05 okt
2015

De verontrustende resultaten van het onderzoek naar websites en apps voor kinderen

Een internationaal project waarbij websites en apps voor kinderen onder de loep werden genomen, heeft bezorgdheden aan het licht gebracht over de door de websites & apps verzamelde persoonsgegevens.

Het project heeft bezorgdheden naar voren gebracht bij 41% van de 1,494 onderzochte websites en apps, vooral over de hoeveelheid persoonsgegevens die verzameld worden en hoe deze uitgewisseld worden met derden.

De GPEN streeft naar een betere samenwerking bij de handhaving van privacybeschermende wetten. Met deze derde jaarlijkse privacy-sweep wou de GPEN nagaan in welke mate privacygerelateerde praktijken van websites en apps op mobiele toestellen transparant zijn.

De GPEN heeft voor deze privacy-sweep 29 autoriteiten over de wereld bijeengeroepen om websites en apps die voor kinderen bestemd zijn - of gewoon populair zijn bij kinderen - te onderzoeken.
 
Dit zijn de resultaten:

  • 67% van de onderzochte websites/apps verzamelt persoonsgegevens van kinderen;
  • Slechts 31% van deze websites heeft degelijke maatregelen getroffen om het verzamelen van persoonsgegevens van kinderen te beperken. Wat bijzonder verontrustwekkend is, is dat veel organisaties, waarvan de websites en/of apps heel populair zijn bij kinderen, in hun privacyverklaring louter vermelden dat deze niet voor kinderen bestemd zijn en geen verdere maatregelen treffen om kinderen te beschermen tegen het verzamelen van hun persoonsgegevens. En dit terwijl zij onvermijdelijk de apps gebruiken of de websites raadplegen.
  • De helft van de websites/apps deelt persoonsgegevens met derden;
  • 22% van de websites/apps voorziet een mogelijkheid voor kinderen om hun telefoonnummer door te geven en 23% van de websites/apps laat hen toe om foto’s of video’s op te laden. De potentiële gevoeligheid van deze gegevens is duidelijk een bezorgdheid voor de autoriteiten;
  • 58 % van de websites/apps bieden kinderen de mogelijkheid om naar een andere website doorverwezen te worden;
  • Slechts 24% van de websites/apps stimuleert de betrokkenheid van de ouders;
  • 71% van de websites/apps biedt geen eenvoudige en duidelijke manier voor de verwijdering van accountgegevens.

Het project heeft voorbeelden van goede praktijken kunnen aantreffen met websites en apps die effectieve beschermingsmaatregelen bieden zoals een “dashboard” voor ouderlijk toezicht, vooropgestelde profielen en/of gebruikersnamen om te voorkomen dat kinderen onbedoeld hun eigen persoonsgegevens delen. Andere goede voorbeelden zijn het integreren van chatfuncties waarbij kinderen enkel woorden en zinnen kunnen kiezen uit vooraf gekeurde lijsten en het gebruik van “just-in-time” waarschuwingen om kinderen te doen afschrikken tegen het overbodig delen van hun persoonsgegevens.

Hoewel het project initieel gericht was op privacygerelateerde praktijken, zijn er bij de autoriteiten ook bezorgheden ontstaan over het ongepaste karakter van sommige reclame op websites en apps voor kinderen.

De autoriteiten gaan nu bepalen of er verdere acties ondernomen moeten worden tegen specifieke websites en apps die zij elk in hun land onderzocht hebben en of er gevallen zijn die internationaal gecoördineerd moeten worden.

De resultaten voor België

In België concentreerde de Autoriteit zich op websites en apps van Belgische oorsprong. In totaal werden 39 websites/apps onderzocht.

We stellen volgende tendensen vast:

  • 22 van de 39 websites/apps vragen minstens één persoonsgegeven op van de gebruiker.  De meerderheid van die 22  websites/apps vraagt slechts minimale gegevens (voldoende om een account te creëren)Slechts 30% van diezelfde 22 websites/apps biedt een vorm van ouderlijke betrokkenheid aan, bijvoorbeeld:
    • ‘parental gating’ – bepaalde functies afschermen met een rekensom;
    • via email de toestemming van de ouders vragen;
    • vermelding op de website/apps dat de toestemming van de ouders noodzakelijk is.
  • 41% van diezelfde 22 websites/apps biedt de kinderen de mogelijkheid om foto’s en video’s te verzenden;
  • Geen enkele website geeft de ouders een dashboard om toezicht te houden op de activiteiten van hun kind;
  • De Autoriteit heeft bijkomend aandacht besteed aan de beveiliging van de gegevensverzameling meer bepaald aan het gebruik van “https”. Hoewel dit een courante beveiligingstechniek is, zien we dat  41% van de websites hier geen gebruik van maakt. De Privacywet vereist nochtans het nemen van gepaste technische maatregelen, rekening houdend met zowel de stand van de techniek terzake en de eraan verbonden kosten als met de aard van de te beveiligen gegevens en de potentiële risico’s die dit met zich meebrengt (art. 16, § 4).

Welke initiatieven zal de Autoriteit nemen na de privacy-sweep?

De autoriteiten die aan de privacy-sweep hebben deelgenomen, kunnen verdere initiatieven nemen op basis van de resultaten en de bevoegdheden van deze commissies in elk land. In België zal de Autoriteit met het oog op sensibilisering contact opnemen met een aantal ontwikkelaars van apps en websites in verband met haar bevindingen van de privacy-sweep. In geval van een flagrante schending van de Privacywet, zal de Autoriteit een aanmaning richten tot de betrokkene partijen. Indien nodig zal ze het dossier overmaken aan de bevoegde autoriteiten (Federal Computer Crime Unit, het parket en de FOD Economie). 

Vragen? Contacteer Sarah Boulerhcha, communicatieverantwoordelijke

+32 (0)2 274 48 08 of +32(0)473 85 15 97

sarah.boulerhcha@apd-gba.be