Door Arnoud Wokke

Redacteur Tweakers

Feedback • 30-07-2025 14:30 223

Gaat de EU echt een Google-account verplichten in app voor 18+-verificatie?

30-07-2025 • 14:30

223

tekst

Bij dit verhaal staat geen submitter, zoals we de mensen noemen die ons tips sturen. We baseren veel van ons nieuws op die tips. Jammer genoeg kunnen we in onze backend geen tipgever toevoegen bij een achtergrondverhaal als dit, want afgelopen week hebben veel mensen ons getipt over dit onderwerp. Dus aan iedereen die dit getipt heeft: dankjewel, zonder jullie tips was dit verhaal er niet gekomen. Door deze tips weten we dat veel lezers dit een belangrijk onderwerp vinden.

Server upgrades 31 aug: Athena naakt
Serverupgrades 31 aug: Athena naakt

Stel dat Tweakers een pornosite was geweest, dan hadden we wellicht willen verifiëren of al die lezers en tipgevers boven de 18 waren. Gelukkig gaan we dat niet doen: het enige naakt dat wij posten is naakte moederborden (en geef toe, dat is verdraaid sexy, vind je niet?) en het is geen probleem als minderjarigen daarnaar kijken.

Die leeftijdscontrole is nu niet gestandaardiseerd, maar dat komt wél. Daarover hadden we een paar weken terug een uitgebreid artikel. Dit artikel gaat over een klein detail: het lijkt erop dat de app die de Europese Commissie ontwikkelt om te verifiëren dat je 18+ bent, een Google-account gaat vereisen en dat de app dus niet gaat werken op iets anders dan een Android-telefoon met Google-diensten. Ben je gebruiker van /e/OS of GrapheneOS? Dan zou je dus buiten de boot vallen, zo lijkt het. Maar klopt dat wel? Nee.

De Europese app voor leeftijdsverificatie

Europese app voor leeftijdverificatie, demo juli 2025
App voor leeftijdsverificatie

Het volledige verhaal over deze app kun je vinden in ons artikel van een paar weken geleden, maar in het kort: in 2022 liet de Europese Commissie weten dat er een gestandaardiseerd online leeftijdsverificatiesysteem voor sites en diensten moet komen. Het onderzoek naar een goed werkend systeem viel samen met een Europees plan om een digitaal identiteitsbewijs in te voeren voor Europese burgers, dat uiteindelijk in 2024 werd aangenomen.

Dit digitale ID-bewijs moet, naast andere persoonlijke documenten, in een digitale 'wallet' komen, waarmee Europeanen zich zonder fysieke papieren in de EU kunnen identificeren, zowel online als offline. Hiermee wordt het onder andere ook mogelijk voor gebruikers om online hun leeftijd te verifiëren als platforms dat van ze vragen.

Het duurt echter nog even voordat die wallet er is. Daarom verschijnt er binnenkort eerst een losse leeftijdsverificatieapp. Daarmee kunnen gebruikers hun leeftijd op online platforms verifiëren, maar meer niet. Als ze de app installeren, kunnen ze hun leeftijd bewijzen via een eID-methode (zoals een eID-kaart of DigiD), een ID-kaart-/rijbewijs-/paspoortscan of een koppeling met een bank. Als sites bezoekers vervolgens vragen om een leeftijdscheck, kunnen ze ervoor kiezen om daarvoor de verificatieapp te gebruiken. Platforms mogen dit bewijs vervolgens opslaan in het gebruikersaccount, zodat gebruikers niet telkens als ze de site of dienst bezoeken opnieuw hun leeftijd hoeven te verifiëren.

EU-leeftijdsverificatieapp
EU-leeftijdsverificatieapp

De controverse: de Google Play Integrity-api

De app staat op GitHub en moet snel klaar zijn. Dat is niet de app die Europeanen gaan gebruiken. Het gaat om een 'whitelabelapp', een blauwdruk waaromheen lidstaten zelf een app kunnen bouwen. Dat gebeurt in eerste instantie in een paar landen, maar nog niet in Nederland en België.

De documentatie vermeldt dat een toekomstige versie de functionaliteit krijgt dat een app de legitimiteit checkt via de Google Play Integrity-api. Die api is bedoeld om te checken of een app draait op onaangepaste software in lijn met de overeenkomst die Google sluit met fabrikanten van telefoons. Die api checkt dus of de telefoon geroot is en of de software op een andere manier is aangepast.

Google Play Integrity-api
Google Play Integrity-api

De Play Integrity-api is de opvolger van SafetyNet en is bijvoorbeeld bedoeld om piraterij van betaalde apps tegen te gaan of voor apps die gebruikmaken van drm. De api geeft een waarde terug en een app kan vervolgens zelf beslissen wat die met de informatie doet.

De integratie van deze api zou raar zijn in deze app om diverse redenen. Ten eerste maakt het de app afhankelijk van big tech en dat wil de Europese politiek juist níet. Met de Digital Markets Act is er wetgeving die probeert de macht van grote techbedrijven in te perken.

Ten tweede sluit het groepen van smartphones buiten. Veel mensen die hechten aan privacy draaien aangepaste firmware zoals /e/OS of GrapheneOS. Velen doen dat juist om minder afhankelijk te zijn van partijen als Google. Die groep is niet groot, maar zeker ook niet te verwaarlozen. Een leeftijdscontrole voor deze groep niet beschikbaar maken is onwenselijk: diensten van overheden moeten voor een zo groot mogelijke groep beschikbaar zijn. Bovendien is er een alternatief voor het gebruik van de api: de Key Attestation in Androids opensource project AOSP. Die functie hebben custom roms wél.

Wat is er aan de hand?

De oproer online is niet onopgemerkt gebleven, zegt Anna Seddigh in een vraaggesprek met Tweakers. Zij is medeoprichter van Scytáles, het bedrijf dat de app voor de Europese Commissie ontwikkelt, en spreekt mede namens de Europese Commissie. "Er komt geen verplichting om een api te gebruiken die gebonden is aan een platform; dat mag niet eens volgens de richtlijnen van de ontwikkeling van deze app."

Scytales: EU-leeftijdsverificatieapp
Scytáles: EU-leeftijdsverificatieapp

De app gaat de Play Integrity-api ondersteunen, maar niet als enige api. "De app moet het apparaat kunnen verifiëren en dat kan op diverse manieren. Dit is een whitelabelapp en dus kunnen apps die hierop gebaseerd zijn het apparaat verifiëren op meerdere manieren. De Play Integrity-api is er daar een van." De Key Attestation zal waarschijnlijk een andere worden.

Bovendien, zo claimt Seddigh, ontwikkelen het bedrijf en de Europese Commissie de app niet voor niets in het openbaar. "Dit proces is niet statisch en alle input is welkom." De Europese Commissie en het bedrijf werken aan een antwoord voor op GitHub.

Tot slot

Het is geruststellend dat de integratie van de Play Integrity-api zoveel stof doet opwaaien op GitHub, Reddit en ook onder lezers van Tweakers. Het toont aan dat genoeg mensen geven om de mogelijkheid om apps en diensten te kunnen gebruiken zonder afhankelijk te hoeven zijn van grote techbedrijven.

Nu kun je iets vinden van de integratie van de api, ook al is die niet verplicht. Zouden we Europese apps niet moeten maken met alleen open api's? Daar is iets voor te zeggen. Dat deze api verplicht zou zijn, zoals zoveel mensen leken aan te nemen, is echter in elk geval volgens het bedrijf achter de app en de Europese Commissie niet waar.

Redactie: Arnoud Wokke Eindredactie: Marger Verschuur

Lees meer

10 jul 2025

Online liegen over je leeftijd wordt mogelijk een stuk lastiger

220
Rabobank-app werkt niet meer op alternatieve Android-roms vanwege Integrity-api
Rabobank-app werkt niet meer op alternatieve Android-roms vanwege Integrity-api Nieuws van 13 augustus 2025
Politiek en recht Apps Europa Europese Commissie Leeftijd

Reacties (223)

-Moderatie-faq
223
220
101
6
0
101
Wijzig sortering

Sorteer op:

Weergave:
The Zep Man
30 juli 2025 14:38
Stel dat Tweakers een pornosite was geweest,
Hey, no kinkshaming. :+
De integratie van deze api zou raar zijn in deze app om diverse redenen. Ten eerste maakt het de app afhankelijk van big tech en dat wil de Europese politiek juist níet. Met de Digital Markets Act is er wetgeving die probeert de macht van grote techbedrijven in te perken.

Ten tweede sluit het groepen van smartphones buiten.
Er is nog een derde reden waarom dit raar is: het is niet nodig. Veel banken vereisen dit niet voor mobiel bankieren. Banken zoals ABN AMRO en N26 toetsen enkel (beperkt) of het toestel rootrechten heeft. Zo ja, dan staan ze geen biometrische authenticatie toe, maar verder blijven ze werken. Het weigeren van biometrische authenticatie kan je als gebruiker met een geroot toestel makkelijk omheen werken, maar zoiets is uiteraard op eigen risico.

DigiD vereist dit ook niet. Waarom zou een applicatie dat enkel een attribuut deelt over jouw leeftijd gebaseerd op een geverifieerde externe factor dit wel opeens vereisen?

Je wilt Android-applicaties juist met zo weinig mogelijk fabrikant-/leveranciersspecifieke API's maken zodat het zo breed mogelijk inzetbaar is. Als je het op de juiste manier ontwikkelt dan werkt het bijvoorbeeld op toestellen van Huawei, en natuurlijk op AOSP. Ook ben je zo voorbereid op eventuele toekomstige systemen die compatibel zijn met "standaard" Android-applicaties. Zo laat je de deur open voor alternatieven op Android, wat fijner is dan enkel een duopolie in stand houden en versterken.

[Reactie gewijzigd door The Zep Man op 30 juli 2025 20:16]

LOTG @The Zep Man30 juli 2025 17:36
Ik zie best veel problemen die niet zo snel opgemerkt lijken te worden. Het is niet alleen het probleem dat er een specifieke API word gebruikt en custom roms het leven zuur gemaakt word, maar het word voor nieuwe spelers op de markt steeds meer onmogelijk om überhaupt ooit nog tussen het Google/Apple duopolie te komen.

Zelfs al zou je als partij Android willen aanbieden maar niet met Google in zee willen gaan is het al bijna onmogelijk om een product aan te bieden wat voor de meeste gebruikers werkbaar is, laat staan de huis, tuin en keuken gebruiker.

Staat wel erg scheef op de wens minder van big tech en de VS afhankelijk te worden als we niet faciliteren dat dit ook mogelijk is en word.

Waarom word er niet gepushed om een standaard die onafhankelijk is van de vendors te creëren? Ook bank apps verplichten om die standaard te handhaven ipv wat Google en Apple zelf bedenken en tussen zitten.
Op deze manier gaan we nooit een alternatief mobiel OS, of überhaupt een Europees alternatief krijgen.
david-v @LOTG30 juli 2025 20:37
Volgens mij heb je de kern van artikel gemist.
De app gaat de Play Integrity-api ondersteunen, maar niet als enige api.

"Dit is een whitelabelapp en dus kunnen apps die hierop gebaseerd zijn het apparaat verifiëren op meerdere manieren. De Play Integrity-api is er daar een van."
Het biedt dus ondersteuning, maar het is niet verplicht. Ben je een app bouwer dan heb je de keuze om het wel of niet te gebruiken. Is dat slecht?

[Reactie gewijzigd door david-v op 30 juli 2025 21:35]

William_H @david-v31 juli 2025 14:20
Het gaat niet om de keuze voor de ontwikkelaar, maar de keuze voor de gebruiker. Als ze de App ontwikkelen en de Google API zit er als enige in de app, dan kun je met een alternatieve Android anders dan die door Google wordt aangeboden of die van je telefoonfabrikant, deze app niet gebruiken. Daar gaat de hele heisa over. Het beperkt de keuze voor de eindgebruiker. Maar zoals in het artikel wordt aangegeven, ontwikkelaars hebben een keuze, dus moeten we aanmoedigen dat ze de juiste keuze maken.
P_Tingen @William_H31 juli 2025 14:53
Ook jij mist het punt volgens mij: "De app gaat de Play Integrity-api ondersteunen, maar niet als enige api."

Nogmaals: niet als enige api
William_H @P_Tingen31 juli 2025 14:57
Ik schrijf toch ook dat de ontwikkelaars de keuze hebben (welke API ze gebruiken).

Maar ze moeten dan wel de juiste keuze maken. En dat is de open API gebruiken, en niet de gesloten API. De discussie/heisa gaat of de EU oplegt dat de whitelabelapp alléén de Google API gebruikt. Dat is zoals jij ook aangeeft niet waar, hij wordt ondersteund maar niet als enige. Maar (nationale) ontwikkelaars hebben nog wel de keuze om alleen de Google API te kiezen in hun definitieve app, daarmee custom ROMs niet ondersteunend want die kunnen de Google API niet laden.
lenwar
@The Zep Man30 juli 2025 15:21
Wat ik me kan voorstellen:

DigiD werkt online (tussen de app en de servers van DigiD). Daar zitten dus andere controles in. Als de app zit niet netjes gedraagd detecteert het DigiD systeem dit. Een app als dit heeft (na de ID-controle) geen online-component meer met de centrale servers. (een beetje als de corona-apps. Die werkten ook offline, wanneer ze eenmaal bevestigd waren.)
bzuidgeest
@The Zep Man30 juli 2025 16:54
Waarom zou een applicatie dat enkel een attribuut deelt over jouw leeftijd gebaseerd op een geverifieerde externe factor dit wel opeens vereisen?
Omdat er iemand even niet stil gestaan heeft bij de gevolgen. Shit happens in elk ontwikkel proces. Gelukkig is het proces van ontwikkeling openbaar en tonen ze zich bereid om aan te passen. Niets aan de hand dus. De regels stellen gewoon dat de app voor iedere burger bruikbaar moet zijn. Dat ze de ondersteuning voor zo een api toevoegen is geen probleem, maar het zal gewoon een optie zijn.
kodak @The Zep Man30 juli 2025 20:48
Een bank hoeft in de app geen leeftijd te verifieren. Dat is namelijk al gedaan. De apps controleren vooral of de gebruiker wel voldoende gegevens verstrekt waardoor men kan aannemen dat ze met de juiste gebruiker te maken hebben.

Het feit dat ze daarvoor geen leeftijdsverificatie van bijvoorbeeld google gebruiken is omdat die functionaliteit niet nodig is. Maar het nieuws gaat juist om de vraag wat gebruikt gaat worden als die wel nodig is. En dan kunnen we natuurlijk stellen dat het ook zonder kan, maar dat zal niet zomaar gebeuren als het ontwikkelaars makkelijker of goedkoper lijkt. En dat staat lang niet altijd achter wensen als open ontwikkeling.
Kai Nickson 30 juli 2025 14:57
De app gaat de Play Integrity-api ondersteunen, maar niet als enige api. "De app moet het apparaat kunnen verifiëren en dat kan op diverse manieren. Dit is een whitelabelapp en dus kunnen apps die hierop gebaseerd zijn het apparaat verifiëren op meerdere manieren.
Ben ik cynisch als ik denk dat België die verschillende api opties naast zich neer gaat leggen en veel geld gaat betalen voor een app die gewoon enkel werkt ism google play services?

Het is leuk dat de referentieapp allerlei opties heeft en open is, maar het staat landen dus vrij zich daar niets van aan te trekken in hun implementatie?
koppie @Kai Nickson30 juli 2025 15:01
Dat is mijn angst ook in Nederland. Ze bellen Atos, Cap of dat nieuwe schoonmaakbedrijf (Sopra Steria) en laten die het implementeren door hun junior ontwikkelaars + CoPilot en klaar is kees.
MarnickS @koppie30 juli 2025 16:20
De CoronaCheck-app was ook gewoon op een nette manier ontwikkeld volgens mij. Alles was in ieder geval open source en hij was zelfs op F-Droid te krijgen.
koppie @MarnickS30 juli 2025 18:38
Ik was vanmiddag even cynisch. Je hebt gelijk, het is toendertijd behoorlijk transparant ontwikkeld. Dat geeft inderdaad wel hoop dat dit ook netjes wordt opgepakt.
dimdek @MarnickS31 juli 2025 09:17
Volgens mij was de Nederlandse coronaCheck-app niet via F-Droid te krijgen. Voor Duitsland is er wel een versie gekomen, maar ik weet zelfs niet of dat een officiële app was.
Guus Flater @MarnickS30 juli 2025 19:03
Bekijk "voor de grap" mijn linkje wanneer je tijd en zin hebt. En zeg dan nog eens hoeveel vertrouwen je hebt in een digitaal controlesysteem. Tegenwoordig is persoonlijke informatie over jou en mij (voor bedrijven) "goud" waard.

https://duckduckgo.com/?q=corona+datalek&ia=web

Ps: Ik wil jou niet aanvallen of afvallen, maar je mag best kritisch zijn wanneer het jou persoonlijke data betreft.
EraYaN @Guus Flater30 juli 2025 22:05
Maar wat heeft dat verder te maken met het wel of niet open zijn van het ontwikkel process?
Schway @Guus Flater31 juli 2025 00:13
Dat is het ggd admin systeem, dat is wat anders dan de corona app die ook openbaar is ontwikkeld
MarnickS @Guus Flater31 juli 2025 00:53
Absoluut, maar dat gaat om interne software bij de GGD waar medewerkers gebruik van maakten. Met de CoronaCheck-app was niets mis.
elmuerte @koppie30 juli 2025 16:04
Dit zou 100% de verantwoordelijkheid van Logius moeten zijn, en dus niet via uitbesteding maar 100% in-house met vast personeel. Dus geen drive-by developers.
david-v @koppie30 juli 2025 21:00
Atos? Ik denk dat je daar tegenwoordig heel weinig van kan verwachten :D.
LOTG @Kai Nickson30 juli 2025 16:53
Ik deel je gevoel hier over, maar als ik het artikel zo lees is het eigenlijk niet toegestaan dat te doen vanuit de EU.
"Er komt geen verplichting om een api te gebruiken die gebonden is aan een platform; dat mag niet eens volgens de richtlijnen van de ontwikkeling van deze app."
Ik denk dat het belangrijk is dat deze whitelabelapp dus al voorzien word van meerdere alternatieven.

Dat staat er ook al min of meer.
De Play Integrity-api is er daar een van." De Key Attestation zal waarschijnlijk een andere worden.
Ik weet niet wat dit verder met zich mee brengt qua infrastructuur vereiste zonder er verder in te duiken, maar als landen lui en goedkoop willen zijn ga ik er van uit dat de whitelabelapp doet wat het is en gewoon gerebadged word met alle functies die er standaard in zitten.
Joab9000 @Kai Nickson31 juli 2025 15:35
Zal dat niet gewoon ingebouwd worden in Itsme?
Yzord 30 juli 2025 14:41
En dan heb je daar ook meteen de reden waarom Samsung bijv. het rooten van zijn telefoons tegen houdt. En die trend zal doorgetrokken worden naar andere fabrikanten, want anders mogen ze hun devices niet meer verkopen, want gevaarlijk.

En ik blijf mij verbazen over de nonchalance hoe alles wordt uitgerold en wat dit teweeg brengt voor je privacy. Ik vind het allemaal maar eng zo'n digitale ID, want ik zeg altijd, alles wat digitaal is, kan gehackt worden. Tis tenslotte maar binaire code. En probeer me aub niet te overtuigen dat het allemaal wel mee zal vallen, want in zijn huidige vorm is een ID al fraudegevoelig en dat wordt met de digitalisering alleen maar erger.

Maar goed, we zullen wel weer zien wat er zoal mis kan gaan. Echte voordelen zie ik er niet van, maar daar zal ik vast wel op aangesproken worden.
bzuidgeest
@Yzord30 juli 2025 17:00
Je privacy zou moeten verbeteren in dit geval.

De app werkt als zero knowledge proof. Dus je kan bewijzen 18+ te zijn zonder gegevens te overhandigen. Niet aan de overheid en niet aan de partij die 18+ only is.

Dat is een verbetering tegenover bijvoorbeeld een ID of creditcard te moeten opgeven (en vaak nog meer).

Het word ook nog eens open ontwikkeld dus je hebt zicht en stuur als burger. Er is niets mis mee om alert te blijven, maar wanneer men een poging doet om het netjes te doen dan mag je dat ook wel eens erkennen.
R4gnax
@bzuidgeest30 juli 2025 19:11
De app werkt als zero knowledge proof.
Het is de bedoeling dat de volwaardige e-wallet app dit gaat doen. Maar de losstaande leeftijdsverificatie-app is een tussentijds lapmiddel en prototype en doet dit nog niet.

Deze intermediaire app maakt nog steeds gebruik van token-based claims verificatie technieken die met enige moeite en coordinatie tussen marktpartijen, jou als burger herleidbaar en volgbaar maken.

Feitelijk een soort van wettelijk opgedwongen super-cookie, ware het niet dat godzijdank het gebruik van deze pilot-app niet verplicht wordt. (Maar ja; digitale platformen gaan deze natuurlijk wel gewoon verplicht stellen. En als je niet er aan mee wilt doen, wordt je gewoon geweerd.)
Cyberpuppy @bzuidgeest31 juli 2025 08:54
Het fundamentele probleem is dat er links- of rechtsom 1 partij is (overheid of privaat) die op 1 plek alle informatie heeft en een log kan bijhouden van wat jij gedaan hebt. Site x bezocht, peuken gekocht, noem maar op.

Dus in plaats van dat ik aan iedere websitebeheerder zou moeten vragen of jij er ooit geweest bent, hoef je nu enkel in het centrale systeem te kijken.

En als het systeem er eenmaal is gaat het op heel veel plekken gebruikt worden. Spelletje spelen met een rating, filmpje kijken met een rating, en ga zo maar door.
bzuidgeest
@Cyberpuppy31 juli 2025 11:48
Nee dat is gewoon niet waar onder zero knowledge proof, de overheid krijgt dan geen informatie over waar jij bent geweest. Als je denkt van wel dan moet je het principe van zero knowledge proof nog een keer nalezen.

Dat fundamentele probleem dat jij noemt is gewoon een opgelost probleem. En dus niet fundamenteel.

[Reactie gewijzigd door bzuidgeest op 31 juli 2025 11:49]

William_H @bzuidgeest31 juli 2025 14:24
Probleem is alleen dat deze app waarover nu gesproken is nog helemaal niet zero knowledge is.

Dat is wel het idee met de opvolger, het eID. Maar dus nog niet met deze tussenapp.
bzuidgeest
@William_H31 juli 2025 15:33
Zover ik lees gaan ze dat ook al doen met deze app. De partij de verifieert dat je 18+ bent krijgt niet te horen waar je die verificatie gebruikt en de site krijgt alleen een ja of nee.

https://digital-strategy.ec.europa.eu/en/news/commission-makes-available-age-verification-blueprint
William_H @bzuidgeest31 juli 2025 15:51
Dat klopt, maar dat is niet de definitie van Zero Knowledge. Daar moet de aanbieder van de verificatie-app ook niet weten/onthouden waar er een verzoek vandaan komt. En dit gebeurt middels bepaalde versleuteling/keys.

Dat gebeurt niet met deze app.

[Reactie gewijzigd door William_H op 31 juli 2025 15:51]

bzuidgeest
@William_H31 juli 2025 16:00
Ik zie nergens staan dat de overheid, wat ik als de aanbieder zie, weet waar het verzoek vandaan komt.
William_H @bzuidgeest31 juli 2025 17:03
In een eerder artikel, en in de comments daaronder, is al uitgelegd dat deze specifieke app geen Zero Knowledge heeft. Mede omdat de app z'n requests die het behandeld niet beschermt met randomized keys.
bzuidgeest
@William_H31 juli 2025 17:41
Maar dat is niet hetzelfde als dat de overheid dan maar elke site ziet die je bezoekt.
R4gnax
@bzuidgeest31 juli 2025 19:22
Maar wel hetzelfde als dat het door iemand die er een kleine moeite in wil steken, in theorie redelijk herleidbaar is.

De aanval hierop is in theorie al aangetoond, vziw. De huidige mitigatie in de leeftijdsverificatie blauwdruk-app hiertegen is om 30 tokens per keer op te vragen en deze randomized over tijd uit te geven op een manier die traceerbaarheid bemoeilijkt. Maar dat is schijnbaar ook niet dekkend. Het maakt het alleen irritanter/moeilijker en ontmoedigt partijen het te proberen. (Totdat je als persoon interessant genoeg wordt; uiteraard.)

[Reactie gewijzigd door R4gnax op 31 juli 2025 19:23]

William_H @R4gnax31 juli 2025 21:28
Jij beschrijft het inderdaad beter dan dat ik het beschreef. Die tokens (keys zoals ik ze noemde) worden inderdaad uitgegeven. Maar als dat ook niet genoeg randomized is, of als het algoritme daarachter niet een random genoeg output geeft, valt je bezoek van een bepaalde site inderdaad na te gaan. En zo zijn er nog wel meer aanmerkingen op het model van deze app qua beveiliging en privacy.
nubis99 @bzuidgeest31 juli 2025 13:31
Hier zit de grote maar aan dat je er dan dus maar van op aan moet gaan dat marktpartijen (die die wallet moeten gaan bouwen) en overheden die informatie niet toch heel erg graag willen hebben. Je ziet het nu in de VK met hun leeftijdsverificatie, en ook met platforms zoals Tea. Je vraagt heel erg veel vertrouwen in overheden en marktpartijen terwijl je eigenlijk geen enkele manier hebt om dit te controleren of te verifiëren (voor een leek dan, we hebben niet allemaal even veel verstand van cryptografie)


Daarnaast vraag ik me ook af wie dadelijk gaat bepalen wat wel en niet achter een login komt te liggen. Vervangen van Digid lijkt mij prima, maar er zitten volgens mij ook wat nadelen aan het breder inzetten van zo'n centraal punt van "waarheid". (ook lekker makkelijk te hacken, één punt en je kan meteen voor 18 mil. mensen een malafide lening aanvragen)

In het VK loopt op dit moment bijvoorbeeld een rechtzaak tegen Wikipedia omdat bepaalde artikelen volgens de Britse overheid niet geschikt zouden zijn voor kinderen of misinformatie aanbieden. Terwijl Wikipedia één van 's werelds meest betrouwbare bronnen van informatie is (en wat betreft kindvriendelijkheid, moeten kinderen hun informatie van vage websites halen omdat het onderwerp "toevallig" gevoelig ligt? Toch liever dat ze dan bij Wikipedia terecht kunnen lijkt mij). Om nog maar niet te spreken over wat overheden zoals bijvoorbeeld Hongarije zouden kunnen met een dergelijk middel.

[Reactie gewijzigd door nubis99 op 31 juli 2025 13:34]

bzuidgeest
@nubis9931 juli 2025 15:26
Als een leek hoef je dit niet te controleren. Dit ding word nagekeken door iedere white hat hacker, analist, privacy activist. Etc.

Het word open source ontwikkeld, iedereen kan het nakijken, iedere afgeleverde versie van de app zal door wantrouwende of nieuwsgierige mensen uit elkaar worden gelicht.

Alles wat niet door de beugel kan word onmiddellijk groot belicht.

Het vk is uit de eu en doet dingen nu anders, maar dat is niet ons probleem. Wij kunnen gewoon wel goed doen.

En wat er wel of niet achter een login komt te liggen veranderd niet, dat is nu al aan de site eigenaar en dat blijft zo. De app gaat de site alleen vertellen dat je 18+ bent. Daar is op de site geen account voor nodig. En als de site dat wel eist ga je naar een andere.
nubis99 @bzuidgeest31 juli 2025 20:35
Ik denk dat je een goed punt hebt m.b.t. het "activisitische vangnet" om het zo maar even te noemen. Lijkt me alleen sterk dat dat verdere controledrang tegen houdt.

En het gaat er nog geeneens om dat dingen achter die login liggen, als je zo'n wallet goed optuigt door bijvoorbeeld credentials alleen versleuteld op het device op te slaan, validatie alleen te doen door het afgeven van een certificaat naar de wallet-app, niet de info daarbinnen, dat soort zaken. Volgens mij is dit op dit moment echter niet de insteek. (Kan ik me in vergissen, ik heb ook maar even vluchtig de architectuurplaat bekeken. Dit hele gedoe is voor mij pas vrij recent op de radar gekomen)

Het gaat mij er meer om dat overheden op dat moment ook een directe poortwachtersrol aannemen op een centrale manier i.p.v. dat dit alleen door het kanaal "wetgeving" als sturende kracht gebeurd. Ik heb een hekel aan "slippery slope" argumenten, maar ik denk ook dat je het machthebbers nooit te makkelijk moet maken. Ik zie dit als een enorme vergemakkelijking van informatiebeheersing met een groot risico voor misbruik.
bzuidgeest
@nubis991 augustus 2025 10:42
De overheid heeft gewoon een directe poortwachter rol. Die hebben ze door wetgeving. Der overheid heeft een uitvoerende tak die toeziet op de uitvoering van wetgeving. Voor alcohol moet je ook kunnen identificeren. Dat het online nog niet noodzakelijke was of geen goede oplossing had is gewoon een blamage. Dit had eeuwen geleden al opgelost kunnen zijn. En het voegt niets toe aan de takken die de overheid niet al had. Ze gaan ze alleen beter uitvoeren.
nubis99 @bzuidgeest6 augustus 2025 16:06
Ergens heb je hier natuurlijk een punt. Alleen vindt ik het nogal een verschil of een overheid bijvoorbeeld alcohol reguleert t.o.v. de toegang tot informatie. Nu ben ik misschien ook wel gewoon gewend dat het internet wat meer het wilde westen is, maar het voelt toch niet helemaal lekker om die controle dan op deze manier te pakken. Hoe dan wel is natuurlijk de vraag. Maar mij lijkt dat een groot gedeelte van het internet achter een nationaal/supernationaal "kinderslot" zetten misschien wat ver gaat.
bzuidgeest
@nubis997 augustus 2025 13:44
Alleen vindt ik het nogal een verschil of een overheid bijvoorbeeld alcohol reguleert t.o.v. de toegang tot informatie.
Dat hebben veel mensen omdat informatie verbieden natuurlijk een negatief effect kan hebben. Echter ik vind het belangrijk te wijzen op het feit dat toegang niet verboden word, de "informatie" word alleen beperkt tot mensen met de leeftijd om die goed te kunnen verwerken (of dat hopen we dan). En dat is gewoon de wet toepassen zoals deze al bestaat.

Ja het internet was ooit het "wilde westen". Maar dat kan nooit eeuwig zo blijven. Zelfs het wilde westen bestaat niet meer, zo het ooit al bestaan heeft. Een maatschappij moet voor zijn stabiliteit altijd regels toepassen en ook afdwingen. Zolang we samen die regels bepalen is er niets mis daar mee. Dan weet iedereen waar hij aan toe is.
Je kan niet alles wat buiten het internet verboden is, op het internet toestaan omdat dit is wat je gewend bent. Er is een reden dat we sommige dingen verbieden voor bepaalde leeftijden of in alle gevallen. Alcohol, rijden, porno/sex etc etc...
Maar mij lijkt dat een groot gedeelte van het internet achter een nationaal/supernationaal "kinderslot" zetten misschien wat ver gaat.
Het is waar dat porno een groot deel van het internet is :) misschien wel samen met cat videos :). maar dat is geen goede reden om wetteloosheid toe te staan.

Wat ik zeker weet is dat de leeftijdsverificatie systemen die nu worden toegepast of totaal ineffectief zijn (vb klikken op ja ik ben 18+) of een veel grotere privacy schending (selfie, creditcard, Id etc) zijn dan de voorgestelde oplossingen. De oplossing die de EU najaagt is er een die de privacy in tact laat, loggen door overheid voorkomt. En aan de site alleen een gevalideerd ja of nee geeft en dat nog anoniem doet ook. Geen accounts nodig. En het is ook handig in concept voor meer online diensten. Maar in principe voldoet digid daar al voor. Maar wellicht zijn er meer diensten dan porno waar je anoniem wil identificeren... gokken wellicht?
nubis99 @bzuidgeest8 augustus 2025 12:33
Ik ben het met je eens dat dit in grote lijnen ook geen slechte ontwikkeling is. Het moest er een keer van komen dat dingen wat meer getemd gingen worden. Alleen vindt ik het "hopen" dat overheden redelijk gebruik zullen maken van dergelijke macht een beetje link. Er gaat nu al genoeg mis, laat staan als we er ook nog voor kunnen zorgen dat toevallig die kritische nieuwssite ineens 18+ bestempeld wordt (waardoor we dus bij zou kunnen gaan houden wie m bezoekt) Als de verificatie inderdaad anoniem is heb ik er nog geeneens zo veel problemen mee. Mijn probleem zit veel meer in het feit dat het daadwerkelijk kunnen garanderen dat het ook altijd anoniem blijft vrijwel niet te doen is.

En er zijn inderdaad wel een lijstje aan diensten/producten te verzinnen die je liever anoniem zou willen hebben. porno en gokken zijn natuurlijk de twee grote (want internet...) Maar ook bijvoorbeeld grote openbare forums zoals Reddit lijkt mij een goeie. Je moet naar mijn idee altijd uit kunnen komen voor een mening, Zelfs al sta ik zelf niet achter die mening dan mag die naar mijn idee nog steeds gedeeld worden. En er zijn echt wel gevallen te verzinnen waar het delen van een mening via een traceerbaar account tot problemen kan leiden. Je zou bijvoorbeeld maar voor homorechten zijn in Hongarije. of je wilt de groep r/alcoholicsanonymous bezoeken op reddit. (het is natuurlijk een beetje raar om die 18+ te maken, terwijl er ook genoeg jongeren zijn onder de 18 die met dergelijke problematiek zitten)

effe een heel ander voorbeeld: Op het moment gaat een hoop journalistiek over het darkweb. Waarom? Omdat er in de wereld genoeg regeringen en organisaties het "surfaceweb" zo strak in de gaten houden dat je geen veiligheid hebt om open je verhaal te kunnen doen. Vandaar dat ik dus zo sceptisch ben rondom het bijhouden en registreren van dingen die eigenlijk niet nodig zijn om bij te houden. Gaat het meteen zo'n vaart? Zal wel meevallen. Maar dat vertrouwen veranderd om de 4 jaar. En als ik de huidige trends zie, zie ik de bui wel hangen. Dan liever inzetten dat ouders hun kinderen opvoeden en open een gesprek voeren over wat wel en niet oké is, eventueel met hulp van coaches oid. Dat recht tot privacy weegt voor mij persoonlijk toch zwaarder. Daarnaast wil je Digid echt niet gebruiken voor dit soort zaken. Valt prima te traceren, het is tenslotte een systeem dat controleert of je bent wie je zegt dat je bent. Hebben we wel wat veiligheidseisen aan gebouwd, maar lijkt me handig om dat toch te beperken tot (semi-)overheid.


Maar de simpelste versie van mijn kernpunt:

Het veiliger willen maken van het internet is in theorie een prima plan. Alleen is de uitwerking enorm gevoelig en vrijwel niet waterdicht te krijgen. Alles kan en zal uiteindelijk opengebroken worden, en het is mij toch echt een slag te optimistisch om erop te vertrouwen dat dit allemaal technisch en in de wet zo weggeregeld kan worden dat misbruik van systemen onmogelijk is.

[Reactie gewijzigd door nubis99 op 8 augustus 2025 12:39]

bzuidgeest
@nubis998 augustus 2025 13:42
Mijn probleem zit veel meer in het feit dat het daadwerkelijk kunnen garanderen dat het ook altijd anoniem blijft vrijwel niet te doen is.
Met de juiste techniek (zero knowledge proof) en het feit dat het een open-source opzet heeft kunnen we makkelijk garanderen dat het altijd anoniem blijft. Tenzij mensen stemmen voor een partij die daar verandering in brengt. Maar dan zijn we daar zelf bij.

Waar jij "bang" voor bent is een probleem dat al jaren en jaren geleden is voorzien door slimme mensen maar ook praktische mensen. Daarom is het technisch een opgelost probleem. De enige factor is of een overheid ook die oplossingen gaat inzetten. In het VK zie je dat fout gaan, in de EU gaat het de goede kant op.

En vergeet niet, er zijn zoveel systemen met de kans op misbruik. Zelfs ons rechtssysteem, dat een van de betere is, heeft kans op misbruik... Maar dat betekend niet dat we dan maar geen rechtssysteem aanhouden. Misbruik is de uitzondering, niet de regel.

En ja de overheid en ICT heeft zeker in NL niet bepaald indruk gemaakt de laatste jaren. Er zijn zeker landen die het veel beter doen op dat gebied. Maar dat betekend niet dat elke verandering dan maar slecht is. We moeten soms gewoon iets doen en dit lijkt tot nu toe open en goed te worden aangepakt.

En kritische kranten achter 18+? alleen 18+ mag stemmen, dus dat is geen issue. Maar zelfs buiten dat... denk je dat die kranten niet onmiddellijk een rechtszaak zouden starten? De overheid zou verliezen in een rot tempo. Ze konden een rechtszaak over hun groenbeloftes niet eens winnen en iedereen weet dat de beloftes van politici niets waard zijn. Daarom bouwen we controle mechanismes in op de overheid. Zoals wob e.d.
Dan liever inzetten dat ouders hun kinderen opvoeden en open een gesprek voeren over wat wel en niet oké is, eventueel met hulp van coaches oid.
Dat doen we ook niet voor alcohol en autorijden en wat al niet. Sommige dingen zijn gewoon verboden en moeten en mogen gecontroleerd worden. Daar is maatschappelijk gewoon consensus over. Zeker als er aantoonbaar privacy respecterende technieken voor zijn.
Cyberpuppy @bzuidgeest1 augustus 2025 08:47
Ik zal er eens induiken. Maar ik vraag me dan af. Als ik zero knowledge heb, dan kan ik dus nooit afschermen wie een aanvraag voor verificatie doet. Ik zie op zn minst altijd een IP adres van de aanvrager. Makkelijk zat om dat te relateren aan websites of diensten.
bzuidgeest
@Cyberpuppy1 augustus 2025 10:39
Ze zien nu ook al je ip address, dus dat is niets nieuws en als je daar zorgen over hebt zijn er vpn oplossingen en degelijke. Je kan ook diensten met dynamische up adressen nemen etc etc.

Het enige dat ze erbij krijgen is een token met ja deze is 18+. Dat moeten ze toch ook al weten.

Maar hoe denk je dat Google and Facebook etc nu hun data opbouwen... Cookies, pixels, ipadressen etc etc.
Cyberpuppy @bzuidgeest1 augustus 2025 13:44
Het gaat niet om mijn eigen IP adres. De website die de verificatie doet zal minimaal herkenbaar zijn aan bijv. een IP adres. Van daaruit kan iemand weten dat ik een 18+ verificatie heb aangevraagd via website xxx . Allemaal dus centraal gelogd. Ik zal verder lezen over zero knowledge of deze zorg hiermee onterecht is.

En dat gaat toch alweer een stap verder als dat mijn publieke IP adres (gebruikt door veel meer mensen, zeker met CG-Nat) bekend is. Nu ben ik als persoon te herkennen.
bzuidgeest
@Cyberpuppy2 augustus 2025 00:39
Ga maar eens lezen, er is geen centrale site, er is helemaal niets centraals waar verificatie en site bij elkaar komen, dat is gewoon niet nodig.

De enige plek waar info bij elkaar komt is op het device waar jij de app draait. Dus de enige die jou gedrag kan loggen ben jij zelf. De app is open source. Dus je kan het allemaal nakijken.

Wikipedia ,en, heeft een prima artikel over zero knowledge proof.

[Reactie gewijzigd door bzuidgeest op 2 augustus 2025 00:39]

Cyberpuppy @bzuidgeest2 augustus 2025 09:27
Leuk artikel, maar neemt mijn zorg nog niet helemaal weg. Je beschermt dus de inhoud maar weet nog steeds welke personen daarachter zitten. Je wilt dus eigenlijk nog een stap verder gaan en zorgen dat je een token kunt uitwisselen zonder dat je inhoud en gebruikrs kunt identificeren.

Iemand een idee waar ik de documentatie/architectuur kan vinden. Ben inmiddels nieuwsgierig geworden
kdekker @bzuidgeest1 augustus 2025 17:58
Er zijn iig ook tegenstanders van een EDI. En iets wat in breder verband gebruikt wordt (dus over landsgrenzen) is ook op meer plekken opgeslagen. Ik zie niet in hoe dat je privacy verbetert.

Sowieso heeft zowel onze eigen overheid als nagenoeg alle bedrijven een dusdanige data honger, tracking manie (veelal dmv big tech) dat ik op dit vlak weinig vertrouwen heb.

Inherent aan een grote ambtelijke organisatie die de Eu is, zal ze zelf eerder ook meer macht willen hebben dan minder, al dan niet gesteund door onze eigen landelijke politici uit Den Haag.

Als politieke werkelijkheden nog eens kantelen (wie had Trump voorzien, Poetin en Erdogan als autocraten) dan lijkt me het niet wenselijk dat de Eu zoiets gaat opslaan. Een API definiëren en AVG aware verwerking (met minimale gegevens, geen opslag) dat is misschien wel een idee.

[Reactie gewijzigd door kdekker op 1 augustus 2025 18:02]

bzuidgeest
@kdekker2 augustus 2025 00:32
Als je niet ziet hoe, dan suggereer ik dat je het Wikipedia artikel over zero knowledge proof eens leest. En de stapels andere comments waar ik het probleem met jou zorgen al heb uitgelegd.

Je zorg is er een geuit zonder eerst eens te kijken wat het plan is en hoe het moet gaan werken.

Onder zero knowledge proof kan de overheid nooit zien op welke site jij je leeftijd verifieert en de site krijgt niet meer dan een signaal, ja hij is oud genoeg. Dus je kan nog steeds anoniem je leeftijd verifiëren.

De processen gebeuren niet eens bij de overheid. Er is niets voor ze om te loggen. Een app op jou telefoon vraagt bewijs van jou leeftijd bij de overheid. Dat is het enige contact. Dat bewijs word opgeslagen. Dat bewijs kan gebruikt worden op sites. Er is geen verder contact met de overheid. De app heeft alles. De app is open source ontwikkeld, je kan het nakijken wat die doet. Zelfs de eu was slim genoeg om te beseffen dat het publiek in niets anders vertrouwen zou hebben. Het leeftijds bewijs bevat niet je naam, niet je specifiek leeftijd. Het is alleen een ja of nee.

Zoveel mensen die maar roepen, allemaal maar denken dat dit een technisch probleem is. Dit is een opgelost probleem. Het kan veilig en de privacy is hoger dan nu gebruikelijke methoden als creditcard informatie en dergelijke in moeten leveren. Of die onzin uit het vk waar je een identiteitsbewijs moet scannen of een selfie maken om de ai je leeftijd te laten schatten. Allemaal methoden waar privacy en probleem is. De eu doet het beter en open.

[Reactie gewijzigd door bzuidgeest op 2 augustus 2025 00:36]

kdekker @bzuidgeest2 augustus 2025 07:55
Ergens moet o.a. je geboortedatum opgeslagen zijn. Dat kan niet alleen op je eigen telefoon staan, want dan zou je zelf een leeftijd in kunnen vullen. Je beschrijft louter het proces, maar niet de dataopslag. Die krijg je pas op een telefoon nadat ze van elders getrokken zijn.

Overigens had ik het meer over EDI. Dat gaat veel verder dan alleen leeftijd autorisatie.
Henkieschmenkie @Yzord30 juli 2025 14:46
Tis tenslotte maar binaire code
En de fysieke wereld bestaat tenslotte maar uit atomen. Dat de digitale wereld uit binaire code bestaat, maakt hem niet minder complex of fraude daar makkelijker.

Neemt niet weg dat ik zelf een aanzienlijk ongemak voel bij het steeds verder digitaliseren en vooral standaardiseren/centraliseren. Het alziend oog voelt steeds dichterbij. En daar hebben we met de huidige generatie politici dan niet zo heel veel last van maar kijk naar de herverkiezing van Trump en bijvoorbeeld de recente waarschuwing over de zwakte van de Nederlandse rechterlijke macht voor kwaadwillende regeringsleden, en dan heb je toch weinig garantie dat het altijd maar goed blijft gaan.
Yzord @Henkieschmenkie30 juli 2025 14:57
[...]

En de fysieke wereld bestaat tenslotte maar uit atomen. Dat de digitale wereld uit binaire code bestaat, maakt hem niet minder complex of fraude daar makkelijker.
Nou, vroegah, toen er nog geen interweb was, had je geen datalekken vol met waardevolle gegevens als naam, adres, geloofsovertuiging, creditcardgegevens, telefoonnummers, social media accounts vol met foto's en de handel en wandel van personen. Ik heb toen ook nog nooit gehoord van een overval bij een gemeentehuis specifiek gericht op de bevolkingsregister om deze data te verkrijgen. Zie je ze al sjouwen met al die ordners en papierwerk?

Dus ja, het is er helaas wel makkelijker op geworden, maar we willen het gewoon niet weten.
Sissors @Yzord30 juli 2025 16:50
Hoewel de schaal nu makkelijker groter kan zijn, zijn we tegenwoordig ook veel allergischer ervoor geworden, terwijl we vroeger meer mensen hun schouders hebben opgehaald. Ik heb nog na een operatie het rapport gekregen van iemand anders! (Aantal jaar geleden). Medische data, extreem gevoelig! Melding van een datalek dus maken! Of je geeft het aan bij verpleegkundige, wordt gefixt, en je gaat door met je leven.
NoTechSupport @Sissors30 juli 2025 18:18
Helemaal eens, al is de schaal tegenwoordig vaak veel groter.
Cyberpuppy @Sissors1 augustus 2025 08:53
Klopt. Maar ook noodgedwongen. In winkels lopen mensen al met een fictieve naam op de naamkaartjes omdat ze anders binnen no-time bestookt worden met rare dingen op hun facebook/insta/etc.

De lokale bromsnor wordt nu ook al thuis opgewacht door een ontevreden klant. Dus is iets als een telefoonboek tegenwoordig al bijna ondenkbaar aan het worden.

Is helaas de wereld waarin wij leven.
HummerHealey @Yzord30 juli 2025 15:14
Vroeger belande er wel eens een archiefje per ongeluk in een container. Maar het was inderdaad niet op de schaal van een data lek.
Alex3 @Yzord30 juli 2025 20:00
Vroeger kwam het ook voor. De nazi's gebruikten het bevolkingsregister om erachter te komen wie joods was.
Llopigat
@Yzord30 juli 2025 20:07
Nou, vroegah, toen er nog geen interweb was, had je geen datalekken vol met waardevolle gegevens als naam, adres, geloofsovertuiging, creditcardgegevens, telefoonnummers, social media accounts vol met foto's en de handel en wandel van personen. Ik heb toen ook nog nooit gehoord van een overval bij een gemeentehuis specifiek gericht op de bevolkingsregister om deze data te verkrijgen. Zie je ze al sjouwen met al die ordners en papierwerk?
Wat je hier beschrijft is wel exact wat de Duitsers toen hebben gedaan om de Joden op te sporen. En de belangrijkste reden dat geloofsovertuiging er niet meer in staat.

De kans dat een kleine partij dat doet is inderdaad een stuk kleiner ja. Alleen kunnen medewerkers van de gemeente het wel doen om hun persoonlijke redenen.

[Reactie gewijzigd door Llopigat op 30 juli 2025 20:08]

William_H @Llopigat31 juli 2025 14:27
En wie hadden dat register gemaakt? De Nederlandse overheid. Daar werd in de jaren 20/30 al mee begonnen.

Overigens, werd tot voor kort nog toegang gegeven aan de BRP voor kerkorganisaties. Werd ook bijgehouden of je wel/niet ingeschreven stond.
Llopigat
@William_H31 juli 2025 16:20
Ja ik weet dat het van de overheid kwam maar we hadden hier ook over het gemeentehuis.

Maar kerkorganisaties kunnen niet meer bij de BRP?? Wow, dat is goed nieuws!

Ik sta zelf ook geregistreerd als Katholiek, ik ben ooit gedoopt :( Mijn ouders hebben dat bekokstoofd. Ik heb ooit eens gekeken hoe ik dat ongedaan kon maken maar ik heb het nog niet voor elkaar gekregen.
William_H @Llopigat31 juli 2025 17:00
Volgens mij kan je je uit laten schrijven.

Ja, kerkgenootschappen hadden toegang tot de BRP. Inmiddels is dit naar mijn weten niet meer zo.
RMYuma @Llopigat31 juli 2025 22:01
Je kunt je laten uitschrijven. Dat heb ik jaren terug ook gedaan.
Llopigat
@RMYuma31 juli 2025 22:01
Weet je misschien nog waar je dat kon doen? Ik heb er wel eens naar gezocht maar ik kon het niet vinden.
RMYuma @Llopigat31 juli 2025 22:12
Stuur me even een privébericht als reminder. Ik ben momenteel niet thuis, maar kan het morgen wel even voor je terugzoeken in mijn archief.
pverrips @Yzord31 juli 2025 14:07
Er zijn in de Tweede Wereldoorlog diverse overvallen op gemeentehuizen geweest waarbij (een deel van) het bevolkingsregister is gestolen...
Rogers @Henkieschmenkie30 juli 2025 16:06
Het zijn onze politici die deze controlle waanzin uitrollen, maar jij ben bang voor Trump die het niet verplicht en juist zorgen uitspreekt?

[Reactie gewijzigd door Rogers op 30 juli 2025 16:07]

svenk91 @Yzord30 juli 2025 15:10
Ik vind het allemaal maar eng zo'n digitale ID
Dat heb je nu zeer waarschijnlijk ook als je een Nederlander bent. Als je een BSN nummer hebt, dan heb je een BRP registratie, en dan heb je een digitale ID. Je kan er alleen zelf niet makkelijk bij. Er zijn maar weinig Nederlanders die dat niet hebben. Ik gok dat het in België niet gek anders werkt.

Het enige dat er gaat veranderen is dat er een door de EC gestandaardiseerd app aanbod komt die je helpt gegevens te ontsluiten waar dat wenselijk is voor jou. Niet gek anders als DigiD, maar dan met iets privacy vriendelijkere features en een standaard voor alle 27 lidstaten van de EU.
henk717 @svenk9130 juli 2025 16:10
Het hebben van een digitale keus in zijn geheel is het probleem niet. Als mensen lekker hun ID thuis willen laten en het op hun telefoon willen zetten moeten ze dat zelf weten.

Wat het eng maakt is de mogelijke verplichting zowel om je te identificeren als om die app te gebruiken.

We hebben al meegemaakt dat vinkjes afhankelijk zijn en hier is china ook niet vies van. Dus het is niet ondenkbaar dat je als lastige overheidscriticus niet voldoet aan de controle en je nu niet meer kan registreren of inloggen. Of dat zoals ze in het VK doen even een politie agent naar je huis sturen om verhaal te halen waarom je die mening hebt.

Dus als dit oprecht zou blijven bij een optionele app om het inloggen bij de overheid makkelijk te maken en te zorgen dat je geen boete krijgt als je wordt aangehouden zonder fysiek ID op zak is dat niet erg. Maar de kans dat het daar bij blijft is extreem laag.
Basszje @svenk9130 juli 2025 16:49
Nederlanders in het buitenland bijvoorbeeld hebben vaak geen DigiD (ik niet bv) .

In Oekraine is er een systeem op basis van public / private keys gekoppeld aan diverse diensten via allerhande 'smart IDs' . In de praktijk koppel je die via de bank, maar er zijn ook wat andere partijen.

Met die versleuteling zijn er weer tal van diensten te regelen. De belastingdienst werkt min of meer met een versleuteld JSON bestand wat automatisch heen en weer gaat en wat uiteindelijk je officiële aangifte is (kwitantie 2 ^^ )

In praktijk is het een beetje onoverzichtelijk zooitje, maar je kan wel van alles online regelen nu, van verkeersboetes tot huwelijk tot treintickets en metrokaartjes ( tot aan doneren van drones voor het leger :+ ) min of meer via dezelfde methode zonder miljoen accounts overal. (zie diya )

-edit De crux is dat het overal op werkt. De Smart-ID via App is twee keer klikken, dus lekker handig, maar je kan gewoon de certificaten downloaden en verwerken in wat je maar wil. Of bewaren op een koude USB-stok oid.

[Reactie gewijzigd door Basszje op 30 juli 2025 16:57]

R4gnax
@svenk9130 juli 2025 19:08
Het enige dat er gaat veranderen is dat er een door de EC gestandaardiseerd app aanbod komt die je helpt gegevens te ontsluiten waar dat wenselijk is voor jou.
Je doet er heel nonchalant over.

Wat er gaat veranderen is dat er een gestandardiseerd app aanbod komt om op heel veel plekken in de samenleving digitale leeftijdscontrole te implementeren. (Porno en 18+ is slechts het begin. Letterlijk zo aangekondigd door de EU.)

Vervolgens betekent dit dat iedere burger de beschikking moet hebben over een courante, veilige smartphone. Of buitengesloten wordt. In de praktijk betekent het dat iedere burger zich aan Apple of Google moet verbinden. Of je nou symboolpolitiek begaat zoals het niet verplicht stellen van de Play Integrity API of niet. Je moet je op hun platform waarvoor zij de toekomst uitstippelen begeven en je wordt er afhankelijk van.
dmantione
@svenk9131 juli 2025 13:09
Wellicht dat wel, maar er is een belangrijke reden dat dit zo wordt uitgerold: BSN en DigiD heb je alleen nodig voor interactie met de overheid, of dingen die dichtbij de overheid liggen zoals je zorgverzekering. Dat gaat veranderen: De overheid gaat nu volstrekt private partijen die een webstek uitbaten verplichten om jouw identiteit te controleren.

Privacygevoelige gegevens bij allerlei partijen achterlaten heeft zijn nadelen, en om dat probleem te beperken, komt er nu een digitaal identiteitsbewijs waar je meer controle over hebt. Meer controle, maar je moet nog steeds gegevens afstaan aan de private partij.

Nu gaat het om een leeftijdsverificatie voor een zogenaamd nobel doen, want voorkomen dat een kind tieten ziet, daar kan toch niemand op tegen zijn? Het gaat natuurlijk niet zo blijven dat dat het enige is wat private partijen moeten gaan verifiëren en zodra iedereen dat digitale identitiesbewijs ga je bij allerhande partijen jezelf moeten identificeren. Nog steeds alleen de benodigde gegevens die de betreffende partij nodig heeft, maar dat dat je meer dan je leeftijd alleen gaat doorgeven, is een feit.

Tweakers ontloopt nu deze wetgeving, maar er gaat zonder enige twijfel wetgeving komen die ook Tweakers zal verplichten om zijn gebruikers eerst te identificeren.
Yzord @svenk9130 juli 2025 15:18
[...]

Het enige dat er gaat veranderen
En hier houdt het op bij mij. Want dat is zeer zeker niet "het enige dat er gaat veranderen ". De fysieke ID gaat verdwijnen en men zal geforceerd worden de digitale ID te gebruiken. En om dan maar meteen uit mijn schulp te komen, dit zal allemaal in de vorm van een NFC chip woonachtend in je lijf gaan plaatsvinden op den duur. Want dat is makkelijk voor de doorstroming van bijv. de douane etc.

Afijn, het enige wat er gaat veranderen is dus dat alles gaat veranderen.
Petje_Kroketje @PCG202031 juli 2025 11:54
Je laat je huisdier ook (verplicht) injecteren met een microchip, dus waarom is het zo'n gekke gedachte dat men dit in de toekomst ook met mensen wil gaan doen?

Denk eens aan alle 'voordelen':
- Identiteitsdiefstal bijna onmogelijk
- Paspoort altijd bij de hand
- Rijbewijs altijd bij de hand
- Veilig kopen en verkopen
- Mensenhandel vrijwel onmogelijk
- Etc.
david-v @Yzord30 juli 2025 20:51
Of je nou een ID moet tonen als je alcohol koopt, als je gaat reizen, of als je gaat stemmen vind je dan ook eng? Want je zegt het zelf al, een ID kan je vervalsen. Wat maakt een digitale ID nou zoveel enger? Dat het proces niet tussen twee personen is maar tussen twee systemen?

Wat er nu al mis gaat is dat mensen geen biertje kunnen bestellen in een bar als ze 12 zijn maar wel alcohol, porno en noem maar op online kunnen bestellen of consumeren.

Wat er nu al mis gaat is dat kinderen IDs vervalsen om een discotheek naar binnen te gaan of om alsnog alcohol te nuttigen.

Wat er nu al misgaat is identiteitsfraude, dat was al een probleem voordat er sprake was van DigiD of andere digitale platformen.

Een proces om leeftijdsverificatie online te doen is er niet, tenzij je bereid bent om een kopie van je ID op te sturen naar de aanbieder van de dienst.

Blijkbaar vinden we het allemaal prima om onze belasting aangifte te doen waarbij DigiD (of EU alternatief) verplicht is, maar een app om leeftijds verificatie te doen is eng.... Ik snap de angst niet.
XVI @david-v30 juli 2025 23:28
Het gevaar is (dat is dus iets anders dan angst wat al gauw irrationeel is) dat het veel te gemakkelijk wordt om men zeer laagdrempelig en zeer granulair voor allerhande online en offline zaken te laten authenticeren en autoriseren. Het middel is de opmaat naar een controlemaatschappij waar alles draait om de vinkjes die de overheid je gunt.

Je vergelijking met de offline wereld gaat niet op want er zijn sterke beperkingen aan wat haalbaar is qua checks met een id bewijs. Je vergelijking met digid voor belastingen e.d. gaat niet op want dat is een noodzaak om je voor te authenticeren. Een leeftijdcheck voor porno is niet nodig en niet nuttig. Want wie bepaalt wanneer iemand bepaald materiaal mag zien? En kom niet aan met dat dat democratisch bepaald is want niemand heeft daar specifiek voor mogen kiezen. Online alcoholverkoop zonder tussenkomst van een verkoper of bezorger kun je ook gewoon verbieden.

Al die voorbeelden zijn oplossingen op zoek naar een probleem. Als de politiek allerlei rare discutabele dingen wil opleggen aan de maatschappij dan moet dat maar via referenda en dus niet zoals het nu wordt doorgedrukt. Dit is geen democratie.

Schijnbaar gaat het nu offline ook al mis, maar de wereld draait door. Hoe dan? Waarom moet het nu online ineens worden uitgerold? Omdat het nu online waterdicht kan worden gemaakt? Misschien omdat het de mogelijkheid biedt tot ongekende controle over alle aspecten van ons leven. De covid vaccinatie app was een grove fout die jullie nu oneindig willen voortzetten.

Dus weg met die digitale id wallet. Opgeflikkert met die perverse controle drang. Als de maatschappij niet meer houdbaar is zonder dit soort middelen dan is het beter dat de bende ineenstort want zodra je de doos van Pandora opent krijg je hem niet meer dicht. Wees heel erg bang voor mensen die hier het gevaar niet van willen inzien.
david-v @XVI31 juli 2025 00:39
Wat je in de fysieke wereld niet kan doen en waar je je voor legitimeren wil je niet hebben in de digitale wereld. Jij wilt zelf bepalen wanneer je wel iets mag of niet, maar zo werkt de maatschappij niet. De digitale maatschappij is geen anarchie, al willen veel mensen dat.

Jij wilt en referendum want dan is het geen democratie, alsof jij je eraan gaat houden als er toch iets anders besloten wordt door de meerderheid. Wat jij wenst is digitale anarchie
Schijnbaar gaat het nu offline ook al mis, maar de wereld draait door. Hoe dan?
Het is je misschien ontgaan maar de wereld is nogal veranderd. We zijn onder gegaan van playboy en penthouse tijdschriften naar digitale anarchie wat dat betreft, waarbij het niet uitmaakt of je nou 18 bent, 90 of 9.

Vind je het normaal dat een kind van 11 jaar en boordeel naar binnen loopt en een whiskey besteld? Waarom wil je dan dat hetzelfde kind naar zeer extreme porno kan kijken met een simpele Google opdracht zonder enige beperking.

Dus nog wel blijven controleren in de fysieke wereld maar niet in de digitale?

Wie bepaald wanneer een kind sex mag hebben met een volwassene? Wie bepaald wanneer een kind een biertje mag drinken? Denk je nou echt dat een referendum daar iets aan gaat oplossen? Want ik denk dat precies het tegenovergestelde uit gaat komen dan wat jij wilt .

Er zijn landen waar de overheid helemaal geen controle uitoefent op de bevolking. Ben je van mening dat het daar beter Wonen is dan hier?
Cyberpuppy @david-v1 augustus 2025 09:05
Er is een groot verschil tussen ergens mijn ID laten zien, en een systeem dat in principe elke verificatie centraal kan bijhouden en bewaren. Dat geeft heelf veel mogelijkheden die zowel positief als negatief gebruikt kunnen worden.

Het vertrouwen in politiek en markt is te laag om dit op een acceptabele manier te kunnen doen.
Blokker_1999
@Yzord30 juli 2025 15:19
Hoe kom je daarbij? Waarom zouden ze hun apparaten niet meer mogen verkopen als jij er een ander OS op zou wensen te zetten?

Zoals ze ook aangeven. De Google API is 1 van meerdere APIs die gebruikt kan worden als device attestation. Het zou ook vreemd zijn om alleen die API te gebruiken want dat wordt moeilijk op een iPhone bijvoorbeeld.
Yzord @Blokker_199930 juli 2025 15:43
Omdat ik het allemaal wel heel erg toevallig vind dat Google en nu dus ook Samsung zich druk maken over het rooten van je device. Daar is hier op T.net ook al een mooi artikel over geschreven en als je een beetje nadenkt zou het zomaar kunnen zijn dat dit een van de redenen zijn waarom we ineens onze devices moeilijker kunnen rooten.

En daar valt natuurlijk wel wat voor te zeggen, want wil je idd deze richting opgaan, dan moet het wel zo veilig mogelijk natuurlijk (wat in mijn ogen altijd een wassen neus is, want alles is te kraken). Maar dat betekent dan ook dat devices die geroot zijn of de mogelijkheid hebben om ze te rooten niet mee mogen doen in het grote digitale ID sprookje. En ja, aangezien je verplicht bent te identificeren zal je dus in de toekomst een volwaardige device moeten hebben waarmee je je kan identificeren. En kan je dat niet, nou, dan geen NS, of huis kopen, of vakantie boeken etc., etc.

Zeg maar, wat er nu al zich afspeelt in China, iets met credits enzo.
swhnld 30 juli 2025 16:41
Is nu in de source code repository al gecorrigeerd dat Key Attestation ook gebruikt mag worden, of staat daar nog steeds hard de Play Integrity API in?

Want mooi praten is een ding, mooi uitvoeren een ander.
Kewne @swhnld30 juli 2025 20:18
Er zijn hier eigenlijk twee apps: de EUDI wallet (eind 2026) en de Age Verification wallet ("tijdelijke oplossing", "zomer 2025"). De EUDI wallet heeft een regel text uit de readme gehaald als gevolg van deze ophef, die inmiddels al een tijdje gaande is.

Daar zullen sommige mensen blij mee zijn, maar die regel weghalen veranderd bar weinig: de aanbeveling is nog steeds om OWASP MASVS te implementeren, en daar staat gebruik van een Integrity API ook al in! In de AV wallet staat de Play Integrity tekst nog gewoon, onaangepast, maar ook dat hoort MASVS te volgen volgens secundaire documentatie.

Wat ik hier dus zie gebeuren is dat ze "nee, het hoeft niet, we halen het eruit, gaan we doen" verkopen, maar eigenlijk alleen de schuld gaan verschuiven. Het doel van deze whitelabelapp is om uiteindelijk geforkt te worden door ieder land. Die gooien er vrolijk Play Integrity API in want "wij volgen de aanbevelingen op". Deze experts laten die aanbevelingen staan want "ja we zijn conform aan allerlei mooie richtlijnen".
swhnld @Kewne30 juli 2025 22:14
Dat is ook precies mijn angst.
Leaplasher 30 juli 2025 14:45
Net zo raar iets als het feit dat banken tegenwoordig geen eigen betaal app/nfc meer hebben, maar via Google Wallet aanbieden.

Dat was voor mij het einde van mobiel betalen. Gaat Google namelijk niks aan waar en wanneer ik betaal, hoeveel iets kost en wat het geweest is. De bankpas wordt weer volop gebruikt sindsdien.
moonlander @Leaplasher30 juli 2025 14:54
Dus je bank mag het wel weten?
RobertMe @moonlander30 juli 2025 15:13
De bank (/iemand) zal het moeten weten.

En een bank is maar een bank. Mijn bank weet niet welke websites ik bezoek (Chrome browser, Google zoekresultaten, Google Adwords, YouTube embeds), weet niet waar ik kom (Android/Play Services met locatie bepaling etc), weet niet wie ik bel (Android / Google caller app), .... En mijn bank geeft mij ook geen gerichte reclame op basis van al die zaken (wat Google dus wel doet met Adwords, YouTube, ...).

Het hele issue voor mij is niet perse dat een derde partij (buiten de bank, winkelier en mij) weet waar ik wat koop. Maar dat die derde partij uberhaupt al veel teveel van mij weet en al die informatie gebruikt voor profiling en gerichte reclame. Als er een onafhankelijke oplossing komt (wat best zou kunnen, zie bv ook een Garmin etc die dit aanbieden, of in een alter stadium direct Wero als toekomstig alternatief voor MasterCard & Visa) zou dat voor mij vele malen interessanter zijn om mobiel betalen simpelweg omdat het dan niet via specifiek Google (/big tech) gaat.
NoTechSupport @RobertMe30 juli 2025 18:16
Uiteindelijk gaan we Google moeten opsplitsen. Er is geen alternatief.
koppie @moonlander30 juli 2025 15:00
Ja, want die moeten het (in deze situatie nog) overmaken naar een (bekende) rekening en eventueel ook nog andere witwaschecks doen.


Dat kunnen we wel veranderen, maar dat betekent het loslaten van een aantal ideeën rondom bankieren.
Leaplasher @moonlander30 juli 2025 15:26
Dat is geen grootmacht uit de VS.

En daarbij betaal ik ook genoeg met cash.
marcjo @Leaplasher30 juli 2025 14:49
Wanneer en waar, dat klopt.

Wat het is geweest natuurlijk niet. Dat weet je bank ook niet.
DdeM @marcjo30 juli 2025 14:58
Ligt toch echt aan het betalingskenmerk, daar staat in genoeg gevallen precies in wat het is.
lenwar
@DdeM30 juli 2025 15:30
Je bank krijgt de bon niet.

Bij een PIN-transactie krijg je een PIN-bon (althans, daar heb je recht op). Dat is hetgeen dat zij ook zien. (welke bankpas en welk bedrag (en uiteraard de eigenaar van de terminal en dat soort zaken :) ))
david-v @lenwar30 juli 2025 20:57
En de ontvanger van het bedrag, en het kenmerk.

Zo staat er in mijn afschrift anwb verzekering als ontvanger, met kenmerk bootverzekering. Nou, dan weet de bank wel genoeg. Dat is informatie die ik niet graag bij een commerciële partij wil zien die als doel heeft om data te verkopen voor advertentie doeleinden.
lenwar
@david-v30 juli 2025 21:03
Een kenmerk bij een PIN-transactie? Ik zit net door m’n afschriften te spitten, maar ik zie nergens een kenmerk.

Uiteraard wel transactienummer en terminalnummer.
david-v @lenwar30 juli 2025 21:10
Jij bent de enige die het over enkel pin transacties heeft. Wij hebben het over betalingen via de bank.
lenwar
@david-v30 juli 2025 21:19
Het draadje ging over betalen met de app/nfc vs Google Wallet. Dat linkte ik inderdaad aan PIN-betalingen.
david-v @lenwar30 juli 2025 21:21
Daar heb je volkomen gelijk in, excuses. Me bad
lenwar
@david-v30 juli 2025 21:26
Geen probleem 😊
RobertMe @marcjo30 juli 2025 15:00
Ze weten het niet specifiek, per regel. Maar als jij bij "IJssalon Pietje" geweest bent hebben ze wel een aardige indicatie wat je daar gedaan hebt ;) Of als je ineens vaker bij de bouwmarkt komt kunnen ze daar ook uit afleiden dat je aan het (ver)bouwen ben. Of aankopen bij winkel(s) met bv baby spullen. Ik heb alleen geen idee wat Google met die informatie doet / mag doen. Of je in het laatste geval bv dus ook steeds meer reclame krijgt voor baby spullen / kinder spullen / ....
marcjo @RobertMe30 juli 2025 15:03
Helemaal mee eens.

Maar wat je daar koopt weten ze ziet. En als je ook je locatie gewoon aan hebt staan dan weten ze het ook.
PaulHelper @marcjo31 juli 2025 07:10
Deels waar, maar ik weet niet hoe het met andere zit, vaak als ik iets ga kopen kijk ik eerst of het er is of waar de beste is. Dus als ik doe

Google: Schroeven 3.5mm karwei -> 5 euro

Dan Google Wallet: 5 euro afgeschreven bij Karwei of überhaupt een afschrijving bij Karwei, dan kun je natuurlijk wel het een en ander daar uithalen. Is het perfect mee, maar Google weet heel veel te doen met net niet perfecte data.
Croga @marcjo30 juli 2025 15:07
Aan de andere kant: Ik heb nog nooit iemand een broodje brie zien kopen bij de electronica zaak op de hoek......
The Realone @Croga30 juli 2025 15:38
Ik heb wel eens een flesje cola en een Snickers gekocht bij de bouwmarkt, een kurkentrekker bij een slijter en een rol tape bij de boekhandel. Om maar wat te noemen.
Symyr 30 juli 2025 14:49
Er werd 15 jaar geleden al gesproken over een manier om altijd geidentificeerd te zijn als je online bent voor allerhande redenen. Te zien dat dit nu echt een ding gaat worden is redelijk beangstigend. En voor degene die zeggen "Wat heb jij te verbergen misschien?". Het gaat me daar niet om, waar het me wel om gaat is bijvoorbeeld dat bedrijven iedere keer weer security leaks hebben en de goedkoopste implementaties doen.

Dus een pornosite heeft je leeftijd nodig? Prima moet ze enkel je leeftijd hebben en dat is prima te doen. Probleem is dat de meerderheid het niet zo zal doen maar gewoon alles vragen van je ID. Dan worden ze gehackt, ligt je ID online en kan daar ook weer mee gefoefeld worden.Valse bestellingen doen in jouw naam, bedrijf word niet betaald maar ze komen wel naar jou om geld. Begin maar te bewijzen, om 1 kort voorbeeld te geven.

Dan is er nog het probleem dat de google API gebruikt word, mooi dat het bedrijf zegt dat er andere opties zullen zijn. Maar opnieuw, hoe goed gaan die uitgewerkt zijn? Gaan ze het makkelijker maken om google's optie te gebruiken? Om nog maar te zwijgen van de meerderheid die het allemaal niet interesseert en gewoon google selecteert want dat ken ik...

Kortom, zoals ik zei. Het is beangstigend en voor een keer hoop ik dat het lang duurt voor de overheden iets doen (specifiek rond dit onderwerp dan). En dat ze er hopelijk zeer goed over nadenken en laten adviseren (niet door de grote 3 zou misschien ook al helpen).
Croga @Symyr30 juli 2025 15:10
Je ziet beren die er helemaal niet zijn.

Deze app is letterlijk bedoelt voor leeftijds verificatie. De site vraagt "Is deze persoon boven de 18?" en de app geeft terug "Ja" of "Nee", niet meer en niet minder. En je hebt altijd nog zelf de controle of dat antwoord gestuurd mag worden of niet.
fl2001 @Croga30 juli 2025 15:19
De site waar je een account wilt zal mischien niet veel meer weten... Maar aan de andere kant, weet de EU app dus alles van je.

Precies waar en op welke sites je een account hebt aangemaakt.

Maar goed ik verwacht geen problemen verder.

Data leaks of hacks dat gebeurt vrijwel nooit :+
Croga @fl200130 juli 2025 15:21
De site waar je een account wilt zal mischien niet veel meer weten... Maar aan de andere kant, weet de EU app dus alles van je.

Precies waar en op welke sites je een account hebt aangemaakt.

Maar goed ik verwacht geen problemen verder.

Data lekken of hacks dat gebeurt vrijwel nooit :+
Dan ga je er van uit dat die data überhaupt opgeslagen wordt. DigID doet dat in ieder geval niet, dat is een passthrough systeem zonder opslag.

Een systeem volledig waterdicht maken kan niet. Net zo goed als dat je iemand niet tegen kunt houden als die je gewoon continue volgt in de real world en alles noteert wat je doet. Redelijke beveiliging is wel mogelijk en voor een hack hoeven jij en ik dan echt niet bang te zijn.
DealExtreme2 @fl200130 juli 2025 15:44
Dat hoeft niet. Er kan een service tussen gezet worden die simpelweg de proxy vormt. En laten we wel wezen, dat is nu ook al het geval met DNS bijvoorbeeld.
david-v @fl200130 juli 2025 21:05
Je doet aannames die niet kloppen. Er is geen enkele reden om dat soort informatie te bewaren, bovendien mag je dat ook niet zomaar doen. Daar is wetgeving voor.
hanev001 @Croga30 juli 2025 15:23
Maar hoe weet die App dat? Je zal dan toch ergens je zelf met controleerbare gegevens bekend hebben moeten maken.

De App is de laatste stap in de keten maar wat zit daar voor en hoe betrouwbaar en veilig is dat. Vooral het risico op een overheids betrokkenheid is groot en wie vertrouwd tegenwoordig de overheid nog. Ik niet in ieder geval.
Croga @hanev00130 juli 2025 15:27
Natuurlijk heeft die app een backend waar al die gegevens bekend zijn. Dat heeft de basisadministratie persoonsgegevens. Van daar uit maken we paspoorten, geboorte aktes, en nog veel meer. Dat staat verder helemaal los van de app zelf.

De app doet slechts een eenvoudige query op die backend. De app zelf zal dus ook niet meer weten dan alleen hoe hij het verzoek naar de backend door moet geven.

Maar de app is duidelijk niet voor jou bedoelt dus ik zou zeggen: Lekker niet gebruiken.
hanev001 @Croga30 juli 2025 15:37
Je begrijpt duidelijk het probleem niet. Er zal een koppeling gemaakt moeten worden tussen de App en die persoonsgegevens. Die koppeling zal ergens opgeslagen moeten worden en dat is een veiligheids probleem.

Men zal namelijk willen voorkomen dat een enkel persoon meerdere Apps kan activeren om fraude te voorkomen. Daarmee wordt elk gebruik daarvan herleidbaar naar die persoon. Anonimiteit bestaat daarmee niet meer.
MischaBoender @hanev00130 juli 2025 15:46
Waarom moet die koppeling opgeslagen worden? Iemand zal echt niet ineens jonder dan 18 worden, dus als de app 1 keer de verificatie heeft gedaan dat je >18 jaar bent, en deze goed opslaat (signed bijv) dan zou dat voldoende moeten zijn.
hanev001 @MischaBoender30 juli 2025 15:58
Als er geen registratie plaatsvind kan ik daar veel geld mee gaan verdienen.

Ik ga op de hoek van een schoolplein staan en roep dat ik App verificatie te koop heb. Binnen de kortste keren staat er dan een rij van jongeren voor me die allemaal hun app willen laten registeren en dat kan als er geen relatie gelegt wordt tussen de App en de registreerde persoon.

Dus zonder die koppeling is het hele systeem vokomen nutteloos
david-v @hanev00130 juli 2025 21:41
Ik ga op de hoek van een schoolplein staan en roep dat ik App verificatie te koop heb
Dan ben je strafbaar. Dat heb je met alcohol ook. Als jij als 18 jarige bier koopt en vervolgens aan een 17 jarige doorgeeft dan ben je strafbaar. De boete is volgens mij €100. Zelfs de winkelier is strafbaar als die bier verkoopt aan een 18 jarige wetende dat die het doorgeeft aan een 17 jarige. Bewijslast wordt wel een ding natuurlijk, maar laat wel even duidelijk zijn dat wat jij hier voorstelt niet zomaar mag.
hanev001 @david-v30 juli 2025 21:47
Dat het strafbaar zal zijn daar twijfel ik geen seconde aan. Maar wees eerlijk denk je dat dit op enige wijze de door mij geschetste werkwijze zal tegen houden.

Wat ik probeer duidelijk te maken is dat het systeem niet anoniem kan werken en dat onder de noemer van het beschermen van jongeren iedereen zijn privacy zal kwijtraken. Dat het beroemde boek 1984 werkelijkheid zal worden als dit daadwerkelijk wordt ingevoerd.
david-v @hanev00130 juli 2025 21:59
Dat het strafbaar zal zijn daar twijfel ik geen seconde aan. Maar wees eerlijk denk je dat dit op enige wijze de door mij geschetste werkwijze zal tegen houden.
Je doet een aanname die volgens mij niet klopt. Namelijk dat de leeftijdsverificatie een eenmalige actie is. Zo gaat dat niet werken vermoed ik, maar misschien doe ik nu een verkeerde aanname.

Elke keer als je naar de website gaat moet je opnieuw leeftijdsverificatie doen. Dat is nu al het geval, nog voordat je inlogt (iemand heeft mij verteld dat het zo werkt, ik bezoek dat soort sites nooit :+). Zie het als een captcha, maar dan voor leeftijd. Je moet dan elke keer iemand in je buurt hebben die opnieuw de leeftijd verificatie gaat doen. Dat maakt het al een stuk ingewikkelder.
edit:
Blijkbaar is mijn aanname verkeerd. Ik lees nu dit in het artikel over de app
Platforms mogen dit bewijs vervolgens opslaan in het gebruikersaccount, zodat gebruikers niet telkens als ze de site of dienst bezoeken opnieuw hun leeftijd hoeven te verifiëren.
Ik geef je dan gelijk, dit gaat schoolplein verkopers van leeftijd verificatie stimuleren.

[Reactie gewijzigd door david-v op 30 juli 2025 22:03]

PhilipsFan @MischaBoender31 juli 2025 14:22
Stel, ik woon in de UK en wil een pornosite bezoeken. De site heeft een zeer goede implementatie zodat ze niet weten wie ik ben, maar wel dat ik 18+ ben. En ook de backend/provider van de 18+ service weet dat niet omdat ze geen koppeling bijhouden met de GBA (of iets dergelijks).

Dan kan ik dus een willekeurige 18-plusser vragen om even in te loggen om te bewijzen dat 'ik' 18+ ben. De pornosite onthoudt dat het account waarmee ik inlog, 18+ geverifieerd is, dus dat hoeft maar 1 keer. En niemand weet wie er werkelijk heeft ingelogd, dus dat systeem is fraudegevoelig.

Persoonlijk vind ik dit soort ontwikkelingen maar niks. Dat je wilt voorkomen dat minderjarigen gaan gokken of drank/sigaretten kopen, dat begrijp ik. Maar porno kijken? Daar is niks schadelijks aan.
MischaBoender @PhilipsFan31 juli 2025 14:59
Maar porno kijken? Daar is niks schadelijks aan.
Porno geeft jongeren een compleet verkeerd beeld hoe snel service monteurs van huishoudelijke apparaten voor de deur staan bij problemen. :+
BounceMeister @Croga30 juli 2025 15:54
Ik kijk nu toevallig een documentaire op SkyShotime over de opkomst van het nazi regime (Project Nazi: Blueprints of Evil). Als je ziet hoe stapsgewijs alles veranderde met aanvankelijk nuttig lijkende redenen, dan vind ik dit soort ontwikkelingen ineens niet zo fijn meer.
david-v @BounceMeister30 juli 2025 21:45
Er komt een dienst om leeftijdsverificatie te doen op gegevens die we al decennia lang digitaal opslaan en hij maakt een stap richting de Nazis. Beetje ver gezocht als je het mij vraagt. We hebben heel veel geleerd van dat verleden. Maar dit is niet iets extras, die is het eenvoudig maken om leeftijdsverificatie uit te voeren.
Tweeks @david-v30 juli 2025 23:15
Wat hij plaatst klinkt als een grote stap, maar het gaat hier met name om dat het grondwerk gelegd wordt om toekomstig machtsmisbruik eenvoudig toe te passen.

Een van de redenen van online identificatie kan ook worden dat je kan bewijzen geen bot te zijn, zeker met het toenemende nepnieuws en robotisering is dit een valide optie om hiermee te tackelen. Ik zie dit zo geïntroduceerd worden met dit sneeuwbaleffect.

Echter neem je hiermee beetje bij beetje de vrijheid van buiten het toezicht van de overheid ideeën met elkaar delen weg. Dit is een belangrijk mechanisme om bij een (opkomende) dictatuur weerstand te kunnen bieden.

Ik heb de antwoorden niet, maar ik denk wel dat het reëele scenario's zijn waar we over na moeten denken. Je ziet in Amerika hoe snel een systeem uit elkaar kan vallen. In de hele wereld zijn nationalistische neigingen te bespeuren, dat is een voedingsbodem voor ellende.
xorpd @david-v31 juli 2025 12:11
Je hebt de coronapas niet meegemaakt? Nur für geimpften!
The-Source 30 juli 2025 14:38
Als website XXX volgens EU regels deze controle implementeert en gebruiker Y denkt van ja daag. Ik gebruik VPN via USA (of enig ander land buiten EU) dan zal die leeftijd controle pop-up toch heel makkelijk te omzeilen zijn?
SirBlade @The-Source30 juli 2025 15:55
Dan krijgen VPN providers de wettelijke plicht er voor te zorgen dat hun dienst niet gebruikt kan worden om de leeftijdsverificatie te omzeilen. Hoe ze dat doen mogen ze zelf bepalen. VPN providers die niet voldoende doen worden door ISP's geblocked.
BounceMeister @SirBlade30 juli 2025 17:46
En daar gaat dan wéér een stukje vrijheid of anonimiteit.
The-Source @SirBlade31 juli 2025 08:06
VPN diensten blokken op basis van IP is kat en muis spel en ISP zullen waarschijnlijk alleen acteren op basis van rechtsgeldig verzoek.
Maar vergeet ook niet dat XXX site wereldwijd aanbied. En als source vanuit EU komt moet controle plaats vinden. Maar dat is bedacht voor EU burgers. Als niet EU burger kan je ook dezelfde site bezoeken vanuit de EU wordt deze tourist dan ook aan verificatie gedwongen? En dat is dan nog zonder VPN, maar met VPN zou deze dienst niet mogen werken?? Dat is internet op z'n kop qua vrijheid.
wiseger
@The-Source30 juli 2025 14:43
Dat klopt. Maar aanbieders binnen de EU moeten wel voldoen aan de leeftijdsverificatie eis.
R4gnax
@wiseger30 juli 2025 19:03
Dat klopt. Maar aanbieders binnen de EU moeten wel voldoen aan de leeftijdsverificatie eis.
Aanbieders binnen de EU moeten inderdaad aan de leeftijdsverificatie-eis voldoen.
Concreet aan de eisen die gesteld worden door Digital Services Act artikel 28, lid 1.

Echter moet je ook even naar artikel 28, lid 3 kijken. Deze stelt namelijk dat platforms nooit opgelegd kunnen krijgen om leeftijdsverificatiemethodes te gebruiken om aan de verplichtingen van lid 1 te voldoen, waar deze methodes het verwerken van nieuw op te vragen persoonsgegevens betreft.

En hier komt 'ie:
de huidige leeftijdsverificatie-app valt daar ook onder. Het gebruik daarvan kan dankzij Art 28.3 niet verplicht worden, omdat de huidige implementatie geen gebruik maakt van zgn. zero knowledge proofs maar nog steeds gebruik maakt van tokens die met enige moeite gebruikt kunnen worden voor heridentificatie. Daarmee vallen ze onder wat de AVG/GDPR een online identifier noemt. En die worden geclassificeerd als persoonsgegeven.

En vervolgens, omdat er dankzij Art 28.3 dus geen wettelijke plicht kan zijn dit middel te gebruiken, is het wel gebruiken er van onderhevig aan Art. 5 van de AVG/GDPR, namelijk: het data minimalisatie-principe. Je hoeft wettelijk geen verificatiemiddelen in te zetten die extra persoonsgegevens nodig hebben; dus mag je die ook niet inzetten.

Kan nog heel interessant worden zodra een partij als NYOB hier bovenop springt en zich er mee gaat bemoeien...
lenwar
@The-Source30 juli 2025 15:24
Als de betreffende site alleen maar op IP-adres kijkt, dan klopt dat. Maar er zijn natuurlijk meer manieren om een (ruwe) gelocatie te bepalen. Ik verwacht niet dat sites VPN-diensten actief gaan blokkeren om deze reden. (en dan even los van het feit dat je ook een VPN naar een VPS kunt regelen en dat soort zaken.)
-JK- 30 juli 2025 14:47
Word wel lastig zo als je anoniem wilt surfen.
Wazzim @-JK-30 juli 2025 14:54
Dat is dus precies wat ze willen want 'denk aan de kinderen' of 'desinformatie'.
Ben5050 30 juli 2025 16:51
Ik ga hier echt nooit aan meewerken. Als ik eerst mijn ID moet scannen of mijn gezicht moet laten zien om een website te bezoeken, dan haak ik direct af. Het voelt alsof je constant gevolgd wordt, nee, dank je

Ik ga eerst op zoek naar manieren om dit te omzeilen, en anders heb ik gewoon pech. Hopelijk komt hier flinke backlash op.

En voor iedereen thuis denk goed na op wie je stemt bij de volgende verkiezingen
NoTechSupport @Ben505030 juli 2025 18:15
Je gezicht scannen of je persoonsgegevens delen moet net niet, dat willen we vermijden. Je kan dus nog perfect op alle partijen stemmen.
biggydeen2 @Ben505030 juli 2025 18:11
Dit is natuurlijk het begin van een volledige controle door de EU. Eerst verplichten op een aantal sites. Later ook op alle social media en andere platformen zodat je niet meer anoniem een mening kunt geven en direct naam en rugnummer in beeld is. Mensen durven geen kritiek meer te uiten omdat ze dan zomaar ontslagen kunnen worden mocht je een andere mening hebben dan de meeste mensen.
unglaublich @Ben505030 juli 2025 18:14
Zo gaat het ook niet werken: net als met Facebook en Twitter lokken ze eerst iedereen die er geen probleem mee heeft en zodra ze groot genoeg zijn worden belangrijke services er naar toe getransporteerd. Daarna ben jij ineens afhankelijk.
david-v @Ben505030 juli 2025 21:17
Ik ga hier echt nooit aan meewerken. Als ik eerst mijn ID moet scannen of mijn gezicht moet laten zien om een website te bezoeken, dan haak ik direct af. Het voelt alsof je constant gevolgd wordt, nee, dank je
Dit initiatief is juist om te voorkomen dat aanbieders van 18+ diensten aan jou om een gezichtscan of kopie id gaan vragen. Voor het probleem wat jij schets is dit de oplossing.
angerfist-yentl 30 juli 2025 18:59
ik zet wel een vpn aan naar een vrij land :+

update nou sorry hoor dat dit offtopic schijnt te zijn maar ik voel me steeds meer Arthur Morgan (uit RDR2) die steeds meer merkt dat zijn vrije(wilde)western wereld langzaam gekoloniseerd wordt door de massa en systeem bedenkers/hoeders. Ik ben van mening dat er altijd ruimte moet blijven voor mensen zoals ik die hier niet in thuis horen en ook nooit zullen functioneren. maar de geschiedenis vertelt ons een ander verhaal.

[Reactie gewijzigd door angerfist-yentl op 30 juli 2025 21:10]

Aardwolf @angerfist-yentl30 juli 2025 20:51
Oké is goed, wel eerst de VPN kopen met leeftijds- en IDverificatie. :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq