anonym.legal
Tillbaka till BloggenJuridisk Teknik

COPPA april 2026: Vad EdTech-plattformar måste göra före deadline

COPPA:s uppdaterade regel träder i kraft den 22 april 2026. Reddit bötfälldes £14,47 miljoner för misslyckanden med barns data. EdTech-plattformar riskerar samma sak.

March 16, 20266 min läsning
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Deadline den 22 april

Uppdaterat för 2026

FTC har uppdaterat COPPA. Den nya regeln träder i kraft den 22 april 2026. Detta är den första stora förändringen sedan 2013. EdTech-plattformar som betjänar barn under 13 år måste agera nu. Det handlar om veckor, inte månader.

Förändringarna är genomgripande. Plattformar byggda på 2013 års regler måste granska och uppdatera kärnssystem. Små justeringar räcker inte.

Reddits böter: En tydlig varning

I mars 2026 bötfällde UK:s ICO Reddit med £14,47 miljoner. Varför? Reddit misslyckades med att hålla barn borta från skadligt innehåll. Ålderskontroller var svaga. Minderåriga tog sig igenom.

Den boten var under UK GDPR, inte COPPA. Men misslyckandet är av samma slag. COPPA 2026 riktar in sig på plattformar som vet att minderåriga finns men inte skyddar dem.

EdTech befinner sig i en svårare sits. Dessa plattformar vet vilka deras användare är. De säljer till skolor. De marknadsför till föräldrar. De ser elevers e-postadresser. Försvaret "vi visste inte" är inte tillgängligt.

Vad COPPA 2026 förändrade

FTC:s uppdatering lade till fem nyckelregler för EdTech-plattformar.

1. Minimering är nu obligatorisk

Samla bara in det tjänsten verkligen behöver. 2013 års regel tillät plattformar att samla in mycket med föräldrasamtycke. 2026 års regel förbjuder extra insamling även med samtycke. Enhets-ID, spårningssignaler och platsinformation som inte behövs för tjänsten måste stoppas nu.

2. Inga riktade annonser till minderåriga

EdTech-plattformar får inte använda barns uppgifter för beteendebaserade annonser. Samtycke ändrar inte detta. Vissa plattformar använde generellt samtycke för att motivera bred dataanvändning. Den kryphålet är nu stängt.

3. Separat samtycke för AI-funktioner

Varje AI-funktion som använder barns inmatning behöver ett eget samtyckesformulär. AI-tutorer, skrivverktyg och adaptiva motorer räknas alla. Samtycke för huvudtjänsten täcker inte AI-tillägg.

4. Raderingsregler med verklig verkan

Radera barns uppgifter när de inte längre behövs. Plattformar som kör automatisk radering på ett fastlagt schema möter lägre ansvar vid FTC-åtgärder. Detta är en verklig säker hamn — använd den.

5. Högre krav på avidentifiering

Att ta bort ett namn räcker inte. Plattformar måste visa att återidentifiering inte är rimligen möjlig. För aggregerad analys innebär detta k-anonymitet eller differentiell integritet.

FERPA och COPPA: Båda gäller

För K-12-plattformar som arbetar med skolor gäller FERPA parallellt med COPPA. Här är vad som är viktigt:

  • FERPA låter skolor dela elevinformation med leverantörer — men bara för kontrakterade tjänster
  • COPPA gäller fortfarande för barn under 13 år, även när FERPA tillåter delning
  • Skolans samtycke under FERPA ersätter inte COPPA:s föräldrasamtycke

FERPA-efterlevnad är inte COPPA-efterlevnad. Båda måste uppfyllas separat.

Vad du ska göra före den 22 april

Gå igenom denna checklista före deadline.

Inventering

  • Lista alla uppgifter som samlas in från användare under 13 år
  • Hitta varje tredjepartsverktyg som tar emot barns uppgifter — analys, CRM, övervakning
  • Kontrollera samtycke för varje insamlingstyp

Anonymisering

  • Lägg till PII-detektering i elevinnehåll innan det loggas
  • Ta bort namn, e-postadresser och elev-ID från analyshändelser
  • Avidentifiera aggregerade rapporter som används för produktarbete
  • Rensa AI-träningsset som inkluderar elevinmatning

Samtycke

  • Bygg separata samtyckesflöden för varje AI-funktion
  • Logga samtycke med tidsstämplar
  • Lägg till ett återkallelseflöde som utlöser radering direkt

Lagring

  • Ange en lagringsperiod för varje uppgiftstyp
  • Automatisera radering när perioder slutar
  • Kontrollera säkerhetskopieringssystem för luckor

Leverantörer

  • Granska avtal med alla underbiträden
  • Bekräfta att analysleverantörer inte använder barns uppgifter för annonser
  • Uppdatera avtal för att matcha 2026 års avidentifieringsstandard

Hur anonymisering hjälper

Den nya avidentifieringsregeln är den mest tekniska delen av COPPA 2026. Att ta bort enbart namn uppfyller inte standarden. Du behöver ett system som hittar och tar bort all PII i varje dataflöde.

anonym.legal detekterar 285+ entitetstyper på 48 språk. Många EdTech-plattformar betjänar elever som talar många språk. Elev-PII förekommer på spanska, mandarin, arabiska och dussintals andra — inte bara engelska. Brett språkstöd är inte en trevlig funktion här. Det är ett efterlevnadsbehov.

Plattformen hittar också kantfall som manuell granskning missar. Telefonnummer, elev-ID-mönster och indirekta identifierare är vanliga i elevinnehåll. Automatiserad detektering hittar dessa i stor skala. Manuell granskning gör det inte.

Batchbearbetningsfunktionen låter team köra befintliga databaser genom verktyget. Det täcker gammalt elevinnehåll som nu måste uppfylla den högre standarden. Retroaktiv avidentifiering är en del av efterlevnadsbilden under 2026 års regel.

Se vår säkerhets- och efterlevnadsöversikt för hur vi hanterar känsliga uppgifter. Sidan för juridisk efterlevnad täcker både FERPA och COPPA i detalj.

Kostnaden för passivitet

COPPA-böter uppgår till $51 744 per överträdelse per dag. För en plattform med 100 000 elevkonton kan en systematisk lucka i avidentifiering innebära tiotals miljoner i böter.

Reddits böter var £14,47 miljoner. Reddit har miljarder i intäkter. För en mellanstor EdTech-plattform skulle böter i den storleksordningen vara företagsavslutande.

Den 22 april är nära. Arbetet är genomförbart om det börjar nu. Regulatorer har gjort klart att de kommer att tillämpa den nya regeln. Att vänta är inte en strategi.

Börja anonymisera elevposter idag →

Källor

  • FTC COPPA-regeluppdatering, Federal Register, 2025 (träder i kraft 22 april 2026)
  • ICO:s tillsynsmeddelande om Reddit, mars 2026 — £14,47 miljoner i böter
  • FERPA, 20 U.S.C. § 1232g, och genomförandeförordningar 34 CFR del 99
  • FTC COPPA FAQ: AI-drivna funktioner och föräldrasamtycke, 2026

Relaterade Artiklar

Juridisk Teknik

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Juridisk Teknik

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Juridisk Teknik

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.