EU-landen kunnen eigen apps gaan bouwen voor robuuste online leeftijdscontrole

De Europese Unie heeft de ontwikkeling van de leeftijdsverificatieapp afgerond. Vorig jaar testte een kleine groep lidstaten die app al. Nu kunnen alle landen, waaronder landen buiten de EU, een eigen versie uitbrengen op basis van de opensourceblauwdruk.

EU-leeftijdsverificatieappDe Europese leeftijdsverificatieapp is technisch klaar en komt 'binnenkort' beschikbaar voor burgers, meldt de Europese Commissievoorzitter Ursula von der Leyen. Frankrijk, Denemarken, Italië, Spanje, Griekenland, Cyprus en Ierland hebben al aangegeven dat ze de app gaan integreren in hun digitale wallets. Een aantal van deze landen heeft de app vorig jaar al getest.

Von der Leyen 'hoopt' dat ook andere lidstaten en landen van buiten de EU de app in gebruik zullen nemen. Von der Leyen trekt de vergelijking met de corona-app. De Commissie leverde voor die app de blauwdruk, waarna 78 landen er een eigen versie van ontwikkelden.

Gebruikers moeten via de app hun leeftijd verifiëren met bijvoorbeeld een DigiD of paspoortscan. De app deelt vervolgens aan online diensten of de bezoeker aan de leeftijdseis voldoet, maar geeft niet meer persoonsinformatie door aan de platforms. Tweakers schreef vorig jaar een uitgebreid artikel over de werking van deze app.

Verplicht?

Het is nog niet duidelijk voor welke diensten een robuuste leeftijdsverificatie verplicht wordt. De kans is groot dat het in ieder geval om pornosites gaat. Vorige maand zei de EU in een voorlopige conclusie van een DSA-onderzoek dat pornosites de leeftijd van gebruikers beter moeten controleren.

Ook onderzoekt de EC momenteel in het kader van dezelfde wet of Facebook, Instagram, Snapchat en Shein genoeg doen om kinderen te beschermen. Von der Leyen meldt dat de Commissie de komende maanden alle zeilen bijzet om platforms die kinderen niet genoeg beschermen, verantwoordelijk te houden. Daarnaast werken diverse individuele lidstaten, waaronder Griekenland, Oostenrijk en Vlaanderen, aan een socialemediaverbod voor kinderen.

Ook als platforms in het kader van de DSA de leeftijd van gebruikers beter moeten controleren, worden ze niet verplicht om de Europese leeftijdsverificatieapp te integreren. Platforms mogen dus ook een eigen oplossing implementeren, zolang de leeftijdsverificatiemethode robuust genoeg is.

Door Kevin Krikhaar

Redacteur

Feedback • 15-04-2026 14:28
251 • submitter: NEK

15-04-2026 • 14:28

251

Submitter: NEK

Lees meer

26 feb 2026

Van selfiechecks naar ID-scans: online leeftijdsverificatie wordt onvermijdelijk

196

30 jul 2025

Gaat de EU echt een Google-account verplichten in app voor 18+-verificatie?

223

10 jul 2025

Online liegen over je leeftijd wordt mogelijk een stuk lastiger

220
Griekenland overweegt anonimiteit op sociale media te verbieden
Griekenland overweegt anonimiteit op sociale media te verbieden Nieuws van 29 april 2026
PlayStation lijkt wereldwijd leeftijdsverificatie te gaan vereisen voor chat
PlayStation lijkt wereldwijd leeftijdsverificatie te gaan vereisen voor chat Nieuws van 21 april 2026
Denemarken bereikt akkoord over socialemediaverbod voor jongeren onder 15 jaar
Denemarken bereikt akkoord over socialemediaverbod voor jongeren onder 15 jaar Nieuws van 8 november 2025
EU brengt eerste versie van leeftijdsverificatieapp uit
EU brengt eerste versie van leeftijdsverificatieapp uit Nieuws van 15 juli 2025
Meer producten en artikelen
Politiek en recht Europa Europese Commissie Europese unie Leeftijd

Reacties (251)

-Moderatie-faq
251
248
116
17
2
117
Wijzig sortering

Sorteer op:

Weergave:
NEK
15 april 2026 15:35
Ik had al meerdere artikelen voorbij zien komen, ook artikelen vanuit de EU, dus ben ik maar weer in de pen geklommen.

Wat hier wordt gepresenteerd als "leeftijdscontrole" is technisch gezien de introductie van een digitale identiteitslaag voor internetgebruik en dat is heel zorgwekkend.

Om leeftijd betrouwbaar te kunnen verifiëren, moet je namelijk eerst kunnen vaststellen wie iemand is, of op z’n minst een verifieerbaar attribuut (zoals leeftijd) kunnen koppelen aan een unieke gebruiker. Dat vereist infrastructuur die verder gaat dan alleen "ben je 18+". Denk hierbij aan zaken zoals tokens, wallets of identity providers die herbruikbaar zijn over meerdere platforms. En precies daar zit de kern.

Dit is dezelfde technische basis die nodig is voor eerdere voorstellen rond chatcontrole en client-side scanning. Eerst wordt de infrastructuur gebouwd, daarna volgen de toepassingen. Vanuit juridisch perspectief wringt dit ook enorm. Volgens het EU-recht (o.a. AVG en vaste jurisprudentie van het Hof van Justitie) moeten maatregelen die ingrijpen op privacy en communicatievrijheid, namelijk noodzakelijk zijn, proportioneel zijn en zo gericht mogelijk toegepast worden. Dat spanningsveld zagen we eerder in de praktijk, bijvoorbeeld tijdens de COVID-19 pandemie. Digitale QR-systemen werden ingevoerd als tijdelijk en doelgericht instrument, maar groeiden in korte tijd uit tot een brede toegangsvoorwaarde voor deelname aan delen van het dagelijks leven. Dat laat zien hoe snel een technische oplossing kan opschuiven van "specifiek doel" naar "algemene toepassing".

Een systeem waarbij in principe elke internetgebruiker zich moet verifiëren om toegang te krijgen tot content of diensten, schuurt direct met die proportionaliteit. Het raakt namelijk niet een specifieke doelgroep, maar de gehele bevolking. Daarnaast zie je hier het bekende patroon van function creep. Wat begint als leeftijdsverificatie voor "bescherming van kinderen" kan relatief eenvoudig worden uitgebreid naar andere doeleinden zoals toegang tot bepaalde content, koppeling aan gedrag of accounts en filtering of toezicht op communicatie.

Formeel blijft het misschien "vrijwillig", maar in de praktijk gaan platforms dit afdwingen. Zonder verificatie geen toegang. Daarmee verdwijnt anoniem gebruik stap voor stap, zonder dat het ooit expliciet verboden wordt. Heel belangrijk om te beseffen: de discussie zou niet alleen moeten gaan over hoe je leeftijd controleert, maar juist of je een internet wilt waarin identificatie de standaard wordt.......

Want als die infrastructuur er eenmaal ligt, is het gebruik ervan geen technische vraag meer, maar een politieke keuze........

[Reactie gewijzigd door NEK op 15 april 2026 16:04]

Reageer
bzuidgeest
@NEK15 april 2026 16:11
Ik zal dan ook maar weer in de pen klimmen. Ik vind wat jij stelt helemaal fout (dat is het netste dat ik kon zeggen). Het is voor mij heel simpel. Bij wet is voor bepaalde zaken een minimum leeftijd vastgesteld. Er is geen enkele reden om die leeftijd niet ook op het internet te verifieren. Daar kan je wel lekker langdradig en hoogdravend over doen, maar als je leeftijd gebaseerde toegang niet wil, dan moet je de wet aanpassen. Alcohol in de wieg, autorijden zodra je bij de pedalen kunt en porno met de paplepel.. Ja ik stel het wat simplistisch. Maar soms moet je het ook niet moeilijker maken dan dat het is. Er is geen enkele reden waarom dingen op het internet ineens niet aan de wet hoeven te voldoen. De privacy zin van sommige mensen heeft daar niets mee te maken.

Er is ook niet ineens wettelijke basis om dus overal je leeftijd maar te moeten verifiëren. Waarom zou dat op tweakers moeten bijvoorbeeld? Hebben die een ondergrens die ze moeten bewaken? Geen tweakers onder de twaalf? Nee tuurlijk niet. Als je geen leeftijd controle wil voor je content zal je moeten zorgen dat je content voor alle leeftijden geschikt is. Zo simpel is dat. Het feit dat je bij de slijter moet identificeren heeft er niet voor gezorgd dat je ook moet identificeren voor een pak melk.

Ben je het niet eens met de leeftijden in de wet, schrijf je politicus aan, start een partij en verander het. Tot die tijd geld de wet ook op het internet. Voor consumentenrecht, voor avg, en ja ook voor leeftijdsgrenzen.

Nu snap ik wel enigszins de huiverigheid als je ziet wat voor brakke leeftijdverificatie er links en rechts gebruikt word met selfies en creditcards etc etc....

Maar de EU heeft dit open source ontwikkeld, met input van de gemeenschap. Het is helaas niet helemaal zero knowledge proof, maar komt er dicht bij. de landen kunnen nu hun label er op drukken en er mee starten. Net als Wero, 1 standaard voor de EU.

Leeftijdcontrole is onderdeel van de wet, je gaat er niet aan ontkomen. Een betere en nuttigere strijd is de strijd om het juiste systeem en hoe het geïmplementeerd word. Dit is allemaal open source dus controleerbaar. Dit is het beste wat ik in deze richting tot nu toe gezien heb. Het echte gevecht is om het nog beter te maken. De rest is vechten tegen de wet as-is en zinloos. Waar je voor moet vechten is een zero knowledge proof app, waarmee de overheid of wie dan ook wel kan verifiëren dat je 18+ bent en verder niets kan zien van waar je die verificatie gebruikt. Dat dient de wet en de privacy. En is technisch gewoon mogelijk.
edit:
voor de -1 figuren, Visies die je niet leuk vind is niet hetzelfde als flamebait of trollen (waar -1 voor is). Kom met een argument in plaats van je achter een -1 te verschuilen.

[Reactie gewijzigd door bzuidgeest op 15 april 2026 16:45]

Reageer
NEK
@bzuidgeest15 april 2026 16:28
Volgens mij praten we hier langs elkaar heen want niemand betwist dat leeftijdsgrenzen in de wet bestaan of dat die ook online gehandhaafd mogen worden. Dat is niet het punt. Het punt is hoe je dat doet, en of het middel proportioneel is. In de fysieke wereld is leeftijdscontrole namelijk: incidenteel, contextgebonden en zonder structurele registratie. Je laat een ID zien bij de slijter, en dat is het. Er ontstaat geen infrastructuur waarbij je je overal moet identificeren voordat je überhaupt naar binnen mag.

Wat hier wordt voorgesteld, gaat een stap verder. Je bouwt een generieke digitale verificatielaag die over meerdere platforms werkt, daarnaast herbruikbaar is en dus in de praktijk een toegangsvoorwaarde wordt...

Dat is niet vergelijkbaar met "ID laten zien bij alcohol kopen". Dat is vergelijkbaar met: eerst identificeren voordat je überhaupt een winkelstraat in mag. En daar zit de proportionaliteitsvraag.

Je zegt zelf al terecht dat het ideaal een zero-knowledge oplossing zou zijn. Daar ben ik het volledig mee eens. Maar dat is nog niet de realitei en en zelfs dan blijft de vraag of je zo'n systeem breed wilt invoeren want ook een perfect privacyvriendelijk systeem verandert het internet fundamenteel als:
geen verificatie = geen toegang. Daarnaast is het argument "de wet is er dus we moeten dit doen" te kort door de bocht. De wet schrijft leeftijdsgrenzen voor, maar niet hoe je die technisch afdwingt. Daar zit juist de ruimte voor discussie, en ook de verplichting om binnen EU-recht (AVG, proportionaliteit) te blijven. Dat is ook geen theoretische discussie. We hebben tijdens de COVID-19 pandemie gezien hoe een technisch systeem dat bedoeld was voor een specifiek doel in korte tijd een brede toegangsvoorwaarde werd. Dus ja, leeftijdscontrole is legitiem maar een generieke, herbruikbare identiteitslaag voor internetgebruik optuigen is een veel grotere stap dan "de wet handhaven". En precies daar zit de discussie.
Reageer
david-v @NEK15 april 2026 16:52
Dat is niet vergelijkbaar met "ID laten zien bij alcohol kopen". Dat is vergelijkbaar met: eerst identificeren voordat je überhaupt een winkelstraat in mag. En daar zit de proportionaliteitsvraag.
Je doet en aanname die niet klopt en de rest van je verhaal ook teniet doet.

Identificatie en leeftijd verificatie zijn twee afzonderlijke processen waarbij de controller alleen weet wie je bent, niet waar je heen gaat, en de dienst alleen weet dat je aan de leeftijd grens voldoet, niet wie je bent.

Dus wat jij zegt, identificeren voor je een winkelstraat binnenloopt klopt niet. Om die winkelstraat naar binnen te lopen heb je een token, die token kan je thuis "afdrukken" door bij de controller aan te geven wie je bent (en je krijgt niet 1 token per keer maar een hele set). Die token neem je mee en laat je zien waar ze erom vragen, op straat, bij het casino, bij het afrekenen bij de ah als je alcohol koopt. Hiermee voorkom je dus dat je te pas en te onpas je ID kaart moet gaan tonen.

Dit is wat de EU voor ogen heeft. Waar jij bang voor bent, ID tonen om maar ergens iets te kunnen doen is precies wat je krijgt zonder dit soort apps, ofwel dat je je ID of foto moet uploaden naar meta, Google, pornhub enz zodat ze je leeftijd kunnen verifiëren.

Heb jij een beter voorstel om aan de wettelijke leeftijd verificatie te voldoen, bijvoorbeeld als je online wil gokken? Ik ben zeer geïnteresseerd in jouw oplossing.
Reageer
NEK
@david-v15 april 2026 17:05
Je technische uitleg snap ik helemaal en als het systeem inderdaad zo werkt als jij schetst, dan is dat privacytechnisch zonder meer beter dan overal je ID uploaden naar commerciële partijen. dus laat ik helder zijn: tussen "paspoortfoto naar Meta of Pornhub sturen" en "een attribuuttoken tonen zonder identiteit prijs te geven" is dat laatste uiteraard de minst slechte optie. Maar dat neemt mijn principiële punt nog steeds niet weg. Mijn vergelijking met de winkelstraat ging niet over de letterlijke technische werking van het token, maar over de maatschappelijke verschuiving die je ermee normaliseert. Namelijk dat toegang tot diensten, content of transacties steeds vaker afhankelijk wordt van voorafgaande verificatie via een gestandaardiseerde infrastructuur. Of die verificatie technisch identificeert of alleen een attribuut bevestigt, verandert iets aan de privacy-impact, maar niet aan dat structurele punt........Want ook met jouw model geldt nog steeds: zonder geldig token geen toegang. En precies daar zit voor mij de proportionaliteitsvraag.

Je zegt terecht dat identificatie en leeftijdsverificatie gescheiden kunnen worden, maar daarmee is niet automatisch beantwoord of het wenselijk is om voor steeds meer online handelingen een verificatielaag als normale voorwaarde in te voeren. en dat is voor mij de echte discussie. Niet: is dit technisch beter dan ID-upload? maar hoe breed wil je dit soort infrastructuur überhaupt inzetten?

Want zodra die laag er is, wordt de stap naar uitbreiding kleiner. Niet per se omdat iemand vandaag slechte bedoelingen heeft, maar omdat platforms risico willen afdekken, wetgeving verschuift en uniforme implementatie altijd aantrekkelijker wordt dan maatwerk. Je vraagt of ik een beter voorstel heb, bijvoorbeeld voor online gokken. Voor echt leeftijdsgebonden of wettelijk gereguleerde categorieën zoals gokken, alcohol of expliciete 18+-content vind ik een strikt afgebakende attribuutverificatie nog verdedigbaar, mits: alleen per concrete use-case, geen centrale logging, geen herbruikbare tracking, geen verplichte koppeling aan bredere internettoegang, en liefst met zo min mogelijk persistentie. Waar ik bezwaar tegen maak is dat zulke systemen zelden politiek en praktisch beperkt blijven tot alleen die smalle context. Dus nee, ik zeg niet dat jouw technische model hetzelfde is als overal je ID tonen. Ik zeg dat ook een privacyvriendelijk tokenmodel nog steeds een bredere normverandering kan inluiden, namelijk van open toegang naar toegang onder voorwaarden. En juist daar wil ik kritisch op blijven, ook als de techniek op papier netjes oogt.
Reageer
david-v @NEK15 april 2026 17:19
Ik ben het volledig met je eens dat leeftijdverificatie, in welke vorm dan ook, beperkt moet worden tot plekken en diensten waar het van toepassing is en dat de lijst zeer beperkt moet zijn. Daar gaan we allemaal wel op letten denk ik, al zal er vast flink wat discussie zijn, bijvoorbeeld bij social media.

Ik zit bijvoorbeeld niet te wachten op een leeftijd verificatie check als ik naar een 18+ film ga in de bioscoop, want dat is niet een wettelijk vastgestelde norm maar eerder een aanbeveling. Er moet wat mij betreft wel een wettelijke norm zijn als basis. Want wetten kunnen we veranderen, daar kiezen we allemaal voor, met onze stem elke 4 jaar en soms vaker ;). Over autoritaire regimes hoeven we niet te praten, dan heb je helemaal niks meer te zeggen als burger, dat is een totaal ander verhaal.
Reageer
Ozzy @david-v15 april 2026 18:14
https://www.kijkwijzer.nl/over-kijkwijzer/kijkwijzer-en-de-wet/

Je kunt er niet op zitten te wachten, maar die wet is er al. De 16+ is geen aanbeveling, maar wettelijk vastgelegd, zoals je in het gelinkte artikel kunt lezen.
Reageer
david-v @Ozzy15 april 2026 19:32
Jeetje, ik wist niet dat dat voor 16+ of 18+ films bij wet geregeld was. Dank voor deze correctie! Bij de rest van de leeftijd categorieën is dat niet het geval.
Reageer
vanstra @david-v15 april 2026 17:26
Nu doe jezelf ook een aanname.
Je doet en aanname die niet klopt en de rest van je verhaal ook teniet doet.

Identificatie en leeftijd verificatie zijn twee afzonderlijke processen waarbij de controller alleen weet wie je bent, niet waar je heen gaat, en de dienst alleen weet dat je aan de leeftijd grens voldoet, niet wie je bent.

Dus wat jij zegt, identificeren voor je een winkelstraat binnenloopt klopt niet.
Dit weet jij ook niet zeker. Wat niet is kan nog wel komen.
Reageer
david-v @vanstra15 april 2026 17:32
Het is geen aanname, de hele architectuur en de sourcecode van de App is na te lezen/open source. Ik zou nooit een leeftijdverificatie app gebruiken die niet opensource is, en dat is volgens mij ook de hele intentie.

Dus ja, je kan het wel verifiëren dat het zo werkt.

Wat niet is kan nog komen, daar kan ik niks mee. Zolang wij in een democratie leven bepalen we zelf wat wel en niet acceptabel is voor de meerderheid en kunnen we elke 4 jaar kiezen/afstraffen als ze iets doen wat de meerderheid niet aanstaat.
Reageer
vanstra @david-v15 april 2026 19:06
Het heeft niet alleen met open source te maken. Het is een glijdende schaal. Nu is het leeftijdsverificatie, straks mogelijk vastlegging welke site per ID worden bezocht etc.
Reageer
david-v @vanstra15 april 2026 19:41
straks mogelijk vastlegging welke site per ID worden bezocht etc.
Dit is echt een dood doener. Dit gaat regelrecht in tegen de architectuur. Totaal het tegenovergestelde van wat het nu is.

Straks hebben we een autoritair regime die al onze vrijheden afpakt en democratie afschaft. Dus laten we dit soort beperkingen vooral niet doen, want anders.

We zijn nog steeds een democratie en je kan elke 4 jaar je stem laten horen. Als we iets doen wat je m de meerderheid van de bevolking niks vindt, dan komt daarna een kabinet die het weer ongedaan kan maken. Laten we vooral naar het nu kijken en niet naar wat zou kunnen.

We moeten wel alert blijven: zodra zoiets zoals jij noemt ter sprake komt direct wordt tegengewerkt.
Reageer
vanstra @david-v15 april 2026 22:19
We zijn nog steeds een democratie en je kan elke 4 jaar je stem laten horen. Als we iets doen wat je m de meerderheid van de bevolking niks vindt, dan komt daarna een kabinet die het weer ongedaan kan maken. Laten we vooral naar het nu kijken en niet naar wat zou kunnen.
In Nederland ja, maar de meeste wetgeving wordt tegenwoordig gemaakt in de EU.
Reageer
david-v @vanstra15 april 2026 23:06
Gelukkig zijn er in de EU net zoveel mensen die precies denken zoals wij. Je krijgt wat de meerderheid wilt.
Reageer
Marrtijn @david-v16 april 2026 07:19
Je hebt het over de mensen die jaarlijks chat control er tussenin willen fietsen.
Reageer
david-v @Marrtijn16 april 2026 07:22
En het ze niet lukt, klopt.
Reageer
vanstra @david-v16 april 2026 13:46
En onze eigen politici tot zover ze te vertrouwen zijn:

https://www.volkskrant.nl/nieuws-achtergrond/kamer-wil-het-niet-maar-de-europese-digitale-identiteit-komt-er-toch~b1e6f685/

[Reactie gewijzigd door vanstra op 16 april 2026 13:46]

Reageer
david-v @vanstra16 april 2026 13:52
Tja, kijk, ik wil juist wel een Europeesche digitale ID. Ik heb ook jarenlang in twee verschillende EU landen gewoond. Dus voor mij is zoveel mogelijk gezamenlijk regelen de beste uitkomst. Dat hoeft niet iedereen te vinden. Net zoals ik het soms niet eens ben met een bekisting door het kabinet of in de EU.

Iedereen tevreden stellen gaat niet werken. Waar we met elkaar voor moeten waken is dat onze rechten, waaronder het recht op privacy, niet worden afgenomen.
Reageer
ltcom @vanstra16 april 2026 10:45
De inrichting van de EU is best vergelijkbaar met NL.
  • Parlement is direct gekozen door de bevolking
  • Raad van Europa, zitten de minsters in van de lidstaten, in de basis dus getrapt verkozen
  • Commissie is gekozen door Parlement en Raad
In NL kennen we
  • 2e Kamer, direct gekozen
  • 1e Kamer, getrapt gekozen door de (direct gekozen) leden van de Provinciale Staten.
  • Kabinet, gekozen door enkel 2e Kamer
De opkomst voor EU verkiezingen ligt lager dan landelijk, maar dat maakt de inrichting niet minder democratisch.
Reageer
DrBlond @david-v15 april 2026 23:33
Identificatie en leeftijd verificatie zijn twee afzonderlijke processen waarbij de controller alleen weet wie je bent, niet waar je heen gaat, en de dienst alleen weet dat je aan de leeftijd grens voldoet, niet wie je bent.
In een ideale wereld misschien. Aan het token kan je misschien niks afleiden. Maar de rest van je telefoon is zo lek als een mandje. Je kan in ieder geval al telefoons in groepen gaan indelen. Zo zullen kwaadwillenden een lijst kunnen maken van telefoons die horen bij kinderen onder de 18.

Dit soort systemen ondermijnen alleen je privacy en anonimiteit. En daarmee de veiligheid. En gaan helemaal niks helpen tegen het bekijken van porno. Want dan gebruik je torrents of vpn. Of moeten we daar dan ook maar een leeftijdsgrens voor invoeren.

[Reactie gewijzigd door DrBlond op 15 april 2026 23:34]

Reageer
david-v @DrBlond16 april 2026 07:24
Je kan in ieder geval al telefoons in groepen gaan indelen. Zo zullen kwaadwillenden een lijst kunnen maken van telefoons die horen bij kinderen onder de 18.
Kan je me uitleggen hoe je dat doet? Ben heel benieuwd naar de technische onderbouwing hiervan
Reageer
DrBlond @david-v16 april 2026 09:31
Je wordt toch al continue getraceerd online. Er wordt bijvoorbeeld een advertentie profiel gemaakt adhv je surfgedrag. Waarbij ze weten wat je ip is. Of mogelijk je telefoon nummer. Maar nou ga je eerst nog eens aangeven of je ouder bent dan 18.
Of als een WhatsApp cliënt side scanning kan uitvoeren in het kader van chat control. En met diezelfde app (of een andere app van meta, die in het artikel wordt genoemd) ga je een token doorsturen om in te loggen. Dan is dat toch niet anoniem.
Reageer
david-v @DrBlond16 april 2026 09:36
Ah, je hebt het niet over de leeftijd verificatie app maar over bigtech, die zonder de app al deze informatie al heeft en meer. Bigtech kan met de profielen wel een inschatting maken van je leeftijd, die een stuk betrowbaarder is dan deze app. Want deze app geeft alleen aan dat je voldoet aan een leeftijd grens. Met profielen kunnen ze je veel beter indelen in een leeftijdscategorie.

Waar jij het dus over hebt is de profilering van bigtech, ook van minderjarigen. Dat is een heel andere discussie en waar ik het met je eens ben. Ik wil als volwassene ook geen profilering.

[Reactie gewijzigd door david-v op 16 april 2026 13:53]

Reageer
Jedotw @david-v16 april 2026 09:40
Het bezoek aan websites wordt gewoon geregistreerd, alsook de uitkomst van de leeftijdsverificatie van die bezoeker. Je device waarmee je het bezoek doet, heeft vrijwel altijd een unieke "fingerprint". Combineer de data en klaar is Kees.

En daar zit de grootste problematiek in de wallet-technologie: er moet bepaalde logging plaatsvinden die voor juridische doeleinden gebruikt kan worden (heb ik toen die gegevens daar afgegeven). Op het moment dat de device niet meer te gebruiken is, is deze logging (verantwoording) weg met alle mogelijke gevolgen.
Reageer
david-v @Jedotw16 april 2026 09:47
er moet bepaalde logging plaatsvinden die voor juridische doeleinden gebruikt kan worden
Graag een bron waaruit dit blijkt een welke data precies in de logs bewaard moet worden. Graag ook de code in de opensource app waarin deze logs daadwerkelijk worden weggeschreven op het apparaat.
edit:
Websites die je tracken kunnen aan de hand van je profiel veel beter je leeftijd inschatten dan wat de leeftijd verificatie app aan informatie levert.

[Reactie gewijzigd door david-v op 16 april 2026 09:48]

Reageer
bzuidgeest
@NEK15 april 2026 16:42
geen verificatie = geen toegang
Waar dat relevant is hoort daar achter. Dat had altijd de situatie moeten zijn, dat is zo offline en dat hoort zo te zijn online. Offline verifiëren we niet overal, de aanname dat het ineens online overal moet is geen enkel bewijs of reden voor. Het hoeft alleen waar er content is die niet geschikt is voor een bepaalde leeftijdgroep.

We gaan validatie niet voorkomen. Dus jou ik wacht wel tot er iets beters is, is een nutteloze verwachting een verloren gevecht. Dit gaat komen. We hebben alleen invloed op de hoe. De EU heeft de beste optie van alle opties op de planeet gemaakt en daar moeten we mee werken. We kunnen beter dat verbeteren.
Dat is niet vergelijkbaar met "ID laten zien bij alcohol kopen". Dat is vergelijkbaar met: eerst identificeren voordat je überhaupt een winkelstraat in mag. En daar zit de proportionaliteitsvraag.
Dat is dus een belachelijke stelling wat mij betreft. Er is geen enkele reden om dat te verwachten. Zelfs platforms hoeven niet totaal achter een controle. Een youtube video die 18+ is zou prima om verificatie kunnen vragen bij het kijken, niet voor platform toegang.

Niemand is met een betere oplossing gekomen. De rest knoeit met selfies, paspoort foto's en wat al niet. Dat is nog veeeeel slechter. Die info wil je helemaal niet aan de sites geven. Met dit systeem krijgen ze dat allemaal niet.

Niets doen is ook geen acceptabele optie meer. Dus kom met een betere techniek en promoot die.

Maar alleen maar schoppen en complot verdenkingen en paranoïde erbij halen? Dat levert niets op. Dat woord door het grootste deel van het volk niet geloofd en dus door de politiek niet meegenomen.

Sommige mensen denken dat de grote sociale platform hier op inzetten om mensen beter te kunnen volgen. Zelfs als dat zo is. Versla ze met hun eigen wapen. Promot de controle MET privacy met zero knowlegde proof. Versla die clubs met hun eigen wapen. Met het juiste systeem kan je aanmelden en niet meer te volgen zijn. Dan heb je facebook en google etc. op hun knie-en en tegelijk de privacy beter gemaakt dan deze nu op het internet is. Waar je op elke site je halve leven moet afgeven om binnen te komen.
Reageer
NEK
@bzuidgeest15 april 2026 17:02
Ik denk dat we het op 1 punt gewoon eens zijn: niets doen is geen optie en die huidige praktijken met paspoortfoto’s en selfies zijn inderdaad veel slechter. En ook eens dat, als er dan iets komt, zero-knowledge achtige oplossingen de juiste richting zijn. Waar ik het met je oneens ben, zit niet in de techniek, maar in de aanname die je maakt. Je zegt zelf: het hoeft alleen waar het relevant is, net zoals offline. Maar dat is precies het punt waar ik vraagtekens bij zet. Offline blijft het beperkt omdat er geen infrastructuur is om het breder te doen. Online ga je die infrastructuur juist wel bouwen. En zodra die er is, verschuift "waar het relevant is" in de praktijk bijna altijd. Niet omdat iemand dat vandaag zo bedenkt, maar omdat: platforms risico willen vermijden, wetgeving uitbreidt en implementatie eenvoudiger wordt als je het generiek doet. Je voorbeeld van YouTube is precies illustratief. In theorie vraag je alleen bij 18+ video’s verificatie. In praktijk is het voor een platform veel eenvoudiger om het breder te trekken, want minder juridische onzekerheid, minder edge cases en een uniforme flow. Dat is geen complot, dat is gewoon hoe systemen worden opgeschaald. Daar zit voor mij ook het verschil met offline. Niet omdat het moet, maar omdat het kan en daardoor aantrekkelijk wordt. Je zegt ook: de EU heeft de beste optie gemaakt en daar moeten we mee werken. Dat kan zo zijn vanuit technisch perspectief, maar dat beantwoordt nog steeds niet de vraag of je die laag überhaupt zo breed wilt introduceren. Want zelfs met perfecte zero-knowledge wordt verificatie een toegangsmechanisme, verschuift de norm van open naar conditioneel en ontstaat er afhankelijkheid van 1 type infrastructuur. Dat is een fundamentele verandering, los van hoe goed de techniek is. En daar zit voor mij de kern van de discussie. Niet in "we moeten niets doen", maar in hoe breed wil je dit maken en hoe voorkom je dat "alleen waar nodig" langzaam “bijna overal” wordt. Dus ja, werk aan betere techniek, absoluut. Maar het debat moet wat mij betreft niet stoppen bij "dit is de beste oplossing die we hebben", maar ook gaan over of we hiermee niet een veel grotere structurele verandering normaliseren dan nodig is.
Reageer
bzuidgeest
@NEK15 april 2026 17:10
Offline blijft het beperkt omdat er geen infrastructuur is om het breder te doen. Online ga je die infrastructuur juist wel bouwen.
Die infrastructuur kan je offline ook gewoon bouwen. Ook daar is er geen onderscheid tussen off en online.

Je kan wel altijd over een glijdende schaal beginnen, maar dan kan je in de praktijk helemaal niets doen. Je kan dan ook geen politie hebben, want het zou wel eens op een volks onderdrukkende fascisten bende uit kunnen draaien.... Dat betekend niet dat we de politie maar opdoeken.

Alles kan fout gaan, je kan overal wat achter zoeken. Alles wat jij schetst kan on en offline. Je blijft maar doen alsof online iets bijzonders is, dat is het niet. Het is gewoon een stuk van onze wereld als alle andere.

Sommige dingen horen conditioneel te zijn. Welke dingen dat zijn, zijn we zelf bij. De politie gaat ook wel eens de fout in, dan doen we onderzoek en beteren we de regels. Dat kan voor alles. We hebben nu zelfs succesvolle rechtszaken tegen onze eigen oveheid!. Als iets bewijst hoe veel opties je hier hebt is dat het wel.

Die fouten waar jij bang voor bent kunnen alleen ontstaan als het de mensen, het volk gewoon niets kan schelen. Dat is waar jij bang voor bent. Dat het mensen niets kan schelen en dat vind je eng. Begrijpelijk, maar dan is niet verificatie of authorisatie het probleem. Dan is het houding van de mensen om jou heen het probleem (in jou opinie)
Reageer
NEK
@bzuidgeest15 april 2026 17:18
Dat iets in theorie ook offline kan, betekent nog niet dat het in de praktijk hetzelfde is. Ja, je zou offline ook een infrastructuur kunnen bouwen waarbij je overal met tokens werkt. Alleen gebeurt dat niet, en dat is niet toevallig. Offline zitten daar namelijk natuurlijke fricties want fysieke controle, lokale context en geen uniforme standaard over alle domeinen heen. Daardoor blijft het beperkt en gefragmenteerd. Online haal je die frictie juist weg. 1 standaard, 1 implementatie, direct schaalbaar over miljoenen gebruikers en platforms. Dat maakt het fundamenteel anders in hoe snel en hoe breed iets uitgerold kan worden. Mijn punt is dus niet dat online magisch anders is, maar dat online systemen veel makkelijker centraliseren, standaardiseren en opschalen. En precies daardoor verschuift in de praktijk wat alleen waar nodig is. Je vergelijking met politie gaat ook een beetje langs het punt. Ik zeg niet het kan misgaan dus we moeten het niet doen. Ik zeg: bij systemen die iedereen raken, moet je extra kritisch zijn op hoe breed je ze maakt, juist omdat opschaling zo makkelijk is. Dat is geen glijdende schaal-argument om niets te doen, maar een proportionaliteitsvraag met waar zet je het in, hoe voorkom je dat het de default wordt en hoe houd je het echt beperkt! Je laatste punt is interessant, dat het uiteindelijk bij mensen en politiek ligt. Daar ben ik het deels mee eens. Maar juist daarom vind ik het relevant om nu kritisch te zijn op de structuur die je neerzet. Want als je een infrastructuur bouwt die overal toepasbaar is, makkelijk uitbreidbaar is en afhankelijkheid creëert! Dan wordt de drempel om hem breder te gebruiken automatisch lager, ongeacht intenties vandaag. Dus mijn punt is niet wantrouwen richting "het volk" of doemdenken. Het is simpelweg: technische mogelijkheden + schaalbaarheid = gedragsverandering in de praktijk. En dat is precies waarom ik die stap niet als triviaal zie, ook niet als de techniek zelf netjes is.
Reageer
laptopleon @NEK15 april 2026 18:33
Vergeet niet dat tot 25, 30 jaar geleden, vrijwel niemand email had en er bijvoorbeeld geen webwinkels waren. Het internet bestond nog niet zoals we het nu kennen, dus je had ook geen gehackte accounts, geen phishing, geen online kinderporno, geen social media-verslaving, je kon online geen bier bestellen als kind, er waren geen Marktplaatsoplichters, geen net-online bankmedewerkers, etc.

Dat is totaal veranderd, vooral sinds mensen opgroeien met een smartphone. Daardoor ontkom je er soms niet aan ook iets te veranderen aan 'het systeem'. Persoonlijk vind ik dat het al veel te lang geduurd heeft.

Het hoeft ook niet altijd verplicht te zijn, maar geef mensen dan opt-in de mogelijkheid om zich te identificieren als ze op iets bieden / verkopen op bijvoorbeeld Marktplaats of bij e-mail. Dat zou veel kunnen helpen tegen oplichting. In de fysieke wereld kun je tenslotte ook zien wie je tegenover je hebt.
Reageer
bzuidgeest
@NEK15 april 2026 17:21
Online zijn er ook fricties. Zie jezelf :)
Reageer
SiliconStratum @bzuidgeest15 april 2026 23:04
Je schetst het erg simpel: "de wet is de wet". Maar je gaat volledig voorbij aan het feit dat technische handhaving fundamenteel anders werkt dan sociale handhaving in de fysieke wereld.

Wanneer ik bij de slijter mijn ID toon, ziet de barman dat ik 18 ben en daarna is die interactie weg. Er is geen database die bijhoudt dat ik daar was. Een digitaal systeem daarentegen creëert een infrastructuur voor surveillance. Zelfs met 'open source' en 'zero knowledge' creëer je een centraal punt waar de toegang tot informatie beheerd wordt door de overheid.

Je vergelijking met het pak melk slaat de plank mis:
  • Privacy is geen bijzaak: Het recht om anoniem informatie te vergaren is de hoeksteen van een vrije samenleving.
  • Function creep: Wat vandaag een check is voor porno, is morgen een check voor "onwelgevallige" politieke content of sociale media.
  • Centrale macht: Je legt de volledige controle over de toegang tot het internet bij de partij die je juist zou moeten kunnen controleren: de overheid.
Het internet is juist zo krachtig omdat het die fysieke barrières doorbreekt. Door te pleiten voor een digitale ID-plicht voor content, offer je de fundamentele vrijheid van het internet op voor een schijnveiligheid die in de praktijk (via VPN's en buitenlandse sites) toch niet te handhaven is. Dat is geen "vechten tegen de wet", dat is vechten voor het behoud van een vrij en open internet zonder meekijkende overheid.

Je stelt dat we niet moeten vechten tegen de wet, maar voor het "juiste systeem". Daarmee ga je echter voorbij aan de kern van het probleem: een "veilig" systeem in handen van de overheid bestaat niet.

Je stelt veel vertrouwen in de EU en hun open-source ambities, maar geschiedenis en techniek leren ons dat de zwakke plek niet de broncode is, maar de implementatie en het beheer. Zodra je de infrastructuur bouwt om de hele bevolking digitaal te labelen en te filteren, creëer je een instrument voor machtsmisbruik waar geen enkele 'zero knowledge proof' tegen bestand is.

Het is gevaarlijk naïef om te denken dat dit stopt bij een pak melk of een 18+ site. In de fysieke wereld is anonimiteit de standaard en controle de uitzondering. Jij pleit voor een wereld waarin controle de standaard is en anonimiteit een gunst van de overheid die via een app verleend moet worden.

Dat je dit een "nuttige strijd" noemt, geeft aan dat je bereid bent de fundamentele vrijheid van het internet op te offeren voor juridische efficiëntie. Het echte gevecht is niet om een "betere app", maar om het recht om informatie te vergaren zonder dat daar een digitale poortwachter van de overheid tussen staat. Techniek moet de vrijheid dienen, niet de handhaving van de staat faciliteren.

Je zegt dat er nu geen reden is voor een digitale ID op Tweakers, maar je vergeet dat infrastructuur altijd zijn eigen gebruik creëert. Zodra de overheid de 'sleutel' van het internet in handen heeft via een centrale wallet, is de drempel om die voor álle content te gaan gebruiken gevaarlijk laag.

Kijk naar de coronatijd: we zagen hoe snel "desinformatie" een label werd om onwelgevallige meningen of tegengeluiden (zoals die van Joe Rogan) te smoren. Als je een systeem bouwt waarbij toegang tot informatie afhankelijk is van een digitale identiteit, bouw je in feite een uit-knop voor de vrije meningsuiting.

Wat vandaag een "onschuldige check voor porno" is, is over tien jaar de digitale muur die bepaalt of jij je nieuws alleen bij de NOS mag halen of ook ergens anders. Je vertrouwt erop dat de overheid altijd de 'good guy' blijft, maar een vrije samenleving overleeft alleen als de overheid simpelweg de mogelijkheid niet heeft om die controle uit te oefenen. Vrijheid is geen gunst van de wetgever die je via een app moet aanvragen; vrijheid is de afwezigheid van dat soort poortwachters.

[Reactie gewijzigd door SiliconStratum op 15 april 2026 23:12]

Reageer
bzuidgeest
@SiliconStratum16 april 2026 09:09
Je Id heeft een rfid/nfc chip. Je zou het niet eens merken als die gelogd word in de fysieke winkel.

En is joe rogan je voorbeeld? Zo een Amerikaanse gek die geld verdiend met mensen opjutten? Die kunnen we missen.

Je glijdende schaal argument kan je ook overal op toepassen, laten we maar geen politie meer hebben, want ze zouden wel een te fascistisch kunnen worden.... Laten we geen leger hebben want je zouden wel eens een coup kunnen plegen.

Je bent er als volk zelf bij waar de grens ligt, wanneer genoeg, genoeg is. Dat bepalen we met zijn allen.

Je hele tirade is een lijst van wat zou kunnen gebeuren. Maar de wet is gewoon zoals hij is. Geef mij een betere manier om die ook op het internet te handhaven en ik wil er best over praten. Maar niemand heeft die. Ze komen allemaal met niets doen en ondertussen is het internet een vuilbak vol met ellende. Spam, Bots, trolling, doxing etc etc etc. Dit gaat wellicht niet alles oplossen. Maar sites waar iedere gebruiker bekend is en aangesproken kan worden, net als ik dat in mijn huis met iedere bezoeker kan zou ik prima vinden. En een ban is dan een permanban. Ik wil plekken waar ik zonder spam en bots en kleuters en wat dan ook gewoon met gelijkgestemden kan zijn. Dat is niet te veel gevraagd. Als daar een stevige controle voor nodig is, om het gal, ziekte en ellende van het internet buiten te houden. top.

En nee. Ik denk niet dat 18+ controle ineens betekend dat je overal gevolgd gaat worden. Net als politie niet elke beweging controleert. En genoeg landen als China of noord-korea bewijzen wel wat in de offline wereld op dat gebied mogelijk is.

Het echte argument van mensen die zo tegen zijn is dat ze niet verantwoordelijk gehouden willen worden voor wat ze verspreiden en doen. Ze willen blijkbaar kunnen trollen en spammen zonder dat iemand er ergens de hand aan houd of door trolling en spamming kunnen waden. Een maatschappij kan alleen overleven als "corruptie" in de hand word gehouden. Off en online. Elke zieke geest kan nu allerlei onzin en ellende verspreiden met echte schade aan mensen tot gevolg. Iets wat we offline niet zouden accepteren. Waarom wel online? Online maakt ze alleen maar schadelijker.

En wie bepaald schadelijk? Zoals al honderden jaren gebeurd, volk, politiek, rechters. Onze maatschappij is continue in flux. Ooit waren homo's schadelijk, nu niet. Onze preutsheid gaat in golven up en down. Als mensen zich beter en socialer konden opstellen was deze controle misschien niet nodig geweest. Maar helaas op dit moment zijn mensen niet zo goed ingesteld.
Reageer
baseoa @bzuidgeest16 april 2026 10:53
Hoezo zou ik het niet merken als ik mijn identiteitsbewijs tegen een scanner moet houden?
Reageer
bzuidgeest
@baseoa16 april 2026 11:06
Omdat die over grote afstanden kunnen werken. Je hoeft er niets tegen aan te houden en je moet hem wel tonen.
Reageer
baseoa @bzuidgeest17 april 2026 12:04
Bedoel je misschien RFID zoals in kleding zit ter beveiliging? Ik ken geen NFC-lezers die data kunnen uitwisselen verder dan 20cm, misschien het dubbele in labo-omstandigheden. Waarom zou een winkelier een dure lezer onder de toonbank verbergen om ID-gegevens te stelen? Daarnaast is wat je kan zien zonder wachtwoord beperkt. Ik ben vergeten wat precies maar je kan sowieso beter de Odido-data downloaden want een adres staat er bijvoorbeeld al niet in. (Het wachtwoord is iets dat op de pas staat, maar niet via NFC uit te lezen is. En ook mét wachtwoord is het niet alsof je opeens het document kan klonen)
Reageer
SiliconStratum @bzuidgeest16 april 2026 17:55
Je noemt mijn argumenten een 'tirade', maar ondertussen negeer je de keiharde realiteit van hoe overheden functioneren. Je stelt dat wij als volk zelf bepalen waar de grens ligt, maar dat is een gevaarlijke misvatting wanneer je de overheid de instrumenten geeft om die grens technisch onmogelijk te maken.

Je vraagt om voorbeelden van waarom we de overheid niet blind moeten vertrouwen? Kijk naar de Toeslagenaffaire, waar de belastingdienst onschuldige burgers ruïneerde op basis van algoritmes. Kijk naar de Groningse gaswinning, de loze beloftes rondom het Kwartje van Kok, of het negeren van het Oekraïne-referendum. Zelfs de rechters, die volgens jou de grens bewaken, kozen jarenlang blind de kant van de overheid bij de toeslagen. Als de geschiedenis ons iets leert, is het dat de overheid niet feilbaar is en machtsmisbruik eerder regel dan uitzondering is!

Jij wilt een internet zonder 'gal, ziekte en ellende', een soort digitale gated community waar iedereen die jou niet aanstaat een 'perma-ban' krijgt. Dat klinkt erg gezellig, maar wat jij beschrijft is geen vrije samenleving, dat is een digitale dictatuur. Je vergelijking met de politie gaat mank: de politie mag niet zonder reden elke burger 24/7 schaduwen, maar dat is precies wat een digitale ID-infrastructuur technisch wel mogelijk maakt.

Je zegt dat mensen tegen zijn omdat ze niet 'verantwoordelijk gehouden willen worden'. Dat is een goedkope insinuatie. Mensen zijn tegen omdat ze hun fundamentele recht op anonimiteit en onbespioneerde informatievergaring niet willen inruilen voor een schijnveiligheid die door de eerste de beste autoritaire leider misbruikt kan worden.

Het is veelzeggend dat je zo hartstochtelijk pleit voor een digitale 'gated community' waar de overheid de toegang bepaalt. Blijkbaar vind je de echte wereld met al zijn verschillende meningen te ingewikkeld en zoek je de veiligheid van een digitaal overheids-harnas. Dat is geen pragmatisme, dat is een diepe behoefte om gedomineerd te worden door regels, omdat je de verantwoordelijkheid van echte vrijheid niet aandurft.

Als je zo verlangt naar een plek waar de overheid alles voor je filtert en waar 'afwijkende stemmen' zoals een Joe Rogan (of wie dan ook) simpelweg gewist worden, dan is er inderdaad een land waar dat systeem al perfect werkt: China. Ik kies liever voor de rommelige, soms vervelende vrijheid van een open internet dan voor de 'schone' schijn van een digitaal overheids-harnas. Vrijheid betekent ook de vrijheid om dingen te horen waar jij het niet mee eens bent.

Tenslotte: je beklaagt je eerder dat mensen zich 'verschuilen achter een -1 score' en roept op om met argumenten te komen. Nu krijg je die argumenten, en dan doe je ze af als een tirade of de uitingen van een 'zieke geest'. Dat is nogal hypocriet. Blijkbaar wil je helemaal geen discussie, je wilt gewoon een internet waar alleen jouw eigen wereldbeeld nog toegestaan is.
Reageer
Lecenten @bzuidgeest15 april 2026 16:26
Er is in Nederland geen wettelijke basis om het consumeren van porno door 18- te verbieden. Er is ook geen wettelijke basis om het aanbieden van porno aan 18- te verbieden. Er is een verbod om materiaal wat schadelijk te achten is aan te bieden aan 16-, daarvoor is het wel nodig dat je kan bewijzen dat een bepaald aanbod schadelijk is.

De EU heeft aparte censuur wetgeving voor het internet opgesteld en de verplichte leeftijdsverficatie is een onderdeel van dit censuur en controle mechanisme. Puur en alleen bedoeld om jouw privacy te ondermijnen en de EU censuur af te dwingen, met als smoesje "het beschermen van de kinderen".
Reageer
bzuidgeest
@Lecenten15 april 2026 16:31
Daar denken een hoop mensen anders over. Getuige de 18+ knop die al jaren overal is. De toegang tot bepaalde winkels. etc etc etc...

Maar laat zeggen dat jij gelijk hebt. Dan is het nog steeds goed voor online alcohol verkoop e.d.

En er is ook geen verplichting dit te implementeren. Nederland hoeft dat niet te doen. Het heeft de optie.

De meeste van de privacy wetten waar iedereen hier zo graag mee schermt komen in basis uit de EU. De EU heeft het meeste gedaan voor privacy van zo ongeveer elk ander "land" op de planeet. Doen alsof het altijd gaat om censuur of "beschermen" van kinderen is een zwaktebod. Er zijn meer dan genoeg andere redenen. Die van de kinderen is gewoon de meest simplistische dus dat bekt lekker voor een politicus.
Reageer
Lecenten @bzuidgeest15 april 2026 16:43
Het gaat er niet om hoe ik er over denk, feit is dat de EU online wetgeving veel verder gaat dan de Nederlandse wet. Deze stap die leeftijdsverificatie heet, betekent in de praktijk natuurlijk gewoon dat er een instantie is die weet wat je op het internet doet. De EU breekt hiermee nog verder je privacy af, net als ze dat al gedaan hebben met de vrijheid van meningsuiting door censuur op social media af te dwingen. Nee, veel erger dan de EU bestaat niet op dit gebied.
Reageer
bzuidgeest
@Lecenten15 april 2026 16:53
Deze stap die leeftijdsverificatie heet, betekent in de praktijk natuurlijk gewoon dat er een instantie is die weet wat je op het internet doet.
Dat is een misvatting over hoe dit soort dingen kunnen werken of zelfs nu al werken. Weet je wat zero knowlegde proof is en hoe het werkt?

En mensen die zeggen dat de EU de privacy afbreekt zijn echt van het padje af, sorry. De EU heeft meer privacy geregeld dan wie anders dan ook. Het recht om vergeten de worden, AVG, DSA. De EU heeft meer voor consumentenrecht en privacy gedaan dan wie of wat dan ook.

En vrijheid van meningsuiting? Heb je de grondwet wel eens gelezen? Dat is iets dat flinke limitaties heeft. Smaad, Laster, doxing, oplichting etc etc etc... ze zijn allemaal verboden. Het is in eerste principe bedoeld dat de oveheid jou politieke mening niet mag beperken. Om vrije verkeizingen te houden. Het heeft niets te maken met dat jij of wie dan ook maar overal zijn gal moet kunnen neergooien. Ik heb dat recht in mijn huis. Mijn werkgever heeft dat recht in zijn bedrijf. Een site mag bepalen wat ze wel en niet binnen willen hebben. Daar is niets mis mee en heel normaal.

Wat jij censuur noemt is beter omschreven als "ik wil overal op het internet kunnen zeggen en doen wat ik wil en niemand houd mij tegen"-uur. Maar op mijn website houd jij je aan mijn beleid. Op tweakers, moet je jezelf houden aan wat de moderators acceptabel vinden. Of zijn de moderators hier ook censuur volgens jou, moeten we die ook maar wegdoen?
Reageer
Lecenten @bzuidgeest15 april 2026 17:08
Zero knowledge is leuk in theorie maar je moet wel je ID gegevens verstrekken, het is zeker dat daar ooit een keer een lek komt. Dat is gewoon een kwestie van tijd.

Nee, ik vind niet dat je alles mag zeggen en dat is juist precies mijn punt. Daar zijn wetten voor, als iemand die overtreedt moeten politie en justitie in actie komen. Op het internet net zo als in de rest van de wereld.

Daar moet de EU zich niet mee bemoeien door social media bedrijven te dwingen om te censureren op het internet en je privacy te ondermijnen met deze "bescherm de kinderen" actie.
Reageer
bzuidgeest
@Lecenten15 april 2026 17:21
Zero knowledge is leuk in theorie maar je moet wel je ID gegevens verstrekken
Dan heb je niet begrepen hoe het werkt.

Je meld aan bij de overheid, die krijgt je Id, digid bijvoobeeld en dat is nu ook al zo. Van de overheid krijgt je het 18+ token. Dat bevat niet je id, niet je naam, niet je geboortedatum. Het is alleen een ondertekende claim dat je 18+ bent.

Dat token, die claim kan je op verschillende websites inzetten. In zero knowledge proof ben jij de enige die weet waar jij welk token inzet. Tokens kan je ook site specifiek maken.
Reageer
HansMij @bzuidgeest15 april 2026 22:18
Dus Jaylaniovan 12 wil graag op een site waar hij eigenlijk niet op mag. Zijn oudere halfbroer is wel oud genoeg en heeft allang ergens anders voor ingelogd, dus het token is beschikbaar op de laptop/iPad/whatever. Dan zit Jaylanio alsnog op de site.
Reageer
bzuidgeest
@HansMij16 april 2026 08:51
Jonge kinderen zouden niet met wapens moeten spelen. Pappa en mamma zijn slordig en laten de wapenkluis openstaan. Dus moeten we kinderen maar met wapens laten spelen. Want het gebeurt toch wel eens.

Is dat nou echt je argument? Is dat je logica? Geen wonder dat de anti controle mensen de strijd hopeloos verliezen.

En het ene token voor de ene site is de andere niet. Je kan tokens prima site uniek maken.

Stop toch eens met zulke eenvoudige gaten zoeken die technisch al lang zijn opgelost.
Reageer
HansMij @bzuidgeest16 april 2026 19:00
Het gaat mij meer om het triviale. Op een gedeeld device beschermd het nergens tegen, want daar staat een 18+-token op. Als iemand ergens graag op wil, vinden ze toch wel een 18+-Token (van een broer/neef/iemand van school). En er komt bij al die kinderen wel een moment dat ze daar gemotiveerd genoeg voor zijn en dat token kunnen ze dan ook voor andere diensten gebruiken. Mijn conclusie is dat het alleen beschermd als je iedere keer met je paspoort/DigiD moet inloggen, dat zie ik persoonlijk niet zitten.

Daarnaast creëer je ijzersterke metadata om gebruikers alsnog mee te identificeren en te tracken (vooral voor grote platforms). Het feit of iemand 16+/18+ is of dat dit juist onbekend is, is goud waard.

En als laatste: stel die service ligt er een keer uit, want gewild target. Dan ligt het halve internet er voor Europa uit (single point of failure).

En dan heb ik het nog niet eens gehad over function creep. Overheden tonen keer op keer aan daar gevoelig voor te zijn.
Reageer
vanstra @bzuidgeest15 april 2026 17:28
De EU heeft het meeste gedaan voor privacy van zo ongeveer elk ander "land" op de planeet.
Niet mee eens. Chat control 2.0 staat nog steeds op de agenda.
Reageer
bzuidgeest
@vanstra16 april 2026 08:46
Er staat zoveel op de agenda. De russen aanvallen heeft vast ook wel eens op de agenda gestaan.

Chat control 1.0 hebben we van de baan gekregen. Nu moeten we datzelfde werk in 2.0 steken. De "vijand" rust niet, dus dat kunnen jij en ik en de rest die het niets vinden dus ook niet doen.

In de EU heb je juist als burger mogelijkheden. Dat hebben mensen als max schrems wel bewezen.

En het feit dat je 1 ding kan noemen dat je niet bevalt maakt mijn statement niet onjuist. Of ben je een van de mensen die de baby altijd met het badwater weggooit. Niets is perfect, ook de EU niet. Dat wil niet zeggen dat de EU je niet de meeste burgerrechten geeft van alle plekken op de planeet.
Reageer
baseoa @bzuidgeest16 april 2026 11:07
Daar denken een hoop mensen anders over. Getuige de 18+ knop die al jaren overal is.
Getuige alle cookiewalls moeten cookies wel illegaal zijn zonder toestemming (onwaar). Het ontstaat zo:

1. Ergens op de wereld is het 18+ en dus wordt er zo'n knopje toegevoegd uit gemak. Er staat niet in de http headers "overigens ik ben nederlander", je moet een hele database aan IP-adressen ergens vandaan halen die vervolgens voor duizenden zoniet miljoenen mensen het foute land aangeeft. In plaats van problemen opzoeken maak je de site compliant met de strengste wet

2. Anderen nemen dat over, wellicht vanwege dezelfde reden (als ze zelf de wetten bestudeerd hebben), wellicht vanwege simpel kopieergedrag (met name kleinere partijen)

3. De volgende persoon denkt "moet wel wat in zitten toch? Je ziet ze overal!" en kopieert het ook weer

Zelfs bij serieuze websites zoals overheden zie je soms cookiewalls die vragen of je noodzakelijke cookies wil accepteren, wat juridisch zichzelf tegenspreekt omdat de noodzaak voor het uitvoeren van de klantvraag op zichzelf de juridische grondslag is en de toestemmingsgrond dus irrelevant en enkel irritant. Mensen denken echt niet altijd na over wetgeving voordat ze iets (evtl. voorzichtshalve) implementeren
Reageer
vanstra @bzuidgeest15 april 2026 17:21
Een argument is dat een leeftijdsverificatie bij een slijter digitaal niet in een database wordt geregistreerd en opgeslagen. Met de kans dat het achteraf geraadpleegd kan worden. Met deze online leeftijdsverificaties krijg je dat wel.
Reageer
bzuidgeest
@vanstra16 april 2026 08:46
Met de kans dat het achteraf geraadpleegd kan worden. Met deze online leeftijdsverificaties krijg je dat wel.
Ze kan de applicatie bestuderen of dat zo is. Heb je dat al gedaan?

En waarom denk je dat het bij de slijter niet geregistreerd zou kunnen worden? Alle passen hebben rfid/nfc tegenwoordig. je zou het niet eens hoeven te zien.

[Reactie gewijzigd door bzuidgeest op 16 april 2026 08:48]

Reageer
vanstra @bzuidgeest16 april 2026 13:53
"Ze kan de applicatie bestuderen of dat zo is. Heb je dat al gedaan?"

Dat is al uitvoerig gedaan en getest door een security researcher. Ik heb zijn bevindingen gelezen. Zitten ook enige security hiaten in.
Reageer
BeosBeing @bzuidgeest17 april 2026 13:14
Er is ook niet ineens wettelijke basis om dus overal je leeftijd maar te moeten verifiëren.
Het gevaar is dat het wel overal gaat gebeuren. Staat de leeftijd opgeslagen in de browser, dan wordt dat steevast door vrijwel alle sites uitgelezen, en het zijn dan enkel de sites waarvoor het waterdicht moet zijn (de genoemde prono, alcohol-shops, ...) die dan steeds via 2FA oid gaan checken.
Waarom zou dat op tweakers moeten bijvoorbeeld? Hebben die een ondergrens die ze moeten bewaken? Geen tweakers onder de twaalf?
Je kunt er onder artikelen reageren, er is een forum, het is dus social media en daarvoor geldt in sommige landen al, en binnenkort ook hier een leeftijdsgrens.
Reageer
bzuidgeest
@Joystick15 april 2026 16:54
Wouw, wat zijn de mensen weer zielig met de -1. Geeft dan een 0 mensen. Maar dit is geen flamebait of trollen wat joystick zegt.
Reageer
baseoa @bzuidgeest16 april 2026 11:12
Reacties zonder enige toegevoegde waarde, bijvoorbeeld een kreet van een paar woorden waar niemand op zit te wachten, kunnen tevens een -1 waard zijn afhankelijk van de context
https://tweakers.net/info/faq/karma/#tab:1-2
Reageer
Pyronick @NEK15 april 2026 16:32
Ik deel je zorgen over privacy en het gevaar dat zo'n systeem (dan denk ik aan Yivi/IRMA) later voor andere doeleinden wordt ingezet volledig. Toch denk ik dat deze stap waarschijnlijk onvermijdelijk is en een noodzakelijk kwaad _juist_ om erger te voorkomen, zoals we recent nog zagen in het VK met Discord.

Als de EU niet zelf een infrastructuur bouwt, grijpt Big Tech de macht over onze digitale identiteit (voor zover dat niet al is gebeurd met allerlei honeypots met paspoort(foto)kopieën, digital fingerprinting en multi-angle gezichtsscans) en blijven commerciële partijen de poortwachters van het internet. Bovendien haalt een eigen, decentraal, publiek systeem de wind uit de zeilen van nog veel extremere surveillanceplannen, zoals Chat Control. We moeten de sleutels simpelweg in eigen beheer houden om onze onafhankelijkheid te beschermen.

Ik ben principieel tegen, maar realistisch en pragmatisch gezien vóór, mits onder heel strenge voorwaarden: het moet decentraal (lokaal) draaien en de infrastructuur mag in beheer zijn van maximaal één overheidsinstantie die wettelijk bevoegd is voor de identificatie van natuurlijke personen. Het moet volledig AVG-proof zijn (dus geen cirkelredenering met 'tenzij de wet anders bepaalt', waardoor nieuwe wetten (bijv. Chat Control 2.0 of Chat Control 3.0) de boel direct kunnen omzeilen).

Daarnaast mag het systeem uitsluitend bepaalde attributen prijsgeven binnen een vooraf bekendgemaakte context (m.a.w. je mag niet zo maar iemand om een attribuut of combinatie van attributen vragen) en onder toezicht van een andere, onafhankelijke instantie. Tot slot mogen deze attributen nooit gecombineerd worden wanneer dit herleid kan worden naar een bepaald persoon, etniciteit, politieke overtuiging, gender, enzovoort.

Want als nu dit niet goed geregeld wordt, zullen mensen alsnog verleid worden (blijven) om voor wat voor reden dan ook gewillig afstand te doen van hun persoonlijke identifiers, zoals dat nu al continue op grote schaal gebeurt.

[Reactie gewijzigd door Pyronick op 15 april 2026 16:34]

Reageer
NEK
@Pyronick15 april 2026 16:38
Ik snap volkomen je redenering en ben het ook deels met je eens maar vooral dat de huidige situatie met Big Tech en allerlei halfbakken verificatiemethoden (ID-uploads, selfies, etc.) verre van ideaal is. Alleen zit voor mij de crux ergens anders. Je stelt eigenlijk: dit is onvermijdelijk, dus laten we het zo goed mogelijk doen en in publieke handen houden. Dat klinkt logisch, maar daarmee accepteer je wel impliciet dat een brede verificatie-infrastructuur de nieuwe standaard wordt. En precies daar zit mijn twijfel........

Want zelfs als je het perfect doet, namelijk via decentraal, zero-knowledge, strikt wettelijk begrensd en onder toezicht dan dan nog verandert het fundamenteel hoe het internet werkt, namelijk van open naar conditioneel: geen verificatie = geen toegang. Dat is een grotere stap dan alleen Big Tech vs overheid. Daarnaast is in publieke handen niet automatisch een garantie. Wetgeving kan veranderen, bevoegdheden kunnen uitbreiden en systemen die er eenmaal zijn, worden zelden weer afgebouwd. Dat is geen doemdenken, maar gewoon hoe dit soort infrastructuur historisch groeit. Je noemt zelf al Chat Control. Mijn zorg is juist dat je met deze infrastructuur de technische basis daarvoor al klaarzet, ook al is dat nu niet de intentie. Geen leeftijd geverifieerd, geen toegang tot whatsapp, instagram etc etc. Waar ik je wel volledig in volg, is dat als dit soort systemen er komen, ze aan extreem strenge eisen moeten voldoen namelijk met minimale datadeling (echt alleen attribuut), geen hergebruik of tracking, geen centrale logging en vooral transparante, controleerbare implementatie. Maar dat is utopie. Maar voor mij blijft de vraag voorafgaan aan de implementatie: niet hoe bouwen we dit goed?, maar willen we überhaupt een internet waarin verificatie de standaard wordt? Want als je die stap eenmaal zet, is de weg terug er praktisch niet meer.......
Reageer
TRS-3 @NEK15 april 2026 17:30
Je zou het dan ook om moeten draaien. Big Tech wettelijk verplichten om af te zien van de upload van ID's maar daarvoor in de plaats public verifieerbare algoritmes te gebruiken die zorgen voor een minimum aan lokale opslag en grote zeggenschap over welke attributen worden gedeeld.

Om de porno maar als voorbeeld te gebruiken: die sites worden verplicht om minderjarigen uit te sluiten, en hebben als we niks doen geen andere manier dan kopietjes van je ID aan een account hangen. Dan is een 18+ token een relatief klein offer in mijn ogen.

Dat een site als LinkedIn je al kan verplichten om ID's te uploaden als ze niet meer geloven dat jij jij bent, vind ik veel zorgwekkender. Naast dat die gegevens niet thuishoren op een Amerikaanse server, hebben ze in het verleden ook nog laten zien die gegevens niet goed te beschermen - en dat is nog afgezien van verkoop aan derden of doorbrieven aan instanties.
Reageer
R4gnax
@TRS-315 april 2026 19:28
Dat een site als LinkedIn je al kan verplichten om ID's te uploaden als ze niet meer geloven dat jij jij bent, vind ik veel zorgwekkender. Naast dat die gegevens niet thuishoren op een Amerikaanse server, hebben ze in het verleden ook nog laten zien die gegevens niet goed te beschermen - en dat is nog afgezien van verkoop aan derden of doorbrieven aan instanties.
Je zou https://thelocalstack.eu/...ity-verification-privacy/ eens moeten lezen.
Dat neemt je mee op een (niet zo) amusant rondje langs de voorwaarden van Persona, de dienst die LinkedIn voor verificatie gebruikt, en somt op waar je gegevens allemaal heen gaan.

[Reactie gewijzigd door R4gnax op 15 april 2026 19:29]

Reageer
Pyronick @R4gnax15 april 2026 21:43
Wow, bedankt voor de link.

Dit illustreert m.i. perfect die valstrik en de enshittification van onze digitale identiteit waar ik nogal vurig (en langdradig) betoog had geschreven. Want deze bizarre datagraai tussen LinkedIn en Persona bewijst dus dat mijn zorgen geen doemdenken zijn, maar dat die dystopische fever dream er gewoon al is. En precies daarom vind ik het rete belangrijk dat we de basis van dit soort 'I reveal my attributes' systeem koste wat kost operationeel krijgen voordat de grijze massa massaal dit soort praktijk normaal gaat vinden, en dit definitief het voldongen "nieuwe normaal" wordt.

Maar hoe... Een soort "DigiD wordt EUDI" zoals "iDEAL wordt Wero"?
Reageer
Pyronick @NEK15 april 2026 21:30
De transitie van een 'open' naar een 'conditioneel' internet is inderdaad een pijnlijke verschuiving die m.i. al een tijdje gaande is. Vanuit ons technische (en misschien wat nostalgische) perspectief kijken we als tweakers met weemoed naar het oude, vrije internet (d.w.z. 'het World Wide Web' en alle obscure protocollen die er nog zijn). Maar als we uitzoomen, denk ik dat de strijd om dat volledig "open web" door de geopolitieke realiteit al lang is ingehaald.

Voor mijn gevoel stevenen we razendsnel af op een multipolaire wereld met gefragmenteerde 'internetten', wat ik steeds meer zie als een soort geopolitieke VWAN's. Hier in het 'Globale Westen' zitten we nu vast in een voornamelijk Amerikaans gedomineerd web, waar onafhankelijke W3C- en WHATWG-standaarden steeds vaker wijken voor de grillen en de infrastructuur van Big Tech. Sterker nog, ik durf zelfs te zeggen dat dit voor de meeste mensen allang de realiteit is, want zij gebruiken de fuiken van Facebook, TikTok en Instagram (of zelfs Discord, Roblox, Fortnite, etc) feitelijk als hún "internet" en zien nooit meer het oude, vrije World Wide Web. In China is dit al decennia met o.a. WeChat een voldongen feit. Tegelijkertijd zie ik dat het 'Brussels Effect' zijn grenzen bereikt. En zelfs op het oldskool World Wide Web: Steeds meer niet-Europese platforms (voornamelijk uit de VS, maar ook uit India en China) serveren ons simpelweg een 'Sorry, we don't serve you because of GDPR' captive portal. M.i. worden de digitale grenzen dus al volop opgetrokken en is die fragmentatie simpelweg een voldongen feit.

En daarmee maak ik dan ook gelijk het bruggetje naar deze EU-infrastructuur. Juist in een realiteit waar toegang steeds conditioneler wordt, vind ik de vraag wie de poortwachter van jouw (digitale) identiteit is een kwestie van pure soevereiniteit. Dat geldt niet alleen op staatsniveau (want nationale veiligheid wordt steeds relevanter), maar (als we dan toch subsidiair terugschalen) helemaal tot aan de natuurlijke persoon als eindgebruiker (privacy). Vandaar ook mijn focus op lokaal, federatief en decentraal. Als de EU deze robuuste, publieke infrastructuur niet zelf bouwt, wórdt (en niet ís) leeftijdsverificatie onvermijdelijk de zoveelste B2B-valstrik van commerciële partijen, waarvan ik nu al vrees dat dit normaal gevonden wordt. Dan wordt onze identiteit het volgende slachtoffer van enshittification, als het al niet te laat is.

Dus digitale soevereiniteit (ja, het is een buzzword, maar het is echt) is mijns inziens in deze gefragmenteerde wereld een absolute voorwaarde voor onze bredere veiligheid (dus van nationale veiligheid tot de privacy van de enkele persoon). Door dit systeem als een publieke digitale commons in de markt te zetten, commoditiseer je feitelijk die identiteitslaag (of attributenlaag, want jezelf online identificeren blijft, of liever, wordt m.i. uit den boze) en sloop je het commerciële verdienmodel eruit. Ja, ik besef heel goed dat dit een enorme uitdaging is waarbij hele pijnlijke compromissen gesloten zullen worden en trauma's uit het coronatijdperk weer naar boven komen. Je hebt ook absoluut gelijk dat de weg terug praktisch is afgesloten.

En we kunnen het utopische, pionierende internet van twintig jaar geleden misschien niet terughalen, behalve misschien voor tweakers en geeks, maar we kunnen wél een decentraal en federatief attributensysteem volgens de W3C-standaarden bouwen dat onze kernwaarden rondom privacy by default in de code verankert. Want als we die basis niet zelf leggen, wie beschermt dan onze data op het moment dat een commerciële partij of buitenlandse grootmacht de toegangspoortjes tot dat 'conditionele internet' beheert? Wat doen we dan? Geven we de sleutels van onze identiteit liever aan een tech bro, of proberen we in ieder geval die liever in eigen beheer te houden?

Als er één ding is die ik met zekerheid kan zeggen is dat ik het maar enge tijden vind waar we in leven...
Reageer
cnieuweboer @NEK15 april 2026 16:16
Om leeftijd betrouwbaar te kunnen verifiëren, moet je namelijk eerst kunnen vaststellen wie iemand is, of op z’n minst een verifieerbaar attribuut (zoals leeftijd) kunnen koppelen aan een unieke gebruiker. Dat vereist infrastructuur die verder gaat dan alleen "ben je 18+". Denk hierbij aan zaken zoals tokens, wallets of identity providers die herbruikbaar zijn over meerdere platforms. En precies daar zit de kern.
Waarom zit daar de kern? Als je kan bewijzen "ik ben 18+" zonder verdere informatie vrij te geven. Dan kan die website dat opslaan in mijn gebruikersaccount of in een cookie. Maar nu moet je ook al op een knop klikken die zegt dat je 18+ bent. En daarmee wordt die zelfde informatie op een zelfde manier aan een "unieke" gebruiker gekoppeld. Hoe is dat precies anders?
Reageer
NEK
@cnieuweboer15 april 2026 16:34
hele goede vraag en op het eerste gezicht lijkt het hetzelfde, maar er zit een fundamenteel verschil. Bij een simpele knop ik ben 18+ gebeurt er eigenlijk niets buiten die ene website. Er is geen externe partij, geen echt bewijs en geen gedeelde standaard. Het is puur een self-assertion en elke site doet het op zijn eigen manier. Er ontstaat geen infrastructuur en geen koppeling tussen verschillende websites. Bij echte leeftijdsverificatie, zelfs als het alleen 18+ ja/nee is, verandert dat. Dan komt er een systeem bij dat het bewijs levert. Dat kan een identity provider, wallet of tokenmechanisme zijn. Daarmee introduceer je een gestandaardiseerde manier van verifiëren die door meerdere platforms gebruikt kan worden. Het verschil zit dus niet alleen in wat je deelt, maar in wat je opbouwt. Je gaat van we geloven je naar je moet het aantonen via een systeem. Dat systeem is herbruikbaar, schaalbaar en kan door meerdere websites worden gebruikt. Daardoor ontstaat een gedeelde laag die er eerst niet was. Daarnaast wordt het afdwingbaar. Bij een knop kun je liegen en is het juridisch zwak. Bij echte verificatie wordt het een harde voorwaarde: geen bewijs betekent geen toegang. Dus ja, beide koppelen iets aan een gebruiker. Maar een knop is een losse, lokale oplossing per website, terwijl een verificatiesysteem infrastructuur is die over meerdere platforms heen werkt. En precies dat maakt het een fundamenteel andere stap.
Reageer
cnieuweboer @NEK15 april 2026 16:50
Als je alleen een 18+ bewijs geeft. Waarom is er dan een koppeling tussen websites? Op basis waarvan werkt die koppeling?
Reageer
Jedotw @cnieuweboer16 april 2026 09:48
Hoe komt de app aan jouw geboortedatum om dit bewijs te leveren? Daar zit het "probleem". Als je nu naar de wallets kijkt zul je moeten inloggen met een betrouwbaar middel (vooralsnog DigiD, heel beperkt eIDAS-middelen) om vervolgens de gewenste informatie uit een officieel register te halen (BRP).

Volgens de wet moet de app bijhouden wanneer je bepaalde informatie aan wie hebt aangeleverd én wanneer je bepaalde bronnen bevraagd hebt. Dit wordt lokaal opgeslagen en ben je kwijt bij verlies (in welke vorm dan ook) van je device. Dat zou juridische gevolgen kunnen hebben, waarbij jouw bewijslast opeens verdwenen is.
Reageer
cnieuweboer @Jedotw16 april 2026 10:11
Dat is geen antwoord mij mijn vraag. Dat is geen uitleg hoe dat een koppeling tussen websites faciliteert.
Reageer
laptopleon @NEK15 april 2026 18:42
Maar een knop is een losse, lokale oplossing per website,
Laten we realistisch zijn. Dit is geen oplossing, want niemand laat zich hierdoor tegenhouden.
terwijl een verificatiesysteem infrastructuur is die over meerdere platforms heen werkt. En precies dat maakt het een fundamenteel andere stap.
Die sites weten dat niet van elkaar, dus het is in die zin geen gedeelde laag. Sites / bedrijven mogen niet zomaar dat soort informatie met elkaar delen.
Reageer
TRS-3 @NEK15 april 2026 16:11
Voor mijn idee: als je een website laat verifiëren of je 18+ bent, zoals bijvoorbeeld de tokens van Yivi (voorheen IRMA) dat doen, hoe deel je dan technisch naar jouw idee meer informatie dan dat alleen? Dus alleen een "Ja" of "Nee"?
Reageer
NEK
@TRS-315 april 2026 16:30
Goede vraag. Als het echt puur bij een ja/nee-bewijs blijft, zoals bij Yivi, dan deel je in principe niet meer dan dat attribuut. Dat is ook precies de kracht van zulke systemen. maar het punt zit niet alleen in wat je inhoudelijk deelt in die ene verificatie, maar in wat er omheen gebeurt. En dat is zorgwekkend. Een website ziet nog steeds dat er een verificatie plaatsvindt, wanneer dat gebeurt en vanaf welk IP of device. Dat is metadata die vaak prima te koppelen is aan een account of gebruiker. Als meerdere platforms hetzelfde systeem gebruiken ontstaat er bovendien een gedeelde infrastructuur. Zelfs zonder expliciete identiteit kan dat op termijn koppelbaar worden, zeker als implementaties niet perfect zijn. En in de praktijk zijn ze dat zelden. Dus ja, in theorie blijft het bij alleen 18+ ja/nee. Maar mijn zorg zit vooral in twee andere dingen. Ten eerste opschaling; als dit de standaard wordt en je zonder verificatie geen toegang meer krijgt, verandert het internet van een open systeem naar een conditioneel systeem. Ten tweede function creep; als die infrastructuur er eenmaal ligt, is het technisch eenvoudig om er meer attributen aan toe te voegen, van leeftijd naar identiteit en uiteindelijk naar gedrag of toegang. De discussie zit voor mij dus minder in wat je in 1 transactie deelt, en meer in de vraag of je een internet wilt waarin verificatie de norm wordt om überhaupt mee te kunnen doen.
Reageer
TRS-3 @NEK15 april 2026 17:23
Ik begrijp je zorg. Het internet is dankzij de advertentie-business al behoorlijk "stuk" wat mij betreft, en ik snap dat je ook met dit soort technieken "function creep" ziet aankomen. Ook ik heb te vaak gezien dat de gelegenheid de datazuiger maakt - sommige mensen vinden dat als je iets kunt controleren je dat ook moet doen. Uiteraard in de naam van terreur of misbruik.

De enige "maar" is dat je daar het gereedschap niet de schuld van kunt geven. Het vraagt politieke moed om weerstand te bieden aan de controledrift die de afgelopen pak 'm beet 20 jaar zo in zwang is geraakt, en die ons ondermeer de Toeslagenaffaire heeft gebracht.
Reageer
trayracing 15 april 2026 14:48
Even een oprechte vraag:

Ik zie meerdere artikelen rond dit onderwerp, met verwijzingen naar pornosites en schadelijkheid (voor minderjarigen). Maar in de artikelen die ik even heb doorgebladerd, ontbreekt het aan enige onderbouwing daarvan. (let op: ik heb het niet over de schadelijkheid van andere zaken, zoals snapchat, maar uitdrukkelijk pornosites)

Vooropgesteld: ik begrijp ook wel dat minderjarigen, zeker onder de 13 bijvoorbeeld, het materiaal van pornosites niet goed kunnen bevatten, begrijpen, of in context kunnen plaatsen. Je wilt hen ook niet op ideeën brengen waar ze zichzelf (of anderen) schade mee berokkenen.

Maar tegelijkertijd vraag ik mij af: reëel gezien, hoe groot is dit geschetste probleem werkelijk? Lees: het hele hand-waving "think of the children!"? Ik word van dat argument altijd erg achterdochtig.

Zijn er ouders hier die ervaring hebben wat de effecten ervan (kunnen) zijn, dat die jonge doelgroep ongebreideld het internet op kan, allerlei xxx-sites bezoekt, en dat het gruwelijk mis is gegaan - en waardoor het dus super evident is dat deze vorm van leeftijdscontrole een hele goede (deel)oplossing is?
Reageer
david-v @trayracing15 april 2026 16:32
Mijn mening als ouder (4 kinderen in de leeftijden van 10 tot 20)

Ik heb liever dat mijn kinderen toegang hebben tot (soft)porno dan tot horror of zeer gewelddadige content. Ik denk dat ik mijn kinderen een gezonde opvoeding heb gegeven wat sexualiteit betreft en dat ik ze van jongs afaan het respect voor de ander in een relatie wel heb meegegeven. Ik zou minder moeite hebben met een kind van mij die naar (soft)porno kijkt dan kijken naar manosphere influencers bijvoorbeeld.

Echter, er zijn bepaalde vormen van porno waarbij dat beeld van manosphere wel degelijk wordt uitgedragen. Vrouw is een object waar je alles mee kan doen en onderdanig is. Ik zie dat zelf, en dat is mijn persoonlijke mening, niet als een gezonde vorm van sexualiteit. Maar zoals ik al eerder heb gezegd, ik hoop dat mijn opvoeding in deze voldoende is.

Het probleem zit hem meer in de ouders die het totaal niet boeit, ofwel opvoeding is beperkt en wat de kinderen voor de rest doen zal ze en zorg zijn. Of, erger, als de ouders het slechte voorbeeld geven.

Als maatschappij moet je dan een gewogen keuze maken. Wat vinden we goed voor een kind en wat niet. Dat gaat van alcohol, stemmen, educatie, recht op privacy tot aan voeding, sex en onderlinge omgangsvormen. Soms gaat dat goed en hoef je als maatschappij niet veel te doen, maar soms gaat dat niet goed.

Dat er nu vooral op porno wordt gehamerd komt denk ik omdat dat het meest sprekende voorbeeld is. Maar leeftijdverificatie voor online diensten en platformen vind ik veel belangrijker, en daar valt porno ook wel onder. Social media is wat dat betreft een onderwerp die al in veel landen wordt besproken en waar leeftijd verificatie wel erg gewenst is. Maar denk ook aan online bestellen van alcohol, sigaretten, drugs, of gokken enz.

Voor mijn kinderen heb ik het zelf moeten regelen, je hebt technische kennis nodig, en dat is toch echt een nadeel.

Mijn kinderen hebben behalve WA (ik doe mijn best om ze daar vanaf te krijgen, wat lastig is met die vervelende sport app groepen) en Signal, geen enkele social media App. Een van mijn oudere kinderen heeft niet eens een Android telefoon maar graphene OS en van Windows wil hij helemaal niks weten, Linux mint. Elke App die hij installeer wordt minutieus onderworpen aan een tracker scan. Dat levert nogal wat gedoe op kan ik je vertellen, zelfs op school waar bijvoorbeeld Microsoft Authenticator verplicht is, wat hij pertinent weigert om te gebruiken. Die is wat privacy betreft extremer geworden dan wat ik ben, blijkbaar heeft mijn opvoeding dus wel een beetje geholpen :D.

Met de jongere kinderen zie je vooral dat andere kinderen veel meer mogen, en dat is vervelend voor ze denk ik, maar ze zijn niet anders gewend. Bovendien hebben ze ook een sociale opvoeding gehad dus er wordt vooral veel fysiek afgesproken en missen ze weinig tot niks aan social media.

Zoals je hierboven kan zien kan je als ouder best veel voor elkaar krijgen met opvoeding, maar technisch beperken was echt wel noodzakelijk, ik kan simpelweg niet opboksen met opvoeding tegen de verslavende werking van middelen of diensten zoals social media.

Ik vind het vooral voor social media wel een ideale oplossing. Als ik zie hoe andere kinderen in de familie vanaf hun 10de uren lang op tiktok, Instagram of youtube zitten te scrollen dan maak ik me echt serieus zorgen. De ouders vinden het maar prima, want dan hoeven ze de kinderen niet bezig te houden. Ik vind dat echt te triest voor woorden, maar je mag er ook niks over zeggen, want dan voelen de ouders zich aangevallen en moet je je er niet mee bemoeien.

Lang verhaal, maar hopelijk geeft dat een beetje inzicht in hoe ik er over nadenk als ouder. Ja, het heeft ook implicaties voor mij tijdens mijn online gebruik, maar dat neem ik voor lief.
Reageer
BeosBeing @david-v17 april 2026 13:35
Met de jongere kinderen zie je vooral dat andere kinderen veel meer mogen, en dat is vervelend voor ze denk ik, maar ze zijn niet anders gewend.
Als ze snappen waarvoor het is, dan is dat geen probleem, anders als "niet anders gewend zijn".
Ik ken een gezin dat hun kinderen heel streng opvoedde (Jeh.getuigen) maar toen de oudste zoon op kamp naar Italië ging ontdekte hij de whisky en hij had dus geen limiet geleerd.

Onze kinderen mogen ook meer als die van een ander gezin dat we kennen, maar het is ook en stukje leren omgaan met. Zelf leren waar de grenzen liggen. Dat laatste kan uiteraard niet bij elk kind. Dat is ook de voornaamste reden waarom harde wettelijke grenzen hun beperkingen hebben en vaak, ofwel niet effectief werken ofwel averechts werken.
Reageer
Pyronick @trayracing15 april 2026 22:10
Ik deel je achterdocht rondom dat hele 'think of the children!' gebeuren volledig.

Anekdotische disclaimer: Zelf ben ik als millennial probleemloos opgegroeid op het ongefilterde Web 1.0 vol WareZ, rotten.com, cryptome.org, LiveJasmin pop-ups en gratis porno overal waar je keek. Voor mijn gevoel heeft dat me destijds absoluut niet getraumatiseerd, maar juist emotioneel weerbaarder gemaakt door mijn ogen te openen voor de rauwe realiteit van het leven en de wereld om ons heen. Ik geloof er dus niet in dat deze wetgeving écht om "the children" draait. M.i. is het pure emotionale chantage om een politiek hellend vlak (lees: voor politieke doeleinden) te creëren.

Maar nu de crux! De paradox is echter dat ik deze infrastructuur inmiddels wél zie als een noodzakelijk kwaad. De kille logica van de markt is namelijk simpel: als de EU dit niet bouwt, wordt het vóór ons gedaan. Kijk naar Discord of LinkedIn, waar (in sommige landen) je inmiddels verplicht je paspoort of live biometrie moet delen via commerciële databrokers zoals Persona (met dank aan de comment van R4gnax). M.a.w. als de EU niet ingrijpt met een publieke, decentrale attributenlaag (waarbij je écht alleen een lokaal '18+' vinkje deelt zonder te vertellen wie je bent), wordt die dystopische privatisering van onze identiteit onvermijdelijk de nieuwe norm. Uiteraard blijf je in de praktijk het risico houden dat platforms alsnog een honeypot creëren door onder de motorkap allerlei andere identifiers, zoals metadata of digital fingerprints, stiekem aan elkaar te knopen. Ik vrees alleen dat dit specifieke correlatie-probleem nooit technisch op te lossen zal zijn en hooguit de risico's enigszins kunnen beperken.

Laten we dit aan de markt over, dan maken we van onze identiteit m.i. het volgende slachtoffer van enshittification. Dus zoals ik het zie slikken we deze bittere pil dus niet om kinderen van porno te redden, maar vooral als pragmatisch redmiddel.
Reageer
Niema @trayracing15 april 2026 15:25
Ik meen me vaag te herinneren dat onderzoekers zeiden dit verschil slecht te onderzoeken, omdat ze niet aan een steekproef konden komen van mensen die geen porno keken. Iig lijkt mij nog te onduidelijk waar deze verificatie uiteindelijk op wordt toegepast. Het lijkt meer speculatie te zijn dat het porno zou kunnen zijn
Reageer
arjans 15 april 2026 15:29
Wat ik toch een beetje mis in dit artikel in deze tijd van beweging richting digitale soevereiniteit: deze app vereist een bij Google of Apple geregistreerde smartphone, die daarmee ook gelijk poortwachter worden voor "onze" leeftijdsverificatie. Het zou de EU sieren als ze bij de ontwikkeling van zo'n app de afhankelijkheid van Amerika zouden beperken. Als je nu uit privacy-overwegingen bijvoorbeeld GrapheneOS draait, of een EU-smartphone van bijvoorbeeld Murena of Jolla hebt, kun je hier geen gebruik van maken.
Reageer
nicolaasjan @arjans15 april 2026 18:45
Volledig mee eens.

Maar niet alleen dat, deze app is alleen gericht op de smartphone, niet op een desktop omgeving...

https://github.com/eu-digital-identity-wallet/av-doc-technical-specification/issues/22

https://github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework/issues/577
Reageer
Pendora 15 april 2026 14:33
Zolang de te bezoeken pagina alleen maar te horen krijgt of de persoon minimaal de juiste leeftijd heeft is het opzich nog prima. Tevens hoop ik wel op overheids apps en niet een commerciële waar je je ID voor moet scannen.
Reageer
ShadLink @Pendora15 april 2026 15:15
Alleen het nadeel is dat de app (en dus de overheid) DIRECT weet welke site een verzoek doet, gezien je op de site met een qr code moet bevestigen.

Deze app is volledig verbonden met het internet en elke request wordt gelogged.

[Reactie gewijzigd door ShadLink op 15 april 2026 15:15]

Reageer
GertMenkel
@ShadLink15 april 2026 15:57
Nee. De overheid weet dat je bent ingelogd via DigiD (wisten ze al) en dat je 30 tokens hebt opgehaald. Die tokens zeggen iets in de trant van "is 16+: ja; is 18+: ja", met een soort handtekening van de overheid.

De website toont een QR-code die de app gebruikt om een van die tokens naartoe te sturen. De website kan dat token valideren door de handtekening van de overheid te checken, maar weet niet wie jij bent of aan welk DigiD-account je gekoppeld bent. De overheid weet niet aan wie jij zo'n token geeft, want je geeft het token direct aan de site.

De architectuur staat hier uitgelegd: https://github.com/eu-digital-identity-wallet/av-doc-technical-specification/blob/main/docs/architecture-and-technical-specifications.md

Middels zero-knowledge proofs kan de legitimiteit van een token worden geverifieerd zelfs als de overheid samenwerkt met websites (en websites alle tokens + gebruikersgegevens stiekem terugsturen aan de overheid). Nu is een overheid die samenwerkt met websites waarschijnlijk sowieso wel in staat je te volgen, tokens of niet, maar protocoltechnisch kan daar wel wat aan worden gedaan.

Voor zover ik kan zien zijn ZKP's een late toevoeging aan het protocol omdat er nog geen standaard voor was ontwikkeld tijdens het bescrhijven van de specificatie, dus ik durf niet met zekerheid te zeggen dat het protocol 100% beschermt tegen de situatie dat websites samenwerken met de overheid om je te tracken.
Reageer
ShadLink @GertMenkel15 april 2026 15:59
De website slaat op welke tokens er gebruikt zijn. De app weet welke tokens er uitgegeven zijn.
Een eerste jaars ICT student kan absoluut!! twee tabellen aan elkaar koppelen
Reageer
david-v @ShadLink15 april 2026 17:48
Dus de overheid gaat de logs bij pornhub bekijken en andersom pornhub gaat bij de logs van de overheid kijken. Check.

Je gaat er dan ook van uit dat de een terug te traceren is naar de andere, terwijl dat juist niet de bedoeling is. Niemand kan een token herleiden naar jou. Dus ook al wordt het in de logs opgeslagen bij een of andere porno website, de overheid of welke instantie dan ook kan dat niet herleiden tot een specifieke gebruiker. Bovendien kan je elke token maar één keer gebruiken. Beetje nutteloos om dat te gaan zitten loggen, maar goed.

Ik zou overigens alleen opensource apps gebruiken, het liefst van de overheid, voor leeftijdsverificatie. Maar dat lijkt me logisch.
Reageer
vanstra @david-v15 april 2026 19:21
Niemand kan een token herleiden naar jou.
Hoezo niet? Een token zal op een site toch aan een account worden gekoppeld om met dat account in te kunnen loggen. Niemand die weet of een site op de achtergrond bij het account de betreffende tokens bewaard. En die zijn door opsporingsdiensten eenvoudig te vorderen.
Reageer
david-v @vanstra15 april 2026 19:48
Hoezo niet? Een token zal op een site toch aan een account worden gekoppeld om met dat account in te kunnen loggen
Dat kan, accountnaam pietjepluk, adres Kerkstraat 666, telefoon 0612345678. De website weet nog steeds niet wie je bent met die token. En aangezien die token door de controller ook niet wordt bewaard of weggegeven in de logs, dan heb je geen mogelijkheid om dat aan elkaar te koppelen.

Als je met je echt gegevens een account maakt op een website, en je presenteert een token, dan heeft die website helemaal niks aan die token, behalve dat je vanaf dat moment het account kan markeren als "leeftijd gechecked en akkoord". Bovendien, de website weet al wie je bent, het zijn je eigen gegevens. De website kan dus helemaal niks met die token. Als die token bij de overheid terecht komt op welke manier dan ook, dan weten ze niet van wie die token is.

Waarom gaan zoveel mensen van uit dat het allemaal traceerbaar, in de logs en overal bijgehouden wordt terwijl de hele architectuur er voor gemaakt is om precies dat te voorkomen?
Reageer
vanstra @david-v15 april 2026 22:22
Waarom gaan zoveel mensen van uit dat het allemaal traceerbaar, in de logs en overal bijgehouden wordt terwijl de hele architectuur er voor gemaakt is om precies dat te voorkomen?
Omdat ik er vanuit mijn werk veelal mee te maken heb.
Reageer
synoniem @david-v16 april 2026 09:18
Waarom gaan zoveel mensen van uit dat het allemaal traceerbaar, in de logs en overal bijgehouden wordt terwijl de hele architectuur er voor gemaakt is om precies dat te voorkomen?
Omdat veel er terecht vanuit gaan dat overheid en ict geen heel goede combinatie is.
Daarnaast gaan er ook veel mensen terecht vanuit dat het overgrote deel van de politici niet betrouwbaar is.
Reageer
david-v @synoniem16 april 2026 09:44
Vervang ict door social media en overheid en politici door meta en Zuckerberg.

Hoeveel mensen in Nederland maken gebruik van social media van meta? Zo bezorgd zijn ze.

Hoe vaak is DigiD data gelekt sinds het in gebruik is genomen meer dan 10 jaar geleden? Want ook dat is een ict oplossing van de overheid. Hoe vaak is het misgegaan bij BPR? Ook een overheidsdienst. Gaat het nooit fout bij overheid? Tuurlijk wel. Net zoals bij elk bedrijf het fout gaat, dat zie je in alle berichten hier.

Maar wat je hier beweerd is niet een fout in de beveiliging maar het bewust volgen van mensen door de app anders te bouwen dan de architectuur voorschrijft en de opensource code totaal negeren. Daar ga ik niet in mee.
Reageer
baseoa @david-v16 april 2026 11:23
Dus de overheid gaat de logs bij pornhub bekijken en andersom pornhub gaat bij de logs van de overheid kijken. Check.
Opzettelijk wat de persoon schrijft misinterpreteren en belachelijk maken kan ik niet waarderen

Het gaat natuurlijk niemand om bij zo'n pornosite aankloppen om dit te gaan traceren, maar dat snap je zelf ook wel
Reageer
david-v @baseoa16 april 2026 11:27
Hoe moet ik het dan interpreteren? De logs van de website koppelen aan de logs van de app. Hoe dan?
Reageer
baseoa @david-v17 april 2026 00:29
Website krijgt van jouw apparaat een signature. Ze kunnen de geldigheid controleren adhv een public key van de overheid (of iets in die trand, er zijn verschillende technische opties). Op verzoek van een rechter kunnen ze ook die signatures gaan loggen, of misschien gebeurde het per ongeluk al (zoals dat Facebook en Twitter kort na elkaar erachter kwamen (zo'n 10y geleden) dat ze wachtwoorden onbedoeld naar interne logs schreven) en merken ze dat wanneer iemand om de logs komt vragen omdat diegene info zoekt over een verdachte. De ondertekenende instantie (van wie jouw apparaat de signature kreeg) kan natuurlijk ook opslaan welke signatures ze hebben uitgestuurd. Wij kunnen niet zien welke partij welke logs bijhoudt

Als je anoniem op Reddit plaatste dat je je school gaat DDoSsen, en ook ooit een een NSFW-subreddit bezoekt (niet eens wat plaatst), zouden ze dus kunnen vinden welke persoon achter dat account zit. Of als je via een VPN verschillende accounts gebruikt: welke personen deze VPN-dienst gebruiken en een shortlist van personen maken waar dan verdere opsporingsmiddelen ingezet kunnen worden. Het wordt echt knap lastig om nog iets op internet te plaatsen zonder dat er een link bestaat met je identiteit. In dit voorbeeld wordt zo'n middel ingezet voor een legitiem doeleinde, maar opsporing was niet de bedoeling van het systeem en ook niet hoe het aan het publiek verkocht wordt

Ik ga er niet vanuit dat dit gebeurt tot er een gerechtelijk bevel ligt en dus een rechter de legitimiteit (billijkheid en subsidiariteit) getoetst heeft, maar het kan wel. Andere aspecten aan LeeftijdControl vind ik veel zorgelijker en hebben een directe impact op wat we nog met onze telefoons mogen kunnen in de nabije toekomst. Maar ik snap ook wat @ShadLink zegt dat je die uitgiften en gebruiken normaliter triviaal aan elkaar kunt koppelen, zolang die logs er maar zijn en dat kun je niet weten

[Reactie gewijzigd door baseoa op 17 april 2026 00:29]

Reageer
david-v @baseoa17 april 2026 09:25
De ontvangen signatures zoals jij het noemt, of de tokens die je aan de website presenteert, zijn niet herleidbaar tot één persoon. Daar heb je dus niks aan. De politie maakt vooral gebruik van IP adressen om mensen te traceren. De token gaat echt niks toevoegen aan dit verhaal

Met andere woorden, waar je bang voor bent, is al jaren gaande en daar voegt leeftijd verificatie weinig aan toe.
Reageer
baseoa @david-v17 april 2026 12:32
de tokens die je aan de website presenteert, zijn niet herleidbaar tot één persoon
Dus de website krijgt iets binnen als 0x91e47f72ab2 van iedereen die 18+ is? Hoe weet je dan dat niet 1 persoon ooit dat token bemachtigd heeft en nu iedereen dezelfde waarde gebruikt? Ondertekeningen zijn normaliter uniek omdat in de data een random waarde wordt gestopt die zulke replay-aanvallen tegengaan (edit: op Wikipedia staan voorbeelden van dat een random waarde, zoals session token of challenge, wordt gebruikt om tegen te gaan dat je meerdere keren dezelfde signature kan gebruiken: Wikipedia: Replay attack). Als dit niet het geval zou zijn hier, hoe werkt het volgens jou dan wel?
De politie maakt vooral gebruik van IP adressen om mensen te traceren. De token gaat echt niks toevoegen
Een IP-adres wordt meestal door meerdere mensen gedeeld. Een identiteitsbewijs, DigiD, of welke bron van authenticatie deze app in Nederland ook gaat ondersteunen, niet

[Reactie gewijzigd door baseoa op 17 april 2026 12:39]

Reageer
david-v @baseoa17 april 2026 12:48
@GertMenkel heeft in deze thread een link gedeeld waar je van alles en nog wat kan nalezen. Misschien heeft dat wel antwoord op alle vragen die je hebt ;)

Wat betreft IP adres, die kunnen gedeeld worden, met een vpn wordt het nog lastiger. Toch is dat nog steeds een veel gebruikte identificatie methode. Niet elke fraudeur is crimineel is even slim met dit soort zaken.
Reageer
baseoa @ShadLink16 april 2026 11:20
Dit is geen technische noodzaak trouwens. Zie blind signatures waar iemand in de jaren '90 cryptocurrency gebouwd heeft maar het was de tijd vooruit en kwam niet van de grond (online betalen was niet echt een ding en geen partij had interesse zulke ontraceerbare tokens uit te geven). Of Nederland dat hier gebruikt weet ik echter niet; heb er niks over gehoord dus vermoedelijk niet
Reageer
Jedotw @GertMenkel16 april 2026 09:53
Misschien is hier nuance benodigd. Voor het "vullen" van de wallet is op dit moment het gebruik van DigiD (of een eIDAS-middel) benodigd. Daarna wordt DigiD niet meer bij elk gebruik bevraagd omdat de benodigde informatie lokaal op de device staat.

De overheid weet dus helemaal NIETS over jouw persoonlijke gebruik van de wallet, kan hooguit allen zien dat je DigiD hebt gebruikt om bepaalde registers te bevragen.
Reageer
GertMenkel
@Jedotw16 april 2026 10:06
Klopt helemaal. Je haalt je gegevens bij DigiD op zoals je je rijbewijs bij je gemeente ophaalt. Je hoeft niet elke keer een afspraak te maken als je in de auto stapt :).

Het risico is natuurlijk dat de overheid tracking toevoegt die niet in de open-source implementaties zit, maar goed, dat heb je met iedere app. Als men bij de versie die op Google Play gaat de moeite steekt om reproducible builds aan te zetten, kun je bewijzen dat de boel hetzelfde is, maar op iOS werkt dat niet en veel overheidsapps lijken daar niet zoveel interesse in te hebben helaas :-(
Reageer
Jedotw @GertMenkel16 april 2026 11:22
Er is trouwens nog iets dat we niet mogen vergeten: vooralsnog heeft de EU bepaald dat de lidstaten digitale wallets moeten gaan aanbieden (november 2026), maar in de toekomst mogen ook private partijen dezelfde wallet technologieën gaan aanbieden. Waar bijvoorbeeld Nederland al jaren bezig is met de realisatie van de NL-Wallet, kan een private partij dit in maanden realiseren. Je Google of Apple Wallet gaat dan dezelfde functionaliteiten bieden...

In verschillende wet- en regelgeving wordt nu getracht de voorwaarden voor deze private partijen te definiëren: naast EU accreditatie kunnen lidstaten zelf aanvullende voorwaarden bepalen. In Nederland hebben ze nu een aantal (in mijn ogen onzinnige) voorwaarden zoals een minimum aan de aansprakelijkheidsverzekering van de partij, of zelfs een aantal "technische" voorwaarden die natuurlijk binnen een paar jaar totaal anders kunnen zijn.
Reageer
david-v @Jedotw16 april 2026 11:30
Ik zie dat niet heel anders dan de root certificate authorities voor het signen van certificaten. Je hebt die van de overheid en je hebt die van private bedrijven.

Als ik de keuze zou hebben zou ik liever voor de overheid app gaan, of van de app die volledig opensource is en instructies geeft voor het verifiëren van de APK die je installeert.
Reageer
Jedotw @david-v16 april 2026 12:04
Wat er anders is dan in Nederland nu voor het gebruik van je BSN-gerechtigd moet zijn en geregistreerd moet worden/zijn in de Autorisatielijst BSN-gerechtigden. Op dit moment zijn er een aantal uitzonderingen voor private partijen (bijvoorbeeld in de zorg), maar ook hiervoor zou de wet dan aangepast moeten worden. Je kunt je afvragen of met het huidige "model"/techniek van DigiD dat wel zo wenselijk is. Gelukkig wordt daar vanuit het "Stelsel Toegang" van BZK al wel over nagedacht.
Reageer
david-v @Jedotw16 april 2026 13:24
Ik ga er niet vanuit dat je hiervoor DigiD gaat gebruiken. Daar zijn zoals je zegt specifieke eisen voor een uitzonderingen. Wat ik lees is dat je IDs maar bijvoorbeeld ook via je bank zou kunnen identificeren (want die hebben al een ID van jou)
Reageer
Jedotw @david-v16 april 2026 16:20
De banken hebben ooit IDIN opgezet, nu overgenomen door het Belgische Itsme. Zij mogen wel hun klanten om het BSN vragen, maar dit niet gebruiken in data-uitwisseling met derden (wat IDIN dus wel doet).
Reageer
GertMenkel
@Jedotw16 april 2026 14:53
De reden dat deze wallet zo lang op zich laat wachten is ten eerste dat iedere Europese lidstaat eerst eIDAS en eIDAS 2.0 moest ondersteunen in hun nationale infrastructuur voordat men een API kon bedenken waar ieder land mee aan de gang kon. Die API is er nu. De Nederlandse wallet moet hiermee ook werken bij Poolse of Italiaanse apps.

Private partijen kunnen zich al bij Yivi aanmelden. Sterker nog, dan kun je ook inloggen met Digid en je leeftijd verfiëren middels je bank (iDIN) of DigiD. Dit hele systeem bestaat al jaren en is ook uitvoerig getest.

Iedereen kan zich daar in principe bij registreren, maar de validator moet de partij die je je tokens geeft natuurlijk wel vertrouwen, anders werkt het niet.
Reageer
Jedotw @GertMenkel16 april 2026 16:18
Hier heb je een heel moeilijk geval te pakken. Yivi is ontstaan uit een onderzoekstraject van de Radboud Universiteit waar BZK aan mee betaald heeft. Ondertussen is het hele product vercommercialiseerd en is de vraag of het gebruik van DigiD door hen wel volgens de wet mogelijk is, waarbij ze ook nog eens de DigiD-aansluiting van de Gemeente Nijmegen gebruiken.

Private partijen kunnen zich dus in principe niet bij Yivi aanmelden, omdat dat een commercieel prdouct geworden is...
Reageer
GertMenkel
@Jedotw16 april 2026 20:28
Hoe het wettelijk zit durf ik niet te zeggen. Toch wordt er al wel degelijk met private partijen gewerkt door Yivi momenteel, specifiek in de zorg. Ik denk dat ze door de zorg te pakken een mooie manier hebben gevonden om commercieel te werken en toch Digid te kunnen gebruiken.

Ze bieden op hun website wel aan om commerciële partijen aan te sluiten, maar hoe dat precies zou moeten werken in combinatie met DigiD durf ik niet te zeggen.
Reageer
Jedotw @GertMenkel17 april 2026 12:06
Yivi is een wallet, in principe zou je daarmee kunnen inloggen. Maar daar wordt geen DigiD voor gebruikt. Yivi maakt gebruik van DigiD om de wallet te vullen met de informatie die je zou willen delen, bijvoorbeeld gegevens uit de BRP.
Reageer
baseoa @GertMenkel16 april 2026 11:26
Het risico is natuurlijk dat de overheid tracking toevoegt die niet in de open-source implementaties zit, maar goed, dat heb je met iedere app.
Er is een legioen apps waar dat niet het geval is. https://f-droid.org/docs/Reproducible_Builds/

[Reactie gewijzigd door baseoa op 16 april 2026 11:28]

Reageer
baseoa @GertMenkel16 april 2026 11:17
En dit is precies waarom je geen toegang tot je eigen hardware meer mag hebben. Dan zou je die tokens oneindig kunnen ophalen van de server en doorsturen naar anderen. Je telefoon wordt als een Playstation waar je alleen mag doen wat de maker toestaat
Reageer
GertMenkel
@baseoa16 april 2026 14:54
Net als je de keys van je ID-kaart niet mag dumpen, mag je ook niet zomaar je digitale ID klonen. Lijkt me redelijk logisch, toch?

De wetgeving rond dit systeem is geschreven zodat het gebruik ervan strikt optioneel is.
Reageer
baseoa @GertMenkel17 april 2026 00:46
Ik snap wat je wil zeggen maar dat is niet hoe dit onderliggend werkt. De sleutels op je ID-kaart staan op een kleine chip die bedoeld is om uitlezing en tampering te voorkomen (ik kom even niet op het Nederlandse woord). Het is een piepkleine hardware security module, net als je bankpas, simkaart, en yubikey bijvoorbeeld. De PIN-terminal bij de kassa verzoekt de chip om een transactie te ondertekenen, en onder de juiste omstandigheden doet het dat ook, terwijl de winkel en jij nooit de geheime sleutels te zien krijgen. Je kan dus deze chips verzoeken bewerkingen te doen met sleutels die je niet kan exporteren vanaf die beveiligde hardware.

Telefoons hebben hiervan ook een variant aan boord. Daarop zou je dus die sleutels kunnen bewaren. In plaats daarvan willen ze de sleutels op het flashgeheugen opslaan! Dan zou je dus erbij kunnen, àls je je eigen opslag kan uitlezen. Dus baby-met-het-badwater-stijl wordt er nu voor gekozen dat je de hele telefoon niet meer mag inzien (enkel nog wat er vrijgegeven wordt zoals ~/Downloads en DCIM en zo), zodat die sleutels maar veilig blijven

Natuurlijk mag ik de privésleutels van de overheid niet inzien. Het gaat echter om de collateral damage en de controle die Google en Apple daarmee krijgen. Een OS dat niet door hun goedgekeurd is installeren kun je op je buik schrijven als je ooit nog iets wil doen dat achter een online kinderslot zit. We willen met z'n allen van het huidige niveau van afhankelijkheid af, en worden tegelijkertijd gedwongen tot een niveau veel hoger dan het huidige

Daarnaast hebben omliggende landen allemaal al oplossingen hiervoor: Duitsland heeft Ausweisapp2, dat is opensource en werkt door je ID-kaart tegen een NFC-lezer te houden (zoals die in je telefoon). België heeft ook iets (ben de naam kwijt) dat je ID-kaart uitleest. Nederland heeft de policy om dat niet te doen. Ik heb ~15 jaar geleden de overheid gevraagd voor de public keys bijbehorend aan de digitale handtekening die op mijn (toen-nieuwe) identiteitsbewijs stond, maar die was niet bedoeld voor publiek gebruik, antwoordden ze toen, alleen voor andere overheden. Ik ben nog altijd op zoek naar het probleem van die leeftijdscontrole gewoon uit te voeren met de bestaande sleutels en hardware

[Reactie gewijzigd door baseoa op 17 april 2026 00:48]

Reageer
GertMenkel
@baseoa17 april 2026 11:23
In plaats daarvan willen ze de sleutels op het flashgeheugen opslaan!
Nee, men gebruikt natuurlijk gewoon de keystore API's. Uit de specificatie:
An Age Verification App SHALL rely on the device's native cryptographic hardware. capabilities, such as the Secure Enclave on iOS, or the Trusted Execution Environment (TEE) and Strongbox on Android, when they are available.
Deze werken door de data te versleutelen met een sleutel die in de TEE/TPM/etc.-functie beschikbaar is maar niet binnen het normale OS. Je kunt geen sleutels direct op de chip opslaan, als je telefoon al een losse chip heeft: de TEE-aanpak werkt met een hypervisor zoals Intel's SGX, niet met een losse chip, en dat is de norm op veel soorten Android-apparaten, helaas. Zelfs met een chip staan de API's niet zomaar toe dat je sleutelruimte op de chip volgooit. Tot iemand AES kraakt, is dat op zich ook geen probleem, en zo'n beetje iedere app, ook DigiD, maakt dan ook gebruik van die API. Die aanpak werkt echter alleen zolang je vertrouwensketen in orde is.

PC's hebben hetzelfde probleem met bijvoorbeeld met de TPM en secure boot: je OS moet aantonen aan de TPM dat alles normaal is, anders krijg je je schijfsleutel niet. Die signalen kun je makkelijk faken als je niet voorkomt dat code van derden tijdens het opstarten wordt gedraaid en daarom is secure boot ook nodig om dat systeem enigszins nuttig te houden.

Op smartphones is het lastig te bewijzen dat je opstartketen in orde is. Daar zijn de frameworks van Google en Apple dan ook voor. Op Linux ben ik niet bekend met een functioneel remote attestation-mechanisme (kan zijn dat ik er een gemist heb, wellicht dat libtpm2 dat toestaat?), op Windows en macOS werkt dat wel. Android en iOS hebben dat ook, en zelfs custom ROM's kunnen er gebruik van maken mits de bootloader vergrendeld is, zoals bij GrapheneOS.

Dat laatste is een heikel punt, ontwikkelaars kiezen doorgaans voor het gemak van Play Integrity zonder de native API te gebruiken. Aangezien alleen een selecte set Pixels toestaat om de bootloader te vergrendelen én alleen GrapheneOS hier de moeite in steekt, snap ik wel dat je al die extra moeite voor het bijhouden van een eigen bootloadersleutelhandtekeningdatabase niet wilt doen. Op de hele wereld wordt het aantal GrapheneOS-telefoons op slechts 300.000 geschat, een fractie van een fractie van de Android-telefoons.

Nederland heeft overigens wel de mogelijkheid om je ID uit te lezen voor authenticatie; de DigiD-functie "log in met rijbewijs/ID" regelt dat. Dat is alleen een enorm slechte oplossing voor het leeftijdsverificatiesysteem. Het probleem daarmee is dat je niet je hele rijbewijs of ID-kaart wilt uitlezen om op Pornhub te komen. Datalekken worden gigantisch, volgen wordt triviaal, er wordt allemaal informatie verzameld die je helemaal niet met zo'n partij wilt delen, en je zit ook nog eens vast aan identiteitsdocumenten van de afgelopen paar jaar (waarbij sommige documenten met een extra rekening komen als je het wachtwoord achteraf activeert). Je kunt natuurlijk de flow bouwen "rijbewijs uitlezen, dat authenticeren tegen de overheid, en dan ondertekende, anonieme tokens delen"... en dan krijg je precies deze apps, dat staat ook in de specificatie:
Technical Requirements: An Age Verification App shall support the following
[...]
Implement contactless NFC communication for eMRTDs using PACE v2 protocol with Card Access Number (CAN) authentication
In principe kan het tokengebaseerde ZKP-systeem ook werken met alleen ID-kaarten zelf, maar dan moet je die eerst in de chip stoppen en dan iedere ID-kaart, paspoort, en eventueel rijbewijs in de hele EU vervangen. Dat kost een hoop geld en de prijs per ID-document wordt ook nog eens hoger. Plus, als er een probleem gevonden wordt met het protocol of de implementatie, is er geen manier om dat op te lossen zonder nog eens alle documenten te vervangen. Zie bijvoorbeeld de reeks ID-documenten die de Nederlandse overheid heeft uitgegeven waar een fout ervoor zorgde dat de authenticatiefunctionaliteit de chip brickte die bijvoorbeeld op het vliegveld gebruikt wordt.

Onder de streep vind ik leeftijdsverificatie eerlijk gezegd niet belangrijk genoeg om hier remote attestation voor uit te eisen. De rest die de wallet de komende jaren moet gaan bieden moet wel veiliger (omdat het sleutelmateriaal op je telefoon dienst moet doen als volledig alternatief voor een ID-kaart), maar wat mij betreft, zou men het risico op kopiëren voor leeftijdstokens gewoon moeten accepteren.

Voor remote attestation op niet-Google-software ligt de bal vooral bij de telefoonmakers die weigeren hun bootloader vergrendelbaar te maken (zo'n beetje iedereen behalve Google, mogelijk ook Motorola), en daarmee beveiligde operaties als deze onmogelijk maken zonder fabrikantsoftware (als je LineageOS draait, is er ook feitelijk niets dat brute-forcing van de encryption key middels een kwaadaardige bootpartitie tegenhoudt, iets dat een vergrendelde bootloader wel oplost). Daarnaast is het aan LineageOS of /e/ of noem maar op om hun images te tekenen en hashes te publiceren zodat deze net als officiële firmware geverifieerd kunnen worden.
Reageer
baseoa @GertMenkel17 april 2026 12:24
Als dit de sleutels alleen binnen de TEE gaat verwerken, hoe verklaar je dan dat ze je de toegang willen ontzeggen tot ook de rest van je telefoon?

Misschien zit de crux in die "shall". Er staat niet "must". Wellicht houdt het rekening met apparaten waar geen hardware-backing van de keystore beschikbaar is en moet daarom iedereen maar geen toegang meer hebben tot het volledige flashgeheugen
Het probleem daarmee is dat je niet je hele rijbewijs of ID-kaart wilt uitlezen om op Pornhub te komen.
Toch is dat noodzakelijk. Geen verificatie zonder authenticatie. Die leeftijdsverificatiesoftware gaat èrgens moeten checken dat jij jij bent, bijvoorbeeld door je ID uit te lezen (wat je zegt dat een slechte optie is) of door met DigiD in te loggen (waar ook je naam in staat, bijvoorbeeld, wat je ook niet wilde doorsturen naar socialmedia/tubesites/enz.). Die software filtert vervolgens wat de derde partij te zien krijgt, zoals een ondertekende versie van het 16+-gegeven. Datzelfde kun je natuurlijk ook doen zonder TEE: hou de pas tegen je telefoon op het moment dat een systeem de verificatie wil hebben, die app haalt zo'n token op, en stuurt die door zonder de overige informatie. De telefoon is geen vertrouwde partij maar een doorgeefluik, net als je router en het grote internet doorgeefluiken zijn die we niet hoeven te vertrouwen door middel van cryptografie

Nergens suggereerde ik dat je je hele ID naar pornhub moet opsturen om uit te laten lezen xD
de telefoonmakers die weigeren hun bootloader vergrendelbaar te maken (zo'n beetje iedereen behalve Google, mogelijk ook Motorola)
Fairphone ook, maar wat heb je daaraan als jouw sleutel niet ondersteund wordt? Je kan prima een OS op een Fairphone of Pixel installeren en de bootloader vergrendelen, maar dan wat? Deze attestation gaat alsnog zeggen "ken ik niet, vreet ik niet". Je kan niet zelf iets compileren, je blijft software van derden zoals Google moeten draaien op de microfoon in je broekzak 🤷
Reageer
david-v @ShadLink15 april 2026 17:34
Is dit wat je denkt of wat je terug ziet in de opensource code voor van de app?

Wat jij zegt klopt namelijk niet met de architectuur die openbaar is én de opensource code. Dus over welke app heb jij het nou?
Reageer
batjes @Pendora15 april 2026 14:40
Ach, gewoon via Logius die je verplicht afhankelijk te zijn van Apple of Google en daarmee wordt het toch nooit privacy vriendelijk.
Reageer
Niema @batjes15 april 2026 15:22
DigiD heeft iig een sms + wachwoord optie. Als dit een implentatie kan krijgen waar wel : persoon is 18+ zonder andere gevoelige gegevens door te geven kan het nog best werken
Reageer
GertMenkel
@Niema15 april 2026 15:44
De wallet-implementatie maakt gebruik van remote attestation-API's van Apple en Google. Daardoor kun je op een Jolla smartphone deze app niet gebruiken.

Ik vind het een stom idee en er is de nodige kritiek op geweest op Github, maar het lijkt erop dat het bestuur achter dit project de dienst uitmaken.

Met het oog op het einddoel van dit systeem (waarin ook je ID-kaart en rijbewijs in een app kunnen worden geladen) snap ik wel dat ze zo kopiëren van tokens en databases zoveel mogelijk willen voorkomen, maar voor leeftijdsverificatie zie ik het punt niet.
Reageer
R4gnax
@GertMenkel15 april 2026 18:54
De wallet-implementatie maakt gebruik van remote attestation-API's van Apple en Google.
'De' wallet-implementatie?
Er is geen 'de' in deze. Elk land bakt zijn eigen middelen. De EU stelt enkel een blauwdruk beschikbaar, maar een volle implementatie is niet gelimiteerd tot enkel attestatie via services van Apple of Google. Android zelf heeft bijv. ook al attestatie mogelijkheden. Daar heb je de Play-store niet voor nodig.
Reageer
GertMenkel
@R4gnax16 april 2026 10:39
Technisch gezien is alleen "de remote attestation van het platform" vereist, maar ik verwacht geen Sailfish-app binnenkort en Play Integrity gaat niet werken met de compitabiliteitslaag van Sailfish.

Attestatie van Android zelf is inderdaad ook een optie, maar die lost op dit moment niet zo heel veel op. GrapheneOS zorgt ervoor dat hun hashes veilig zijn, maar de mensen die custom ROM's draaien op andere apparaten hebben geen betrouwbare hashes om te vergelijken. De meeste telefoons hebben niet eens de optie om hun bootloader te vergrendelen (wat een harde eis is voor het verifieren van self-signed attestation), dus het alternatief vervalt op de meeste toestellen. De veiligste ROM's waren Calx en DivestOS, maar die staan allebei op pauze of zijn gestopt. LineageOS heeft voor zover ik weet geen plannen om sleutels te publiceren voor "officieel" vergrendelde bootloaders. Ik kan ook niks vinden over de bootloader keys van /e/-OS, dat op sommige Fairphones voorgeïnstalleerd staat. Ook zal iedereen met een geroote telefoon alsnog in de problemen komen.

Tot het voor ROM's die niet GrapheneOS zijn een prioriteit wordt om met vergrendelde bootloaders te werken, ga je met Android's attestation framework in de praktijk weinig oplossen voor de meeste mensen die hier problemen mee hebben. Áls je echt remote attestation moet doen, is het een oplossing als fallback voor als Play niet goed werkt, maar voor de meeste toepassingen lijkt het me de moeite niet waard om die validatie te implementeren.

In dit geval zou ik zelf zeggen: maak voor de volledige digitale wallet (inclusief rijbewijs enzo) gebruik van Android's API als Play Integrity mislukt, maar doe niet moeilijk en geef alleen een waarschuwing op custom ROM's als het om leeftijdsverificatie gaat.
Reageer
dimdek @GertMenkel16 april 2026 11:35
Wat ik dus zo dubbel vind is dat Google het voor elkaar heeft gekregen dat fabrikanten het onmogelijk maken om bootloaders te vergrendelen nadat bewust een ander privacyvriendlijker en dus in zeker zin ook veiliger OS wordt geïnstalleerd (want wat is nu eigenlijk veiligheid: het met zekerheid delen van je hele doen en laten met Google of de kans lopen dat op termijn iemand gebruik weet te maken van een veiligheidsgat waarmee gegevens uit je smartphone worden gehaald). Je bank kiest voor delen met Google en de marketing doet de rest. Maar als gebruiker zou je misschien een andere afweging kunnen maken. Verder hollen ze het open-source deel van Android dermate uit dat niemand nog om hun services heen kan en met het aanbod van 'gratis code' voor ontwikkelaars gaat niemand meer investeren in zelf het wiel uitvinden. Google verdient daarmee klauwen met geld en houdt controle over het hele zaakje, wat een enorme stimulans is om dat principe te blijven uitbouwen zodat alternativen kansloos zijn.
Ik vind het triest dat Europese overheden blijven meedoen met dat spel en het niet willen doorbreken.
Reageer
GertMenkel
@dimdek16 april 2026 15:02
Het vergrendelen van bootloaders is prima mogelijk op Android zelf. Sterker nog, Google is de enige partij die hier nog moeite in steekt, al zal dat wellicht ook bij Motorola moeten gaan kunnen aangezien die nu een partnerschap met GrapheneOS hebben.

De beperking zit niet in de ROM's of in wat Google aanbiedt, maar in de bootloader die fabrikanten en SoC-ontwerpers op telefoons zitten. Als die bootloader weigert om gebruikerssleutels te vertrouwen zoals bijvoorbeeld op Pixels en Secure Boot op PC's kan, betekent het locken van je bootloader dat je je telefoon volledig brickt. Zodra de Samsungs/Oneplussen/Sony's hun zaken op orde krijgen, kan het opnieuw locken van je bootloader ook weer.

Dat is niet alleen leuk voor Google overigens. Als je telefoon momenteel bij de douane wordt ingenomen kan LineageOS niet voorkomen dat iemand met je bootloader prutst; kwestie van een USB-kabel erin en wat fastboot-commando's en je bootloader bevat een backdoor. Met een vergrendelde bootloader + alle beveiligingspatches is dat wel praktisch onmogelijk; als ze je bootloader weten te unlocken, wist je bootloader eerst al je gegevens, dus kunnen ze niks stelen en merk je ook direct dat er met je telefoon geklooid is. Zelfs als je je eigen LineageOS-builds bouwt, heeft het locken van je bootloader met je eigen sleutel dus significante voordelen.

Op de meeste telefoons, inclusief mijn oude telefoons, heb je nu de keuze tussen "brakke fabrikantfirmware vol met gaten" of "iedereen met fysieke toegang kan een rootkit op mijn telefoon zetten". Dat hoeft niet, maar dan moeten fabrikanten wel beter hun best doen.
Reageer
david-v @batjes15 april 2026 15:38
De app wel. De aflevermethode niet, al denk ik dat Google of Apple er niets aan heeft om te weten dat 90% van de volwassenen in Nederland de DigiD app hebben geïnstalleerd.
Reageer
dimdek @david-v16 april 2026 11:22
De grap is dat die bedrijven niet alleen die data krijgen, maar een combinatie kunnen maken van bijvoorbeeld locatiegegevens, betalingsgegevens, gezondheidsgegevens, zoekgegevens, andere apps. Zo hebben ze al snel door voor elke aandoening je je DigiD bij het ziekenhuis nodig hebt en dat kan weer interessant zijn voor je verzekeraar.
Reageer
david-v @dimdek16 april 2026 11:25
Zo hebben ze al snel door voor elke aandoening je je DigiD bij het ziekenhuis nodig hebt en dat kan weer interessant zijn voor je verzekeraar.
Dit snap ik niet helemaal. Wie is "ze" in de eerste zin? Je verzekeraar weet precies welke aandoening, waar, wanneer, door wie enz. Dus ik snap niet helemaal wat je hiermee bedoelt.
Reageer
dimdek @david-v16 april 2026 11:49
'Ze' slaat op Google of Apple in jouw bericht, de beheerders van de grootste OSsen op smartphones die alle rechten hebben binnen het systeem, heel veel data tot zich nemen en daarmee geld verdienen.
Mischien vindt een verzekeraar die levensverzekeringen afsluit het wel interessant om te weten welke aandoeningen je (of je familieleden) hebt (gehad). MIsschien ook met wie je omgaat en welke gevaarlijke hobbies je hebt. Of je netjes rijdt etc. Ook een hypotheekverstrekker kan dat interessant vinden. Op termijn wellicht ook een school waar je je opleiding zou willen doen of je (mogelijke) werkgever. In de V.S. wordt data gedeeld op basis waarvan mensen worden vervolgd nu het regime andere ideeën heeft dan een paar jaar terug.
Begin jaren 2000 kreeg o.a. Google door dat niet alleen de primaire gegevens interessant waren om profielen op te bouwen, maar dat er nog veel meer verdiend kon worden met de 'bijvangst´ aan data die ze toen hadden. Dat was de trigger om steeds meer data te gaan vergaren. Volgens Harari wisten ze toen ook al heel goed dat ze dat deden om daar later een AI mee te gaan voeden.
Reageer
ThePendulum @Pendora15 april 2026 15:35
Ik vind het nog belangrijker dat de app niet kan weten welke pagina de leeftijdsverificatie verzoekt. De eigenaar van een site zal immers meestal weinig moeite hebben met de inhoud en bezoekers ervan, en als er gegevens lekken, is de schade beperkt tot die site.

Als de app echter precies kan bijhouden wie welke sites wanneer heeft bezocht, dan staat er toch heel wat meer op het spel. Zodra bewezen kan worden dat het technisch onmogelijk is om via deze app de personen aan de sites te koppelen, heb ik er an sich weinig moeite mee, maar tot nog toe is het tegenovergestelde waar gebleken.

[Reactie gewijzigd door ThePendulum op 15 april 2026 15:39]

Reageer
Stoney3K
@Pendora15 april 2026 15:40
En zelfs dat is al discutabel want die informatie "Persoon is 18+ ja/nee" kan in combinatie met andere metadata weer worden gebruikt om iemand te identificeren.

Dat kun je in het ontwerp van zo'n app niet fixen, daarvoor heb je waarborgen nodig van de partijen die die app gebruiken.
Reageer
Lecenten 15 april 2026 15:04
Id bewijs scannen, never nooit niet. Ik ga wel aandelen van VPN providers kopen.
Reageer
R4gnax
@Lecenten15 april 2026 19:04
Id bewijs scannen, never nooit niet.
Zou ik inderdaad ook nooit aan beginnen.
Enge firma's zoals Persona, wat aan Peter Thiel's Palantir verwant is, trekken namelijk de achtergrond van jouw gegevens zeer uitvoerig na. Je wordt volledig doorgelicht, van overheidsdatabases tot aan kredietverstrekkers.
Er zijn ook allemaal schimmige bedrijven binnen het incesteuze big-tech AI wereldje bij betrokken en het vindt allemaal plaats in de VS, die geen klap geven om de privacy rechten van niet-Amerikanen. Jij en jouw gegevens, zijn vogelvrij. Persona heeft bijv. zelfs in de kleine lettertjes staan dat ze de scans van jouw ID bewijs onder gerechtvaardigd belang in de trainingsset van hun AI modellen opnemen.

https://thelocalstack.eu/...ity-verification-privacy/

[Reactie gewijzigd door R4gnax op 15 april 2026 19:17]

Reageer
ApexAlpha 15 april 2026 14:33
Mhh, gadver dit gaat mij toch ver op het open internet.

Al is het maar omdat websites die niet overduidelijk 18+ zijn nu die content zullen mijden, waardoor de censuur direct effect heeft.

Tuurlijk, pornhub zal zich wel aanmelden. Maar Dumpert? Met 1x per week iets van 18+ tussendoor? Of een normaal boekenblog met één review van een erotisch boek? Een sportsite die een filmpje van een zware blessure upload. Te goor voor kinderen? Hele site 18+.

Mijn angst is dat veel websites uit angst voor de leeftijdscontrole hun inhoud al zelf gaan aanpassen / preuts maken.

Voelt voor mij als een onomkeerbaar schip helaas, dat ze hier ook nog wel erdoor rammen.

[Reactie gewijzigd door ApexAlpha op 15 april 2026 14:35]

Reageer
pixeled @ApexAlpha15 april 2026 14:49
Tuurlijk, pornhub zal zich wel aanmelden. Maar Dumpert? Met 1x per week iets van 18+ tussendoor? Of een normaal boekenblog met één review van een erotisch boek? Een sportsite die een filmpje van een zware blessure upload. Te goor voor kinderen? Hele site 18+.
Waarom denk je dat dat zo is? Sites zouden toch ook prima een deel van hun content achter een "18+ wall" kunnen plaatsen waarvoor verificatie verplicht is om te kunnen zien, en de rest van de content/artikelen gewoon openbaar beschikbaar houden? Veel nieuwssites hebben dat principe nu ook al geïmplementeerd dmv. een "paywall" voor een selectie aan betaalde content, dit lijkt me niet heel anders of moeilijker om te implementeren.

Kortom, het is denk ik niet zo zwart-wit als je nu schetst. Lijkt me best onlogisch eigenlijk als een hele site ineens of 18+ zou zijn, of niet.

[Reactie gewijzigd door pixeled op 15 april 2026 14:50]

Reageer
timeraider @pixeled15 april 2026 14:58
In England is al bewezen dat bedrijven die moeite niet gaan doen en gewoon alles over elke website heen gooien.
Laatst nog in Aberdeen geweest en helft van netwerkverkeer gaat daar over VPN dankzij hun leuke restricties.
Reageer
pixeled @timeraider15 april 2026 15:10
Bedrijven doen die moeite (van het scheiden van hun content in wel/niet met leeftijdscheck) volgens jou dus niet? Wat bedoel je met "over elke website heen gooien"?

En ben oprecht nieuwsgierig hoe je weet dat de helft van het verkeer in Aberdeen via VPN verloopt of niet :) Gebruik van VPN of niet heeft ook niet zoveel te maken met hoe een bedrijf de leeftijdscheck kan implementeren, toch? Dat heeft vooral te maken met de gebruiker.
Reageer
Marrtijn @ApexAlpha15 april 2026 14:39
Ook leuk voor de mensen die vooral in privébrowser 18+-content consumeren.

Elke keer opnieuw valideren, zo ga je snel door de 30 licenties.

Heb ik van horen zeggen natuurlijk.
Reageer
fl2001 @Marrtijn15 april 2026 14:44
Ik kan mij niet voorstellen, dat je elke 3 maanden op sites elke keer zo een check moet doen, dan blijf je maar bezig.
Reageer
Olaf van der Spek @fl200115 april 2026 14:58
Niet elke 3 maanden, maar elke keer, als je een incognito window gebruikt, zonder account.
Reageer
Mizgala28 @ApexAlpha15 april 2026 14:39
Ik zie het straks al dat men het ook gaat vragen voor reddit, YouTube, discord enz bijvoorbeeld.

Des te minder reden voor mij om die eerste en derde te gaan gebruiken (ik lees alleen op reddit en heb daar geen account, en qua discord doe ik helemaal niks mee)

Qua youtube moet ik het nog zien, sinds enkele jaren is het zo dat google weleens om verificatie van je leeftijd vroeg voor bepaalde video's, daar had ik nooit last van omdat ik in het verleden mijn leeftijd al had geverifieerd (ergens in 2012 of ervoor).
Reageer
Stoney3K
@Mizgala2815 april 2026 16:12
Dat is een kwestie van tijd. Als het niet voor erotische content is, dan wordt het uiteindelijk wel vanwege reclame voor gokken, lootboxes, LHBTI content of grof taalgebruik.
Reageer
Niema @Mizgala2815 april 2026 15:15
Als het Google account uit 2012 komt lijkt het me vrij logisch dat verificatie niet meer hoeft. Een account ouder dan 18 wordt ook gebruikt door iemand ouder dan 18 zou ik denken
Reageer
Mizgala28 @Niema15 april 2026 15:19
Was dat maar zo

Mijn spam account is jonger (2009) dan mijn hoofdaccount en daar krijg ik met bepaalde video's gewoon de melding dat "ik mijn leeftijd moet verifiëren om deze video te kunnen bekijken".

Tenzij dit vanaf dit jaar ineens anders is, vorig jaar nog 2 keer zien gebeuren.
Reageer
ShadLink @Niema15 april 2026 15:23
En papa/mama geven hun kroost niet even hun telefoon te leen om op YT te kijken?

Natuurlijk doen ze dat, sterker nog ik zie het héél veel in bv restaurants of op straat.
Reageer
Niema @ShadLink15 april 2026 16:16
Dat kan bet zo goed op een leeftijds geverifieerd account. Ik zie de toegevoegde waarde van leeftijdsverficicatie op een 18+ jaar oud account niet. Dat mensen (geverifieerde) accounts stop je njer niet mee
Reageer
Bulls @ApexAlpha15 april 2026 14:35
Het gaat ook niet zozeer om 18 plus maar om 13+ en daarom moet straks iedereen zich legitimeren of je wel op internet mag.
Reageer
Ben5050 @Bulls15 april 2026 14:56
Dat is gewoon ''No go'' ID laten zien op internet perwebsite of zo.. dat gaat backlash krijgen
Reageer
Mathijs Kok @ApexAlpha15 april 2026 14:37
Een sportsite die een filmpje van een zware blessure upload. Te goor voor kinderen? Hele site 18+.
Hoe kom je erbij dat een dergelijke site meteen een leeftijdcontrole moet gaan doen? Dat is helemaal niet ter sprake.
Reageer
ApexAlpha @Mathijs Kok15 april 2026 14:38
Zodra de hamer er is zullen ze op dingen gaan slaan ermee.

De discussie "Ja maar de leeftijdscheck-app is er toch al waarom kinderen ook niet beschermen tegen X" wordt onmogelijk dadelijk.
Reageer
WeZZeY @ApexAlpha15 april 2026 14:52
Dat denk ik niet, want hoe 'later' jij het vraagt als website, deste groter de kans dat mensen de site niet zullen verlaten vanwege de check, deze check zal namelijk wel een conversie killer zijn voor veel
Reageer
Stoney3K
@ApexAlpha15 april 2026 15:31
Dus dat betekent ook als jij je kaartjes voor Vrienden van Amstel Live wil bestellen. (ivm. alcohol reclame)
Reageer
Olaf van der Spek @Mathijs Kok15 april 2026 14:59
Hoe kom je erbij dat een dergelijke site meteen een leeftijdcontrole moet gaan doen? Dat is helemaal niet ter sprake.
Mogelijk voor advertenties, aan kinderen mag je geen gokreclame e.d. voorschotelen.
Reageer
Olaf van der Spek 15 april 2026 14:33
Dat werkt vooralsnog als volgt: als gebruikers hun leeftijd in de app verifiëren, worden er in één keer dertig digitale leeftijdsverklaringen uitgegeven. Iedere keer dat ze online hun leeftijd controleren met de app, geven ze een van de verklaringen aan het platform in kwestie. Dat platform ziet of de gebruiker aan de leeftijdseis voldoet, maar krijgt verder geen informatie. Nadat de dertig leeftijdsverklaringen allemaal zijn gebruikt, moet de leeftijd opnieuw geverifieerd worden via de app en krijgen gebruikers weer dertig nieuwe leeftijdsverklaringen. Ook drie maanden na de laatste verificatie moeten ze nogmaals hun leeftijd verifiëren.
Als de verklaring inderdaad anoniem is en dus niet te herleiden, kan ik deze dan doorgeven / verkopen aan anderen? :D
Of zijn verklaring voor de overheid wel te herleiden?

Maakt dit een smartphone verplicht of is er ook een optie voor mensen die het graag zonder smartphone doen?

[Reactie gewijzigd door Olaf van der Spek op 15 april 2026 14:35]

Reageer
84hannes @Olaf van der Spek15 april 2026 14:39
Als de verklaring inderdaad anoniem is en dus niet te herleiden, kan ik deze dan doorgeven / verkopen aan anderen? :D
Kun jij wodka kopen en doorverkopen aan tieners? Ja. Doe je het? En zo nee, waarom niet?

Mijn theorie is dat straffen zelden werkt. De meeste mensen hebben genoeg moreel besef om niet te doen wat overduidelijk fout is. Mensen die dat niet hebben laten zich maar heel beperkt tegen houden door een kleine kans op straf.
Reageer
Halfscherp @84hannes15 april 2026 14:56
Breder gezien is dit gewoon een tandloze controle, die niks anders doet dan een paar bedrijven die auth doen enorm spekken. En politici zichzelf trots een schouderklopje laten geven.

Iedere tiener (en diens broertje / zusje) neemt zodra dit in gaat onmiddelijk een VPN. Danwel een gratis VPN die smerig hard loopt te dataminen, of betaald van zakgeld / loon.

Zelfs als je VPNs in de app store 18+ maakt dan zal de handige tiener het wel via sideloaden doen, of als je z'n telefoon dichttimmeren via z'n laptop en connection sharen met zijn telefoon.

Je kan door héél draconisch te zijn het wel afgeknepen krijgen, maar de vraag is: moet je dat willen? En de nog betere vragen: is het überhaupt nodig?

Kids opgegroeid in de jaren 90-00 zijn opgegroeid met een internet vol vrij toegankelijk provocerende content en die zijn gewoon op hun pootjes terechtgekomen. Het zijn de kinderen die opgegroeid zijn vanaf de jaren 10 waar het soms raar ligt, en dat komt overduidelijk door social media. Of eigenlijk, algoritmische content.

We kunnen prima zonder dit soort idiote verificatie als we als EU maatschappij er voor kiezen om engagement engineering aan banden te leggen.
Reageer
Niema @Halfscherp15 april 2026 15:21
Ik denk dat niemand de illusie heeft dat het 100% effectief is. Een drempel opwerpen, het ontmoedigen kan al best prima werken. Slechte vergelijking maar heb nu niks beters. Mensen zijn minder sigaretten gaan roken sinds het niet meer te koop is in de supermarkt, omdat het lastiger te kopen is. Daarvoor is de vraag ook afgenomen door hogere prijzen en sociale druk . Ik kan me voorstellen dat een vpn als vereiste dit ook kan doen. Daarnaast heeft iig Australië een stuk meer controles dan Ip-adres in hun wetgeving opgenomen en wordt er ook gebruik gemaakt van bijvoorbeeld telefoon-taal instellingen, type videos iemand upload op social media, regio informatie van de simkaart, tijdzone en meer. Uiteindelijk is de vraag niet kan het omzeilt worden, want dat kan het sowieso en met gemak. Maar kan het een gedragsverandering veroorzaken door bijvoorbeeld luiheid , digibeetisme, sociale druk of performance issues
Reageer
necessaryevil @Niema15 april 2026 15:55
Ook met sigaretten en e-sigaretten moeten ze voorzichter worden met het nog strenger maken van de wet. DHet was laatst op het nieuws dat de meeste e-sigaretten op webshops van buiten Nederland komen. Er zijn ook al eens illegale sigaretten uit het buitenland onderschept die schadelijker waren dan normaal.

Goed nadenken, anders is het alleen maar een privacy-risico, burgertje pesten of het spekken van de georganiseerde misdaad.
Reageer
hamsteg @Halfscherp15 april 2026 15:45
Kids opgegroeid in de jaren 90-00 zijn opgegroeid met een internet vol vrij toegankelijk provocerende content en die zijn gewoon op hun pootjes terechtgekomen.
Is dat zo? Sexting, Doxing, geweld neemt duidelijk toe door invloeden van de ongebreidelde vrijheid van wat je voorgeschoteld wordt door de algoritmen van "social" media. Ik ga niet roepen dat alles vroeger beter was maar sociale controle en correctie is zeker afgenomen, zoniet weg, en daarmee/daardoor worden excessen steeds extremer.
Reageer
84hannes @hamsteg15 april 2026 16:51
Daarom stelt @Halfscherp een alternatief voor
We kunnen prima zonder dit soort idiote verificatie als we als EU maatschappij er voor kiezen om engagement engineering aan banden te leggen.
Grote bedrijven en influencers verdienen nu aan de ellende van kinderen. We kunnen die kinderen hun toegang tot sociale media ontzeggen, of sociale media hun toegang tot kinderen ontzeggen.
Reageer
hamsteg @84hannes15 april 2026 20:04
Commercie zal altijd de grens opzoeken, daarop insteken is bijvoorbaat verliezen, ideologisch klinkt dit goed maar praktisch onwerkbaar want je zult continue achter de feiten aanlopen. Technologie zal rechtzaken gaan inhalen.

Daarbij, wat is er zo vreemd aan leeftijdscontrole? Dit gebeurt overal en gebeurde vroeger ook. Als 12-jarige kreeg ik geen Playboy mee, maar onder het mom van privacy gaan we digitaal ineens roomser opstellen dan de paus met als gevolg: totaal geen controle.

Tot 18 jaar wordt je opgevoed, opvoeden gaat gepaard met continue verzetten van piketpaaltjes, steeds meer zien en ervaren. Als ik sommige reacties hier lees kon iedereen meteen zwemmen en was zwemles helemaal niet nodig en zijn verplichte zwembandjes voor kinderen die niet kunnen zwemmen eigenlijk volstrekt overbodig? Leren omgaan met bepaalde vrijheden betekent ook de verantwoording nemen die er bij hoort. Kompleet vrije porno leidt ook tot het gesis naar vrouwen op straat omdat blijkbaar porno op straat net zo gewoon wordt gezien en moet kunnen als dat het bekeken kan worden op het huidige internet? NEE dus!

Ieder persoon is anders, de een is snel volwassen, sommigen worden het nooit maar voor de wet zijn er leeftijdsgrenzen. Ik vindt de app een goede zet, het is niet perfect maar de affakkelen op mogelijk traceren terwijl aan de andere kant deur wagenwijd openzetten door de sociale media, zoek engings, gratis email en alle online winkels waar we ons privéleven open en bloot in gooien, vind ik mooi puristisch maar voor 99% van de bevolking volstrekt niet van toepassing.
Reageer
Stoney3K
@Halfscherp15 april 2026 15:47
Tieners die pornosites willen surfen doen dat veel simpeler: Die pakken óf stiekem het paspoort van papa of mama, of ze hebben een broertje/vriendje/whatever die 18+ is en wel even voor ze inlogt.

Daarna hebben ze vrij spel. Er is niets in de app wat controleert of de inloggende persoon ook de gebruiker van de website (of sessie) is, als je dat wel wil controleren dan kom je dus net in conflict met de privacy die je wil garanderen.
Reageer
bzuidgeest
@Stoney3K15 april 2026 16:23
het paspoort van mamma en pappa hebben ze niets aan. Tenzij ze ook hun digid toegang pikken.

Daar zijn mamma en pappa zelf bij. En als er niets mis gaat so be it. Maar als het kind in de problemen komt hierdoor kunnen we de ouders straffen voor het overtreden van de wet. Datzelfde met die 18+ persoon.

Alcohol verschaffen aan minderjarigen is verboden. Maar niemand (die ik ken) doet moeilijk als een nieuwsgierig kind een keer wil proeven wat pappa en mamma drinken. Meestal spugen ze het zo uit. Hilarisch. Maar als een kind bezopen op school komt pakken we die ouders echt wel aan.

Dat hele idee van vrij spel slaat nergens op. Ja misschien met die brakke selfie controles die ze in het buitenland gebruiken of zo.

Maar de wet tegen moord voorkomt geen illegaal wapenbezit, het voorkomt niet eens moord. Maar als je moord en gepakt word dan is duidelijk welke straf er op staat. Daar is dat wetboek voor. Om iedereen te vertellen wat wel en niet acceptabel is en te straffen wanneer nodig.
Reageer
JoStad @Stoney3K16 april 2026 10:52
De app zal toch ook wel gebruik maken van een face scan? Sommige sites maken nu al gebruik van een face scan leeftijdscontrole.

[Reactie gewijzigd door JoStad op 16 april 2026 10:55]

Reageer
Stoney3K
@JoStad16 april 2026 10:53
En die is ook weer te dwarsbomen door een (afgedrukte) foto.
Reageer
JoStad @Stoney3K16 april 2026 10:57
Er wordt gebruik gemaakt van een korte video die ook wel checkt op een bewegend 3D hoofd.
Reageer
Mizgala28 @84hannes15 april 2026 14:44
Het is ook dat je hiermee vooral de mensen straft die zich al netjes aan de regels houden.

Mensen die dat niet doen vinden hun wegen wel, of het nou een porno site is, pakje vapes of een facebook/TikTok account als ze niet "oud genoeg" zijn.
Reageer
Ben5050 @Mizgala2815 april 2026 15:14
Sowieos moet je dit niet willen... ID of app waar je toegang moet gaan vragen. Its just a no go...

Vroeg of laat wordt het toch wel gehackt... Plus... cencuur op de loer.. Het is taak van ouders voor de kids op te voeden op internet
Reageer
bzuidgeest
@Mizgala2815 april 2026 16:25
Mensen die willen moorden doen dat ondanks de wet ook wel. Zullen we de wet tegen moord maar schrappen? Die voor verkrachting of alcohol verkopen aan minderjarigen?

Elke wet kan overtreden worden. Dat is geen reden om ze niet te hebben. Doen alsof dat voor vapes en wat dan ook anders is omdat jij het minder belangrijk vind is bizar. Het is gewoon niet hoe het werkt. Wil je het anders, dat kan. Vind medestanders en pas de wet aan.
Reageer
GertMenkel
@Olaf van der Spek15 april 2026 15:41
Als de verklaring inderdaad anoniem is en dus niet te herleiden, kan ik deze dan doorgeven / verkopen aan anderen?
Ja. Als jij geld wilt verdienen door tieners porno te laten kijken, kun je een dienst opzetten waarmee mensen naar je kunnen videobellen. Dan scan je hun QR-code, valideer je jouw leeftijd in hun sessie, en stuur je een tikkie.

In principe is dit systeem niet gebouwd om fraude op te sporen, eerder om een lage drempel op te werpen.

De wetgeving is hierin wel wat apart: vanuit de wet zou dit systeem optioneel moeten zijn, maar het is duidelijk uit de toon dat een aantal luide politici dat optionele niet zo zien zitten. Gelukkig kan iedereen boven of onder de 18 Googlen naar "gratis VPN".
Reageer
david-v @GertMenkel15 april 2026 17:27
Gelukkig kan iedereen boven of onder de 18 Googlen naar "gratis VPN".
Totdat die diensten ook verplicht eigen om leeftijdsverificatie te doen bij gebruik van VPN. Het is niet heel ingewikkeld voor een dienst om te weten of je een vpn gebruikt. Obfuscated vpn werkt sinds maart is volgens mij niet zomaar via een gratis vpn te krijgen denk ik. Bovendien is gratis vpn beperkt.
Reageer
R4gnax
@david-v15 april 2026 19:36
Of totdat VPN diensten een verplichting krijgen een leeftijdscontrole te doen.
Dat is de richting die nu het Verenigd Koninkrijk uit gaat.
Reageer
david-v @R4gnax15 april 2026 20:02
Ook een optie, maar technisch een stuk lastiger denk ik. Een VPN kan je ook inregelen op je router als volwassene, terwijl de rest van je huishouden er gebruik van maakt. Maar dan ben je als volwassene wel bezig om het een en ander te omzeilen, dus dan ligt de verantwoordelijkheid bij de ouders.

Het zet in ieder geval tot nadenken, dus ik ben heel benieuwd wat ze in het VK hiermee gaan doen.
Reageer
phoenix2149 @Olaf van der Spek15 april 2026 15:27
Als ze een halve hersencel hebben, hoop ik dat het binnen het platform, maar ook binnen de app werkt met een HASH. Waardoor een tweede registratie van leeftijd op hetzelfde platform niet mogelijk is.
Reageer
bzuidgeest
@phoenix214915 april 2026 16:26
Je kan zien hoe het werkt, het is een open source app. Je kan zelfs een issue aanmaken als je wil.
Reageer
david-v @Olaf van der Spek15 april 2026 15:32
Ik ga ervan uit dat de verklaringen in de app zitten en dat je die niet kan exporteren oid. Dat zal allemaal cryptografisch plaatsvinden waarbij de geldigheid ook verwerkt is in die verklaringen.
Maakt dit een smartphone verplicht of is er ook een optie voor mensen die het graag zonder smartphone doen?
Hele goeie vraag. Ik denk dat het vergelijkbaar zal zijn met DigiD. Dat kan je ook zonder app of mobieltje gebruiken, bijvoorbeeld gebruikersnaam + wachtwoord.
Reageer
R4gnax
@david-v15 april 2026 18:52
Ik denk dat het vergelijkbaar zal zijn met DigiD. Dat kan je ook zonder app of mobieltje gebruiken, bijvoorbeeld gebruikersnaam + wachtwoord.
DigiD heeft alleen met gebruikersnaam en wachtwoord werken al als verouderd te boek staan, en voor praktisch alles wat je op het platform doet moet je inloggen met gebruik van tenminste SMS 2FA.
Reageer
david-v @R4gnax15 april 2026 19:34
Klopt, en dat kan nog steeds zonder app of mobieltje. Een vaste telefoonnummer of een buitenlands nummer kan je ook gebruiken voor 2fa
Reageer
Hemingr 15 april 2026 14:35
En nu is het enkel nog afwachten tot het nieuwsartikel op tweakerts komt dat dit misbruikt is voor surveillance (private/public).

Ik geef het 24 maanden.
Reageer
84hannes @Hemingr15 april 2026 14:40
Zoals de CoronaCheck ook misbruikt is om te achterhalen wie naar welk restaurant ging? Want volgens mij was dat technisch niet mogelijk en is het nooit gebeurd.
Reageer
Stoney3K
@84hannes15 april 2026 15:19
Met CoronaCheck ging dit goed omdat een mens de toegang beheerde en geen server, en dat was by design op die manier ontwikkeld omdat je daarmee de privacy kon waarborgen, er worden dan geen gegevens uitgewisseld met een andere partij.

Als je die methode zou willen gebruiken voor de toegang van een website dan werkt dat sowieso niet, want dan moet de server van de website die gegevens hoe dan ook verwerken en koppelen aan een sessie of gebruiker. Je kan prima betrouwbare leeftijdsverificatie maken, maar dat kun je (door de eigenschap van leeftijdsverificatie) niet anoniem implementeren.
Reageer
thomas1907 @Stoney3K15 april 2026 16:36
Geeft deze app niet alleen een 'true' als de gebruiker boven de gewenste leeftijd zit?
De app deelt vervolgens aan online diensten of de bezoeker aan de leeftijdseis voldoet, maar geeft niet meer persoonsinformatie door aan de platforms
Hoe is dit dan niet net zo anoniem als nu? Als Tweakers jou gaat vragen om 18+ te zijn en alleen true krijgt te zien en dat verwerkt, hebben zij niet ineens in de gaten wie jij bent of waar jij woont. Of mis ik hier iets?
Reageer
Stoney3K
@thomas190715 april 2026 16:44
Op zichzelf zou dat zo moeten zijn, maar je moet dan wel een instantie hebben die controleert of dat ook werkelijk gebeurt, en of dat gegeven 'gebruiker 2375430 is 18+' niet ergens op de server van de website wordt gelogd en gekoppeld aan andere gegevens die ze van je hebben verzameld (zoals metadata over waar je op hun site hebt gesurft of geklikt).

Want een 'gebruiker is 18+' is wel een persoonsgegeven wat ze kunnen verkopen aan adverteerders, en hoe specifieker de gegevens van iemand die ze kunnen verkopen, hoe meer ze waard zijn.
Reageer
ApexAlpha @84hannes15 april 2026 15:34
Op welke manier kon de CoronaCheck app digitaal gebruikt worden? Volgens mij was dat enkel fysiek om te tonen dat je er fysiek mocht zijn.

Dit vergelijken met een app die jouw verifieert online, over het internet is echt appels en peren.
Reageer
supersnathan94
@84hannes15 april 2026 16:11
Huh? CoronaCheck was een applicatie die je aan de deur moest laten zien. De QR code is by design Read only en dat kon je met iedere QR scanner zelf checken.

ik snap je punt en is ook zeker een valide argument, maar daar kón dat by design gewoon niet. Hierbij is het technisch zeker mogelijk.

En aangezien de boel ook door andere overheden te maken is en er naar het lijkt een soort open source variant van komt (ik dacht dat dat de bedoeling was, juist zodat men het kon checken?), het is wachten totdat een dergelijk iets als hacked proxy bruikbaar is.
Reageer
baseoa @84hannes16 april 2026 11:41
Het verschil met de covid-apps is dat je de kon draaien op een opensource toestel. Ik heb die app toen gebruikt zonder problemen en getest bij zo'n waarschuwing

Bij deze nieuwe app voorzie ik buitengesloten te worden van sites als Reddit en Tweakers die willen checken of je wel 13+ c.q. 18+ bent, in ieder geval voor je mag deelnemen aan de sociale aspecten maar ook bijvoorbeeld op subreddits waar je vragen over seks kan stellen (die zijn NSFW-gemarkeerd en dus moet je op "ik ben 18+" klikken). Misschien moet ik een tweede toestel nemen en die de originele software laat draaien en me laten tracken door Google en co. Heerlijke nieuwe tijd waar overzeese macht tegelijkertijd geweerd en verplicht gesteld wordt

[Reactie gewijzigd door baseoa op 16 april 2026 11:43]

Reageer
darknessblade @Hemingr15 april 2026 14:56
Of dat de officiele "Age verification app" van de EU een databreach heeft binnen 2-6 maanden van release, en de EU dit onder de mat probeert te vegen.

EDIT: het heeft niet eens 48 uur geduurt voordat mensen al "privacy problemen" hebben gevonden met de "Officiele app"

https://x.com/Paul_Reviews/status/2044436001611801072

[Reactie gewijzigd door darknessblade op 16 april 2026 12:45]

Reageer
david-v @darknessblade15 april 2026 15:23
En wat is precies de datalek? Die zal dan net zo vaak voorkomen als de datalekken bij DigiD.

Belangrijkste lijkt mij dat deze applicaties, wie het ook bouwt, opensource moeten zijn. Een dergelijke closed source app zou ik niet zomaar gebruiken denk ik.
Reageer
darknessblade @david-v15 april 2026 16:45
Mischien even kijken naar de datalekken rondom discord

nieuws: Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn.
Reageer
david-v @darknessblade15 april 2026 16:56
Mijn voorbeeld ging over DigiD, niet over een platform die precies doet wat we hiermee willen voorkomen, namelijk te pas en te onpas opslaan van ID gegevens.
Reageer
darknessblade @david-v16 april 2026 12:46
Bedoel je dingen zoals Selfies, als je het process van de "EU approved app" niet volledig volgt of op "terug drukt"

https://x.com/Paul_Reviews/status/2044436001611801072
Reageer
david-v @darknessblade16 april 2026 13:17
Goed om te weten en wellicht ook melden zodat het opgelost kan worden. Als gebruiker kan je de cache legen en de selfie verwijderen, maar dat is meer een lapmiddel. Bedankt voor het delen van deze info.
Reageer
GertMenkel
@darknessblade15 april 2026 15:36
De data van de app staat op je telefoon. Als je telefoon gehackt is, heeft iedere app een "datalek".

De data komt van DigiD/het BRP. Als DigiD/het BRP een datalek heeft, maakt het niet uit of je de app gebruikt, of dat hij ooit wel of niet gemaakt zou zijn.

[Reactie gewijzigd door GertMenkel op 15 april 2026 15:36]

Reageer
Loller1 @Hemingr15 april 2026 14:52
Ja, deze onzin hebben we een dikke 5 jaar geleden ook te lezen gekregen hier in de comments. Nooit iets van terecht gekomen.

Daarbij; waarom zouden bedrijven/mensen dit überhaubt gebruiken? Je computer en smartphone laten al meer dan zat genoeg vingerafdrukken achter, er zijn veel simpelere manieren om je leeftijd te bepalen.
Reageer
david-v @Hemingr15 april 2026 15:18
Daar hoef je niet op te wachten hoor. Meta, Google. Apple enz weten dit al jaren en die gebruiken de informatie om profielen aan te maken en je advertenties de strot door te duwen.
Reageer
GertMenkel
@Hemingr15 april 2026 15:35
Precies, net als dat de DigiD-app je locatie live naar de AIVD stuurt!

Er zit jaren werk achter dit systeem en de hele API is ontwikkeld om privacyvriendelijk te zijn. Mocht je er een fout in hebben ontdekt die surveillance mogelijk maakt dan hoor ik het graag, maar dit soort samenzweringstheorieën zijn nergens voor nodig.
Reageer
venqwish 15 april 2026 14:42
Wat met de centrale partij die de checks doet? Die kan dan bijhouden waar je je allemaal aanmeldt? Daar vind ik niet meteen iets van terug en dat baart me nog het meeste zorgen eigenlijk. Voor profilering / data leaks / ...
Reageer
xFeverr @venqwish15 april 2026 15:08
Er is geen centrale partij die de checks doet. Je app geeft een credential aan de aanvragende partij (de website die de leeftijdcontrole uitvoert) en die kan jouw credential zelf controleren of het een geldige credential is. Zonder daar ooit de uitgever van de credential (onze overheid) op de hoogte te stellen.

Net zoals een medewerker aan de kassa zelf mijn ID-kaart zou kunnen controleren adhv de echtheidskenmerken zonder de gemeente te moeten bellen. Alleen krijgt die medewerker nu een ID-kaart met alleen '> 18' of niets. Met echtheidskenmerken.
Reageer
venqwish @xFeverr15 april 2026 15:26
Ok sorry, verkeerd gevraagd dan :). Ik bedoel dat je app weet aan wie allemaal die credentials worden uitgedeeld. De app kan dus perfect in kaart brengen waar ik allemaal mijn leeftijd wil verifiëren. Daarmee kan de app (en de aanbieder van de app) je surfgedrag in kaart brengen, monetisen, lekken, ... Daar lijkt me echt een bindende clausule nodig dat dat niet kan en mag gebeuren, of is dit technisch afdwingbaar? Dat lijkt me niet vandaag, daarom de vraag.
Reageer
3raser 15 april 2026 15:10
Werkt 1 app voor de leeftijdsverificatie van alle diensten of moet je straks per dienst een aparte app downloaden? In dat laatste geval voorzie ik een enorme wildgroei aan apps met daarbij behorende beveiligingsproblemen (zoals malafide apps). Of je krijgt straks 1 grote speler die zijn dienst verkoopt aan derden en daarmee (te) dominant wordt betreffende dit soort checks.
Reageer
ShadLink @3raser15 april 2026 15:26
Nee, de dienst en apps staan los van elkaar. Zolang ze maar hetzelfde protocol gebruiken wat de EU ontwikkeld heeft.
Reageer

Om te kunnen reageren moet je ingelogd zijn