GDPR en communicatie over minderjarigen: zo doe je het goed

Michelle Dassen

10-04-2026 •

Leestijd is ongeveer 9 minuten

GDPR en communicatie over minderjarigen: zo doe je het goed

GDPR. Voor veel organisaties voelt het als een opeenstapeling van dingen die niet mogen. Zeker als je werkt met kinderen en jongeren, en dus ook met de gegevens van hun ouders en voogden.

Maar er is een betere manier om ernaar te kijken: organisaties die correct omgaan met persoonsgegevens én dat transparant communiceren, bouwen vertrouwen op. Ouders die weten dat hun gegevens goed beheerd worden, schrijven zich minder snel uit. En een GDPR-conforme aanpak is ook gewoon een teken van serieuze werking, en iets waar je als organisatie best trots op mag zijn.

In dit artikel zetten we de belangrijkste aandachtspunten op een rij, praktisch en zonder juridisch jargon.

Opmerking: dit artikel is informatief van aard en vormt geen juridisch advies. Raadpleeg bij twijfel een juridisch adviseur of de Gegevensbeschermingsautoriteit.

Wat maakt communicatie over minderjarigen anders?

Bij communicatie over minderjarigen zijn er twee lagen van persoonsgegevens:

De gegevens van het kind zelf (naam, klas, inschrijving, prestaties, medische info, …)
De gegevens van de ouder of voogd (naam, e-mailadres, telefoonnummer, …)

In je e-mailcommunicatie werk je vrijwel altijd met de gegevens van de ouder of voogd als ontvanger, maar de reden waarom je die gegevens hebt, is het kind. Dat heeft gevolgen voor hoe je toestemming verzamelt, hoe lang je gegevens bewaart en wat je ermee mag doen.

Welk platform je kiest, maakt een verschil

Een GDPR-conforme aanpak begint niet alleen bij je eigen processen, maar ook bij de tools die je gebruikt. Veel bekende e-mailmarketingtools slaan data op servers buiten Europa op, vaak in de Verenigde Staten. Dat creëert een fundamenteel probleem: de GDPR vereist dat persoonsgegevens van Europese burgers ook buiten de EU beschermd blijven, maar de juridische basis daarvoor is al jaren onzeker en onderhevig aan wijzigingen.

Als je kiest voor een platform met Europese datacenters en een expliciete GDPR-first aanpak, zoals Flexmail, vermijd je die onzekerheid van bij het begin.

Van wie heb je toestemming nodig?

Voor communicatie gericht aan ouders of voogden

Als je e-mails stuurt naar ouders over de activiteiten, nieuwsbrieven of updates van de organisatie, heb je hun toestemming nodig, of een andere rechtmatige grondslag. Die grondslag kan zijn:

Toestemming (opt-in): de ouder heeft actief aangekruist dat hij of zij e-mails wil ontvangen. Dit is de meest eenduidige grondslag en de aanbevolen aanpak voor nieuwsbrieven en marketingcommunicatie.

Uitvoering van een overeenkomst: voor administratieve en transactionele communicatie, zoals betalingsherinneringen, inschrijvingsbevestigingen of wijzigingen in het programma, kan je je beroepen op de overeenkomst die je met het gezin hebt. Je hoeft daarvoor geen aparte opt-in te vragen, maar beperk de communicatie wel tot wat strikt noodzakelijk is.

→ Praktisch: vraag bij inschrijving altijd een expliciete opt-in voor nieuwsbrieven en marketingcommunicatie, apart van de administratieve communicatie. Zo is het onderscheid altijd duidelijk.

Als je ook kindergegevens gebruikt

Stuur je mails waarbij je persoonsgegevens van het kind zelf gebruikt, zoals naam, klas, prestaties of aanwezigheid, dan gelden strengere regels. Kinderen onder de 13 jaar kunnen zelf geen toestemming geven: daarvoor heb je altijd de toestemming van een ouder of voogd nodig. Voor jongeren tussen 13 en 16 jaar verschilt dit per EU-lidstaat; in België ligt de grens op 13 jaar.

De uitschrijvingsvalkuil: waarom het scheiden van mailstreams cruciaal is

Dit is één van de meest onderschatte risico's bij organisaties die alles vanuit één lijst versturen: een ouder schrijft zich uit voor de algemene nieuwsbrief, en ontvangt daarna ook geen betalingsherinneringen, trainingswijzigingen of andere essentiële informatie meer over het lidmaatschap van zijn of haar kind.

Technisch klopt het: de persoon heeft zich uitgeschreven. Maar het is niet wat de persoon bedoelde, en het is ook niet wat jij wil als organisatie.

De oplossing is structureel, niet technisch: scheid je marketingcommunicatie van je transactionele communicatie vanaf het begin. Transactionele mails, zoals betalingsherinneringen, inschrijvingsbevestigingen, niveauovergangen en trainingswijzigingen, verlopen via de transactionele e-mailmodule in Flexmail en staan los van je abonneelijst. Een uitschrijving op je nieuwsbrief heeft daar geen enkel effect op.

Marketingmails, zoals de nieuwsbrief, aankondigingen van nieuwe cursussen en promotionele communicatie, verlopen via je reguliere campagnes en zijn afhankelijk van opt-in. Schrijft iemand zich daar uit, dan is dat hun keuze, en die respecteer je.

Een uitschrijving voor marketingmails mag nooit leiden tot het uitvallen van communicatie waar iemand recht op heeft als lid of als ouder van een ingeschreven kind.

Door die twee streams gescheiden te houden, bescherm je zowel de ouder als jezelf, en voldoe je aan wat de GDPR verwacht: dat je de juiste grondslag gebruikt voor het juiste type communicatie.

Hoe documenteer je toestemming?

Toestemming is pas geldig als ze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Dat betekent:

Vrij: de ouder kan ook weigeren zonder dat dit gevolgen heeft voor de inschrijving van het kind.
Specifiek: aparte toestemming voor aparte doeleinden. Toestemming voor een nieuwsbrief dekt geen betalingsherinneringen, en omgekeerd.
Geïnformeerd: de ouder weet waarvoor ze toestemming geven, wie de gegevens verwerkt en hoe lang.
Ondubbelzinnig: een vooraf aangevinkt vakje telt niet. De ouder moet actief toestemming geven.

Bewaar je toestemmingen. In Flexmail houd je opt-ins bij via het inschrijfformulier en de bijhorende metadata. Mocht er ooit een vraag komen, kan je aantonen wanneer iemand zich heeft ingeschreven en waarvoor.

Hoe lang mag je gegevens bewaren?

Er zijn geen vaste wettelijke bewaartermijnen, maar de vuistregel is eenvoudig: bewaar gegevens niet langer dan nodig voor het doel waarvoor je ze verzamelde.

Concreet betekent dat:

Gegevens van actieve leden of ingeschreven leerlingen: bewaar ze zolang de relatie actief is.
Gegevens van voormalige leden of leerlingen: verwijder of anonimiseer ze zodra er geen actieve relatie meer is, tenzij je een wettelijke verplichting hebt om ze langer bij te houden (zoals boekhoudkundige documenten).
Gegevens van geïnteresseerden die zich nooit hebben ingeschreven: maximaal één jaar na het laatste contactmoment, daarna verwijderen of opnieuw toestemming vragen.

→ Praktisch: maak een jaarlijkse opkuisronde in je Flexmail-lijst. Verwijder uitgeschreven leden of zet ze op de blacklist, controleer welke contacten al lang inactief zijn en stuur eventueel een re-engagement mail vóór je ze definitief verwijdert.

Wat bij uitschrijving?

Wanneer een lid of leerling de organisatie verlaat, of wanneer een abonnee zich uitschrijft:

Verwijder of archiveer hun gegevens in Flexmail.
Stop alle marketingcommunicatie onmiddellijk.
Transactionele communicatie die nog lopende verplichtingen dekt (bv. een openstaande betaling) kan je nog versturen, maar stop daarna ook die communicatie.
Informeer de betrokkene over wat er met hun gegevens gebeurt na uitschrijving.

In Flexmail worden uitschrijvingen automatisch geregistreerd en verwerkt. Je kan uitgeschreven contacten niet meer bereiken via campagnes. Dat is een ingebouwde beveiliging.

Transparantie als vertrouwensargument

Dit is meteen ook het krachtigste argument voor een correcte GDPR-aanpak: organisaties die goed omgaan met persoonsgegevens én dat zeggen, bouwen vertrouwen op. Ouders en leden willen weten wat er met hun gegevens gebeurt, en als jij dat proactief uitlegt, ben je een stap voor.

Een paar eenvoudige manieren om dat te doen:

In je inschrijfformulier: leg in heldere taal uit waarvoor je de gegevens gebruikt, wie er toegang toe heeft en hoe lang je ze bewaart. Geen juridische tekst, maar gewoon: “We gebruiken je e-mailadres om je op de hoogte te houden van activiteiten en nieuws van de club. Je kan je op elk moment uitschrijven.”

In je e-mails: zorg dat elke mail een duidelijke uitschrijflink bevat en een link naar je privacybeleid. Flexmail voegt een uitschrijflink automatisch toe.

Bij wijzigingen: als je iets verandert aan hoe je gegevens verwerkt, zoals een nieuw platform, een nieuwe partner of een uitbreiding van je communicatie, informeer je abonnees daar dan actief over.

Praktische checklist

Ga deze punten na voor je volgende campagne of inschrijvingsperiode:

Marketingcommunicatie en transactionele communicatie zijn gescheiden opgezet
Aparte opt-in voor nieuwsbrieven en marketingcommunicatie, apart van administratieve mails
Geen vooraf aangevinkte vakjes in je inschrijfformulier
Heldere uitleg in het formulier over waarvoor gegevens worden gebruikt
Toestemmingen gedocumenteerd en aantoonbaar in Flexmail
Bewaartermijnen bepaald en gecommuniceerd in je privacybeleid
Jaarlijkse opkuisronde gepland voor inactieve contacten
Uitschrijflink aanwezig in elke campagnemail
Procedure bij uitschrijving of vertrek van een lid vastgelegd

Een correcte aanpak van persoonsgegevens kost wat moeite aan het begin. Maar het resultaat is een gezonde, betrouwbare contactenlijst, met mensen die écht willen horen wat je te zeggen hebt. En dat is precies de basis van e-mailmarketing die werkt.

Meer weten over hoe je je communicatiestructuur opzet in Flexmail? Dat lees je in deze blog: E-mailmarketing voor scholen en verenigingen: zo communiceer je slim met ouders, leden en studenten.

En voor de praktische stap van data-import en -transformatie lees je deze blog: Van ledenlijst naar Flexmail: zo maak je je data klaar.