anonym.legal
Tilbage til BlogJuridisk Teknologi

COPPA april 2026: Hvad EdTech-platforme skal gøre inden fristen

COPPAs opdaterede regel træder i kraft den 22. april 2026. Reddit blev bødelagt £14,47 mio. for fejl med børns data. EdTech-platforme står over for den samme risiko.

March 16, 20266 min læsning
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Fristen den 22. april

Opdateret for 2026

FTC har opdateret COPPA. Den nye regel træder i kraft den 22. april 2026. Dette er den første større ændring siden 2013. EdTech-platforme, der betjener børn under 13 år, skal handle nu. Der er uger tilbage, ikke måneder.

Ændringerne er dybe. Platforme bygget på 2013-reglerne skal revidere og opdatere kernesystemer. Små rettelser vil ikke være nok.

Reddits bøde: En tydelig advarsel

I marts 2026 bødede Det Forenede Kongeriges ICO Reddit £14,47 millioner. Hvorfor? Reddit undlod at holde børn væk fra skadeligt indhold. Alderskontroller var svage. Mindreårige kom igennem.

Den bøde var under UK GDPR, ikke COPPA. Men fejlen er af samme slags. COPPA 2026 retter sig mod platforme, der ved, at mindreårige er til stede, men ikke beskytter dem.

EdTech er i en sværere position. Disse platforme ved, hvem deres brugere er. De sælger til skoler. De markedsfører til forældre. De ser studerendes e-mailadresser. Forsvaret "vi vidste det ikke" er ikke tilgængeligt.

Hvad COPPA 2026 ændrede

FTC-opdateringen tilføjede fem nøgleregler for EdTech-platforme.

1. Minimering er nu påkrævet

Indsaml kun det, som tjenesten virkelig har brug for. 2013-reglen tillod platforme at indsamle meget med forældrenes samtykke. 2026-reglen forbyder ekstraindsamling selv med samtykke. Enheds-ID'er, sporingssignaler og placeringsoplysninger, der ikke er nødvendige for tjenesten, skal stoppe nu.

2. Ingen målrettede annoncer til mindreårige

EdTech-platforme må ikke bruge børns data til adfærdsbaserede annoncer. Samtykke ændrer ikke dette. Nogle platforme brugte blanket samtykke til at retfærdiggøre bred datanyttelse. Det smuthul er nu lukket.

3. Separat samtykke til AI-funktioner

Enhver AI-funktion, der bruger børns input, kræver sin egen samtykkeblanket. AI-lærere, skriveværktøjer og adaptive systemer tæller alle med. Samtykke til hovedtjenesten dækker ikke AI-tilføjelser.

4. Sletningsregler med reel gennemslagskraft

Slet børns data, når de ikke længere er nødvendige. Platforme, der kører automatisk sletning på et fastsat skema, har lavere ansvar i FTC-sager. Dette er en reel sikker havn — brug den.

5. Højere standard for de-identifikation

At fjerne et navn er ikke nok. Platforme skal vise, at re-identifikation ikke med rimelighed er mulig. For aggregeret analyse betyder dette k-anonymitet eller differentieret privatliv.

FERPA og COPPA: Begge gælder

For K-12-platforme, der arbejder med skoler, gælder FERPA sideløbende med COPPA. Her er det, der betyder noget:

  • FERPA lader skoler dele studerendes data med leverandører — men kun til kontraktmæssige tjenester
  • COPPA gælder stadig for børn under 13 år, selv når FERPA tillader delingen
  • Skolers samtykke under FERPA erstatter ikke COPPA forældresamtykke

FERPA-overholdelse er ikke COPPA-overholdelse. Begge skal opfyldes separat.

Hvad du skal gøre inden den 22. april

Gennemgå denne tjekliste inden fristen.

Opgørelse

  • Oplist alle data indsamlet fra brugere under 13 år
  • Find hvert tredjepartsværktøj, der modtager børns data — analyse, CRM, overvågning
  • Tjek samtykke for hver indsamlingstype

Anonymisering

  • Tilføj PII-registrering til studerendes indhold, inden det logges
  • Fjern navne, e-mailadresser og studerendes ID'er fra analysebegivenheder
  • De-identificer aggregerede rapporter brugt til produktarbejde
  • Rens AI-træningssæt, der indeholder studerendes input

Samtykke

  • Byg separate samtykkeprocedurer for hver AI-funktion
  • Log samtykke med tidsstempler
  • Tilføj en tilbagetrækningsproces, der udløser sletning med det samme

Opbevaring

  • Fastlæg en opbevaringsperiode for hver datatype
  • Automatiser sletning, når perioderne udløber
  • Tjek backupsystemer for huller

Leverandører

  • Gennemgå aftaler med alle underleverandører
  • Bekræft, at analyseleverandører ikke bruger børns data til annoncer
  • Opdater aftaler til at opfylde 2026-standarden for de-identifikation

Sådan hjælper anonymisering

Den nye de-identifikationsregel er den mest tekniske del af COPPA 2026. At fjerne navne alene opfylder ikke standarden. Du har brug for et system, der finder og fjerner al PII på tværs af alle datastrømme.

anonym.legal registrerer 285+ enhedstyper på 48 sprog. Mange EdTech-platforme betjener studerende, der taler mange sprog. PII fra studerende optræder på spansk, mandarin, arabisk og dusinvis af andre — ikke kun engelsk. Bred sprogdækning er ikke blot en bonus her. Det er et overholdelsesbehov.

Platformen fanger også edge cases, som manuel gennemgang overser. Telefonnumre, studerendes ID-mønstre og indirekte identifikatorer er almindelige i studerendes indhold. Automatiseret registrering finder disse i stor skala. Manuel gennemgang gør det ikke.

Batchbehandlingsfunktionen lader teams køre eksisterende databaser gennem værktøjet. Det dækker gammel studerendes indhold, der nu skal opfylde den højere standard. Retroaktiv de-identifikation er en del af overholdelsesbilledet under 2026-reglen.

Se vores sikkerheds- og overholdelsesoversigtside for, hvordan vi håndterer følsomme data. Siden om juridisk overensstemmelse dækker både FERPA og COPPA i detaljer.

Omkostningen ved passivitet

COPPA-bøder løber op til $51.744 pr. overtrædelse pr. dag. For en platform med 100.000 studiekonti kan et systematisk hul i de-identifikation betyde titusindvis af millioner i bøder.

Reddits bøde var £14,47 millioner. Reddit har milliarder i omsætning. For en mellemstor EdTech-platform ville en bøde af den størrelsesorden være virksomhedsafsluttende.

Den 22. april er tæt på. Arbejdet er overkommeligt, hvis det starter nu. Regulatorer har gjort klart, at de vil håndhæve den nye regel. At vente er ikke en strategi.

Begynd at anonymisere studerendes data i dag →

Kilder

  • FTC COPPA-regelopdatering, Federal Register, 2025 (gælder fra 22. april 2026)
  • ICO Reddit-håndhævelsesmeddelelse, marts 2026 — £14,47 mio. bøde
  • FERPA, 20 U.S.C. § 1232g og implementeringsregler 34 CFR Part 99
  • FTC COPPA FAQ: AI-drevne funktioner og forældrenes samtykke, 2026

Relaterede Artikler

Juridisk Teknologi

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Juridisk Teknologi

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Juridisk Teknologi

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.