nagegaan en is tevens onderzocht of er gebruiksvriendelijke procedures worden voorgesteld om specifieke rechten uit te oefenen. Bij de start van de analyse van iedere website is nagegaan of er eventueel op een impliciete manier informatie van de websitebezoeker kan worden verzameld door middel van sessie of permanente cookies. Essentieel in de vragenlijst was ook het antwoord op de vraag of er expliciet, in één of ander formulier, persoonsgegevens worden verzameld en welke typen data men op het oog heeft. Indien er gegevens werden verzameld, is nagegaan of er een privacy statement aanwezig was op de website en hoe men toegang verkreeg tot deze informatie. Daarna stelden we vast of een volledige webpagina aan het privacybeleid werd gewijd of dat het deel uitmaakte van een groter geheel. Naast de vorm, is ook de inhoud van het privacy statement bestudeerd: de aanwezigheid van verplichte informatie over de verantwoordelijke voor de verwerking, de doeleinden van de dataverwerking en de privacyrechten van de individuen die persoonsgegevens toevertrouwen. In dit rapport zijn ook illustraties opgenomen. De screenshots van (delen van) webpagina’s worden zonder naam of webadres weergegeven, omdat dit onderzoek alleen als doel heeft bepaalde resultaten weer te geven en de goede en slechte praktijken te illustreren. Het is niet de bedoeling om namen van organisaties op te sommen die op bepaalde punten goed of slecht scoren. Intussen kunnen bepaalde kenmerken van de websites ook gewijzigd zijn.
Cyberkids’ e-Privacy
21
Bovendien onderzoeken we hier enkel welke gegevens in een website worden opgevraagd en hoe men aan de informatieplicht van de privacywet voldoet. Wat uiteindelijk in de organisatie zelf met de data gebeurt, kan met dit specifieke type onderzoek niet worden nagegaan. We benadrukken dat het onderdeel van een website (bv. een paragraaf uit een privacy statement) dat als voorbeeld is opgenomen, een illustratie vormt van specifieke vaststellingen van het onderzoek en geen goed- of afkeuring inhoudt van het privacybeleid van de betrokken (geanonimiseerde) organisatie. Bepaalde privacy policies of procedures die door bedrijven worden voorgesteld, kunnen als inspiratie dienen voor anderen of kunnen werkwijzen illustreren die men beter niet toepast. De belangrijkste beperking van dit type onderzoek is dat bij de analyse van dataverwerkingspraktijken op websites en van het al dan niet naleven van bepaalde verplichtingen van de privacywet, we niet kunnen controleren of de eventuele beloftes die zijn gemaakt in het privacy statement ook worden nagekomen in de praktijk. Kortom, het privacy statement kan louter ‘cosmetisch’ aangebracht zijn, maar geen impact hebben op de concrete wijze waarop processen in het bedrijf zijn georganiseerd om de gegevens te gebruiken met respect voor de privacy van de betrokkenen. Om toch een indruk te krijgen van het privacybeleid dat wordt gevoerd in een organisatie, zijn
mystery e-mails gestuurd om na te gaan op welke manier bedrijven op een eenvoudige vraag over hun privacybeleid antwoorden. Een aantal vragen zijn toegevoegd aan ons oorspronkelijke onderzoeksinstrument dat in vorige analyses van websites is gebruikt (Walrave, 2001 & 2002). De extra vragen zijn ten eerste geïnspireerd door de adviezen die hierboven zijn samengevat. De oorspronkelijke vragenlijst is ook aangevuld met thema’s die rechtsreeks kunnen worden gekoppeld aan de doelgroep. Volgende vragen zijn daarom toegevoegd: -
Tot welke doelgroep of doelgroepen richt deze website zich hoofdzakelijk (kinderen tot 12 jaar, hoofdzakelijk adolescenten vanaf 12 jaar, zowel kinderen als adolescenten, bijkomende doelgroepen zoals volwassenen).
-
Welke persoonsgegevens worden aan de jonge bezoeker gevraagd (een hele lijst van categorieën werd als mogelijke antwoorden opgenomen, gaande van naam en adres over foto, hobby’s en studies tot gezinssituatie)
-
In welke context worden de data verzameld (o.m. informatie-aanvraag, wedstrijd, abonnement, enquête)?
-
Welk concreet gebruiksdoel (of doeleinden) wordt meegedeeld in het privacy statement (dit kan namelijk verschillen van de oorspronkelijke context van de verzameling van de data)?
-
Worden gegevens van derden gevraagd (vrienden, vriendinnen, ouders, …)? Welke gegevens van derden worden opgevraagd en waarom?
-
Hoe wordt het privacybeleid geformuleerd (eenvoudig, naar een jong publiek toe)?
-
Wordt informatie over het privacybeleid ook geformuleerd ter attentie van de ouders?
-
Wordt de jonge websitebezoeker aangespoord om het advies en/of toestemming van zijn ouders in te winnen vooraleer persoonsgegevens toe te vertrouwen?
Cyberkids’ e-Privacy
22
3.2. Resultaten Bij de weergave van de resultaten is het soms belangrijk een onderscheid te kunnen maken tussen de verschillende doelgroepen van de sites. Is de inhoud hoofdzakelijk bestemd voor kinderen onder de 12 jaar, voor adolescenten, voor beide groepen of voor een nog bredere doelgroep? 15% van de onderzochte sites is hoofdzakelijk bestemd voor kinderen jonger dan 12 op basis van de inhoud en de spelletjes die worden aangeboden, alsook de stripfiguren en andere idolen die aan bod komen. 45% is hoofdzakelijk bedoeld voor adolescenten. 29% van de sites werd beoordeeld als interessant voor zowel kinderen als adolescenten. Tot slot vonden we dat 11% van de onderzochte sites voor een breder publiek was bestemd. De inhoud en diensten die werden aangeboden richten zich zowel tot minderjarigen als volwassenen. Deze indeling is voornamelijk gebaseerd op een beoordeling van de concrete inhoud, de dienstverlening, de vormgeving van de site en het publiek dat wordt aangesproken (kinderen en/of adolescenten of nog een breder publiek). Alvorens na te gaan welke persoonsgegevens werden verzameld op de sites en of dit conform de wetgeving gebeurde, is de steekproef ook opgedeeld in segmenten op basis van het type verantwoordelijke voor de site (bedrijf, non-profitorganisatie, privé-persoon, enzovoort). Er kon worden vastgesteld dat voor de helft (49,5%) van de sites het initiatief wordt genomen door bedrijven. In 7% van de gevallen is het mogelijk om een aankoop te verrichten (bv. games, publicaties, merchandising van een bepaalde artiest of figuur). Soms gaat het om bedrijven die deze webstek speciaal hebben ontwikkeld voor hun jonge (potentiële) klanten (zoals pretparken, banken, uitgeverijen en muziekproducenten). Bepaalde bedrijven uit onze steekproef hebben een aparte website voor jongeren omdat ze producten en diensten aanbieden voor deze doelgroep, bijvoorbeeld stripverhalen, games, muziek (festivals, popgroepen en andere artiesten), specifieke activiteiten (sport, pretparken) of andere diensten (zoals een eigen bankrekening). Daarnaast kan een nieuw type sector worden onderscheiden die zeer in trek is bij de jongeren, namelijk de aanbieders van SMS-diensten en beltonen voor het mobieltje. Er zijn 21 sites onderzocht van bedrijven die dergelijke diensten aanbieden. Ook de chat- en datingsites vormen een aparte groep (9 sites). Er mag niet worden vergeten dat vele sites die bestemd zijn voor jongeren een chathoekje hebben of andere mogelijkheden voorzien om hen met elkaar en met de webmaster te laten communiceren. Ongeveer 10% van onze steekproef bestaat uit commerciële media zoals tijdschriften, televisiezenders of specifieke programma’s van audiovisuele media en gespecialiseerde e-zines die zich richten tot jongeren. Een derde (30,5%) van de onderzochte websites gaat uit van non-profit organisaties. Het gaat om jeugdbewegingen, humanitaire organisaties, instellingen en groeperingen die jongeren informeren over bepaalde thema’s, problematieken, hun rechten en dergelijke meer.
Cyberkids’ e-Privacy
23
Naast profit- en non-profitorganisaties, kunnen ook portaalsites en andere websites worden onderscheiden die een privé-initiatief zijn en bestemd zijn voor kinderen en/of adolescenten. Ze zijn goed voor 17% van de websites in de steekproef.
3.2.1. Verzamelde data Ongeveer 8 op de 10 websites (82,4%) verzamelen op één of andere manier persoonsgegevens. We zien dat op websites die zich hoofdzakelijk tot kinderen richten iets minder naar persoonsgegevens wordt gevraagd (79%) dan in websites voor adolescenten (86%). In de mengcategorie (d.i. kinderen en adolescenten) tenderen we naar het aantal van de eerste categorie (77%). In het laatste segment van onze steekproef, namelijk de sites bestemd voor een zeer ruim publiek van minder- en meerderjarigen, vragen 9 op de 10 sites naar persoonsgegevens. Welke data worden verzameld en hoe, is een volgende onderzoeksvraag. 46% biedt een algemeen elektronisch formulier aan, terwijl 7% opteert voor een bestelformulier. 12% beperkt zich tot een veld waarin het e-mailadres kan worden getypt (een ‘e-mailgrabber’). 34% biedt verschillende opties aan (zowel een algemeen formulier als een e-mailgrabber). De gegevens waarnaar wordt gevraagd, worden weergegeven in Tabel 1. Identificatie naam
81%
Contactgegevens e-mail
87%
adres
54%
telefoonnummer
32%
gsm-nummer
19%
Persoonskenmerken leeftijd/geboortedatum
37%
geslacht
15%
nationaliteit
6%
gezinssituatie
2%
school
4%
studies
5%
hobbies
7%
consumptiegewoonten
2%
foto
3%
andere data
27%
Informatie derden ouders
0,5%
vrienden
5%
anderen
1%
Tabel 1: Typen verwerkte data
Een vierde (27%) van de websites die gegevens verzamelen, vraagt bijkomende gegevens zoals ICQnummer, rekeningnummer en dergelijke meer. Tot deze categorie worden ook bepaalde vragen gerekend die aan de websitebezoeker worden gesteld over zijn persoonlijke evaluatie van de website en/of het product/de dienst die wordt gepromoot.
Cyberkids’ e-Privacy
24
In sommige sites (chat-/datingsites, profielpagina’s) worden eveneens gegevens verzameld die door de wetgever als gevoelig zijn bestempeld (bv. sexuele voorkeur, in illustratie 1 voorgesteld als “oriëntatie”). De betrokkenen hebben op deze sites de keuze of ze, naast het invullen van de noodzakelijke data om zich in te schrijven, ook facultatieve informatie meedelen.
Figuur 1: Voorbeeld van gegevensverwerking (inclusief gevoelige informatie, wel met onderscheid tussen noodzakelijke en facultatieve data door middel van een asterisk).
Als we deze resultaten vergelijken met een aanbeveling in het advies van de Privacycommissie, dan kan het volgende worden vastgesteld: de Commissie is van oordeel dat men geen persoonsgegevens mag vragen aan minderjarigen die de leeftijd van onderscheidingsvermogen nog niet hebben bereikt. Indien de websites die zich richten tot dit publiek (van min 12-jarigen) onder de loep worden genomen, dan kan worden vastgesteld dat bezoekers de mogelijkheid hebben om niet alleen een emailadres mee te delen (80%), maar ook hun naam (67%), adres (44%), telefoonnummer (vaste lijn: 22%, gsm: 10%) en leeftijd (36%) alsook informatie over derden (6%, voornamelijk het e-mailadres van vrienden).
80% 80% 67%
70% 60% 50%
44% 36%
40% 30%
22%
20% 10% 6%
10% 0% e-mail
naam
adres
leeft ijd
telefoon
gsm
vrienden
Grafiek 1: Verzamelde persoonsgegevens op websites die hoofdzakelijk bestemd zijn voor kinderen.
Cyberkids’ e-Privacy
25
Op enkele sites wordt, vooraleer toegang te verlenen tot een registratieformulier, nagegaan of de websitebezoeker jonger of ouder is dan 12 of 18.
Figuur 2: Websitebezoekers worden naar andere webpagina’s geleid, afhankelijk van hun leeftijd.
Slechts enkele websites (3,5%) richten een verzoek tot de jonge internetgebruiker om eerst de toestemming van de ouder(s) te vragen. Hierbij wordt in bepaalde gevallen aan de jongere gevraagd om het e-mailadres van een ouder mee te delen (cf. figuur 3(1), hieronder) om de toestemming te bevestigen. In enkele gevallen kan de ouder ook een formulier downloaden, invullen en faxen, om de registratie van het kind te voltooien (cf. figuur 3(2)).
(1) (2)
De ouder kan een formulier downloaden (2), invullen en faxen, om de registratie van dochter of zoon te voltooien.
Cyberkids’ e-Privacy
26
Figuur 3: Hoe de ouders betrokken kunnen worden bij de inschrijvingsprocedure.
Bepaalde sites vragen eerst aan de jongeren om, naargelang de leeftijdscategorie waartoe ze behoren, een vakje aan te kruisen waarbij ze verklaren de toestemming te hebben van hun ouders. Dit is zeker geen waterdicht systeem.
Figuur 4: Enkele voorbeelden van pro forma vragen naar ouderlijke toestemming.
Naast de verschillende gegevens die op de websites worden gevraagd, is ook nagegaan in welke context de data worden opgevraagd. 31% geeft de bezoeker de kans om informatie aan te vragen bij de organisatie. De deelname aan een wedstrijd is op 16% van de websites een aanleiding om naar persoonsgegevens te vragen. Zo’n 11% van de formulieren is eigenlijk een elektronisch gastenboek, waarin de bezoeker zijn mening over de site kwijt kan. Op 18% van de sites gaat het om een bestelformulier. Een lidmaatschap van een groepering is bij 23% van de steekproef de reden om naar persoonsgegevens te peilen. Een elektronische nieuwsbrief ontvangen, is het doel van 24% van de onderzochte formulieren. Op 13% van de sites kan de bezoeker eigen persoonsgegevens en/of data van derden meedelen om gebruik te maken van specifieke diensten (SMS of e-cards sturen, deelname aan een forum, een zoekertje plaatsen) of zich registreren om toegang te krijgen tot bepaalde informatie op de site. Ten slotte bevat 2% van de websites een enquêteformulier17.
17
Het totaal op deze vraag bedraagt meer dan 100 aangezien een aantal websites in verschillende contexten data verzamelen.
Cyberkids’ e-Privacy
27
35% 31% 30 % 24% 25%
23%
18%
20 %
16% 13%
15%
11% 10%
5% 0% info-aanvraag
e-nieuwsbrief
lidmaatschap
best elformulier
wedstrijd
dienst en (e-cards, sms et c.)
gast enboek
Grafiek 2: Context waarin de gegevensverwerking plaatsvindt.
Het onderscheid tussen noodzakelijke en facultatieve data wordt in 35% van de formulieren gemaakt. Door middel van een symbool (een uitroepingsteken of asterisk bijvoorbeeld) maakt de webmaster duidelijk welke informatie hij noodzakelijk acht om een bepaald doel na te streven. Bepaalde bedrijven vragen om de gebruiksvoorwaarden en/of het privacybeleid te aanvaarden door een vakje aan te vinken (cf. figuur 5(1)).
(1)
(1) Figuur 5: Duidelijk onderscheid tussen verplichte en facultatieve data in het eerste formulier. In de andere versie (rechts) is niet duidelijk wat * betekent. (1)
Cyberkids’ e-Privacy
28
3.2.2. Privacy statement aanwezig? Aangezien een ruime meerderheid van de websites die hoofdzakelijk bestemd zijn voor kinderen en/of adolescenten de mogelijkheid geven om persoonsgegevens mee te delen, gingen we na of er een privacy statement aanwezig is. In het algemeen geven slechts vier op de tien sites (39%) informatie over hun privacybeleid. Is er een verschil in het aantal sites met een privacy statement naargelang de doelgroep van de site? Op de sites die voor kinderen zijn bestemd en persoonsgegevens verzamelen, vinden we in de helft van de gevallen een privacy statement (55%). Sites die zich hoofdzakelijk tot adolescenten richten, scoren lager: 38%. In de volgende categorie sites, die een breder doelpubliek heeft, daalt dit tot één derde (33%). Slechts vier websites dragen een privacy label. Dit is een symbool (op de homepage, in een privacy statement en/of online formulier) dat verwijst naar een ethische code waarop (onder meer) het privacybeleid van de organisatie is gebaseerd [http://www.truste.org - http://www.icra.org]. Hoewel professionele organisaties sinds enkele jaren bedrijven al de mogelijkheid bieden om een deontologische code te onderschrijven, zich te onderwerpen aan controles om bijgevolg een privacylabel op de website te mogen plaatsen, doen slechts enkele onderzochte websites hierop een beroep. Uit de analyse van websites met een privacy statement blijkt dat 49% van de sites de verklaring een ereplaats geeft door er een aparte pagina aan te wijden. In de helft van de onderzochte websites met een privacy statement, maakt het privacybeleid deel uit van een webpagina waarin ook andere informatie is opgenomen. In de helft van die gevallen (52%) betreft het een webpagina met de algemene voorwaarden. Het privacybeleid gaat dan vaak schuil achter een overload aan andere juridische informatie of gebruiksvoorwaarden. In de andere gevallen betreft het een webpagina waarin informatie over het bedrijf wordt weergegeven of de webpagina van de klantendienst van het bedrijf. In de praktijk heeft 22% van de elektronische formulieren een hyperlink naar het privacy statement. Op de plaats waar persoonsgegevens worden verzameld, krijgt de betrokkene de kans om informatie te raadplegen over het privacybeleid van de organisatie. Twee sites bieden deze hyperlink aan bovenaan het formulier. Vooraleer men data invult, kan men een venstertje openen met informatie over het privacybeleid. Vijftien onderzochte sites plaatsen de link onderaan het formulier. Ten slotte zijn er veertien sites die een stap verder gaan. Ze plaatsen een synthese van het privacy statement bovenaan (3 sites) of onderaan (11 sites) het elektronische formulier.
Cyberkids’ e-Privacy
29
Figuur 6: Vooraleer toegang te krijgen tot het formulier, krijgt de bezoeker een overzicht van o.a. het privacybeleid. Let wel: men moet akkoord gaan met het verstrekken van data aan derden voor direct marketing voor men zich kan inschrijven.
Een paar sites vragen ook uitdrukkelijk aan de bezoeker om een vakje aan te vinken en zich hierdoor akkoord te verklaren met de voorwaarden. Nog een alternatief bestaat uit het aanbieden van het privacy statement in een pop-up venster zodra men op de webpagina met het elektronische formulier terecht komt. Op die manier is de bezoeker als het ware verplicht om toch even een blik te werpen op het statement, behalve natuurlijk als er een ‘pop-up killer’ is geïnstalleerd op de computer (of geactiveerd is in de browser). Tot slot is op een paar websites het lezen van het privacy statement (tenminste, het openen van deze webpagina) een voorwaarde om zich te registreren. Het gebruik van het begrip privacy statement zegt het doelpubliek misschien minder dan bijvoorbeeld “raadpleeg hier je rechten” of “leer hier meer over wat we doen met jouw gegevens”. Het privacy statement is soms ook bereikbaar via een hyperlink op de homepage (28%) of een link bovenaan iedere webpagina (op één onderzochte site). Eén op de vier sites (23%) die data verzamelen en een privacy statement hebben, verleent toegang tot de privacy informatie via een link onderaan de webpagina. Of het privacy statement aan de wettelijke verplichtingen voldoet, is onze volgende onderzoeksvraag. Vier op de tien websites die zich richten tot minderjarigen beschikken over een privacy statement. Maar wat is de kwaliteit van dit statement?
Cyberkids’ e-Privacy
30
3.2.3. Privacy statement volledig? a. Identificatie verantwoordelijke Een eerste vereiste bestaat uit de identificatie van de verantwoordelijke voor de gegevensverwerking. De helft (52%) vermeldt de naam van de organisatie die de gegevens beheert. Enkele sites (7%) vermelden een specifieke afdeling die hiervoor verantwoordelijk is en sommigen (4%) zelfs een
contactpersoon. De verantwoordelijke kan worden gecontacteerd per post, aangezien 31% een contactadres vermeldt. 14% biedt de mogelijkheid aan om telefonisch contact op te nemen met de verantwoordelijke. 20% geeft in het privacy statement een specifiek e-mailadres op waar men terecht kan met vragen.
b. Doeleinden gegevensverwerking Zoals eerder aangehaald, bestaat de informatieplicht ook uit het meedelen van de doeleinden waarvoor de data zullen worden gebruikt. 86% van de privacy statements deelt één of meerdere doeleinden mee. In 15% van de gevallen worden gegevens verzameld om een order te plaatsen. 16% biedt een abonnement voor een elektronische nieuwsbrief aan of maakt melding van een inschrijving op een mailinglist om op de hoogte gebracht te worden van producten of diensten van de organisatie. In ruim de helft van de privacy statements (54%) deelt de verantwoordelijke mee dat de data zullen worden gebruikt voor eigen direct marketing acties. 14% verklaart dat de gegevens aan derden ter beschikking worden gesteld voor direct marketing. Ook andere doeleinden worden meegedeeld, zoals de deelname aan een wedstrijd (21%) of een enquête (12%) of het beantwoorden van een vraag van de websitebezoeker (19%). 13% vermeldt in het privacy statement enkel als doel dat de data voor ‘intern gebruik’ zullen dienen, zonder enige precisering.
60%
54%
50%
40%
30%
21%
19%
20%
16%
15%
14%
abonnement
best elling
direct market ing derden
13%
12%
10%
0% eigen direct marketing
wedstrijd
beantwoorden vraag
intern gebruik
enquêt e
Grafiek 3: De meest meegedeelde doelstellingen in de privacy statements.
Worden naast de identificatie van de verantwoordelijke en de vermelding van de doelstellingen van de verwerking, ook de rechten van de betrokkenen meegedeeld?
Cyberkids’ e-Privacy
31
c. Recht op inzage Bijna zeven op de tien sites (67%) vermelden in het privacy statement dat men het recht op inzage heeft. Toch deelt 39% hiervan geen enkele procedure mee. Iemand die dus persoonsgegevens toevertrouwt, wordt niet geïnformeerd hoe hij concreet toegang kan krijgen tot zijn gegevens. Bij een kwart van de sites die wel een procedure meedelen (26%), wordt gesteld dat men dit recht kan uitoefenen door een aanvraag per post. Enkele organisaties vermelden bovendien dat zij hiervoor een specifiek formulier hebben ontworpen dat men kan aanvragen. Ongeveer een derde van de websites (30%) biedt de mogelijkheid om de aanvraag tot inzage per e-mail te versturen. Een beperkt aantal organisaties (13%) die de procedure van het inzagerecht verduidelijken in hun privacy statement, bieden een gebruiksvriendelijke en directe uitoefening van dat recht aan, namelijk online door middel van een login en een paswoord. Een vijfde van de sites geeft de betrokkene de keuze en vermeldt verschillende procedures (per post of e-mail).
Figuur 7: Online rechtstreekse toegang tot mogelijkheid om eigen gegevens in te zien en te verbeteren.
d. Recht op correctie Eenzelfde proportie van de steekproef websites die een recht op inzage aanbieden, geven de bezoeker de mogelijkheid om eigen data zo nodig te verbeteren (66%). De manier waarop dit kan, is gelijklopend met het recht op inzage: per post (23%), per e-mail (26%), online (13%). 40% stipt wel een recht op verbetering aan in het privacy statement, maar rept met geen woord over de te volgen procedure.
Figuur 8: Hoe het inzage-, correctie- en verzetsrecht kunnen worden uitgeoefend is niet expliciet weergegeven. Een schriftelijke procedure via het meegedeelde postadres is niet consumentvriendelijk in een online omgeving en creëert een extra drempel.
Figuur 9: De online inschrijving evenals het inzagerecht en recht om gegevens te schrappen zijn in beide voorbeelden samengebracht in één formulier. Let op de laatste zin van de inleiding (illustratie links) die de jonge bezoeker zachtjes uitnodigt om zich toch maar niet uit te schrijven.
Cyberkids’ e-Privacy
32
e. Recht op verzet In meer dan de helft van de privacy statements kunnen de websitebezoekers vernemen dat hun data worden gebruikt voor direct marketing. In dit geval, is de verantwoordelijke voor de gegevensverwerking verplicht om een recht op verzet aan te bieden. Dit gebeurt op 60% van de sites. Vier op de tien sites die in hun privacy statement meedelen dat ze de data zullen gebruiken voor marketingdoeleinden, bieden de bezoeker echter geen mogelijkheid aan om zich hiertegen te verzetten. Wanneer de data rechtstreeks bij de betrokkene worden verzameld in een elektronisch formulier bijvoorbeeld, dan moet bij het verzamelen van de data een verzetsoptie worden aangeboden. Dit gebeurt bijvoorbeeld door in het formulier een zin op te nemen die de bezoeker kan aanvinken indien hij zich wil verzetten tegen het gebruik van zijn data voor direct marketing (opt-out). Een bedrijf kan echter verder gaan en uitdrukkelijk de toestemming vragen om persoonsgegevens te mogen gebruiken om reclameboodschappen te sturen (opt-in). Let wel, men moet een onderscheid maken tussen de echte opt-in en de pseudo-opt-in met een al aangevinkt selectievakje. In het laatste geval verleent de gebruiker (standaard) zijn toestemming, tenzij hij het vakje uitvinkt. Dit is een nogal complexe procedure en niet meteen de ideale basis om een relatie op te stoelen die gebaseerd is op vertrouwen.
Figuur 10: Voorbeeld van een opt-out.
Nog een stap verder dan de toestemmingsvraag is de dubbele opt-in of confirmed opt-in, waarbij de betrokkene eerst op een formulier aanvinkt dat hij reclame e-mails wenst te ontvangen, maar daarna een eerste e-mail ontvangt om dit te bevestigen. Hiermee kan de marketeer de fictieve adressen of emailadressen van gebruikers die zich niet vrijwillig hebben ingeschreven eruit halen. Deze methode om een inschrijving te bevestigen, biedt zowel de gebruiker als de marketeer de meeste zekerheid. Het onderscheid wordt samengevat in de volgende figuur. Op het ogenblik van het verzamelen van de gegevens op een formulier (en/of opt-out mogelijkheid in de e-mail).
Op het ogenblik van het verzamelen van de gegevens op een inschrijvingsformulier
Ik wil niet per e-mail op de hoogte gehouden worden van uw producten en diensten
Ik wil per e-mail op de hoogte gehouden worden van uw producten en diensten
Opt-out
Pseudo-opt-in
Eenvoudige opt-in
Dubbele opt-in
Ik wil per e-mail op de hoogte gehouden worden van uw producten en diensten ;
Ik wil per e-mail op de hoogte gehouden worden van uw producten en diensten
Op het ogenblik van het verzamelen van de gegevens op een formulier
Op een inschrijvingsformulier en bij een bevestiging per e-mail
Figuur 11: Verschillende toepassingen van opt-out en opt-in vooraleer reclame e-mail te sturen (Walrave, 2004, p. 101).
Cyberkids’ e-Privacy
33
Wat de keuze voor opt-in of opt-out betreft in de steekproef websites, kan worden vastgesteld dat 11% van de privacy statements die direct marketing als doel vermelden in het formulier een opt-in aanbiedt, terwijl 13 % een opt-out voorstelt. In totaal voldoet dus een kwart van de organisaties die een privacy statement hebben en daarin uitdrukkelijk meedelen dat ze de data gebruiken voor marketingdoeleinden aan deze verplichting.
Figuur 12: Voorbeeld van een eenvoudige opt-out waarin wordt gevraagd om een vakje aan te vinken.
Figuur 13: Voorbeeld van een eenvoudige opt-in bij gebruik van e-mail voor reclamedoeleinden
Figuur 14: Voorbeeld van uitleg over gebruik van data voor marketingdoeleinden en hoe het verzetsrecht kan worden uitgeoefend via een uitschrijflink in iedere nieuwsbrief.
Een derde van de sites (30%) vraagt de betrokkene om het bedrijf te contacteren, indien hij zijn recht op verzet wenst uit te oefenen. Eén vijfde (19%) geeft aan dat de betrokkenen recht hebben op verzet, maar vermeldt in de privacy policy helemaal niet hoe consumenten dit recht kunnen uitoefenen.
Figuur 15: Het recht op verzet uitoefenen: eenvoudiger is anders.
Cyberkids’ e-Privacy
34
De websites waarin wordt verklaard dat de gegevens ook aan andere organisaties zullen worden meegedeeld, bieden telkens een recht op verzet aan. Het gaat om een beperkte groep binnen de volledige steekproef (14 sites). De helft van de sites verduidelijkt niet hoe men de doorgifte van zijn gegevens kan verhinderen. Enkele van de andere sites verwijzen naar het post- of e-mailadres. Ten slotte moet worden opgemerkt dat in één privacy statement werd meegedeeld dat de organisatie zelf contact zou opnemen met de betrokkenen indien zou worden overwogen om de data aan andere partijen door te geven. In dat geval zal de toestemming worden gevraagd van de betrokkenen. Uit de analyse blijkt eveneens een diversiteit aan typen privacy statements die worden geformuleerd. Sommigen zijn minimalistisch (cf. figuur 16), anderen zijn langdradig en staan bol van juridisch jargon dat niet is aangepast aan het doelpubliek. Daartegenover staan de privacymededelingen die bondig zijn en waarvan verschillende onderdelen gestructureerd zijn en bereikbaar via specifieke links (cf. figuur 17).
Figuur 16: Illustratie van een minimalistische privacyformule die niet voldoet aan de verplichtingen van de wet.
Figuur 17: Illustratie van een structuur van een privacy statement die bovenaan de onderwerpen weergeeft die hyperlinks vormen naar de uitleg.
f. Worden ouders betrokken? Omdat websites zijn bestudeerd die zich hoofdzakelijk richten tot kinderen en adolescenten, is ook onderzocht of er in het privacy statement eventueel informatie is opgenomen voor de ouders. Meer nog, worden kinderen aangespoord het advies in te winnen of zelfs de toestemming te vragen van de ouders vooraleer eigen gegevens mee te delen? Dit laatste wordt namelijk aanbevolen door de Privacycommissie. Tijdens dit onderzoek is vastgesteld dat 12% van de privacy statements informatie bevat die bestemd is voor de ouders.
Cyberkids’ e-Privacy
35
Figuur 18: Voorbeeld van informatie die bestemd is voor de ouders.
Eén op de tien privacy statements nodigt de jongere uit om de mening van zijn ouders te vragen vooraleer persoonsgegevens online door te geven. Eén site gaat zelfs nog verder en vraagt de jongere het e-mailadres van de ouder(s) om rechtstreeks de toestemming te vragen om de gegevens van het kind op te nemen in de database. Een klein aantal websites betrekt dus de ouders bij het online doorspelen van gegevens door de jongere. Aangezien het een gering aantal betreft, kan dit resultaat niet worden vergeleken tussen de verschillende segmenten van de steekproef (naargelang het doelpubliek, namelijk de kids-sites, teenssites, mengcategorie, brede categorie).
Cyberkids’ e-Privacy
36
Vergeten we echter niet dat het privacy statement op deze websites in eerste instantie door de jonge bezoeker moet kunnen worden gevonden en begrepen. Daarom is nagegaan of deze informatie eenvoudig geformuleerd werd, zonder gebruik van (juridisch) jargon. Wordt er een directe stijl gebruikt waarbij de jonge internetgebruiker persoonlijk wordt aangesproken en waarbij de gebruikte taal overeenstemt met de manier waarop andere inhoud van de website is geformuleerd? Ongeveer de helft (48%) van de onderzochte privacy statements beantwoordt aan deze vereiste.
Figuur 19: Een onderdeel van een privacy statement gelinkt met een website die zich richt tot jongeren. De toon en woordkeuze zet wellicht de doelgroep niet aan om kennis te nemen van de privacyrechten.
Figuur 20: Een ietwat eenvoudigere formulering van een privacy statement.
g. Extra informatie Sommige privacyverklaringen gaan verder dan de noodzakelijke informatie die op grond van de privacywet moet worden meegedeeld. Meer dan de helft van de statements (56%) verwijst naar de wet waarop de uiteengezette rechten zijn gebaseerd. Een kleine helft (44%) rept met geen woord over de wetgeving. Het voordeel van dergelijke verwijzing is dat het voor lezers van het statement duidelijk wordt dat het bedrijf hen niet zomaar een gunst doet door hen bijvoorbeeld een recht op inzage, correctie en verzet te geven. Het is hun wettelijke plicht. Websitebezoekers die gegevens toevertrouwden, kunnen hun
Cyberkids’ e-Privacy
37
rechten uitoefenen en indien nodig afdwingen. Bovendien is een verwijzing naar de wet ook nuttig voor degenen die meer informatie zouden wensen, zowel consumenten als marketeers. De manier waarop naar de wet wordt verwezen, is echter ook belangrijk. Sommige privacyverklaringen (29%) hebben het over “de wet van 8 december 1992”. Ten eerste verwijzen ze naar de oorspronkelijke wet. Dit is een optie omdat deze datum ook in de titel van de herziene wet staat. Enkele sites verwijzen naar de datum van de herziene wet (11 december 1998). Ten slotte hebben 13% van de statements het over beide data. De verwijzing naar een datum zegt echter niets over de inhoud van de wet. Slechts een klein aantal sites (3%) vermelden dat het om “de wet op de privacy” of “de wet ter bescherming van de persoonlijke levenssfeer” gaat. Kortom, een verwijzing naar de wet kan nuttig zijn om verscheidene redenen, maar een inhoudelijke verwijzing is beter dan een aanduiding van datum van de wet. Een instantie die niet alleen individuen maar ook organisaties kan bijstaan met informatie en ook andere steun kan bieden met betrekking tot de privacywet, is de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. De Privacycommissie, zoals ze vaak wordt genoemd, wordt in 17% van de statements vermeld. Opnieuw onderlijnen we dat dit niet verplicht is. Het is wel bijzonder consumentvriendelijk om in een privacy statement mee te delen waar men terecht kan voor meer informatie over de wet. Enkele sites (5%) vernoemen de Commissie, geven het adres en bieden ook een hyperlink aan naar de website. Enkele sites stellen of het post- of het webadres ter beschikking. Ongeveer 9% geeft wel aan dat men voor meer informatie over de wet bij de Commissie terecht kan. Hoe men de Commissie kan bereiken, wordt niet meegedeeld. Een hyperlink naar de instantie in het privacy statement voorzien, vergt nochtans weinig inspanning. Op die manier biedt men de geïnteresseerden de mogelijkheid om zich niet te moeten beperken tot de uitleg in een bondig privacy statement, maar zich uitgebreider te kunnen informeren over de wet. De informatie over de Commissie mag echter niet ten koste gaan van inlichtingen over de verantwoordelijke voor de verwerking en over hoe men bij hem terecht kan voor informatie of om zijn rechten uit te oefenen. We hebben namelijk vastgesteld dat enkele sites terecht verwijzen naar de Commissie om het Openbaar Register te raadplegen. Sommige sites verwijzen echter alleen naar de Commissie, nadat ze hebben gesproken over de privacyrechten. Dit geeft de indruk dat de betrokkene zijn recht op inzage, correctie en verzet kan uitoefenen bij de Commissie, hoewel men zich eerst tot de verantwoordelijke voor de verwerking moet wenden. Bepaalde websites bieden naast de verplichte vermeldingen in hun privacy statement en eventuele verwijzingen naar de wet of de Commissie, extra informatie aan over interne procedures betreffende de bewaringstermijn van de gegevens. De volgende illustratie biedt een verduidelijking.
Figuur 21: Informatie over de bewaringstermijn van gegevens in de context van een wedstrijd.
Cyberkids’ e-Privacy
38
Om het overzicht van de inhoudelijke aspecten van privacyverklaringen af te ronden, wordt in de volgende tabel samengevat in welke mate de vereiste basisinformatie wordt aangeboden in de privacystatements: Identificatie van de verantwoordelijke
m.a.w. wie/welke organisatie verwerkt de data? Identificatie van de doeleinden
m.a.w. voor welk(e) doel(en) gebruikt men de data? Recht op inzage
m.a.w. kan de betrokkene zijn eigen data inkijken? Recht op correctie
m.a.w. kan de betrokkene eventuele fouten (laten) verbeteren? Recht op verzet
m.a.w. indien de data voor direct marketing worden gebruikt, kan men zich ertegen verzetten?
52% 86% 67% 66% 60%
Tabel 2: Informatie en rechten vermeld in de privacystatements.
Hierna volgt de eindscore van de volledige steekproef websites die persoonsgegevens verzamelen. Identificatie van de verantwoordelijke
m.a.w. wie/welke organisatie verwerkt de data? Identificatie van de doeleinden
m.a.w. voor welk(e) doel(en) gebruikt men de data? Recht op inzage
m.a.w. kan de betrokkene zijn eigen data inkijken? Recht op correctie
m.a.w. kan de betrokkene eventuele fouten (laten) verbeteren? Recht op verzet
m.a.w. indien de data voor direct marketing worden gebruikt, kan men zich ertegen verzetten?
27% 36% 28% 27% 13%
Tabel 3: Percentage van alle websites uit de steekproef (met of zonder privacy statement) die persoonsgegevens verzamelen en specifieke privacyrechten respecteren.
Een kanttekening is hier op zijn plaats over het lage percentage websites dat een recht op verzet aanbiedt. Het recht op verzet bij direct marketing is natuurlijk slechts van toepassing indien de gegevens voor dit doel door het bedrijf worden benut. Dit kan slechts gedeeltelijk worden nagegaan: alleen de privacyverklaringen zijn onderzocht en er is genoteerd welk bedrijf meedeelt of het zelf (54%) en/of voor derden (14%) data verzamelt voor direct marketing. Meer dan de helft van de onderzochte sites heeft echter geen privacy statement. Van dit deel van de steekproef kunnen dan ook geen conclusies worden getrokken over de doeleinden van de database. We kunnen met dit type onderzoek alleen nagaan wat de verklaringen zeggen en geen uitspraak doen over de praktijk zelf in de organisatie. Los van deze kanttekening, stellen we toch vast dat een ruime meerderheid van de websites die persoonsgegevens verzamelen van onder meer kinderen en adolescenten, dit niet conform de informatieplicht van de privacywet doen. Vele websites scoren onvoldoende op de informatievereisten die zijn opgelegd door de wetgever.
Cyberkids’ e-Privacy
39
3.2.4. Gebruik van cookies? Een verantwoordelijke voor een website kan geïnteresseerd zijn in de demografische of andere kenmerken van de websitebezoekers om de inhoud van de webstek aan te passen. Deze informatie moet echter niet noodzakelijk gelinkt worden met de persoonsgegevens (zoals naam en adres). Men kan op basis van anonieme statistieken de inhoud van een website aanpassen. Indien men de inhoud wil afstemmen op het profiel van individuele bezoekers, dan kan men dit profiel koppelen aan een cookie die op de computer van de internetgebruiker wordt opgeslagen. Een cookie is een klein informatiepakket dat automatisch door de http-server (webserver) wordt verstuurd tijdens een websitebezoek aan een client-machine (de PC van de gebruiker) en op de harde schijf van de computer van de bezoeker wordt geplaatst. Dergelijk bestand bevat onder andere de naam van de cookie, de waarde van de cookie (bv. unieke code), de vervaldatum (het einde van de surfsessie of soms een latere datum) en de domeinnaam en het pad waarnaar de cookie - bij herhaald bezoek - kan worden gestuurd. Telkens een bezoeker naar de website terugkeert, stuurt zijn browser de cookie naar de server. Cookies kunnen ook functioneren als een soort barcode. Als in de cookie een uniek identificatienummer wordt opgenomen dat wordt gekoppeld aan één of meerdere persoonsgegevens die door de betrokkene via de website zijn doorgegeven, dan kan het surfgedrag van een geïdentificeerde internetgebruiker worden gevolgd. Men gaat dan de click stream of het navigatiepad, namelijk de opeenvolgende acties van de individuele bezoeker, kunnen volgen, analyseren en hieruit conclusies trekken voor (online) direct marketingdoeleinden. Aangezien cookies niet alleen het surfen kunnen vergemakkelijken, maar ook benut kunnen worden om het surfgedrag van websitebezoekers in kaart te brengen, is in dit onderzoek nagegaan in welke mate sessie- en permanente cookies worden gebruikt op websites die hoofdzakelijk bestemd zijn voor kinderen en adolescenten. Meer dan de helft (54,5%) van de onderzochte websites gebruikt cookies18. In 53% van de gevallen betreft het enkel cookies die worden gestuurd door de server van de organisatie die de website beheert. In 28% van de gevallen worden de cookies enkel door derden gestuurd die bijvoorbeeld het aantal (unieke) bezoeken en het navigatiepad van de bezoekers analyseren. Bij 11% van de websites gaat het zowel om de server van de site als om derden. Een derde (33,5%) van de gestuurde cookies zijn geen sessie-cookies en blijven dus op de harde schijf staan, tenzij de betrokkene ze wist. Ongeveer 64% van de verstuurde cookies blijft één jaar geldig. 36% heeft een langere ‘versheidsdatum’, sommige gaan zelfs mee tot 2037 (9%) en enkele tot 2038, het gemiddelde is 2009. Wanneer men cookies verwerpt, krijgt men in 30% van de gevallen zonder probleem toegang tot de webpagina. 59% van de sites blijft cookies sturen tot de internetgebruiker ze accepteert. Eén op de tien sites (11%) verleent geen toegang tot de site, indien men geen cookies aanvaardt, wat ongeveer overeenstemt met wat is vastgesteld in de algemene steekproef van de onderzoeken in 2001 en 2002.
18 Ter informatie: dit percentage lag in de algemene steekproef van 2002 hoger, namelijk 73%. In 2001 bedroeg dit 51%. Dit zijn wel resultaten van algemene websites (N=250) die bestemd zijn voor consumenten.
Cyberkids’ e-Privacy
40
14% van de sites die cookies gebruiken, geeft er informatie over in het privacy statement. Enkele sites (2%) informeren de bezoeker over cookies in een aparte pagina die is gelinkt met de homepage of in een webpagina met juridische informatie (4%) of de algemene gebruiksvoorwaarden van de website (2%). Een site gebruikt bijvoorbeeld een pop-up venstertje met informatie over het doel van de cookies, dat verschijnt als een bezoeker de cookie niet aanvaardt. Wanneer we even napluizen welke informatie er wordt gegeven, dan is dit in meer dan de helft van de gevallen een eenvoudige omschrijving van wat een cookie is en waarvoor de webmaster die gebruikt. De andere kleine helft van de sites die informatie verstrekken over cookies, gaat een stap verder en legt uit hoe je cookies kunt uitschakelen volgens het type browser dat je gebruikt.
Figuur 22: Informatie over cookies met behulp van enkele vaktermen en een waarschuwing om ze toch maar niet uit te schakelen.
3.2.5. Respons op mystery e-mails? Steeds meer bedrijven laten de kwaliteit van hun e-mailcommunicatie met klanten evalueren door gespecialiseerde bedrijven die zowel de snelheid als de inhoud van het antwoord evalueren. Naar analogie met mystery shopping waarbij een deskundige de reactie van het winkelpersoneel test om de klantgerichtheid te beoordelen, spreekt men in de context van de evaluatie van de telefonische of emailcommunicatie respectievelijk over mystery calls en mystery e-mails. Wij wensten in dit onderzoek na te gaan of bedrijven die online gegevens verzamelen, zouden antwoorden op een vraag over de redenen van de dataverzameling. We hebben voor dit deel van het onderzoek geen e-mailadres van de universiteit gebruikt aangezien dit de antwoorden eventueel zou kunnen vertekenen. Aan ons verzoek werd door 41% van de correspondenten geen enkel gevolg gegeven. Een meerderheid van 59% antwoordde dus wel op een eenvoudige vraag met betrekking tot de doeleinden waarvoor de toevertrouwde data zullen worden gebruikt. Zes op de tien antwoorden (63%) werden ontvangen binnen de 24 uur. 15% van de antwoorden heeft ons een dag later bereikt, 7% twee dagen later, 5% drie dagen en ongeveer 10% nog later. In twee derde (66%) van de gevallen wordt op een persoonlijke en informatieve manier een specifiek antwoord geformuleerd op onze vraag en meestal wordt het schrijven ondertekend door een medewerker (77%). Eén op de vijf (20%) geeft een gestandaardiseerd antwoord. Hiermee bedoelen we dat geen moeite wordt genomen om een antwoord te formuleren. In de e-mail wordt gewoon het eigen privacy statement geplakt. Ongeveer 7% stuurt wel een mail terug, bedankt voor de vraag, maar formuleert geen concreet antwoord. Anderen verwijzen naar het privacy statement of naar de wet, zonder echt op de vraag te antwoorden (7%).
Cyberkids’ e-Privacy
41
4. NAAR EEN EUROPESE COPPA? Uit de resultaten blijkt een gebrek aan aangepaste informatie en procedures om minderjarigen, en in bepaalde situaties hun ouders, te betrekken bij de online gegevensverwerking met respect voor de privacy. Deze bekommernis heeft in de Verenigde Staten het Congres aangezet de COPPA te stemmen. COPPA staat voor Children’s Online Privacy Protection Act. Federaal werden specifieke regels geformuleerd voor privacybescherming in bepaalde domeinen (bv. de verwerking van gegevens door videotheken of de verwerking van financiële gegevens) of voor specifieke doelgroepen (bv. kinderen onder 13 jaar)19. Hierna wordt dieper ingegaan op de maatregelen die zijn genomen om de online privacy van kinderen te beschermen en hun ouders te betrekken bij de verwerking van persoonsgegevens van hun zoon of dochter.
4.1. COPPA in een notendop In 1998 voerde de Federal Trade Commission (FTC) een onderzoek uit naar de online gegevensverwerking. Uit de oorspronkelijke steekproef (1402 sites) werden 212 websites geselecteerd die zich specifiek richten tot kinderen. Daarvan verwerkte 89% persoonsgegevens en ongeveer een vierde (23%) vroeg ouderlijke toestemming hiervoor. Gesteund door onder andere deze onderzoeksresultaten stelde het Amerikaanse Congres wetgeving voor om de online privacy van kinderen te beschermen (21 oktober 1998). Deze Children’s Online Privacy Protection Act (kortom COPPA) gaf de FTC de opdracht om binnen het jaar regels uit te werken. De Children’s Online Privacy Protection Rule, uitgewerkt door de FTC (gepubliceerd op 20 oktober 1999 en van kracht sinds 21 april 2000), bestaat uit twee belangrijke plichten voor beheerders van websites die zich richten tot kinderen jonger dan 13 jaar: -
het plaatsen van hyperlinks naar privacy statements en het aanbieden van specifieke informatie in deze statements;
-
het vragen van ouderlijke toestemming (Cai e.a., 2003).
Bovenstaande verplichtingen zijn van toepassing op elke commerciële website of online dienstverlening gericht tot kinderen die jonger zijn dan 13. Ook op algemene websites (die zich dus niet hoofdzakelijk of uitsluitend richten tot kinderen) is de COPPA van toepassing, van zodra de websitebeheerder ‘weet heeft’ dat hij gegevens van kinderen verzamelt. De FTC houdt rekening met verschillende factoren om uit te maken of een site aan deze voorwaarde voldoet: het thema van de site, het gebruikte audiovisuele materiaal en eventueel figuren, de leeftijd van de personen die zijn afgebeeld op de site, het taalgebruik, of de reclame die is opgenomen in een website die producten/diensten aanprijst die bestemd zijn voor deze leeftijdsgroep. De COPPA en de Rule zijn van toepassing op iedere individueel identificeerbare informatie, niet alleen op de naam, het e-mailadres, het postadres, het telefoonnummer en andere contactgegevens, maar ook op vragen naar hobbies, interesses en eveneens alle andere informatie die wordt verzameld door 19
Cf. [http://www.ftc.gov/privacy/index.html]; [http://www.privacylaw.org]; [http://www.epic.org/privacy/bill_track.html]
Cyberkids’ e-Privacy
42
middel van onder andere een cookie (over het surfgedrag bijvoorbeeld) en die gelinkt kan worden met een identificeerbaar individu. Wat de eerste verplichting betreft, worden de websitebeheerders opgedragen om zowel op de homepage als op iedere webpagina waarin persoonsgegevens worden opgevraagd, een hyperlink te plaatsen naar het privacy statement. Indien een website zich niet alleen richt tot kinderen (jonger dan 13), maar ook tot andere doelgroepen, dan wordt op de startpagina een link geplaatst voor kinderen alsook op iedere webpagina waarin gegevens van deze doelgroep worden opgevraagd. Bovendien moeten deze hyperlinks duidelijk en opvallend zijn: een grotere lettergrootte en contrasterende kleur worden aanbevolen. Een hyperlink in kleiner lettertype dan de andere tekst onderaan een webpagina of een hyperlink die niet te onderscheiden is van andere links op de website, worden door de FTC niet conform deze verplichting geacht. Deze vormvereisten zijn niet alleen in de context van de gegevensverwerking van kinderen interessant. Het aanduiden van de plaatsen en de manier waarop naar het privacy statement verwezen wordt door een hyperlink kan de strijd aanbinden tegen privacyverklaringen die ergens in een hoekje van een website weggemoffeld worden. Het privacy statement zelf moet in een eenvoudige taal worden geformuleerd en mag geen verwarrende informatie bevatten of inlichtingen die niets terzake doen (bv. regeling over auteursrechten en andere informatie die niet in een privacy statement horen). Het privacy statement bestaat minimaal uit volgende informatie: -
de naam en de contactdata (adres, e-mail, telefoon) van de persoon of personen/ organisatie(s) die de gegevens verwerken20;
-
de typen persoonsgegevens die aan de kinderen worden gevraagd (bv. naam, e-mailadres, hobbies) en hoe ze worden verzameld: expliciet of actief, i.e. met bewuste medewerking van de betrokkene door middel van een elektronisch formulier, of impliciet, passief, via cookies;
-
voor welke doeleinden de websitebeheerder deze gegevens zal gebruiken (bv. toegang verlenen tot een chatroom, op de hoogte brengen van het resultaat van een wedstrijd, marketingcommunicatie naar het kind toe);
-
dat de websitebeheerder het verzamelen van meer gegevens dan strikt noodzakelijk voor het meegedeelde doel of doeleinden niet als voorwaarde kan stellen voor de deelname aan een bepaalde activiteit of dienst die de websitebeheerder levert (bv. de verplichting om een lijst persoonsgegevens in te vullen om deel te nemen aan een wedstrijd, terwijl alleen het emailadres voldoende is om de betrokkene te contacteren);
-
dat indien de gegevens worden meegedeeld aan adverteerders en andere derden (die bijvoorbeeld de website sponsoren), wordt meegedeeld welke activiteiten zij uitvoeren en tot welke afspraken inzake vertrouwelijkheid en beveiliging van de gegevens zij zich hebben geëngageerd;
20 Indien de gegevens door verschillende partijen worden verzameld/gebruikt, dan kan worden geopteerd voor een vermelding van de contactgegevens van één verantwoordelijke die op alle verzoeken van betrokkenen zal antwoorden. Hoewel de contactdata van één organisatie volstaan, moeten de namen van alle betrokken partijen worden opgesomd (kortom, alle organisaties die bijvoorbeeld de gegevens zullen gebruiken).
Cyberkids’ e-Privacy
43
-
dat
de
ouders
hun
toestemming
kunnen
verlenen
voor
de
verwerking
van
de
persoonsgegevens van hun kind, maar ook kunnen instemmen met de verwerking van de data door de websitebeheerder zonder in te stemmen met het doorgeven van de data aan derden21; -
dat de ouders de mogelijkheid hebben de verwerkte gegevens in te zien, de vernietiging van bepaalde data kunnen vragen en hun toestemming tot verwerking kunnen intrekken; de procedures om deze rechten uit te oefenen moeten eveneens worden meegedeeld.
Wanneer gegevens van kinderen worden verwerkt, moet een controleerbare ouderlijke toestemming worden verkregen (rekening houdend met de beschikbare technologie). Websitebeheerders moeten daarom redelijke inspanningen doen om te verzekeren dat de ouders over de privacy policy beschikken en dat ze ermee instemmen vooraleer de gegevens van het kind te verzamelen. Om deze verplichting concreet te maken, heeft de FTC gradaties22 uitgewerkt om specifieke situaties te onderscheiden waarin striktere procedures voor het verwerven van de ouderlijke toestemming al dan niet noodzakelijk zijn. Terecht uiten critici hun bezorgdheid omtrent de kosten en andere drempels om deze procedures efficiënt te laten verlopen23. Indien de gegevens louter voor intern gebruik worden verzameld, dan is ouderlijke toestemming via email voldoende. Indien de persoonsgegevens echter worden meegedeeld aan derden of de verwerker van plan is om ze publiek te maken, dan zijn striktere methodes noodzakelijk om te beschikken over een bewijs van ouderlijke toestemming, bijvoorbeeld: een schriftelijke en ondertekende toestemming, een e-mail met elektronische handtekening of ander paswoord dat of code die kan worden verworven op een controleerbare manier, een oproep naar een gratis telefoonnummer van (het contact center van) het bedrijf waar getrainde operatoren de ouders te woord staan. In bepaalde omstandigheden kunnen organisaties de naam en het e-mailadres van een kind verwerken, zonder ouderlijke toestemming24. De uitvoering van deze verplichtingen ging gepaard met het opzetten van een website waarin verschillende
doelgroepen
worden
geïnformeerd
en
gesensibiliseerd
[http://www.ftc.gov/
kidzprivacy/]. In de rubriek die is bestemd voor websitebeheerders en online marketeers (de zogenaamde “Business Buzz”) worden de verplichtingen onder de loep genomen en wordt uitgelegd hoe men ze concreet kan toepassen door zich te baseren op onder meer de adviezen die zijn samengevat in een “Compliance Toolkit”25.
21 Indien een wijziging plaatsvindt in de doelstelling(en) van de verwerking van de persoonsgegevens, dan moeten de ouders op de hoogte worden gebracht en opnieuw hun toestemming worden gevraagd om de gegevens van hun kind te mogen verwerken. 22 Cf. Sliding scale mechanism [http://www.ftc.gov/os/2005/04/050420coppafinalrule.pdf] 23 Cf. [http://www.epic.org/privacy/kids/] en Valkenburg, 2002. 24 Wanneer bijvoorbeeld (1) aan het kind het e-mailadres van een ouder wordt gevraagd om informatie te sturen over de privacy policy en om toestemming te vragen; (2) het kind een e-mailadres toevertrouwt om meer dan eens te antwoorden op een specifieke vraag (bv. het sturen van een elektronische nieuwsbrief) en waarbij de ouders worden geïnformeerd en de mogelijkheid krijgen zich hiertegen te verzetten; (3) wanneer de naam en het e-mailadres worden verzameld om de veiligheid van het kind te waarborgen op een website; (4) wanneer de naam en het e-mailadres worden gebruikt om de veiligheid van de website te waarborgen of om te antwoorden op verzoeken van politiediensten; (5) het verzamelen van het e-mailadres van een kind om éénmalig te antwoorden op een vraag en daarna het gegeven te vernietigen. 25 [http://www.ftc.gov/bcp/conline/edcams/coppa/index.html]
Cyberkids’ e-Privacy
44
4.2. Worden de regels nageleefd? Hoewel de FTC op basis van de wetgeving voor de verschillende doelgroepen, waaronder bedrijven, uitgebreide informatie ter beschikking stelde, vorderde de naleving van de COPPA slechts traag. Dit bleek uit een nieuwe analyse van websites bestemd voor kinderen, drie maanden na het van kracht worden van de verplichtingen. Hoewel drie vierden van de onderzochte websites gegevens opvraagt van de jonge bezoekers (75%), schiet de helft tekort op essentiële punten van de COPPA (FTC, 2000). Ook ander onderzoek van 162 websites bestemd voor kinderen werd uitgevoerd (Cai e.a., 2003). Van de websites in de steekproef verzamelde 68% persoonsgegevens. Vooral het e-mailadres (95%) en de naam (79%) worden opgevraagd. In meer dan vier op de tien sites (44%) wordt eveneens informatie over vrienden verzameld. Slechts de helft van de sites (52%) beschikt over een privacy statement. Eén op de drie sites (31%) vraagt ouderlijke toestemming om gegevens van de kinderen te verwerken. Slechts weinig sites stellen controleerbare procedures voor om deze toestemming te verkrijgen. Voorbeeld: 9% van de sites vereist een schriftelijke toestemming en 4% vraagt goedkeuring via e-mail. In 15% van de steekproef wordt het kind gevraagd om ouderlijke toestemming zonder van de ouders zelf enige bevestiging te verkrijgen. In het privacy statement deelt een derde (29%) de doeleinden van de gegevensverwerking mee. Van alle websites die gegevens verzamelen, kwam een derde (28%) de COPPA-verplichtingen volledig of slechts gedeeltelijk na. De onderzoekers stelden vast dat het privacy statement op taalkundig vlak veelal een lange, ononderbroken tekst is met vakjargon dat het jonge doelpubliek (en hun ouders) wellicht niet aanspreekt (Cai e.a., 2003). Opnieuw werd door de FTC een analyse uitgevoerd (van 144 websites) waarin is vastgesteld dat zeven op de tien sites gegevens van de bezoekers verwerken. Daarvan beschikken negen op de tien sites (89%) wel over een privacy statement waarin wordt meegedeeld wie, welke gegevens verzamelt en voor welke doeleinden. Op 82% van de sites vindt men een link naar de privacybelofte op de startpagina. Iets minder (76%) voorziet een link vanuit iedere webpagina waarop een elektronisch formulier staat. De privacy statements bevatten in negen op de tien gevallen de basisinformatie, namelijk de typen gegevens die worden verwerkt en de doelen die deze verwerking dient. Ongeveer acht op de tien sites (82%) identificeren de verantwoordelijke(n) voor de gegevensverwerking. Het e-mailadres wordt meestal meegedeeld (79%), terwijl het postadres (67%) en het telefoonnummer (53%) minder worden vermeld, hoewel de COPPA dit voorschrijft. Slechts de helft van de sites (47%) informeert de ouders over hun inzagerecht, het recht om de gegevens van hun kind(eren) te laten vernietigen of terug te komen op hun toestemmingsbeslissing. Een derde van deze sites (29%) stelt een formulier ter beschikking dat de ouders kunnen invullen en terugsturen. Eén site nodigt de ouders uit om zich te informeren en eventueel hun toestemming te verlenen door gebruik te maken van een gratis telefoonnummer van het bedrijf.
Cyberkids’ e-Privacy
45
Eveneens in ongeveer de helft van de sites werd meegedeeld dat het opvragen van meer gegevens dan strikt noodzakelijk voor het meegedeelde doel of de doeleinden van de verwerking geen voorwaarde mag zijn om toegang te krijgen tot bepaalde diensten of activiteiten op de website. De FTC besluit dan ook voorzichtig met de stelling dat, rekening houdend met de beperkingen van het onderzoek, de naleving van de COPPA erop is vooruit gegaan in vergelijking met hun eerste meting (in 1998), hoewel het betrekken van de ouders en het meedelen van procedures zeker voor verbetering vatbaar zijn (FTC, 2002).
Cyberkids’ e-Privacy
46
5. BESLUIT: MEER RECHTEN VOOR MINDERJARIGEN
In navolging van vorige analyses van websites, werd eveneens in dit onderzoek over de naleving van privacyrechten bij de verwerking van persoonsgegevens vastgesteld dat een meerderheid van de organisaties die online gegevens verzamelen de informatieplicht van de privacywet niet volledig naleven. Hieruit kan worden afgeleid dat minderjarigen blijkbaar minder privacyrechten hebben op het internet als hen naar persoonsgegevens wordt gevraagd. De informatieplicht werd namelijk in een andere algemene steekproef van bedrijfswebsites relatief beter nagekomen. In vorige studies kon worden vastgesteld dat een iets ruimer aantal sites voldeed aan de informatieplicht (Walrave, 2002, p. 28-29). Kortom, een opvallende tendens is de verzameling van data bij jongeren, waarbij de gebruiksdoeleinden niet altijd duidelijk zijn. Enkele websites die zich onder meer tot minderjarigen richten (bv. online wedstrijden, chat- en datingsites) vragen, zonder privacygaranties, data van zowel de websitebezoekers als van derden (ouders, vrienden). In enkele gevallen worden data opgevraagd die door de wetgever als gevoelig worden bestempeld. Dit zijn in het algemeen data waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook persoonsgegevens die het seksuele leven betreffen (bv. in bepaalde chat- en datingsites). Dergelijke persoonsgegevens zijn onderworpen aan een zeer streng regime. Er geldt een principieel verbod voor de verwerking van deze data, met enkele uitzonderingen zoals de schriftelijke toestemming van de betrokkene. De vaststellingen van het onderzoek over de toepassing van de privacywet op Belgische sites die gericht zijn tot jongeren, maken het informeren en sensibiliseren van jonge internetgebruikers en hun vertrouwenspersonen bijzonder actueel. Deze sensibilisering moet dan ook gebeuren op diverse manieren die de verschillende segmenten binnen de jongerenpopulatie aanspreken binnen en buiten de schoolomgeving (cf. sites van initiatieven terzake in de webografie). Ook marketeers die minderjarigen als doelpubliek hebben voor hun campagnes op het internet en via de mobiele telefonie moeten worden geïnformeerd over de concrete toepassing van de privacyrechten van betrokkenen die hen persoonsgegevens toevertrouwen. Dit kan op basis van specifieke wetgevende initiatieven over de mogelijkheden en beperkingen op het gebied van de verwerking van gegevens van minderjarigen, in navolging van de Children’s Online Privacy Protection Act. Ook coregulering met de flexibiliteit en de praktische uitwerking van gedragsregels die dit onder meer inhoudt, is een piste die ernstig moet worden genomen en verder onderzoek vereist. Het is bovendien niet alleen aangewezen de manieren van gegevensverwerking op onder meer websites die bestemd zijn voor minderjarigen verder te onderzoeken, maar ook een specifieke evaluatie van labels, technologieën en andere initiatieven die de bescherming van minderjarigen op het internet beogen, wordt ten zeerste aanbevolen.
Cyberkids’ e-Privacy
47
Wanneer en voor welke doeleinden kunnen welke persoonsgegevens van minderjarigen worden verzameld, hoe moeten ze hierover worden ingelicht en op welke concrete manier kunnen ze hun rechten uitoefenen, is een minimumvereiste wanneer men het over specifieke (co-)regulering heeft. Deze informatie moet eenvoudig, bondig en verstaanbaar worden meegedeeld. De formulering mag daarom niet verschillen van het woordgebruik in andere rubrieken van de website. Ook een auditieve of audiovisuele versie van de kern van de privacybelofte, kan het geheel verteerbaar maken voor een jong publiek. Het gebruik van kleur, (strip)figuren kan ook de aandacht trekken en jongeren aansporen rekening te houden met deze informatie en er met elkaar, eventueel met ouders en andere vertrouwenspersonen van gedachten over te wisselen. Bovendien kan worden verduidelijkt in welke gevallen het advies en/of de toestemming van een/de ouder(s) noodzakelijk is/zijn. Eveneens kunnen concrete gedragsregels worden afgesproken om een evenwicht te vinden tussen de dienstverlening en individuele commerciële communicatie voor jongeren enerzijds, en de bescherming van hun privacyrechten anderzijds. Alleen op die manier kan een jonge generatie gebruikers van de informatie- en communicatietechnologie de kans krijgen om bewuste keuzes te maken om al dan niet gegevens toe te vertrouwen.
Cyberkids’ e-Privacy
48
TIPS VOOR CYBERKIDS *
Ga voorzichtig om met je gegevens.
Moet je echt antwoorden op alle vragen die gesteld worden in een website? Soms vraagt men je in een formulier op een site veel informatie (bv. je naam, e-mail, adres, telefoon, msn…) over jezelf en zelfs anderen (bv. ouders, vrienden). Vraag je af of ze al die informatie wel nodig hebben.
Gebruik verschillende e-mailadressen.
Reageer nooit op mail die je niet leuk vindt.
Geef jouw belangrijkste e-mailadres (dat je het meest gebruikt of waarvan de boodschappen in jouw e-mailprogramma terecht komen op je computer of die van je ouders) enkel aan personen die je vertrouwt. Gebruik één of enkele gemakkelijk te vervangen (gratis) e-mailadressen als ‘wegwerpadres’ die je voor wedstrijden en websites van bedrijven kunt gebruiken.
Ontvang je mail die jou een prijs belooft of reclame maakt voor bepaalde producten en je hebt die informatie zelf niet gevraagd of je kent de afzender niet eens, negeer de mail dan. Reageer er niet op!
Uitleg bij de tips 1. Ga voorzichtig om met jouw gegevens Moet je echt antwoorden op alle vragen die gesteld worden in een website? Soms vraagt men in een formulier op een site veel informatie (bv. je naam, e-mail, adres, telefoon, msn…) over jezelf en zelfs anderen (bv. ouders, vrienden). Vraag je af of ze al die informatie wel nodig hebben. Bijvoorbeeld: je wilt je inschrijven op een elektronische nieuwsbrief? Dan hebben ze eigenlijk alleen je e-mailadres nodig. Stellen ze nog andere vragen? Jij beslist of je die wil beantwoorden en wat je antwoordt. Soms vertellen bedrijven jou wat ze van plan zijn met de informatie die jij hen geeft. Ze informeren je over het doel (bv. je een nieuwsbrief sturen), wie die gegevens zal gebruiken en wat jouw rechten zijn. Wanneer je informatie over jezelf meedeelt (bv. je naam, adres, e-mail) dan heb je het recht om die in te kijken (bv. je data opvragen) en fouten te verbeteren (bv. je emailadres is veranderd en je wilt op dat nieuwe adres de nieuwsbrief ontvangen). Als een bedrijf jou reclame per e-mail of SMS wil sturen, dan moeten ze je toestemming vragen. Voor andere informatie over hoe ze je nog kunnen contacteren (bv. je postadres), heb je het recht om hen te zeggen dat je geen reclame wil ontvangen. Als je op een website geen informatie vindt over jouw rechten (soms vind je een pagina door op “disclaimer”, “privacy”, “gebruiksvoorwaarden”… te klikken), dan weet je eigenlijk niet wat ze met jouw informatie gaan doen en geven ze je niet de mogelijkheid om jouw rechten uit te oefenen. Dus, zuinig zijn met je gegevens en die van anderen. Vul niet te snel alle veldjes van een formulier in en geef niet zomaar jouw contactgegevens door op de chat. Geef enkel die informatie waarvan jij denkt dat zij het nodig hebben om je via mail bijvoorbeeld te contacteren, en dit alleen als jij wil dat ze jou mailen.
2. Gebruik verschillende e-mailadressen Geef jouw belangrijkste e-mailadres (dat je het meest gebruikt of waarvan de boodschappen in jouw e-mailprogramma terecht komen op je computer of die van je ouders) enkel aan personen die je vertrouwt. Gebruik één of enkele gemakkelijk te vervangen (gratis) e-mailadressen als ‘wegwerpadres’ die je voor wedstrijden en websites van bedrijven kunt gebruiken. Als je er dan te veel reclame of andere e-mails in je mailbox ontvangt die je niet leuk vindt, dan kun je die mailbox afsluiten.
3. Reageer nooit op mail die je niet leuk vindt Ontvang je mail die jou een prijs belooft of reclame maakt voor bepaalde producten en je hebt die informatie zelf niet gevraagd of je kent de afzender niet eens, negeer de mail dan. Reageer er niet op! Want, soms worden mails gestuurd (door spammers) naar e-mailadressen om te controleren of er reactie op zal komen. Als je dan een (vlammende) mail terug stuurt, dan weet de afzender dat je dat e-mailadres gebruikt en zal hij (en zijn collega spammers) nog meer reclame sturen. Als je twijfelt of je ontvangt mails die je niet leuk vindt, spreek er dan over met je ouders, leerkracht(en) en vrienden. * Figuurtjes uit het spelletje Spotm'nblog, dat kan gespeeld worden op http://www.saferinternet.be. Op deze website en op http://www.e-privacy.be kunnen de tips gedownload worden.
Cyberkids’ e-Privacy
49
BIBLIOGRAFIE Acuff, D. S. & Reiher, R. H. (1997) What kids buy and why: the psychology of marketing to kids, New York: Free Press. Bergler, R. (1999), The effects of commercial advertising on children. International Journal of Advertising, 18, nr. 4, p. 411-426. Cai, X.; Gantz, W.; Schwartz, N. & Wang, X. (2003) Children’s Website Adherence to the FTC’s Online Privacy Protection Rule. In: Journal of Applied Communication Research, 31, nr. 4: p. 346-362. Commissie voor de Bescherming van de Persoonlijke Levenssfeer (2002) Advies Nr. 38/2002 van 16 september 2002. Betreft:
Advies uit eigen beweging betreffende de bescherming van de persoonlijke levenssfeer van minderjarigen op het internet. Brussel [http://www.privacy.fgov.be]
Durndell, A.; e.a. (1997) Gender and computing: A decade of change? Computers and Education: An International Journal, 28(1), p. 1-9. FEDMA, s.d., European code of practice for the use of personal data in direct marketing. [http://www.fedma.org/img/db/FEDMACodeEN.pdf ] Fox, R. F. (1996) Harvesting minds: how TV commercials control kids, Westport: Praeger. FTC, s.d., You, Your Privacy Policy and COPPA. How to comply with the Children’s Online Privacy Protection act. [http://www.ftc.gov/bcp/conline/pubs/buspubs/coppakit.pdf] FTC (2000) Websites warned to comply with children’s online privacy law. [http://www.ftc.gov/opa/2000/07/coppacompli.htm] FTC (2002) Protecting Children’s Privacy under COPPA. A Survey on Compliance. [http://www.ftc.gov/os/2002/04/coppasurvey.pdf] Gilutz, S. & Nielsen, J. (2002) How Children use the Web. 70 Design Guidelines from Usability Studies with Kids Using Websites. Nielsen Norman Group. Californië: Fremont. Grinter, R. E. & Palen, L. (2002) Instant Messaging in Teen Life. Proceedings of the 2002 ACM Conference on Computer Supported Cooperative Work (CSCW '02), New Orleans, Louisiana. [http://www.cs.colorado.edu/~palen/Papers/grinter-palen-
IM.pdf]
Guichard, N. (2000), Publicité Télévisée et Comportement de l’Enfant, Parijs: Economica. Henke, L. (1999) Children, Advertising and the Internet: An Exploratory Study. D. W. Schumann & E. Thorson (eds.) Advertising and the World Wide Web. Londen: Lawrence Erlbaum. Holloway, S. L. & Valentine, G. (2003) Cyberkids. Children in the information age. Londen: Routlegde Falmer. Izenberg, N. & Lieberman, D. A. (1998) The web, communication trends, and children's health - Part 4: How children use the web. Clinical Pediatrics, 37(6), p. 335-340. Jenkins, H. (1997) Empowering children in the digital age: Towards a radical media pedagogy. Radical Teacher, 50, p. 30-35. Kapferer, J. N. (1985), L’enfant et la publicité: les chemins de la séduction, Parijs: Dunod. Kline, S. & Botterill, J. (2001) Media use audit for B.C. teens: Key findings. Report prepared for distribution to BC schools, Media Analysis Laboratory, Simon Fraser University, British Columbia [http://www.sfu.ca/media-lab] Lenhart, A.; e.a. (2001) Teenage life online. PEW internet & American Life Project. Washington [http://www.pewinternet.org] Lenhart, A. (2005) Protecting Teens Online. PEW internet & American Life Project. Washington [http://www.pewinternet.org] Lievens, E. & Dumortier, J. (2005) Bescherming van minderjarigen online: stand van zaken en blik op de toekomst.
Computerrecht 2005, 9, p. 59-64.
Lievens, E.; Valcke, P. & Stevens, D. (2005) Protecting minors against harmful content: Towards a regulatory checklist.
Conference Safety and Security in a Networked World: Balancing Cyber-Rights and Responsibilities, 8-10 September, 2005, Oxford.
Livingstone, S. (2002) Young People and New Media: Children and the Changing Media Environment. Londen: Sage. Livingstone, S. (2003) Children’s Use of the Internet: Reflections on the Emerging Research Agenda. New Media & Society, Vol 5(2), p. 147-166, Londen: Sage. Livingstone, S.; e.a. (2005) Inequalities and the Digital Divide in Children and Young People's Internet Use: Findings from the UK Children Go Online project. A research report from the UK Children Go Online project. Macklin, M. C. & Carlson, L. (1999), Advertising to children: concepts and controversies, Thousand Oaks, Californië: Sage. Mesch, G. (2001) Social Relationships and Internet Use among Adolescents in Israel. Social Science Quarterly, 82(2), p. 329339. Mitchell, K.J.; Finkelhor, D. & Wolak, J. (2001) Risk factors for the impact of online sexual solicitation of youth. JAMA, Juni 2001-Vol. 285, nr. 23, p. 3011-3014
Cyberkids’ e-Privacy
50
Montgomery, K. (2001) The New On-Line Children’s Consumer Culture. D. Singer & J. Singer (eds.) Handbook of Children and the Media, p. 635-650, Londen: Sage. Mumtaz, S. (2001) Children’s Enjoyment and Perception of Computer Use in the Home and the School. Computers and Education, 36, p. 347-362. Observatorium van de Rechten op het Internet (2003) Advies Nr. 1. betreffende de bescherming van de minderjarigen op het
internet. Brussel [http://www.internet-observatory.be]
Orleans, M. & Overton, A. T. (1998) The media power of children: Case studies of child-family interactions. [http://hss.fullerton.edu/sociology/orleans/children.htm] Rideout, V. J.; e. a. (1999) Kids & Media @ the new millennium: A comprehensive national analysis of children's media use. A Kaiser Family Foundation Report. Turow, J. & Nir, L. (2000) The Internet and the Family 2000. The View from Parents. The view from Kids. Report from the Annenberg Public Policy Centre. University of Pennsylvania. Van Rompaey, V.; Roe, K. & Struys, K. (2002) Children’s influence on the internet access at home, adoption and use in the family context. Information, Communication and Society, 2, p. 189-206. Unnikrishnan, N. & Bajpaj, S. (1996), The impact of television advertising on children, New Delhi: Sage. Valkenburg, P. (1999) De ontwikkeling van kind tot consument. Tijdschrift voor Communicatiewetenschap, 27, nr. 1, p. 30-46 Valkenburg, P. (2002) Beeldschermkinderen. Theorieën over kind en media. Amsterdam: Boom. Valkenburg, P. (2004) Children’s Responses to the Screen: A Media Psychological Approach. New Jersey: Lawrence Erlbaum Associates. Van Raaij, W. F. & Antonides, G. (1997), Consumentengedrag: een sociaal-wetenschappelijke benadering, Utrecht: Lemma. Verbiest, Th. (2004) Commerce électronique : le nouveau cadre juridique. Louvain-la-Neuve : Larcier. Walrave, M. (1995) Telemarketing : storing op de lijn ? Leuven: Acco. Walrave, M. (1999) Privacy gescand? Leuven: Universitaire Pers. Walrave, M. (2001a) e-Privacy in België: werk aan de e-winkel? De bescherming van de persoonlijke levenssfeer in Belgische websites. Privacy Paper Nr. 1. Leuven: Departement Communicatiewetenschap, K.U.Leuven. Walrave, M. (2001b) e-Big Brother: gevreesd of niet? Attitude & gedrag van internetgebruikers t.o.v. e-marketing en de bescherming van de privacy. Privacy Paper Nr. 2. Leuven: Departement Communicatiewetenschap, K.U.Leuven. Walrave, M. (2001c) e-Marketing & Privacy.Zo geclickt? Diegem: Kluwer. Walrave, M. (2002) e-Privacy.be: een betere bescherming van de privacy in Belgische websites, één jaar na het van kracht worden van de herziene privacywet? Een analyse van 250 Belgische websites m.b.t. het verzamelen van persoonsgegevens conform de Belgische privacywet (vergelijking 2001- 2002) en een enquête bij webmasters. Privacy Paper Nr. 3. Leuven: Departement Communicatiewetenschappen, K.U. Leuven.
Walrave, M. (2004) Met uw permissie. Antwerpen: Uitgeverij De Boeck. Youn, S. (2005) Teenagers’ perception of online privacy and coping behaviours: a risk-benefit appraisal approach. Journal of Broadcasting & electronic Media. March 2005, 49(1), p. 86-110. Young, B. M. (1990), Television advertising and children, Oxford: Clarendon.
Cyberkids’ e-Privacy
51
WEBOGRAFIE (in alfabetische volgorde)
http://www.actioninnocence.org http://www.annenbergpublicpolicycenter.org http://www.childnet-int.org http://www.clicksafe.be http://www.cnil.fr/index.php?id=13 http://www.consumerprivacyguide.org/kids/ http://www.dekinderconsument.be http://www.droitbelge.be http://www.droitdunet.fr/juniors/ http://www.droit-technologie.org http://www.educaunet.be http://www.epic.org/privacy/kids/ http://www.e-privacy.be http://www.ftc.gov/bcp/conline/edcams/kidzprivacy/index.html http://www.internet-observatory.be http://www.media-awareness.ca/english/parents/internet/kids_for_sale_parents/ http://www.mineco.fgov.be http://www.net-consumers.org/erica/dutch.htm http://www.privacy.fgov.be http://www.saferinternet.be http://www.saferinternet.org http://www.safety.ngfl.gov.uk/schools http://www.surfopsafe.nl http://www.test-aankoop.be/map/src/327361.htm http://www.webaverti.ca/french/PrivacyInvasions.aspx
Cyberkids’ e-Privacy
52
Wordt de privacy gerespecteerd in Belgische websites die zich hoofdzakelijk richten tot kinderen en adolescenten? Dit is de kernvraag van het onderzoek dat in deze vierde Privacy Paper beantwoord wordt. Het rapport schetst eerst de problematiek, de wetgeving en adviezen terzake gevolgd door de analyse van websites. Het doel van de reeks Privacy Papers is om verslag uit te brengen van onderzoek over de bescherming van de persoonlijke levenssfeer in de informatiemaatschappij in het algemeen en op het internet in het bijzonder. www.e-privacy.be - Prof. dr. Michel Walrave Universiteit Antwerpen – Communicatiewetenschappen
Cyberkids’ e-Privacy
53