Experts kritisch op online leeftijdsverificatie: makkelijk te omzeilen en privacyrisico’s

Sociale media, datingapps en goksites controleren steeds vaker de leeftijd van hun gebruikers, omdat ze onder druk van Europese wetgeving minderjarigen moeten beschermen tegen schadelijke content. Maar hoe effectief zijn die controles eigenlijk? Privacydeskundigen zetten er hun vraagtekens bij: de huidige systemen zijn kinderlijk eenvoudig te omzeilen en brengen privacyrisico’s met zich mee voor álle internetgebruikers.
Waarom online leeftijdsverificatie?
Hoewel sociale media voor kinderen erg nuttig kunnen zijn, is een groot deel van het internet niet afgestemd op deze leeftijdsgroep. Algoritmes van sociale media zijn bijvoorbeeld erg verslavend en kinderen (en ook volwassenen) kunnen op allerlei plekken in aanraking komen met gewelddadige of seksuele content.
Om ze hiertegen te beschermen, stelt de Europese Digital Services Act (DSA) het volgende: platforms dienen de risico’s van blootstelling van burgers, waaronder kinderen en jongeren, aan illegale en schadelijke inhoud tot een minimum te beperken. Het risico op blootstelling aan leeftijdsongepaste inhoud, zoals gokken of pornografie, moet bijvoorbeeld verminderd worden en er geldt een algeheel verbod op het tonen van gerichte advertenties aan kinderen.
Oftewel: platforms dragen een verantwoordelijkheid voor de veiligheid van minderjarigen en kunnen boetes krijgen wanneer ze dit niet genoeg doen.
Hoe wordt je leeftijd gecontroleerd?
Veel platforms hanteren daarom een minimumleeftijd én voeren leeftijdsverificaties uit. Een aantal voorbeelden:
- 📱
Sociale media
Om een account aan te kunnen maken op bijvoorbeeld TikTok, Instagram en Snapchat moet je minimaal 13 jaar oud zijn. Bij Meta verifiëren ze dit door een foto van je identiteitsbewijs en/of een videoselfie. Ze werken hiervoor samen met een externe dienst, Yoti, die ook gebruikt wordt door TikTok.
- 💑
Datingapps
Op apps zoals Tinder, Bumble en Happn moet je minimaal 18 jaar oud zijn. Minderjarigen mogen in principe geen gebruik maken van zulke datingapps, maar dit controleren ze niet allemaal even streng. Tinder vraagt, afhankelijk van je locatie, wel om je leeftijd te verifiëren door middel van een identiteitsbewijs.
- 🎰
Online gokwebsites en kansspelen
Online casino’s en wedkantoren in Nederland hanteren de wettelijke minimumleeftijd van 18 jaar. Controle gebeurt vrijwel altijd via iDIN, een verificatiemethode via je bank, of door een scan van je paspoort of ID-kaart te uploaden.
- 🎮
Gamingplatforms
Roblox stelt gezichtsherkenning verplicht wanneer je toegang wil tot de chat. Je moet dan een selfie maken, waarna een algoritme je leeftijd inschat. Wordt je 13 jaar of ouder geschat, dan kun je chatten met anderen.
Hoe effectief is online leeftijdsverificatie?
Dat het goed is om kinderen online te beschermen, erkennen ook privacydeskundigen. Toch zetten zij wel vraagtekens bij de manier waarop dit nu gebeurt.
“Er zijn helemaal geen studies die aantonen dat online leeftijdsverificatie effectief is en kinderen beschermt. Experimenten tonen aan dat na zes maanden 80 procent van de kinderen nog steeds een account heeft”, vertelt Bart Preneel bijvoorbeeld. Hij is hoogleraar Computerbeveiliging en Industriële Cryptografie aan de KU Leuven.
“Er zijn heel veel manieren om leeftijdsverificatie te omzeilen. Je kunt bijvoorbeeld nog altijd een VPN gebruiken, die de indruk wekt dat je in een ander land bent waar geen minimumleeftijd geldt. Ook kunnen ouders hun smartphone uitlenen aan hun kind, waardoor ze alsnog op sociale media kunnen, en kunnen kinderen AI inzetten om gezichtsherkenning te omzeilen.”
Gezichtsscan werkt slecht en is invasief
“We zien dat een gezichtsscan sowieso geen hele effectieve manier is om leeftijd te verifiëren, omdat jonge gezichten heel moeilijk in te schatten zijn", vult Lotje Beek aan. Zij is beleidsadviseur bij Bits of Freedom.
Jaap-Henk Hoepman, universitair hoofddocent Digital Security aan de Radboud Universiteit, beaamt dit. “Je kunt echt niet aan iemand zien of diegene vandaag of morgen 18 wordt. Hierdoor kunnen te jonge kinderen toch toegelaten worden op een platform of kunnen mensen die aan de minimumleeftijd voldoen toch geweerd worden.”
Tegelijkertijd is zo’n gezichtsscan wel heel privacy invasief en kan het ook nog eens discriminatie in de hand werken. Hoepman vertelt: “Vergelijkbare systemen zijn vaak getest op mensen met een westerse achtergrond, waardoor ze bij mensen van bijvoorbeeld Aziatische of Afrikaanse afkomst minder goed werken.”
Werkt het Nederlandse iDIN beter?
Beek vertelt dat ze bij Bits of Freedom sowieso niet erg fan zijn van leeftijdsverificatie, omdat je hele gevoelige gegevens deelt met techbedrijven, die al super veel macht en informatie hebben.
In Nederland kun je daarom op verschillende plekken ook gebruikmaken van iDIN, een gezamenlijke dienst van de banken. Bedrijven gebruiken dan infrastructuur waarmee jij kunt inloggen via de beveiligde omgeving van je eigen bank. De bank bevestigt vervolgens je leeftijd, waardoor je geen document hoeft te uploaden op de website of het platform zelf. Op dezelfde manier kun je je leeftijd soms bevestigen door middel van een creditcard.
Toch deel je volgens Beek dan misschien nog steeds meer informatie dan je zou moeten willen. “Op de dag dat je de toegestane leeftijd bereikt, krijg je groen licht en weet een platform dus nog steeds wanneer je geboren bent.”
Hoepman kaart nog iets anders aan: “Door steeds je creditcard te gebruiken als leeftijdsverificatie, weet jouw creditcardmaatschappij waar jij inlogt." Dit geldt ook voor je bank als je gebruikmaakt van iDIN.
Europese app werkt pas als het goed geïmplementeerd wordt
Een andere manier waarop de Europese Commissie gevoelige documenten weg wil houden bij grote techbedrijven is het EU Digital Identity Wallet (EDI-wallet). Dit is een app waarmee je jezelf online kunt identificeren en persoonlijke gegevens kunt delen. Elke lidstaat moet eind 2026 zo’n EDI-wallet beschikbaar stellen, zo ook Nederland.
Het idee achter deze wallet is dat je specifieke gegevens kunt delen en precies kunt zien welke informatie je met wie hebt gedeeld en waarvoor. Op die manier zou je dus alleen je leeftijd met een platform kunnen delen, zonder een scan van je identiteitsbewijs te maken.
Beek en Preneel wijzen hierbij op het gevaar van hacks. “Zo’n app is een hele aantrekkelijke bron om te hacken, omdat er nog veel meer gevoelige informatie in opgeslagen kan worden. Het Odido-lek is er niks bij”, aldus Beek. “Bovendien was de pilot-app van de EU binnen twee minuten gehackt.”
“In principe zou zo’n wallet heel privacyvriendelijk kunnen zijn, maar dan moet het wel goed geïmplementeerd worden en dat is nu echt nog niet het geval”, vertelt Hoepman.
Iedereen moet straks leeftijd bewijzen
Preneel wijst er ook op dat je altijd de mogelijkheid moet hebben om zo’n app niet te downloaden. “Maar als je op allerlei plekken online je leeftijd moet verifiëren, wordt je daar wel bijna toe gedwongen.”
Hij legt dit uit door een vergelijking te maken met alcohol: jonge mensen moeten een identiteitsbewijs laten zien als ze alcohol willen kopen, om te bewijzen dat ze ouder zijn dan 18 jaar. Maar bij iemand van 80 jaar vraag je niet meer om een ID-kaart, omdat het duidelijk is dat diegene oud genoeg is. Bij online verificatie is dat anders.
“Doordat we kinderen proberen te beschermen, moet straks iedereen bewijzen dat ze oud genoeg zijn. Alle mensen moeten dus zo’n app hebben, ook mensen die niet digitaal vaardig zijn. Hierdoor ontstaat er een risico op uitsluiting.”
“Juist omdat het iedereen aangaat, is het zo belangrijk dat het goed geïmplementeerd wordt”, vult Hoepman aan.
Is er een andere oplossing?
Leeftijdsverificatie is volgens hem dan ook een manier van symptoombestrijding. “Het echte probleem is dat sociale media te verslavend zijn en extreme content pushen, omdat dat meer aandacht vraagt. Dat zou eigenlijk aangepakt moeten worden.”
Beek is het daarmee eens: “Er zijn andere manieren dan leeftijdsverificatie om kinderen veilig te houden. Wij zien bijvoorbeeld meer in de Digital Fairness Act.” Dat is een wetsvoorstel waarmee consumenten beschermd moeten worden tegen manipulatieve praktijken in de digitale omgeving, zoals verslavende algoritmes.
Toch is de verantwoordelijkheid afschuiven op sociale mediaplatformen volgens Preneel ook geen magische oplossing: “Hoe verantwoordelijker zij gehouden worden, hoe meer ze zullen aandringen op systemen zoals leeftijdsverificatie. Dat is een hele fijne lijn. De overheid, ouders en sociale media moeten daarom allemaal hun verantwoordelijkheid pakken.”
