To regelverk beskytter først og fremst dataene til barnet ditt: COPPA i USA og GDPR i Europa. Begge finnes fordi små barn ikke gyldig kan samtykke til å bli sporet. Men å kjenne navnet på en lov forteller deg ikke om appen i barnets hender faktisk er trygg — her er hva hvert regelverk krever, og to-minutters-sjekken som gir svaret.
De to lovene som beskytter dataene til barnet ditt
COPPA — USA
Children's Online Privacy Protection Act (COPPA) gjelder nettjenester som retter seg mot barn under 13 år, eller som bevisst samler inn data fra dem. Kjerneregel: appen må innhente verifiserbart foreldresamtykke før den samler inn personopplysninger om et barn. Og «personopplysninger» er vidt: ikke bare navn og e-post, men også vedvarende identifikatorer som sporer barnet på tvers av apper, nøyaktig posisjon samt bilder, video og lydopptak. COPPA håndheves av den amerikanske forbrukermyndigheten FTC.
GDPR — EU og Storbritannia
Personvernforordningen (GDPR) mener at barn fortjener særskilt beskyttelse. For en nettjeneste som tilbys et barn, må samtykket gis eller godkjennes av en forelder så lenge barnet er under en alder som hvert land fastsetter — 16 år som standard, senket til så lavt som 13 i enkelte land. I Storbritannia går Age Appropriate Design Code fra tilsynet ICO enda lenger og krever høye personverninnstillinger som standard og dataminimering for tjenester som barn kan bruke.
Hva lovene krever, kort fortalt
- Hvem de beskytter: COPPA barn under 13; GDPR barn under 13–16 avhengig av land.
- Hovedkrav: foreldresamtykke før data samles inn, pluss høye personverninnstillinger som standard (den britiske barnekoden).
- Hva som teller som data: navn og kontakt, men også sporingsidentifikatorer, nøyaktig posisjon, bilder og lyd.
- Hvem som håndhever: i USA FTC; i Europa de nasjonale personvernmyndighetene.
- Den enkleste måten å følge reglene på: ikke samle inn noe. En app uten innsamling trenger ikke samtykke og har ingenting å miste.
Haken: loven er gulvet, ikke taket
Dette overser mange foreldre: begge lovene bygger fremfor alt på samtykke. En app kan altså samle inn — og til og med dele — store mengder data, så lenge den spør forelderen først. I praksis ligger samtykket ofte begravd i registreringen, og mange «barnevennlige» apper følger reglene på papiret, men bygger likevel inn reklame-SDK-er som kartlegger barnet ditt. Å følge reglene betyr at appen gjorde det riktig — ikke at den ikke samler inn noe. Og den forskjellen betales nesten alltid med reklame. Hvorfor nettopp reklame i barnehender er det egentlige problemet, forklarer vi i sjekklisten for apper uten reklame.
Personvernsjekken på to minutter
- Les personvernmerket. I App Store under «Appens personvern»: «Ingen data samles inn» er det sterkeste svaret; «Data knyttet til deg» betyr at data kobles til barnets identitet.
- Se etter en personvernerklæring for barn. Den som publiserer en, har tenkt på kravene i COPPA og GDPR.
- Se etter «Inneholder annonser». Reklamefinansierte barneapper deler nesten alltid data med annonsenettverk.
- Prøv appen selv i fem minutter. Vær oppmerksom på kontoregistrering, forespørsler om e-post eller tillatelser til posisjon, kontakter eller mikrofon — en tegneapp trenger ingen av delene.
- Test foreldrekontrollen. Kjøp og lenker skal ligge bak en voksenkontroll som et lite barn ikke kommer forbi alene.
Gullstandarden: «Ingen data samles inn»
Den reneste måten å være trygg under COPPA og GDPR er å bygge en app som ikke har noen grunn til å røre dataene til barnet ditt. Det er tanken bak Kid Doodle: App Store-merket sier «Ingen data samles inn», det finnes ingen kontoer, ingen analyse- eller sporings-SDK-er og ingen tredjepartsreklame — og appen fungerer 100 % offline: etter installasjonen sendes ingenting, for det er ingenting å sende. Det finnes ingen samtykkeskjerm, for det er ingenting å samtykke til. Valgfrie kjøp av fargeleggingsbøker ligger bak foreldrekontrollen i Foreldresonen. En bevisst kjedelig personvernhistorie — akkurat det man ønsker for et barn.
Ofte stilte spørsmål
Hva er COPPA, og gjelder det appene til barnet mitt?
COPPA er USAs lov om vern av barns personvern på nett (Children's Online Privacy Protection Act). Den gjelder nettjenester rettet mot barn under 13 (eller som bevisst samler inn data fra dem) og krever verifiserbart foreldresamtykke før innsamling av personopplysninger, inkludert sporingsidentifikatorer, posisjon, bilder og lyd. Den håndheves av FTC.
Beskytter GDPR barn i EU?
Ja. GDPR gir barn særskilt beskyttelse. For en nettjeneste rettet mot et barn må samtykket gis eller godkjennes av en forelder så lenge barnet er under alderen hvert land fastsetter — 16 som standard, ned til 13 i enkelte land. I Storbritannia legger Age Appropriate Design Code til høye personverninnstillinger som standard og dataminimering.
Hva betyr App Store-merket «Ingen data samles inn»?
Det betyr at appen ifølge utvikleren ikke samler inn data i det hele tatt: ingen analyse, ingen identifikatorer, ingen kontoer, ingen sporing. Der ingenting samles inn, finnes det ingenting å samtykke til, dele eller miste — den tryggeste tilstanden for en barneapp. Kid Doodles merke sier «Ingen data samles inn».