policy ISO 27701 PIMS Policy Pack

Beleid inzake privacy van kinderen

Beleid inzake privacy van kinderen voor PIMS: beheer privacyverklaringen voor persoonsgegevens van kinderen, toestemming, DPIA's, rechten, verwerkers, incidenten en bewijsmateriaal dat gereed is voor audits.

Overzicht

Dit beleid definieert verplichte PIMS-beheersmaatregelen voor persoonsgegevens van kinderen, diensten die gericht zijn op kinderen en verwerkingsactiviteiten die toegankelijk zijn voor kinderen. Het omvat identificatie, privacyverklaringen, toestemming, ouderlijke toestemming, DPIA-routing, afhandeling van verzoeken tot uitoefening van rechten, verwerkers, incidenten, uitzonderingen en bewijsmateriaal dat gereed is voor audits via REG02, REG04, REG05, REG06, REG07, REG08, REG10 en REG12.

Versterkte beheersmaatregelen voor persoonsgegevens van kinderen

Definieert verplichte waarborgen voor verwerkingsactiviteiten met betrekking tot persoonsgegevens binnen het PIMS-toepassingsgebied die gericht zijn op kinderen, toegankelijk zijn voor kinderen of kindgerelateerd zijn.

Governance op basis van bewijsmateriaal

Routeert privacyverklaringen, toestemming, DPIA's, rechten, verwerkers, incidenten en corrigerende maatregelen via gedefinieerde bewijsobjecten.

Duidelijke verantwoordingsplicht per rol

Wijst verantwoordelijkheden toe aan rollen voor privacy, bedrijfsvoering, systemen, leveranciers, beveiliging, incidentrespons, audit en topmanagement.

Volledig overzicht lezen (click to expand)
Het Beleid inzake privacy van kinderen definieert verplichte privacyvereisten voor verwerking van persoonsgegevens waarbij kinderen betrokken zijn, diensten die gericht zijn op kinderen, diensten waartoe kinderen waarschijnlijk toegang hebben en andere verwerkingsactiviteiten waarbij persoonsgegevens van kinderen versterkte waarborgen vereisen. Het is van toepassing in contexten van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken, verwerkers en subverwerkers, waaronder websites, toepassingen, games, educatieve diensten, online platforms, verbonden diensten, klantportalen, leeromgevingen, communities en ondersteuningskanalen. Het beleid is ontworpen om te waarborgen dat persoonsgegevens van kinderen worden geïdentificeerd, beheerst, geminimaliseerd, toegelicht, beschermd en onderbouwd met bewijsmateriaal via waarborgen die passend zijn voor verwerking die gericht is op kinderen en verwerking die toegankelijk is voor kinderen. Een centraal kenmerk van het beleid is het gebruik van bestaande PIMS-bewijsobjecten in plaats van afzonderlijke kindspecifieke registers. Het beleid vereist dat de status als gericht op kinderen, de waarschijnlijkheid van toegang door kinderen, doeleinden, categorieën persoonsgegevens, categorieën betrokkenen, ontvangers en verwijzingen naar bewaartermijnen worden vastgelegd in REG02. Privacyrisicoscreening en DPIA-besluiten worden via REG04 gerouteerd. Toestemming, ouderlijke toestemming, routing van intrekking en verwijzingen naar toestemmingsbewijzen worden, waar van toepassing, vastgelegd in REG05. Verzoeken tot uitoefening van rechten waarbij kinderen betrokken zijn, worden beheerd via REG06, versies van kindvriendelijke privacyverklaringen via REG07, beperkingen voor verwerkers en gegevensdeling via REG08, incidentbewijsmateriaal via REG10, en registraties van audit, corrigerende maatregelen en verbetering via REG12. Het beleid bevat gedetailleerde operationele vereisten voor kindvriendelijke transparantie, toestemming, ouderlijke verantwoordelijkheid, minimalisatie, bewaring, deelname aan rechten, privacy by design en beheersing van verstrekking. Voordat persoonsgegevens van kinderen worden verzameld, moeten proceseigenaren of bedrijfseigenaren bevestigen dat elke categorie persoonsgegevens noodzakelijk is voor het gedocumenteerde doel en moeten zij de minimale gegevens voor leeftijdsbeoordeling definiëren die nodig zijn. Diensten die gericht zijn op kinderen moeten privacybeschermende privacy-by-default-instellingen toepassen voor optionele verzameling, zichtbaarheid, delen, personalisatie en communicatie. Wanneer persoonsgegevens van kinderen bijzondere categorieën, zeer gevoelige informatie, locatiegegevens, biometrische, gedrags-, communicatie-, onderwijs-, gezondheids- of veiligheidsgerelateerde informatie omvatten, is beoordeling door de functionaris voor gegevensbescherming (FG) of privacyadviseur vereist en wordt deze vastgelegd in REG04. Het beleid behandelt ook scenario's met een hoger risico, zoals profilering, gedragsanalyse, personalisatie met significante gevolgen, geautomatiseerde besluiten, aanbevelingsfuncties, vermoeden van misbruik, schadelijke verstrekking, ongeautoriseerde toegang, uitbuiting, aan grooming gerelateerd risico en andere veiligheidsgerelateerde privacyrisico's waarbij kinderen betrokken zijn. Deze onderwerpen worden, waar van toepassing, gerouteerd via privacybeoordeling, incidentenafhandeling of processen voor corrigerende maatregelen met gebruik van REG04, REG10 en REG12. Voor leveranciers, verwerkers, subverwerkers en ontvangers bij gegevensdeling moet de leveranciers-/inkoopeigenaar in REG08 bevestigen dat kindgerelateerde beperkingen, instructies, vertrouwelijkheid, verwachtingen voor teruggaaf of verwijdering en verplichtingen tot ondersteuning zijn gedocumenteerd voordat verwerking van persoonsgegevens van kinderen wordt geautoriseerd. Governance en toezicht worden gedefinieerd via kwartaalbeoordelingen van bewijsmateriaal, gereedheidscontroles voorafgaand aan lancering, jaarlijkse audits, afhandeling van uitzonderingen, handhaving en jaarlijkse beleidsbeoordeling. De Privacy Lead / PIMS Manager coördineert de volledigheid van bewijsmateriaal en escalatie over de relevante registraties, terwijl topmanagement de aanpak voor beheersmaatregelen inzake privacy van kinderen goedkeurt en systemische non-conformiteiten beoordeelt. Het beleid ondersteunt verantwoordingsplicht die gereed is voor audits door monitoringmetrieken te vereisen voor verwerkingsactiviteiten die gericht zijn op kinderen, DPIA-screenings, openstaande kwesties met privacyverklaringen of toestemming, kwesties met verwerkers en delen, terugkerende non-conformiteiten en de doeltreffendheid van corrigerende maatregelen; al deze gegevens worden vastgelegd in REG12 met bronbewijsmateriaal uit de toepasselijke registers.

Beleidsdiagram

Processtroomdiagram dat verwerking van persoonsgegevens van kinderen toont vanaf intake en bepaling of de verwerking gericht is op kinderen, via REG02-inventaris, REG07-privacyverklaring, REG05-toestemming of ouderlijke toestemming, REG04-DPIA-screening, REG06-afhandeling van rechten, REG08-beheersmaatregelen voor verwerkers en delen, REG10-incidentescalatie en REG12-monitoring, audit en corrigerende maatregelen.

Klik op het diagram om het op volledige grootte te bekijken

Inhoud

Identificatie en autorisatie van verwerking die gericht is op kinderen

Kindvriendelijke transparantie en privacyverklaringen

Toestemming, ouderlijke verantwoordelijkheid en intrekking

Minimalisatie, standaardinstellingen en bewaring

Rechten, DPIA, profilering en veiligheidsgerelateerde escalatie

Beheersmaatregelen voor verstrekking, verwerkers, subverwerkers en bewijsmateriaal

Framework-naleving

🛡️ Ondersteunde standaarden & frameworks

Dit product is afgestemd op de volgende compliance-frameworks, met gedetailleerde clausule- en controlemappings.

Framework Gedekte clausules / Controles
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 7Article 8Article 9Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Gerelateerde beleidsregels

Beleid inzake verwerkingsinventaris en rechtsgrondslag

Status als gericht op kinderen, doeleinden, rechtsgrondslag, gegevenscategorieën en verwijzingen naar bewaartermijnen worden vastgelegd in de verwerkingsinventaris.

Beleid inzake privacyverklaring en transparantie

Inhoud van privacyverklaringen die passend is voor kinderen en ouders of voogden moet worden vastgelegd, onder versiebeheer worden geplaatst en vóór relevante wijzigingen worden bijgewerkt.

Beleid inzake toestemming en voorkeurenbeheer

Het beleid inzake privacy van kinderen is, waar van toepassing, afhankelijk van toestemming, ouderlijke toestemming, routing van intrekking en bewijsmateriaal van toestemmingsbewijzen.

Beleid inzake beheer van rechten van betrokkenen

Verzoeken van kinderen, ouders, voogden of gemachtigden worden gerouteerd via het proces voor beheer van rechten.

Beleid inzake privacyrisicobeoordeling en DPIA

Kindspecifieke privacyrisicoscreening, DPIA-besluiten en beoordelingen van hoogrisicoverwerking zijn kernvereisten van het beleid.

Beleid inzake beheer van verwerkers, subverwerkers en privacyrelaties met derde partijen

Verwerking van persoonsgegevens van kinderen door verwerkers, subverwerkers, leveranciers en ontvangers bij gegevensdeling vereist gedocumenteerde beperkingen en assurancebewijsmateriaal.

Over Clarysec-beleidsdocumenten - Beleid inzake privacy van kinderen

Dit Beleid inzake privacy van kinderen is een operationeel PIMS-beleid voor verwerking waarbij kinderen betrokken zijn, diensten die gericht zijn op kinderen, diensten waartoe kinderen waarschijnlijk toegang hebben en andere persoonsgegevens van kinderen die versterkte waarborgen vereisen. Het definieert verantwoordingsplicht over rollen, waaronder topmanagement, de Privacy Lead / PIMS Manager, proceseigenaren, systeemeigenaren, leveranciers-/inkoopeigenaren, informatiebeveiliging, incidentrespons en reviewers voor interne audit / naleving. Het beleid vereist dat bewijsmateriaal wordt bijgehouden in canonieke bewijsobjecten zoals REG02, REG04, REG05, REG06, REG07, REG08, REG10 en REG12, in plaats van in een afzonderlijk privacyregister voor kinderen.

Reikwijdte gericht op kinderen

Omvat diensten die gericht zijn op kinderen, verwerking die toegankelijk is voor kinderen en activiteiten waarbij persoonsgegevens van kinderen versterkte waarborgen nodig hebben.

Canoniek bewijsmateriaal

Gebruikt REG02, REG04, REG05, REG06, REG07, REG08, REG10 en REG12 in plaats van een afzonderlijk privacyregister voor kinderen.

Rolgebaseerd eigenaarschap

Wijst specifieke taken toe aan rollen voor privacy, bedrijfsvoering, systemen, leveranciers, beveiliging, incidentrespons, audit en topmanagement.

Kwartaaltoezicht

Vereist kwartaalbeoordelingen en meetmaatregelen voor bewijsmateriaal inzake privacy van kinderen, DPIA's, kwesties en hiaten bij verwerkers of gegevensdeling.

Veelgestelde vragen

Ontwikkeld voor leiders, door leiders

Dit beleid is opgesteld door een securityleider met meer dan 25 jaar ervaring in het implementeren en auditen van ISMS-frameworks voor wereldwijde ondernemingen. Het is niet alleen bedoeld als document, maar als een verdedigbaar kader dat standhoudt onder auditoronderzoek.

Opgesteld door een expert met de volgende kwalificaties:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dekking & Onderwerpen

🏢 Doelafdelingen

Privacy Juridische zaken Naleving IT-beveiliging FG-kantoor

🏷️ Onderwerpdekking

Privacy-informatiemanagement Verwerking van persoonsgegevens Beheer van rechten van betrokkenen Privacy-impactbeoordeling Privacy by Design Toestemming en rechtsgrondslag Beheer van derde partijen
€99

Eenmalige aankoop

Directe download
Levenslange updates

Dit beleid is 1 van 25 in het volledige ISO/IEC 27701 PIMS-pakket

Bespaar 52%

Ontvang alle 25 PIMS-beleidsregels, de volledige registerset en een gedetailleerd implementatieplan voor €799, in plaats van €1.675 afzonderlijk.

Bekijk volledig 27701-pakket →
Children's Privacy Policy

Productdetails

Type: policy
Categorie: ISO 27701 PIMS Policy Pack
Normen: 6