Wanneer compliance voor kindergegevens van toepassing is en wat je daarna doet
Kort antwoord
Compliance voor kindergegevens geldt wanneer product, support, leveranciers, analytics of AI persoonsgegevens over kinderen kunnen verwerken.
Voor wie dit geldt: Privacyteams, complianceleads, productmanagers, juridische teams, securityteams en SaaS-founders
Wat je nu moet doen
- Breng workflows, systemen en leveranciers in kaart waar kindergegevens kunnen verschijnen.
- Definieer eigenaar, trigger, beslispunt en minimaal bewijs per workflow.
- Leg de eerste praktische wijziging vast voor de volgende audit, klantreview of productlancering.
Wanneer compliance voor kindergegevens van toepassing is en wat je daarna doet
Compliance voor kindergegevens is van toepassing wanneer een SaaS-product, supportproces, leverancier, AI-functie, analytics of klantinzet persoonsgegevens over kinderen verzamelt of gebruikt. De praktische reactie is bepalen waar die gegevens kunnen binnenkomen, of kinderen doelgroep, waarschijnlijke gebruikers of aanwezig in klantdata zijn, en dit vertalen naar eigenaren, controles en bewijs.
De GDPR geeft kinderen specifieke bescherming. Artikel 8 bevat extra voorwaarden wanneer toestemming wordt gebruikt voor informatiemaatschappijdiensten die rechtstreeks aan een kind worden aangeboden. De algemene leeftijd is 16 jaar, maar lidstaten mogen die verlagen tot 13. Onder de toepasselijke leeftijd is toestemming of autorisatie van degene met ouderlijke verantwoordelijkheid nodig.
Snelle beslisregel
Het onderwerp is in scope wanneer kinderen beoogde gebruikers, waarschijnlijke gebruikers, personen in klantdata of realistische deelnemers in een workflow kunnen zijn.
Dit omvat onderwijs, gezondheid, familie, communities, gaming, berichten, supporttickets, uploads, opnames, vrije tekst, analytics-events, AI-prompts en integraties. B2B sluit dit niet uit; een verwerker kan kindergegevens op instructie van een klant verwerken.
Wat daarna
Maak eerst een inventaris van invoerpunten, datacategorieën, doeleinden, grondslag, leeftijdssignaal, leveranciers, bewaartermijn, toegang en bewijsplaats. Beslis daarna hoe leeftijd wordt behandeld. Soms zijn beschermende defaults voor iedereen beter dan extra gegevens verzamelen voor leeftijdscontrole.
Controleer vervolgens grondslag en toestemming. Toestemming is niet automatisch juist. Als je die gebruikt, moeten uitleg, scope, intrekking, ouderlijke autorisatie en bewijs operationeel werken.
Veelgemaakte fouten
Veel teams zien B2B als uitsluiting, behandelen leeftijd als één vraag, vergeten ongestructureerde data of gebruiken toestemming zonder werkbaar intrekkingspad. Goed bewijs laat zien waarom kinderen wel of niet in scope zijn, welke controles zijn aangepast en wie ze beheert.
FAQ
Wanneer geldt dit voor SaaS?
Wanneer kinderen doelgroep of waarschijnlijke gebruikers zijn, in klantdata voorkomen of realistisch kunnen verschijnen in product-, support-, analytics-, AI- of leveranciersflows.
Wat documenteer je eerst?
Inventaris, leeftijdsaanpak, grondslag, toestemming of ouderlijke autorisatie, DPIA-besluit, privacy-defaults, leveranciers, retentie en bewijseigenaar.
Bronnen
Dit artikel steunt op de GDPR, EDPB-richtlijnen over toestemming en ICO-richtlijnen over de Children's Code.
Belangrijke termen in dit artikel
Primaire bronnen
- General Data Protection RegulationEuropean Union · Geraadpleegd 19 mei 2026
- Guidelines 05/2020 on consent under Regulation 2016/679European Data Protection Board · Geraadpleegd 19 mei 2026
- Introduction to the Children's codeInformation Commissioner's Office · Geraadpleegd 19 mei 2026
- Age appropriate design: age appropriate applicationInformation Commissioner's Office · Geraadpleegd 19 mei 2026
Verken gerelateerde hubs
Gerelateerde artikelen
Gerelateerde glossariumtermen
Klaar om je compliance te borgen?
Wacht niet tot overtredingen je bedrijf raken. Ontvang je uitgebreide compliance-rapport in enkele minuten.
Scan je website nu gratis