anonym.legal
Takaisin BlogiinOikeusteknologia

COPPA huhtikuu 2026: Mitä EdTech-alustojen on tehtävä ennen määräaikaa

COPPA:n päivitetty sääntö tulee voimaan 22. huhtikuuta 2026. Reddit sai £14,47 miljoonan sakon lasten tietosuojavirheiden vuoksi. EdTech-alustat kohtaavat saman riskin.

March 16, 20266 min lukuaika
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Huhtikuun 22. päivän määräaika

Päivitetty vuodelle 2026

FTC on päivittänyt COPPA:n. Uusi sääntö tulee voimaan 22. huhtikuuta 2026. Tämä on ensimmäinen merkittävä muutos vuodesta 2013. Alle 13-vuotiaita lapsia palvelevien EdTech-alustojen on toimittava nyt. Viikkoja on jäljellä, ei kuukausia.

Muutokset ovat syvällisiä. Vuoden 2013 sääntöjen varaan rakennettujen alustojen on auditoitava ja päivitettävä ydinzärjestelmät. Pienet korjaukset eivät riitä.

Redditin sakko: Selvä varoitus

Maaliskuussa 2026 Yhdistyneen kuningaskunnan ICO sakotti Redditiä 14,47 miljoonalla punnalla. Miksi? Reddit ei estänyt lapsia pääsemästä haitalliseen sisältöön. Ikätarkistukset olivat heikkoja. Alaikäiset pääsivät läpi.

Tuo sakko määrättiin UK GDPR:n, ei COPPA:n, nojalla. Mutta epäonnistuminen on samankaltainen. COPPA 2026 kohdistuu alustoihin, jotka tietävät alaikäisten olevan läsnä, mutta eivät suojele heitä.

EdTech on vaikeammassa asemassa. Nämä alustat tietävät, ketkä heidän käyttäjänsä ovat. Ne myyvät kouluille. Ne markkinoivat vanhemmille. Ne näkevät opiskelijoiden sähköpostiosoitteet. "Emme tienneet" -puolustus ei ole saatavilla.

Mitä COPPA 2026 muutti

FTC:n päivitys lisäsi viisi keskeistä sääntöä EdTech-alustoille.

1. Minimointiperiaate on nyt pakollinen

Kerää vain se, mitä palvelu todella tarvitsee. Vuoden 2013 sääntö salli alustojen kerätä paljon vanhempien suostumuksella. Vuoden 2026 sääntö kieltää ylimääräisen keräämisen jopa suostumuksen kanssa. Laitetunnisteet, seurantasignaalit ja sijaintitiedot, joita ei tarvita palvelun toimintaan, on lopetettava nyt.

2. Ei kohdennettu mainonta alaikäisille

EdTech-alustat eivät voi käyttää lasten tietoja käyttäytymispohjaiseen mainontaan. Suostumus ei muuta tätä. Jotkut alustat käyttivät laajaa suostumusta perustellakseen laajan tietojen käytön. Tämä porsaanreikä on nyt suljettu.

3. Erillinen suostumus tekoälyominaisuuksille

Mikä tahansa tekoälyominaisuus, joka käyttää lasten syötettä, tarvitsee oman suostumuslomakkeensa. Tekoälyopettajat, kirjoitustyökalut ja adaptiiviset moottorit kaikki lasketaan mukaan. Pääpalvelun suostumus ei kata tekoälylisäosia.

4. Poistosäännöt todellisilla hampaiilla

Poista lasten tietueet, kun niitä ei enää tarvita. Alustat, jotka käyttävät automaattista poistoa asetetussa aikataulussa, kohtaavat pienemmän vastuun FTC:n toimissa. Tämä on todellinen turvasatama — käytä sitä.

5. Korkeampi anonymisoinnin vaatimustaso

Nimen poistaminen ei riitä. Alustojen on osoitettava, että uudelleentunnistaminen ei ole kohtuullisesti mahdollista. Koostesanalyytiikkaa varten tämä tarkoittaa k-anonymiteettia tai differentiaalista yksityisyyttä.

FERPA ja COPPA: Molemmat soveltuvat

K-12-alustoille, jotka työskentelevät koulujen kanssa, FERPA kulkee rinnakkain COPPA:n kanssa. Tärkeät seikat:

  • FERPA sallii koulujen jakaa opiskelijatietueita toimittajille — mutta vain sopimuspalveluihin
  • COPPA soveltuu edelleen alle 13-vuotiaisiin lapsiin, vaikka FERPA sallisi jakamisen
  • Koulun suostumus FERPA:n nojalla ei korvaa COPPA:n vanhemman suostumusta

FERPA-vaatimustenmukaisuus ei ole COPPA-vaatimustenmukaisuutta. Molemmista on huolehdittava erikseen.

Mitä tehdä ennen huhtikuun 22. päivää

Käy tämä tarkistuslista läpi ennen määräaikaa.

Inventaario

  • Luettele kaikki alle 13-vuotiailta käyttäjiltä kerätyt tietueet
  • Etsi jokainen kolmannen osapuolen työkalu, joka vastaanottaa lasten tietueita — analytiikka, CRM, seuranta
  • Tarkista suostumus kullekin keräystyypille

Anonymisointi

  • Lisää PII-havaitseminen opiskelijasisältöön ennen sen lokiinkirjoittamista
  • Poista nimet, sähköpostiosoitteet ja opiskelijatunnukset analytiikkatapahtumista
  • Anonymisoi tuotetyöhön käytetyt koosteraportit
  • Puhdista opiskelijasyötettä sisältävät tekoälyn koulutusaineistot

Suostumus

  • Rakenna erilliset suostumusprosessit kullekin tekoälyominaisuudelle
  • Kirjaa suostumus aikaleimoineen
  • Lisää peruutusvirtaus, joka käynnistää poistamisen välittömästi

Säilytys

  • Aseta säilytysaika kullekin tietueetyypille
  • Automatisoi poistaminen, kun ajanjaksot päättyvät
  • Tarkista varmuuskopiointijärjestelmät aukkojen varalta

Toimittajat

  • Tarkista sopimukset kaikkien aliprosessorien kanssa
  • Varmista, etteivät analytiikkatoimittajat käytä lasten tietueita mainontaan
  • Päivitä sopimukset vastaamaan vuoden 2026 anonymisointistandardia

Miten anonymisointi auttaa

Uusi anonymisointisääntö on COPPA 2026:n teknisin osa. Pelkkä nimien poistaminen ei täytä vaatimustasoa. Tarvitset järjestelmän, joka löytää ja poistaa kaiken PII:n jokaisessa tietovirtauksessa.

anonym.legal havaitsee 285+ entiteettityyppiä 48 kielellä. Monet EdTech-alustat palvelevat opiskelijoita, jotka puhuvat monia kieliä. Opiskelija-PII esiintyy espanjassa, mandariinikiinassa, arabiassa ja kymmenissä muissa kielissä — ei vain englanniksi. Laaja kielituki ei ole mukava lisä tässä. Se on vaatimustenmukaisuuden edellytys.

Alusta havaitsee myös reunatapaukset, jotka manuaalinen tarkistus jättää huomaamatta. Puhelinnumerot, opiskelijatunnusmallit ja epäsuorat tunnisteet ovat yleisiä opiskelijasisällössä. Automatisoitu havaitseminen löytää nämä laajassa mittakaavassa. Manuaalinen tarkistus ei löydä.

Erän käsittelyominaisuus antaa tiimeille mahdollisuuden ajaa olemassa olevat tietokannat työkalun läpi. Se kattaa vanhan opiskelija-sisällön, jonka on nyt täytettävä korkeampi vaatimustaso. Retroaktiivinen anonymisointi on osa vaatimustenmukaisuuskuvaa vuoden 2026 säännön mukaisesti.

Katso tietoturva- ja vaatimustenmukaisuusyleiskatsauksemme siitä, miten käsittelemme arkaluonteisia tietueita. Oikeudellinen vaatimustenmukaisuussivu käsittelee sekä FERPA:a että COPPA:a yksityiskohtaisesti.

Toimimattomuuden hinta

COPPA-sakot voivat olla enintään 51 744 dollaria rikkomusta kohti päivässä. Alustalle, jolla on 100 000 opiskelija-tiliä, järjestelmällinen aukko anonymisoinnissa voi tarkoittaa kymmenien miljoonien sakkojen kertymistä.

Redditin sakko oli 14,47 miljoonaa puntaa. Redditillä on miljardiluokan liikevaihto. Keskisuurelle EdTech-alustalle tämän suuruinen sakko olisi yritystoiminnan lopettava.

Huhtikuun 22. päivä on lähellä. Työ on mahdollista tehdä, jos se aloitetaan nyt. Viranomaiset ovat selvästi ilmoittaneet panostavansa uuden säännön täytäntöönpanoon. Odottaminen ei ole strategia.

Aloita opiskelijatietueiden anonymisointi tänään →

Lähteet

  • FTC COPPA -säännön päivitys, Federal Register, 2025 (voimaan 22. huhtikuuta 2026)
  • ICO Redditin täytäntöönpanopäätös, maaliskuu 2026 — £14,47 miljoonan sakko
  • FERPA, 20 U.S.C. § 1232g, ja täytäntöönpanoasetukset 34 CFR osa 99
  • FTC COPPA FAQ: tekoälytoiminnot ja vanhempien suostumus, 2026

Liittyvät Artikkelit

Oikeusteknologia

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Oikeusteknologia

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Oikeusteknologia

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.