# Data Protection Impact Assessment (DPIA) — Speelvriendje

**Versie 1.0 — Mei 2026**
**Opgesteld door:** Speelvriendje (Thiery Ketz, oprichter en functioneel verantwoordelijke)
**Bestemd voor:** schoolbesturen die overwegen Speelvriendje in te zetten
**Status:** pilot-versie — wordt voor productie-uitrol gevalideerd door externe AVG-jurist

> Deze DPIA is opgesteld conform Artikel 35 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de richtsnoeren van het European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens (AP). Het document is bewust leesbaar geschreven: een schoolbestuurder of MR-lid moet dit zonder advocaat kunnen doornemen en op basis daarvan een geïnformeerde beslissing kunnen nemen.

---

## 1. Aanleiding voor deze DPIA

Speelvriendje is een SaaS-applicatie die speelafspraken tussen kinderen op de basisschool faciliteert. De verwerking betreft **persoonsgegevens van minderjarigen** (kinderen 4–12 jaar) en hun ouders/voogden, in een schoolcontext. Op basis van Artikel 35 lid 3 AVG is een DPIA verplicht omdat:

- Er **systematisch gegevens van kwetsbare personen (kinderen)** worden verwerkt
- Er **op grote schaal** gegevens worden verwerkt naarmate meer scholen aansluiten
- De verwerking nieuwe technologische middelen omvat (real-time apps in een onderwijscontext)

De DPIA wordt vóór implementatie opgesteld en herzien wanneer:
- Nieuwe verwerkingsdoeleinden worden toegevoegd
- Sub-verwerkers wijzigen
- Significante wijzigingen in de applicatie plaatsvinden
- Minimaal eens per 24 maanden, ongeacht wijzigingen

---

## 2. Beschrijving van de verwerking

### 2.1 Wat doet Speelvriendje?

Speelvriendje regelt speelafspraken tussen klasgenoten zonder dat ouders elkaars contactgegevens nodig hebben. De flow:

1. Een ouder voegt zijn kind toe en koppelt het aan een klas (na uitnodiging school).
2. De ouder geeft per "vriendje" expliciet toestemming dat zijn kind ermee mag spelen (whitelist).
3. Een kind tikt in de klas op een schermpje aan met wie het wil spelen.
4. Beide ouders krijgen een bevestigingsmail; pas bij beide een Ja gaat de afspraak door.
5. De juf ziet welke kinderen door welke ouder na schooltijd worden meegenomen.

### 2.2 Welke persoonsgegevens worden verwerkt?

| Categorie | Gegeven | Verplicht? | Bewaartermijn |
|---|---|---|---|
| Kind | Voornaam | Ja | Tot uitstroom uit klas |
| Kind | Klas-koppeling | Ja | Tot uitstroom |
| Kind | Foto (gezicht) | Optioneel | Door ouder ingesteld; tot uitstroom of intrekking |
| Ouder | Volledige naam | Ja | Tot accountverwijdering |
| Ouder | E-mailadres | Ja | Tot accountverwijdering |
| Ouder | Telefoonnummer | Optioneel | Tot accountverwijdering, encrypted opgeslagen |
| Ouder | Relatie tot kind | Ja (moeder/vader/voogd) | Tot accountverwijdering |
| Juf | Volledige naam | Ja | Tot uitschrijving |
| Juf | E-mailadres | Ja | Tot uitschrijving |
| Afspraak | Datum, tijd, deelnemers | Ja | 90 dagen na afspraakdatum, daarna automatisch verwijderd |
| Audit | Wie deed wat wanneer (zie §6) | Ja | 24 maanden, daarna automatisch verwijderd |

**Bijzondere categorieën van persoonsgegevens (Art. 9 AVG):** geen. Geen ras, religie, gezondheid, seksuele oriëntatie, vakbond, politieke opvattingen of biometrische data.

**Minderjarigen (Art. 8 AVG):** ja. Toestemming wordt gegeven door de ouder/wettelijk vertegenwoordiger, niet door het kind zelf.

### 2.3 Welke gegevens worden expliciet **niet** verwerkt?

- Achternamen van kinderen
- Adressen
- Geboortedata
- Schoolresultaten of leerlinggegevens uit schooladministratie
- Medische of zorggegevens
- Locatiegegevens (GPS, beacons)
- Schermtijd, gebruiksgedrag van kinderen
- Tracking-cookies of advertentie-identificatoren

### 2.4 Wie verwerkt welke gegevens?

| Rol | Wie | Verantwoordelijkheid |
|---|---|---|
| Verwerkingsverantwoordelijke (Art. 4 lid 7) | De school | Bepaalt doel en middelen voor de hele verwerking; verantwoordelijk jegens betrokkenen |
| Verwerker (Art. 4 lid 8) | Speelvriendje | Verwerkt persoonsgegevens namens de school volgens DPA |
| Sub-verwerkers | Supabase, Vercel, Brevo, Plausible | Zie §8 |

**Belangrijke nuance:** ouders maken zelf accounts aan en geven zelf toestemming voor whitelist-koppelingen. In die specifieke handelingen treden zij op als betrokkene én als degene die toestemming geeft namens hun kind. De school blijft echter verwerkingsverantwoordelijke voor de overkoepelende verwerking, omdat zij Speelvriendje hebben ingezet binnen hun onderwijscontext.

---

## 3. Doel en rechtsgrond

### 3.1 Doel van de verwerking

Speelvriendje heeft één primair doel: **het faciliteren van veilige, ouder-bevestigde speelafspraken tussen klasgenoten**, met als positieve neveneffecten:

- Vermindering van WhatsApp-rondvragerij waarin contactgegevens onnodig worden gedeeld
- Helderheid voor de leerkracht over wie welk kind ophaalt
- Inzicht voor ouders in met wie hun kind speelt

### 3.2 Rechtsgrond per dataverwerking (Art. 6 AVG)

| Verwerking | Rechtsgrond | Toelichting |
|---|---|---|
| Aanmaken account ouder, e-mail/naam | Art. 6 lid 1 sub b — uitvoering overeenkomst | Zonder account geen dienst |
| Telefoonnummer ouder | Art. 6 lid 1 sub a — toestemming | Optioneel veld; ouder vinkt zelf aan |
| Foto van kind | Art. 6 lid 1 sub a — toestemming | Optioneel; ouder uploadt zelf |
| Whitelist-koppeling | Art. 6 lid 1 sub a — toestemming | Ouder kiest expliciet welke vriendjes |
| Speelafspraak-bevestiging | Art. 6 lid 1 sub a — toestemming | Per afspraak afzonderlijk |
| Audit log | Art. 6 lid 1 sub f — gerechtvaardigd belang | Veiligheid van data; belang weegt op tegen privacy-impact want geen gevoelige data, beperkte bewaartermijn, geen profiel-vorming |
| Welkomstmails (drip) | Art. 6 lid 1 sub b — uitvoering overeenkomst | Onderdeel van onboarding |

Voor **kinderen onder de 16 jaar** (NL: aangepast naar onder de 16) geldt dat alle toestemming via de ouder/wettelijk vertegenwoordiger loopt (Art. 8 AVG, Uitvoeringswet AVG art. 5).

### 3.3 Geen geautomatiseerde besluitvorming (Art. 22 AVG)

Speelvriendje neemt geen besluiten met rechtsgevolg of vergelijkbare significante impact op basis van geautomatiseerde verwerking. Elke speelafspraak vereist twee menselijke ouder-bevestigingen.

---

## 4. Noodzaak en proportionaliteit

### 4.1 Noodzaak

Het doel kan niet redelijkerwijs worden bereikt met minder of geen persoonsgegevens:

- **Voornaam kind:** noodzakelijk om herkenbaar te zijn voor klasgenoten op het schermpje. Achternaam hebben we daarvoor niet nodig en wordt daarom niet gevraagd.
- **E-mail ouder:** noodzakelijk voor authenticatie via magic-link en voor afspraak-bevestigingen.
- **Klas-koppeling:** noodzakelijk om relevante klasgenoten te tonen.
- **Foto kind (optioneel):** wenselijk voor herkenning op het kid-screen door 4-5 jarigen die nog niet kunnen lezen, maar niet noodzakelijk — werkt ook zonder.

### 4.2 Proportionaliteit

We hebben actief minimaliserende keuzes gemaakt:

- Geen achternaam, adres, geboortedatum (terwijl andere school-tools die wel vragen)
- Telefoonnummer optioneel en encrypted opgeslagen
- Foto's privé opgeslagen, alleen via tijdelijke signed URLs zichtbaar
- Geen tracking cookies
- Geen analytics over kinder-gedrag
- Geen profilering

### 4.3 Alternatieven overwogen

| Alternatief | Beoordeling |
|---|---|
| WhatsApp-groep | Deelt veel meer (alle nummers worden zichtbaar voor iedereen), geen ouder-controle, niet AVG-conform |
| Schoolagenda met afspraken-functionaliteit | Bestaat niet voor pilot-school; bovendien zit speel-afspraak-functie niet in standaard schooladministratie |
| Geen tooling | Status quo — rondvragerij, onnodige ritjes, vergeten kinderen op de pleinen |

Speelvriendje minimaliseert dataverwerking ten opzichte van het meest gebruikte alternatief (WhatsApp).

---

## 5. Risico-analyse voor betrokkenen

We onderscheiden drie categorieën betrokkenen: **kinderen**, **ouders** en **leerkrachten**. Risico's zijn geclassificeerd op kans (laag/midden/hoog) en impact (laag/midden/hoog), en gevolgd door **maatregelen**.

### 5.1 Risico's voor kinderen

**R1. Ongeautoriseerde toegang tot kindfoto.**
Kans: laag · Impact: midden
- *Maatregel:* foto's zijn private storage, alleen toegankelijk via tijdelijke signed URLs (5 min geldig), uitgegeven aan klasgenoot-ouders + klasleerkracht. Toestemming vereist voor upload. Audit-log van elke signed-URL-uitgifte.

**R2. Profilering / micro-targeting van kinderen door derden.**
Kans: zeer laag · Impact: hoog
- *Maatregel:* geen tracking-cookies, geen advertentienetwerken, geen verkoop/deling van data. Sub-verwerkers (zie §8) hebben geen toegang tot inhoud van afspraken of kindprofielen.

**R3. Stigmatisering door zichtbare niet-uitnodiging.**
Kans: midden · Impact: midden
- *Maatregel:* design-keuzes: geen "afgewezen"-status zichtbaar voor kind. App toont alleen actieve uitnodigingen aan eigen ouder, niet aan andere kinderen. Een ouder kan stiekem Nee zeggen zonder dat het kind het ziet.

**R4. Kinderen kiezen voor elkaar onder sociale druk.**
Kans: midden · Impact: laag
- *Maatregel:* operationeel — leerkracht ziet wie wat doet en kan ingrijpen. Schermtijd per kind beperkt tot ~30 sec/dag (één tap).

### 5.2 Risico's voor ouders

**R5. Telefoonnummer-onthulling aan andere ouder.**
Kans: laag · Impact: midden
- *Maatregel:* nummer wordt alleen onthuld bij een **bevestigde** afspraak, op expliciet verzoek. De bezitter krijgt direct een mail dat het nummer is opgevraagd. Audit-log van elke onthulling. Encryptie van nummer in DB (AES-256-GCM).

**R6. Datalek: e-mailadressen + telefoonnummers + namen op straat.**
Kans: laag · Impact: hoog
- *Maatregel:* TLS in transit, encryptie at rest (sub-verwerker-niveau), AES-256-GCM application-level voor telefoonnummers (sleutel buiten DB), Row Level Security op DB-niveau (defense in depth), audit-log voor inzage in gevoelige data, datalek-procedure binnen 72u (zie §7).

**R7. Mede-ouder ziet meer dan zou moeten.**
Kans: midden · Impact: laag
- *Maatregel:* expliciet RLS-policy: mede-ouders van hetzelfde kind kunnen alleen elkaars naam zien (om te weten wie er nog is), niet elkaars contactgegevens. Communicatie verloopt via Speelvriendje of via expliciete telefoonnummer-onthulling.

### 5.3 Risico's voor leerkrachten

**R8. Onbedoeld vertrouwen op de app bij overdracht.**
Kans: laag · Impact: hoog
- *Maatregel:* communicatie en design hameren op de **failsafe-regel**: bij twijfel altijd kindje meegeven aan eigen ouder. App is hulpmiddel, geen vervanging van fysiek oogcontact. Vermeld in elke notificatiemail.

### 5.4 Algemene risico's

**R9. Verwerker (Speelvriendje) staakt activiteiten.**
Kans: midden · Impact: midden
- *Maatregel:* DPA bevat continuïteits-clausule: bij staken activiteiten krijgen scholen 90 dagen voor data-export in machine-leesbaar formaat (CSV/JSON). Open-source-readiness: code wordt op verzoek beschikbaar gesteld onder open licentie.

**R10. Sub-verwerker faalt of wordt overgenomen door non-EU-partij.**
Kans: laag · Impact: hoog
- *Maatregel:* contractueel met sub-verwerkers vastgelegd dat data-locatie EU is. Bij verandering: notificatie aan school binnen 30 dagen, recht op opzegging zonder kosten.

**R11. Ouder die toegang wil ontzeggen aan ex-partner.**
Kans: midden · Impact: hoog (familierechtelijk)
- *Maatregel:* een ouder die wil dat een mede-ouder geen toegang meer heeft, kan dit melden aan Speelvriendje (helpdesk) of aan de school. Beoordeling: in eerste instantie via gerechtelijk vonnis of door school als verwerkingsverantwoordelijke. Speelvriendje kan technisch een mede-ouder-koppeling deactiveren binnen 24u na geverifieerd verzoek.

---

## 6. Maatregelen — samenvatting

### Technische maatregelen

- **TLS 1.3** voor alle verbindingen
- **Encryptie at rest** (sub-verwerker-niveau, AES-256)
- **AES-256-GCM application-level encryptie** voor telefoonnummers (sleutel beheerd buiten DB)
- **Row Level Security (RLS)** op database-niveau: zelfs bij applicatie-bug wordt data niet aan onbevoegden geserveerd
- **Signed URLs voor foto's** — 5 minuten geldig, alleen voor klasgenoten en klas-juf
- **Magic-link authenticatie** — geen wachtwoorden, geen wachtwoord-lekken mogelijk
- **Audit log** van alle gevoelige acties (impersonatie, datalekken-relevante handelingen, telefoonnummer-onthulling, account-delete)
- **Automatische dataverwijdering**: speelafspraken na 90 dagen, audit-log na 24 maanden
- **Geen cookies** behalve sessie-cookie voor authenticatie

### Organisatorische maatregelen

- **Verwerkersovereenkomst** met elke deelnemende school
- **Sub-verwerkers** beoordeeld op AVG-conformiteit en EU-locatie
- **Datalek-procedure**: melding aan school binnen 24u, aan AP binnen 72u (Art. 33 AVG)
- **Toegangsbeperking**: enkel oprichter heeft productie-toegang; alle access wordt gelogd
- **Privacy by design**: nieuwe features worden vooraf op AVG-impact getoetst (deze DPIA wordt herzien)
- **Inzage-, correctie- en verwijderverzoeken**: beantwoord binnen 30 dagen (Art. 12 AVG), procedure beschreven in §7
- **Betrokkenen-rechten** zichtbaar gemaakt in /privacy en in elke account-omgeving

### Juridische maatregelen

- **Verwerkersovereenkomst (DPA)** beschikbaar in /public/legal/dpa-speelvriendje.md, gebaseerd op standaardmodellen van AP en EDPB
- **Privacyverklaring** in gewone taal beschikbaar op /privacy
- **Recht op gegevensoverdraagbaarheid** (Art. 20): export in JSON/CSV op verzoek

---

## 7. Procedures voor betrokkenen-rechten en datalekken

### 7.1 Betrokkenen-rechten (Art. 15–22 AVG)

| Recht | Procedure | Termijn |
|---|---|---|
| Inzage (Art. 15) | Mail naar privacy@speelvriendje.nl met identificatie | Binnen 30 dagen |
| Rectificatie (Art. 16) | In de app aan te passen via /ouder/profiel; anders mail | Binnen 30 dagen |
| Verwijdering (Art. 17) | Eén knop in /ouder/profiel; ook via mail | Direct (account-delete) |
| Beperking (Art. 18) | Mail naar privacy@speelvriendje.nl | Binnen 30 dagen |
| Overdraagbaarheid (Art. 20) | Mail naar privacy@speelvriendje.nl, export in JSON | Binnen 30 dagen |
| Bezwaar (Art. 21) | Mail naar privacy@speelvriendje.nl | Binnen 30 dagen |
| Klacht bij toezichthouder | Direct bij Autoriteit Persoonsgegevens | Geen Speelvriendje-tussenkomst nodig |

### 7.2 Datalek-procedure

Bij vermoeden van een datalek:

1. **Binnen 24 uur** worden alle deelnemende scholen geïnformeerd, ook bij twijfel
2. **Binnen 72 uur** wordt een datalek met risico voor betrokkenen gemeld aan de Autoriteit Persoonsgegevens (Art. 33 AVG)
3. Betrokkenen worden geïnformeerd zodra het lek **hoog risico** voor hun rechten en vrijheden inhoudt (Art. 34 AVG)
4. Een **post-incident report** wordt binnen 14 dagen gedeeld met de school

---

## 8. Sub-verwerkers

| Naam | Functie | Locatie | DPA aanwezig? | Datalek-binnen-24u afgesproken? |
|---|---|---|---|---|
| Supabase Inc. | Database, authenticatie, opslag | EU-West-1 (Ierland) | Ja, EU SCC's | Ja |
| Vercel Inc. | Hosting van applicatie | EU edge-regio (Frankfurt/Amsterdam) | Ja, EU SCC's | Ja |
| Brevo (Sendinblue) | Verzending transactie-mails | Frankrijk | Ja, EU SCC's | Ja |
| Plausible Insights OÜ | Anonieme bezoekersstatistieken (alleen publieke pagina's) | Estland (servers Duitsland) | Ja, EU-only | Ja |

**Bij wijziging sub-verwerker:** scholen worden 30 dagen vooraf geïnformeerd. Recht op opzegging zonder kosten indien de wijziging niet acceptabel is.

**Geen** sub-verwerkers buiten de EU. Geen US data-transfers (geen DPF/SCC-fallback nodig).

---

## 9. Raadpleging en review

### 9.1 Raadpleging betrokkenen (Art. 35 lid 9 AVG)

Bij elke deelnemende school wordt deze DPIA voorgelegd aan:

- De directie van de school
- De medezeggenschapsraad (MR), specifiek het ouder-deel
- Eén of meer leerkrachten van de deelnemende klassen
- Optioneel: een ouder die als ambassadeur optreedt

Hun feedback wordt vastgelegd in een addendum bij deze DPIA en publiek gemaakt.

### 9.2 Externe validatie

Deze DPIA is opgesteld door de oprichter zelf op basis van AVG, AP-richtsnoeren en EDPB-guidelines. **Voor productie-uitrol (pilot 2 of breder) wordt de DPIA gevalideerd door een externe AVG-jurist.** Tot die tijd wordt deze DPIA als pilot-versie behandeld en met die status gedeeld.

### 9.3 Review-cyclus

- **Bij elke nieuwe sub-verwerker:** addendum
- **Bij elke nieuwe verwerkingscategorie:** addendum of nieuwe versie
- **Bij elk significant datalek:** addendum
- **Eens per 24 maanden:** integrale review
- **Bij wijziging AVG of EDPB-richtlijnen:** review van impact

---

## 10. Conclusie

Op basis van deze DPIA concluderen we dat:

1. De verwerking is **noodzakelijk en proportioneel** voor het beoogde doel.
2. De geïdentificeerde risico's voor betrokkenen zijn **beheersbaar** met de getroffen technische, organisatorische en juridische maatregelen.
3. De verwerking is **rechtmatig** op basis van de geïdentificeerde rechtsgronden, met expliciete toestemming voor optionele en gevoelige velden.
4. **Voorafgaande raadpleging van de Autoriteit Persoonsgegevens (Art. 36 AVG) is niet vereist**, omdat de restrisico's na maatregelen niet hoog zijn.
5. Speelvriendje is **gereed voor implementatie bij scholen** onder voorwaarde van een ondertekende verwerkersovereenkomst per deelnemende school.

---

## 11. Contact

Voor vragen over deze DPIA, datalekken, of betrokkenen-rechten:

**Functioneel privacy-aanspreekpunt:** Thiery Ketz
**E-mail:** thiery.ketz@nowonline.com
**Voor formele AVG-verzoeken:** privacy@speelvriendje.nl (alias komt beschikbaar bij productie-uitrol)
**Toezichthouder:** [Autoriteit Persoonsgegevens](https://autoriteitpersoonsgegevens.nl)

---

*Versiehistorie: 1.0 (mei 2026) — eerste versie.*