Online liegen over je leeftijd wordt mogelijk een stuk lastiger

Welke gen Z'er is er niet groot mee geworden: bij het registreren op sites een leeftijd van boven de achttien invullen of een vinkje aankruisen om plechtig te beloven volwassen te zijn. De meeste kinderen hebben tegenwoordig heel goed door dat ze online nooit moeten toegeven dat ze nog minderjarig zijn, want wie weet mogen ze dan een site niet op of krijgen ze een beperkte versie van een app voorgeschoteld.

Het online liegen over de eigen leeftijd was jarenlang supermakkelijk en amper een ongemak, maar daarin lijkt nu verandering te komen. Deze zomer verschijnt er een officiële leeftijdsverificatieapp voor Europese burgers. Het is de bedoeling dat het daardoor voor leeftijdsgebonden diensten eenvoudiger wordt om de leeftijd van gebruikers te controleren. Dat gebeurt dan niet via een simpel vinkje, maar met betrouwbaardere methodes, zoals een ID-kaartcontrole.

Dat betekent dus dat we nu mogelijk aan de dageraad staan van striktere online leeftijdscontroles. Op goksites is het nu al moeilijk om als minderjarige een account aan te maken, maar dat gaat wellicht op korte termijn ook gelden voor pornosites of sites waarop alcohol en tabak worden verkocht. Mogelijk wordt een online leeftijdscontrole ook verplicht voor achterafbetaaldiensten.

Hoe zijn we op dit punt gekomen?

Een strikte leeftijdscontrole om toegang te krijgen tot online sites of diensten is niet helemaal nieuw. Google begon vijf jaar geleden bijvoorbeeld al met een relatief strenge leeftijdscontrole voor YouTube-gebruikers van wie de leeftijd niet kon worden vastgesteld. Als ze leeftijdsgebonden video's willen kijken, moeten ze sindsdien hun ID-kaart of creditcard delen met het bedrijf.

Ook op wetgevingsgebied wordt er al langer gesproken over de invoering ervan. In 2016 kwam het Verenigd Koninkrijk als eerste democratische land met een wetsvoorstel waardoor pornowebsites verplicht zouden worden om minderjarige gebruikers te weren door middel van een robuuste leeftijdscontrole. Het duurde uiteindelijk tot 2023 voordat de wet waarmee dergelijke leeftijdsverificatie werd verplicht er ook daadwerkelijk kwam. Sinds juli 2025 riskeren pornosites in het VK een boete of zelfs een totaalverbod als ze geen robuuste leeftijdscontrole hebben geïmplementeerd.

Als er één democratisch schaap over de dam is, volgen er meer. In 2022 liet de Europese Commissie weten dat er een gestandaardiseerd online leeftijdsverificatiesysteem voor sites en diensten moet komen. Hoewel sommige platforms onder bepaalde EU-wetten al verplicht waren om de leeftijd van gebruikers te controleren, was de gebruikte methode volgens de EC vaak ineffectief. Het onderzoek naar een systeem dat wél effectief is, viel samen met een Europees plan om een digitaal identiteitsbewijs in te voeren voor Europese burgers, dat uiteindelijk in 2024 werd aangenomen.

Dit digitale ID-bewijs moet, naast andere persoonlijke documenten, worden opgeslagen in een digitale 'wallet', waarmee Europeanen zich zonder fysieke papieren in de EU kunnen identificeren, zowel online als offline. Hiermee wordt het onder andere ook mogelijk voor gebruikers om online hun leeftijd te verifiëren als platforms dat van ze vragen.

Tussenstap: leeftijdsverificatieapp

De implementatie van zo'n allesomvattende digitale wallet verloopt met een tussenstap, bleek eerder dit jaar. Zoals gezegd verschijnt er binnenkort eerst een losse leeftijdsverificatieapp. Daarmee kunnen gebruikers hun leeftijd op online platforms verifiëren, maar meer niet. Als ze de app installeren, kunnen ze hun leeftijd bewijzen via een eID-methode (zoals een eID-kaart of DigiD), een ID-kaart-/rijbewijs-/paspoortscan of een koppeling met een bank. Als sites bezoekers vervolgens vragen om een leeftijdscheck, kunnen ze ervoor kiezen om daarvoor de verificatieapp te gebruiken. Platforms mogen dit bewijs vervolgens opslaan in het gebruikersaccount, zodat gebruikers niet telkens als ze de site of dienst bezoeken opnieuw hun leeftijd hoeven te verifiëren.

Het is de bedoeling dat websites en apps die de leeftijd van gebruikers opvragen, zo min mogelijk persoonlijke informatie ontvangen. Ze krijgen via de app te zien of een gebruiker aan de leeftijdseis voldoet, zonder dat daarbij andere gegevens worden verstrekt. Dat werkt vooralsnog als volgt: als gebruikers hun leeftijd in de app verifiëren, worden er in één keer dertig digitale leeftijdsverklaringen uitgegeven. Iedere keer dat ze online hun leeftijd controleren met de app, geven ze een van de verklaringen aan het platform in kwestie. Dat platform ziet of de gebruiker aan de leeftijdseis voldoet, maar krijgt verder geen informatie. Nadat de dertig leeftijdsverklaringen allemaal zijn gebruikt, moet de leeftijd opnieuw geverifieerd worden via de app en krijgen gebruikers weer dertig nieuwe leeftijdsverklaringen. Ook drie maanden na de laatste verificatie moeten ze nogmaals hun leeftijd verifiëren.

De EU 'overweegt' om zero-knowledge proof te gaan gebruiken als alternatief voor deze batchuitgiftes. Daarbij hoeven Europeanen de leeftijdsverklaring niet af te geven aan de dienst, maar krijgt deze enkel te horen dat ze al dan niet voldoet aan de leeftijdseis. Hierbij krijgt de dienst dus helemaal geen data van de gebruiker in bezit, wat zero-knowledgeproof net wat privacyvriendelijker maakt.

Verder worden de persoonlijke gegevens en opgeslagen documenten volgens de EU lokaal in de app bewaard en zijn ze dus alleen toegankelijk voor de gebruiker. Wel weet de overheid dát jij via de app een leeftijdsbewijs hebt aangemaakt. Voor de verwerking van cryptografische data maakt de iOS-app gebruik van Secure Enclave, en de Android-versie van de Trusted Execution Environment en Strongbox. De EU belooft dat de app voldoet aan de Europese AVG-wetgeving.

De app wordt grotendeels openbaar gebouwd en op GitHub verschijnen regelmatig bèta's van de whitelabelversie voor Android-toestellen. Wel bieden die alleen basisfunctionaliteiten. Het daadwerkelijk verifiëren van de leeftijd is bijvoorbeeld nog niet mogelijk en er zijn ook nog geen beveiligingsmaatregelen geïmplementeerd.

De whitelabelversie moet in juli af zijn. Later deze zomer moeten de eerste lidstaatspecifieke implementaties klaar zijn. Het gaat in eerste instantie enkel om Frankrijk, Denenmarken, Italië, Spanje en Griekenland. Wanneer andere landen hun app uitbrengen is nog onduidelijk.

Identiteitswallet

Het is de bedoeling dat de leeftijdsverificatieapp eind 2026 alweer wordt vervangen door de identiteitswallet. Die eerste is dan ook niets meer dan een uitgeklede versie van deze EUDI-wallet, bedoeld om lidstaten meer tijd te geven om hun implementatie van de wallet te voltooien.

De leeftijdsverificatieapp is een fork van de walletapplicatie; met die laatste kunnen gebruikers op vrijwel dezelfde manier hun leeftijd verifiëren en bewijzen delen met online diensten. Wel biedt de wallet daarnaast nog veel meer functies. Zo worden hierin ook persoonlijke documenten en identificatiebewijzen opgeslagen. Gebruikers kunnen daardoor bijvoorbeeld via de app hun rijbewijs delen met online autoverhuurders, hun diploma's met een universiteit en reisdocumenten met de douane. Volgens de Europese Unie is dit sneller en veiliger dan als ze deze informatie per dienst moet aanleveren.

Doordat er in de identiteitswallet een hoop persoonlijke informatie en documenten worden opgeslagen, is het wel vereist dat gebruikers zich eerst registreren. Dat is bij de verificatieapp niet nodig. De EU belooft dat deze wallet een tandje privacyvriendelijker wordt dan de tijdelijke oplossing, aangezien hierbij het feit dat je een wallet aanmaakt ook lokaal wordt vastgelegd en dus niet zichtbaar is voor de overheid. De overheid zou dus in het geheel niet moeten weten wie deze applicatie gebruikt. Vooralsnog maakt ook de EUDI-wallet echter ook geen gebruik van zero-knowledgeproof. In de documentatie geeft de EU dan ook toe dat niet geheel kan worden uitgesloten dat documentverstrekkers, zoals overheidsinstanties, kunnen achterhalen met welke diensten de gebruiker deze documenten deelt.

Net als bij de leeftijdsverificatieapp maakt iedere lidstaat een eigen applicatie op basis van de whitelabelversie. Deze moet voldoen aan de voorwaarden van het Architecture and Reference Framework. De Nederlandse implementatie is de NL Wallet. De werking van de app is te zien op Figma. In 2022, toen bekend werd dat deze wallet er zou komen, schreef Tweakers er al een uitgebreid artikel over. In België is er al een officiële walletapp uitgebracht: MyGov. Momenteel kunnen gebruikers via deze app persoonlijke documenten inzien; vanaf 2026 is de digitale ID-kaart ook geldig als identificatiemethode.

(Privacy)zorgen

Niet iedereen is het eens met robuustere online leeftijdscontroles voor 18+-diensten. Tegenover de NOS stellen verschillende experts bijvoorbeeld dat een dergelijk leeftijdsverificatiesysteem er niet voor gaat zorgen dat jongeren minder porno gaan kijken. Ze zullen naar verwachting proberen om de controle te omzeilen, bijvoorbeeld via een vpn. "Dan komen ze juist in het illegale circuit terecht, waar geen enkele regulatie is voor wat er te zien is", zegt Harry Hol van kenniscentrum Bureau Jeugd & Media tegen de omroep. "Dan heb je het over kinderporno, martelingen en meer."

Ook vanuit de privacyhoek klinkt er kritiek. De Amerikaanse digitaleburgerrechtenorganisatie Electronic Frontier Foundation noemt het bijvoorbeeld zorgelijk dat de EU de implementatie van zero-knowledgeproof niet als vereiste ziet tijdens de ontwikkeling van de wallet. Ook vindt de organisatie dat de EU ervoor moet zorgen dat niet iedere dienst zomaar gegevens van de gebruiker mag opvragen. In eerste instantie was het de bedoeling dat platforms dergelijke dataverzoeken moeten registreren, maar deze verplichting is later teruggedraaid. Deskundigen die NU.nl sprak zijn ook kritisch op de privacyvriendelijkheid van het plan. Ze benadrukken het belang dat er geen achterdeurtjes worden ingebouwd, die de opgeslagen gegevens toch toegankelijk zouden maken voor de appbeheerder en andere diensten.

Verder wordt het 'glijdende schaal'-argument vaak aangehaald: blijft het hierbij of is dit slechts het begin van striktere onlineregulering? In Australië is het overheidsbeleid voor onlinediensten in korte tijd bijvoorbeeld zeer streng geworden. In dat land treedt later dit jaar een algeheel socialemediaverbod in werking voor inwoners die jonger zijn dan zestien jaar. Dat moeten de platforms eveneens handhaven met een robuuste leeftijdsverificatiemethode. Onlangs kwam Australië met nieuwe regels waardoor ook zoekmachines als Google en Bing de leeftijd van gebruikers moeten verifiëren.

Niet verplicht

Belangrijk om hierbij te vermelden: het gebruik van de apps wordt niet verplicht, zowel voor de gebruiker als voor sites en diensten. Het is slechts een optie voor platforms die de leeftijd van gebruikers betrouwbaar moeten controleren. Legale goksites maken nu bijvoorbeeld al gebruik van eigen verificatiemethodes, waarbij bezoekers bijvoorbeeld zelf een foto van hun ID-kaart of paspoort moeten delen. Deze sites mogen deze methodes behouden, maar mogen gebruikers daarnaast ook de optie geven om hun leeftijd via de leeftijdsverificatieapp of digitale wallet te controleren.

Veel pornosites tonen momenteel nog eenvoudige pop-upmeldingen met de vraag of gebruikers achttien jaar of ouder zijn, maar daarin komt binnenkort mogelijk verandering. Onder de Europese Digital Services Act moeten de grootste websites met pornografische inhoud (Pornhub, Stripchat, XVideos en XNXX) er genoeg aan doen om het gebruik door minderjarigen tegen te gaan. De EU onderzoekt nu of de huidige pop-ups daarvoor voldoende zijn.

Als dat niet het geval blijkt, kunnen de pornosites ervoor kiezen om de EUDI-wallet te integreren als verificatiemethode, maar het staat deze platforms ook vrij om zelf een robuuste leeftijdscheck in te bouwen. Dat we straks vaker online onze leeftijd moeten gaan verifiëren zit er dik in, maar of de leeftijdsverificatieapp daarin een rol van betekenis gaat spelen valt dus nog te bezien.

_{Redactie: Kevin Krikhaar Eindredactie: Marger Verschuur}