Checklist compliance voor kindgegevens voor founders en compliance leads

Compliance rond kindgegevens is klaar voor review wanneer een SaaS-team kan laten zien waar gegevens van kinderen kunnen binnenkomen, waarom verwerking rechtmatig is, welke waarborgen gelden, wie elke beslissing bezit en waar het bewijs staat. Het doel is niet elke release zwaar maken, maar het risico vroeg zichtbaar maken.

De GDPR geeft kinderen specifieke bescherming omdat zij risico's, gevolgen, waarborgen en rechten minder goed kunnen begrijpen. Artikel 8 voegt regels toe wanneer toestemming wordt gebruikt voor diensten van de informatiemaatschappij die direct aan een kind worden aangeboden, met nationale leeftijden tussen 13 en 16 jaar.

Checklist

1. Bevestig of kinderen in scope zijn: directe accounts, school- of gezinsgebruik, klantgegevens over minderjarigen, supportbijlagen, uploads, analytics, AI, geolocatie, profilering of klantvragen.

2. Bepaal de rol per workflow: controller, processor of beide. Leg vast wie doel, instructies, rechtenverzoeken, notices, leveranciers en bewijs beheert.

3. Maak een data- en systeemkaart: account, leeftijd, school, ouder, voogd, huishouden, beeld, audio, locatie, berichten, tickets, imports, logs, AI-prompts, outputs, warehouses, backups en exports.

4. Beslis hoe leeftijd wordt beoordeeld. Zelfverklaring kan bij laag risico genoeg zijn; hoger risico kan sterkere assurance of beschermende defaults voor iedereen vereisen.

5. Bevestig rechtsgrond en toestemming. Bij toestemming moeten versie, taal, tijdstip, scope, intrekking en ouderlijke autorisatie operationeel werken.

6. Voer een DPIA of product privacy review uit met kind-specifieke vragen: noodzaak, proportionaliteit, profilering, aanbevelingen, advertenties, geolocatie, nudges, delen, defaults, notices en vendors.

7. Stel beschermende defaults in: beperkte zichtbaarheid, smalle exports, rolgebaseerde toegang, optionele features uit of beperkt, gedefinieerde retention en duidelijke uitleg.

8. Review vendors en subverwerkers: DPA's, transfers, subverwerkers, security evidence, retention, verwijdering, backups, AI-training en secundair gebruik.

9. Test rechten, support en verwijdering. Ouders, scholen, klanten, kinderen en interne teams hebben routing, authenticatie en escalatie nodig.

10. Bewaar audit evidence: scope, rol, rechtsgrond, toestemming, inventaris, DPIA, defaults, toegang, retention, verwijdering, vendor review, geaccepteerde risico's en follow-ups.

FAQ

Wanneer geldt dit voor SaaS-teams?

Wanneer kinderen gebruikers zijn, waarschijnlijk gebruikers zijn, in klantgegevens voorkomen of indirect aanwezig zijn in support, uploads, analytics, AI, integraties, schooldeployments of gezinsworkflows.

Wat documenteer je eerst?

Scope, rol, data-inventaris, age assurance, rechtsgrond, toestemming of ouderlijke autorisatie, DPIA, defaults, vendors, retention, verwijdering en evidence owner.

Wat is de grootste fout?

Het onderwerp behandelen als een eenmalige juridische interpretatie in plaats van een herhaalbare workflow met owners, triggers, bewijs en escalatiepaden.

Sources

Deze checklist gebruikt de GDPR, EDPB-richtlijnen over toestemming en rechtmatigheid, en ICO Children's Code guidance over scope, DPIA's en age-appropriate application.