De Britse Information Authority heeft de sociale nieuwsdienst een boete opgelegd Reddit £14,5 miljoen om de gegevens van kinderen jonger dan 13 jaar onrechtmatig te gebruiken en hen mogelijk bloot te stellen aan ongepaste en schadelijke inhoud.
De zware boete van de Information Commissioner’s Office (ICO) is de hoogste boete tot nu toe voor schending van de privacy van kinderen en komt nadat het Amerikaanse bedrijf in juli leeftijdscontroles introduceerde, inclusief leeftijdsverificatie om toegang te krijgen tot inhoud voor volwassenen. Voordien, zo zei de ICO, waren er “een groot aantal kinderen onder de 13 jaar op het platform en had Reddit geen wettelijke basis om hun persoonlijke gegevens te verwerken”.
Reddit vraagt gebruikers om hun leeftijd op te geven bij het openen van een account, maar de ICO zei dat het vertrouwen op zelfverklaring risico’s met zich meebracht voor kinderen, omdat dit gemakkelijk te omzeilen was. De toezichthouder constateerde ook dat Reddit er niet in was geslaagd vóór januari 2025 een gegevensbeschermingseffectbeoordeling uit te voeren om de risico’s voor kinderen te beoordelen en te beperken.
“Van kinderen onder de 13 jaar werd hun persoonlijke informatie verzameld en gebruikt op een manier die zij niet konden begrijpen, waarmee ze niet konden instemmen of die ze niet konden controleren”, zegt John Edwards, de Information Commissioner. “Hierdoor werden ze mogelijk blootgesteld aan inhoud die ze niet hadden mogen zien. Dit is onaanvaardbaar en heeft geresulteerd in de boete van vandaag.”
Het is de derde grootste financiële boete die de ICO heeft opgelegd, na een boete van £20 miljoen voor een datalek van British Airways dat in 2018 meer dan 400.000 klanten trof, en een boete van £18,4 miljoen voor de Marriott Hotel-groep toen bij een aanval in 2014 meer dan 300 miljoen klantgegevens werden aangetast.
Reddit zei dat het in beroep zou gaan tegen de uitspraak. “De eis van de ICO dat we meer privé-informatie verzamelen over alle Britse gebruikers is contra-intuïtief en in strijd met ons sterke geloof in de online privacy en veiligheid van onze gebruikers”, aldus een woordvoerder.
Het bedrijf zei van niet gebruikers nodig hebben om informatie over hun identiteit te delen, ongeacht hun leeftijd, “omdat we zeer toegewijd zijn aan hun privacy en veiligheid”. Er staat dat gebruikers onder de 13 jaar worden verwijderd omdat dit niet is toegestaan. In de gebruikersovereenkomst staat dat “door gebruik te maken van de Diensten, u verklaart dat u dat bent minimaal 13 jaar oud”.
Sinds afgelopen juli is Reddit begonnen met het eisen van Britse gebruikers die inhoud voor volwassenen, zoals pornografie, willen bekijken, dat ze moeten bewijzen dat ze ouder zijn dan 18 jaar door een selfie of een foto van hun identiteitsbewijs te uploaden, om te voldoen aan de Online Safety Act.
Edwards zei: “Bedrijven die onlinediensten exploiteren waartoe kinderen waarschijnlijk toegang hebben, hebben de verantwoordelijkheid om die kinderen te beschermen door ervoor te zorgen dat ze niet worden blootgesteld aan risico’s door de manier waarop hun gegevens worden gebruikt. Om dit te doen moeten ze erop kunnen vertrouwen dat ze de leeftijd van hun gebruikers kennen en over passende, effectieve leeftijdsgarantiemaatregelen beschikken. Reddit heeft niet aan deze verwachtingen voldaan.”
Actievoerders voor kinderrechten online zeiden dat de regelgeving die nodig is om het risico van Reddit te voorkomen, al sinds 2018 van kracht is.
Colette Collins-Walsh, hoofd Britse zaken bij de 5Rights Foundation, zei: “Jarenlang vertrouwde een groot mondiaal platform op weinig meer dan een zelfverklaring van de leeftijd in een selectievakje, waardoor de jongste gebruikers onbeschermd bleven.
“Terwijl de regering debatteert over het verhogen van de leeftijdsgrenzen online, bestaat de noodzakelijke regelgeving om precies dit soort mislukkingen te voorkomen sinds 2018 en werd deze eenvoudigweg niet gehandhaafd. Nieuwe regels betekenen weinig als bestaande regels niet worden gehandhaafd.”
